WordPress Blog Biztonsági tippek

Nem elég a következményeket eltávolítani, meg kell értenie a bekövetkezés okait. Már írtam csapkodtak bennünket és állítólag mindannyian döntöttünk. Egy hét múlva a történet megismétlődött, egy újabb jquery szkript, valamint a .htaccess fájlok megváltoztak. És a .htaccess fájlban átirányítások voltak csak bal oldali webhelyre, csak mobil eszközökre és táblagépekre, és ezért ezt nem azonnal észrevettem.

Néhány napon belül sikerült megtalálni a támadó által módosított összes fájlt, valamint azokat, amelyeket kifejezetten a behatoláshoz (shell) hoztam létre. És ismételten, köszönhetően a házigazdának a segítségüket. Ezután úgy döntöttem, hogy megteszem az interneten leírt összes intézkedést.

A cikk tartalma

A kis blogger összes GYIK részét:

Számos bloggal kapcsolatos cikket írtam. Nem állítják, hogy teljes kézikönyv lenne, de a kezdők is hasznosak lehetnek. Elolvashatja, ha érdekli.

0. Ajánlom egy tanfolyamot «Hogyan válhat milliomos bloggerré és pénzt kereshet?»
1. Hogyan indítsunk el egy blogot?
2. Hogyan reklámozhatok egy blogot - a tevékenységeim listája
3. Hogyan lehet pénzt keresni egy blogban és utazni?
4. Példa a blogunkban történő keresésre - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Olvasói és keresési forgalom, és miért nem térnek vissza az olvasók
6. Egy kis igazság az utazási blogokról
7. WordPress Blog védelmi tippek

WordPress Blog Biztonsági tippek

WordPress Blog Biztonsági tippek

WordPress Blog Biztonsági tippek

A lista valószínűleg nem lesz teljes, és amint azt mondják, kinek szüksége van rá, mindenesetre eltörik. De legalább szinte minden blogger megteheti ezeket a műveleteket annak érdekében, hogy legalább egy kicsit megvédje magát..

Frissítse a számláló és a modul modulokat

Ellenőrizze az összes számláló és közösségi kütyü kódját a blogján és a webhelyen, hol szerezte őket.
Talán frissítették őket. Észrevettem, hogy a Facebook gyakran megváltoztatja a kütyü kódját, ez nyilvánvalóan növeli a biztonságot.

Frissítse az összes bővítményt és a WordPress-t a legújabb verziókra, és távolítsa el a fel nem használt elemeket

Itt a megjegyzések feleslegesek, mindenki tudja, hogyan kell csinálni. A biztonsági réseket általában a bővítmények és témák tartalmazzák, ezért legalább az összes fel nem használt elemet eltávolítani kell.

Frissítse timthumb.php

Ha a témája a miniatűrök átméretezését használja a timthumb.php használatával, akkor feltétlenül frissítse ezt a fájlt a legújabb verzióra, mivel a régebbi verziók ismert biztonsági rése van.

Ellenőrizze a mappák és fájlok engedélyét

Az összes fájlnak 644 jogosultsággal, 755 mappával kell rendelkeznie, kivéve .htaccess - 444 engedély és feltöltési mappa - 777 engedély.

Admin felhasználónév módosítása

A leggyorsabb lehetőség a phpadmin belépés, és az adatbázisában hajtsa végre a következő lekérdezést:

UPDATE wp_users SET user_login = ‘Az új bejelentkezés’ WHERE user_login = ‘admin’;

Vagy egyszerűen létrehozhat új felhasználót a blog adminisztrációs paneljén, hozzárendelheti az összes cikket neki, és törölheti a régi adminisztrátori felhasználót..

Minden jelszót változtasson összetettebbé

Banális tanácsok, de a jelszavaknak összetetteknek kell lenniük, és a különféle nyilvántartások számaiból és betűiből állnak. Ne felejtse el azt sem, hogy a vírusok elleni küzdelem után minden jelszót meg kell változtatnia (blog admin, host admin, ftp, sql adatbázis), és érdemes megváltoztatni a wp-config.php fájl titkos kulcsait is..

Védje a .htaccess és a wp-config.php fájlokat mindenki számára a hozzáféréstől

Adja hozzá a .htaccess fájljához a blog gyökerébe ezt a kódot:

Rendelés tagadás, engedje meg
mindenki tagadja
rendelés engedélyezni, tagadni
mindenki tagadja

Védje a wp-incl mappát .htaccess fájllal

Hozzon létre egy egyszerű szöveges fájlt, hívja .htaccess-ként, és másolja át a wp-include mappába, miután hozzáadta a fájlt a fájlhoz:

Rendelje meg, tagadja
Mindenkit tagadni
Engedjen meg mindent

Védje a wp-admin mappát .htaccess és .htpasswd fájlokkal

Hozzon létre egy normál szöveges fájlt, hívja .htaccess-ként, és másolja át a wp-admin mappába, miután hozzáadta a fájlt a fájlhoz:

AuthUserFile /home/public/.htpasswd
AuthType Basic
authname “korlátozott”
Rendelje tagadást, engedélyezze
Mindenkit tagadni
Igényeljen érvényes felhasználót
Bármelyik kielégítheti

Ahol, «/home/public/.htpasswd» A .htpasswd fájl teljes elérési útja. Célszerű, hogy ez a fájl a blogja könyvtárai fölött legyen.

A .htpasswd fájl titkosított formában tartalmazza a wp-admin zónához való hozzáférés jelszavát. A fájl létrehozásának legegyszerűbb módja a felhasználónév és a jelszó megadása a szokásos módon. A legjobb, ha nem ismételje meg és jelölje meg a meglévő fiókoktól eltérő adatokat.

Csak egy kellemetlenség jelentkezik ezzel a módszerrel - ez nem alkalmazható, ha több felhasználó blogja van, mivel a jelszót minden felhasználó kérni fogja.

Az adatbázis előtagjának megváltoztatása

Változtassa meg az SQL adatbázis előtagot a szokásoshoz «wp_» néhányon «wpsdjflk647_» Lehetséges volt a blog létrehozásának kezdetén. De most ez nem jelent problémát. Csináltam egy plugint, amelyet az alábbiakban tárgyalunk. Bár bemehet a phpadminba, cserélje ki az összes táblanevet, majd módosítsa az előtagot a wp-config.php fájlban

Telepítse a Belavir beépülő modult

Telepítse a Belavir beépülő modult, amely nyomon követi a blog összes php fájljának változásait. Maga a beépülő modul semmit nem figyel, hanem elindítja a beolvasást, amikor a konzol oldalán a blog adminisztrációs paneljére lép, ahol a változások valóban megjelennek. Nincs beállítása.

Telepítse a WP Security Scan bővítményt

Telepítse a WP Security Scan bővítményt, amellyel néhány dolgot megtehet, különösen:
- az adatbázis előtagjának megváltoztatása
- ellenőrizze a mappák és fájlok engedélyét
- elrejteni a WordPress verzióját
- csatlakoztassa a víruskeresőt a bloghoz, és ellenőrizze

Telepítse a Better WP Security plugin-t

Telepítse a Better WP Security bővítményt, még ennél is többre van szüksége, mint az előző kettőnél. Jellemzőinek listája nagyon nagy, felsorolok egy részt:
- lehetővé teszi az adatbázis előtagjának megváltoztatását
- a WordPress verzió típusa szerint eltávolítja a felesleges információkat a blogkódból
- figyeli az összes fájl változását
- tiltja azoknak az ip-t, akik a blogja neve után furcsa címeket írnak a böngészőbe, 404-es hibát kapva
- tiltja a jelszó kiválasztását az admin panelen, ban ip
- Megváltoztatja az alapértelmezett admin bejelentkezési címeket, kiváló védelmet nyújt a brute-force támadásokkal szemben
- és még sok más.

Az ftp változásainak figyelése

Telepítse az ftpinfo programot a számítógépére, amely lehetővé teszi a csatlakozást az ftp szerverhez, és figyelemmel kísérheti az összes fiókfájl változásait megjelenésük / törlésük / változásuk szempontjából. Nagyon praktikus dolog a vírus támadások során. Nem csak az összes fájlt figyelheti, hanem maszkokat is létrehozhat a fájlok és mappák számára.

Biztonsági másolat készítése az adatbázisokból és fájlokból néhány naponta

Nagyon hasznos dolog, hasznos lehet a vírusok elleni küzdelemben. Az eredeti fájlok mindig kéznél vannak, és lehetősége van visszaváltásra, ha a webhelyet nem lehet megtisztítani a vírusoktól. A BackWPup bővítményt használom. Számos funkcióval rendelkezik, beleértve az adatok másolását a Dropboxba - ez egy kényelmes szolgáltatás, amely 2 GB szabad helyet biztosít az interneten és szinkronizálást a számítógéppel.

Ezek a tippek a WordPress blog védelmére, amelyeket alkalmaztam a blogunkon. Ha bármilyen kérdése vagy kiegészítése van (talán még valami megtehető), írj a megjegyzésekbe 🙂

logo