Neužtenka pašalinti pasekmes, reikia suprasti priežastis. Aš jau tai parašiau mes buvome nulaužti ir tariamai mes visi nusprendėme. Tačiau po savaitės istorija pasikartojo, buvo pakeistas dar vienas „jquery“ scenarijus, taip pat .htaccess failai. „.Htaccess“ svetainėje buvo nukreipimai tik kai kuriuose mobiliuosiuose įrenginiuose ir planšetiniuose kompiuteriuose, todėl pastebėjau tai ne iš karto.
Per porą dienų man pavyko rasti visus failus, kuriuos modifikavo užpuolikas, taip pat tuos, kuriuos jis sukūrė specialiai skvarbumui (apvalkalui). Ir dar kartą, ačiū prieglobai už jų pagalbą. Po to nusprendžiau imtis visų aprašytų priemonių internete.
Straipsnio turinys
- 1 Visos mano mažojo tinklaraštininko DUK dalys:
- 2 „WordPress“ tinklaraščio saugos patarimai
- 2.1 Atnaujinkite skaitiklio ir valdiklio kodus
- 2.2 Atnaujinkite visus papildinius ir „WordPress“ į naujausias versijas ir pašalinkite nepanaudotus
- 2.3 Atnaujinti timthumb.php
- 2.4 Patikrinkite katalogų ir failų leidimus
- 2.5 Keisti administratoriaus vartotojo vardą
- 2.6 Pakeiskite visus slaptažodžius į sudėtingesnius
- 2.7 Apsaugokite .htaccess ir wp-config.php failus nuo prieigos visiems
- 2,8 Apsaugokite „wp-incl“ aplanką naudodami .htaccess
- 2.9 Apsaugokite „wp-admin“ aplanką naudodami .htaccess ir .htpasswd
- 2.10 Pakeisti duomenų bazės priešdėlį
- 2.11 Įdiekite „Belavir“ papildinį
- 2.12 Įdiekite „WP Security Scan“ papildinį
- 2.13 Įdiekite geresnį WP saugos papildinį
- 2.14 Stebėkite savo ftp pokyčius
- 2.15 Duomenų bazių ir failų atsarginės kopijos kas kelias dienas
Visos mano mažojo tinklaraštininko DUK dalys:
Aš esu parašęs daugybę straipsnių, susijusių su tinklaraščių rašymu. Jie nepretenduoja į visavertį vadovą, tačiau pradedantiesiems tai gali būti naudinga. Galite jį perskaityti, jei jus domina.
0. Aš rekomenduoju kursą «Kaip tapti tinklaraštininku milijonieriumi ir užsidirbti pinigų»
1. Kaip sukurti tinklaraštį
2. Kaip reklamuoti tinklaraštį - mano veiksmų sąrašas
3. Kaip užsidirbti pinigų tinklaraštyje ir keliauti
4. Uždarbio pavyzdys mūsų tinklaraštyje - 2013 m, 2012 m, „Finstrip 2011“
penki. Skaitytojo ir paieškos srautas ir kodėl skaitytojai negrįžta
6. Šiek tiek tiesos apie kelionių tinklaraščius
7. „WordPress“ tinklaraščių apsaugos patarimai
„WordPress“ tinklaraščio saugos patarimai
„WordPress“ tinklaraščio saugos patarimai
Vargu ar sąrašas bus išsamus, ir, kaip sakoma, kam to prireiks, jis vis tiek bus sugriautas. Bet bent jau bet kuris tinklaraštininkas gali atlikti šiuos veiksmus, kad bent šiek tiek apsigintų.
Atnaujinkite skaitiklio ir valdiklio kodus
Patikrinkite visų skaitliukų ir socialinių tinklų kodus savo tinklaraštyje ir svetainėje, kur juos gavote.
Galbūt jie buvo atnaujinti. Pastebėjau, kad „Facebook“ dažnai keičia valdiklių kodą, jis, matyt, padidina saugumą.
Atnaujinkite visus papildinius ir „WordPress“ į naujausias versijas ir pašalinkite nepanaudotus
Čia komentarai yra nereikalingi, visi žino, kaip tai padaryti. Pažeidžiamumai dažniausiai būna įskiepiuose ir temose, todėl bent jau visus nepanaudotus turėtumėte pašalinti.
Atnaujinti timthumb.php
Jei jūsų tema naudoja miniatiūrų dydį per timthumb.php, tuomet būtinai atnaujinkite šį failą į naujausią versiją, nes senesnės versijos turi žinomą pažeidžiamumą.
Patikrinkite katalogų ir failų leidimus
Visi failai turi turėti 644 leidimus, 755 aplankus, išskyrus .htaccess - 444 leidimus ir įkeltų aplankų - 777 leidimus.
Keisti administratoriaus vartotojo vardą
Greičiausias pasirinkimas yra pereiti į „phpadmin“ ir ten, savo duomenų bazėje, įvykdyti šią užklausą:
ATNAUJINTA „wp_users“ SET user_login = ‘Jūsų naujas prisijungimo vardas’ KUR user_login = ‘administratorius’;
Arba galite tiesiog sukurti naują vartotoją per tinklaraščio administratoriaus skydą, perduoti jam visus straipsnius ir ištrinti seną administratoriaus vartotoją..
Pakeiskite visus slaptažodžius į sudėtingesnius
Banalūs patarimai, tačiau slaptažodžiai turėtų būti sudėtingi, sudaryti iš skirtingų registrų skaičių ir raidžių. Taip pat nepamirškite, kad po kovos su virusais turite bet kokiu būdu pakeisti visus slaptažodžius (tinklaraščio admin, prieglobos administratorius, ftp, sql duomenų bazė), be to, prasminga pakeisti slaptuosius raktus faile wp-config.php.
Apsaugokite .htaccess ir wp-config.php failus nuo prieigos visiems
Pridėkite prie savo .htaccess tinklaraščio šaknyje šį kodą:
Užsakymas paneigti, leisti
neigti iš visų
įsakymas leisti, paneigti
neigti iš visų
Apsaugokite „wp-incl“ aplanką naudodami .htaccess
Sukurkite įprastą tekstinį failą, iškvieskite jį .htaccess ir nukopijuokite jį į aplanką wp-incl, pridėję kodą į failą:
Užsakyk leisti, paneigti
Neigti iš visų
Leisti iš visų
Apsaugokite „wp-admin“ aplanką naudodami .htaccess ir .htpasswd
Sukurkite paprasto teksto failą, iškvieskite jį .htaccess ir nukopijuokite jį į wp-admin aplanką, pridėję kodą į failą:
„AuthUserFile“ /home/public/.htpasswd
„AuthType Basic“
Aut. Vardas “ribotas”
Užsakyk paneigti, leisti
Neigti iš visų
Reikalauti galiojančio vartotojo
Patenkink bet ką
Kur, «/home/public/.htpasswd» Ar visas kelias į .htpasswd failą. Patartina, kad šis failas būtų virš jūsų tinklaraščio katalogo.
.Htpasswd faile yra užkoduotos prieigos prie wp-admin zonos slaptažodis. Lengviausias būdas sukurti šį failą yra įvesti vartotojo vardą ir slaptažodį įprastu būdu. Geriausia nekartoti ir nurodyti duomenų, kurie skiriasi nuo esamų paskyrų.
Su šiuo metodu yra tik vienas nepatogumas - jis netaikomas, jei turite kelių vartotojų tinklaraštį, nes slaptažodžio bus prašoma iš visų vartotojų.
Pakeisti duomenų bazės priešdėlį
Pakeiskite savo „SQL“ duomenų bazės priešdėlius iš standartinių «WP_» ant kai kurių «wpsdjflk647_» Tai buvo įmanoma dar pačioje tinklaraščio kūrimo pradžioje. Bet dabar tai nėra problema. Aš padariau tai įskiepiu, kuris bus aptartas toliau. Nors galėtumėte pereiti į „phpadmin“, pakeiskite visus ten esančius lentelių pavadinimus ir pakeiskite priešdėlį faile wp-config.php
Įdiekite „Belavir“ papildinį
Įdiekite „Belavir“ papildinį, kuris stebės visų jūsų tinklaraščio php failų pokyčius. Pats papildinys nieko nestebi, bet pradeda nuskaityti, kai eini į tinklaraščio administratoriaus skydą konsolės puslapyje, kur jis iš tikrųjų rodo pakeitimus. Jis neturi jokių nustatymų.
Įdiekite „WP Security Scan“ papildinį
Įdiekite „WP Security Scan“ papildinį, su kuriuo galite atlikti kai kuriuos veiksmus, visų pirma:
pakeisti duomenų bazės priešdėlis
- patikrinkite katalogų ir failų leidimus
paslėpti "WordPress" versiją
- prijunkite antivirusinę tinklaraštį ir patikrinkite
Įdiekite geresnį WP saugos papildinį
Įdiekite „Better WP Security“ papildinį, jo dar labiau reikia nei ankstesnių dviejų. Jo ypatybių sąrašas yra labai didelis, pateiksiu dalį:
- leidžia pakeisti duomenų bazės priešdėlį
pašalina nereikalingą informaciją iš tinklaraščio kodo pagal „WordPress“ versijos tipą
- stebi visų failų pakeitimus
- draudžia IP, kurie įveda keistus adresus naršyklėje po jūsų tinklaraščio pavadinimu, gavę klaidą 404
- draudžia pasirinkti slaptažodį administratoriaus skydelyje, uždrausti IP
- keičiami standartiniai administratoriaus prisijungimo adresai, puiki apsauga nuo žiaurios jėgos atakų
- ir daug daugiau.
Stebėkite savo ftp pokyčius
Įdiekite „ftpinfo“ programą savo kompiuteryje, kuri leidžia prisijungti prie savo ftp serverio ir stebėti visų abonemento failų pakeitimus, siekiant jų išvaizdos / ištrynimo / pakeitimo. Labai patogus dalykas virusų atakų metu. Galite ne tik stebėti visus failus, bet ir kurti failų ir aplankų kaukes.
Duomenų bazių ir failų atsarginės kopijos kas kelias dienas
Labai naudingas dalykas, jis gali būti naudingas kovojant su virusais. Originalūs failai visada bus po ranka ir bus galimybė grįžti atgal, jei nebus įmanoma išvalyti svetainės nuo virusų. Aš naudoju „BackWPup“ papildinį. Jis turi daug funkcijų, įskaitant duomenų kopijavimą į „Dropbox“ - patogią paslaugą, suteikiančią 2 GB laisvos vietos internete ir sinchronizavimą su kompiuteriu.
Tai yra „WordPress“ tinklaraščio apsaugos patarimai, kuriuos pritaikiau mūsų tinklaraštyje. Jei yra klausimų ar papildymų (galbūt galima dar ką nors padaryti), rašykite komentaruose 🙂
