Det räcker inte för att ta bort konsekvenserna, du måste förstå orsakerna. Jag skrev redan det vi blev hackade och förmodligen beslutade vi alla. En vecka senare upprepades emellertid berättelsen, ytterligare ett jquery-skript ändrades samt .htaccess-filer. Och i .htaccess fanns det omdirigeringar till någon vänsterplats endast för mobila enheter och surfplattor, och därför märkte jag detta inte omedelbart.
På ett par dagar lyckades jag hitta alla filer ändrade av angriparen, såväl som de som skapats av honom specifikt för penetration (skal). Och igen, tack vare värden för deras hjälp. Därefter beslutade jag att vidta alla åtgärder som beskrivs på Internet.
Artikelens innehåll
- 1 Alla delar av min lilla bloggar FAQ:
- 2 WordPress Blogs säkerhetstips
- 2,1 Uppdatera räknaren och widgetkoderna
- 2,2 Uppdatera alla plugins och WordPress till de senaste versionerna och ta bort oanvända
- 2,3 Uppdatera timtatt.php
- 2,4 Kontrollera behörigheter för mappar och filer
- 2,5 Ändra admin användarnamn
- 2,6 Ändra alla lösenord till mer komplexa
- 2,7 Skydda filerna .htaccess och wp-config.php från åtkomst för alla
- 2,8 Skydda mappen wp-inkluderar med .htaccess
- 2,9 Skydda wp-admin-mappen med .htaccess och .htpasswd
- 2,10 Ändra databasprefix
- 2,11 Installera Belavir Plugin
- 2,12 Installera WP Security Scan Plugin
- 2,13 Installera Better WP Security Plugin
- 2,14 Övervaka ändringar på din ftp
- 2,15 Säkerhetskopiering av databaser och filer en gång var par dagar
Alla delar av min lilla bloggar FAQ:
Jag har skrivit ett antal bloggrelaterade artiklar. De låtsas inte vara en fullfjädrad manual, men nybörjare kan vara användbara. Du kan läsa den om du är intresserad.
0. Jag rekommenderar kursen «Hur man blir miljonärblogger och tjänar pengar»
1. Hur man startar en blogg
2. Hur man marknadsför en blogg - en lista över mina handlingar
3. Hur man kan tjäna pengar på en blogg och resa
4. Ett exempel på att tjäna på vår blogg - Finstrip 2013, finstrip 2012, Finstrip 2011
fem. Läsare och söktrafik, och varför läsarna inte kommer tillbaka
6. Lite sanning om resebloggning
7. Tips om skydd av WordPress-blogg
WordPress Blogs säkerhetstips
Listan är sannolikt inte komplett, och som de säger, vem som behöver den kommer de att bryta den ändå. Men åtminstone nästan alla bloggare kan göra dessa åtgärder för att åtminstone skydda sig lite..
Uppdatera räknaren och widgetkoderna
Kontrollera koderna för alla räknare och sociala widgetar på din blogg och på webbplatsen, var fick du dem.
Kanske har de uppdaterats. Jag märkte att Facebook ofta ändrar koden för widgets, det förbättrar uppenbarligen säkerheten.
Uppdatera alla plugins och WordPress till de senaste versionerna och ta bort oanvända
Här kommentarer är överflödiga, alla vet hur man gör det. Sårbarheter finns vanligtvis i plugins och teman, därför bör åtminstone alla oanvända tas bort.
Uppdatera timtatt.php
Om ditt tema använder storleksändring av miniatyrbilder med timampoo.php, måste du definitivt uppdatera den här filen till den senaste versionen, eftersom äldre versioner har en känd sårbarhet.
Kontrollera behörigheter för mappar och filer
Alla filer måste ha 644 behörigheter, 755 mappar utom .htaccess - 444 behörigheter och ladda upp mappar - 777 behörigheter.
Ändra admin användarnamn
Det snabbaste alternativet är att gå in i phpadmin och där, i din databas, köra denna fråga:
UPDATE wp_users SET user_login = ‘Din nya inloggning’ VAR user_login = ‘administration’;
Eller så kan du helt enkelt skapa en ny användare via adminpanelen på bloggen, tilldela alla artiklar till honom och ta bort den gamla adminanvändaren..
Ändra alla lösenord till mer komplexa
Banala råd, men lösenord bör vara komplexa, bestående av siffror och bokstäver i olika register. Glöm inte att efter kampen mot virus måste du ändra alla lösenord på något sätt (bloggadministration, värdadministratör, ftp, sql-databas), och det är också vettigt att ändra de hemliga nycklarna i wp-config.php-filen.
Skydda filerna .htaccess och wp-config.php från åtkomst för alla
Lägg till din .htaccess i roten till bloggen, den här koden:
Beställ neka tillåt
förneka från alla
beställ tillåta, förneka
förneka från alla
Skydda mappen wp-inkluderar med .htaccess
Skapa en vanlig textfil, kalla den. Htaccess och kopiera den till mappen wp-inkluderer, efter att du har lagt koden till filen:
Beställ Tillåt, neka
Förneka allt
Tillåt från alla
Skydda wp-admin-mappen med .htaccess och .htpasswd
Vi skapar filen som en vanlig textfil, namnger den .htaccess och kopierar den till wp-admin-mappen efter att ha lagt till koden i filen:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “begränsad”
Beställ Neka, tillåt
Förneka allt
Kräv giltig användare
Tillfredsställa alla
Var, «/home/public/.htpasswd» Är den fullständiga sökvägen till .htpasswd-filen. Det är tillrådligt att den här filen finns ovanför din bloggs katalog.
.Htpasswd-filen innehåller lösenordet för åtkomst till wp-admin-zonen i krypterad form. Det enklaste sättet att skapa den här filen är att ange användarnamn och lösenord på vanligt sätt. Det är bäst att inte upprepa och ange data som skiljer sig från befintliga konton.
Det finns bara en olägenhet med den här metoden - det är inte tillämpligt om du har en blogg med flera användare, eftersom lösenordet kommer att begäras från alla användare.
Ändra databasprefix
Ändra prefixet för din SQL-databas från standard «wp_» på vissa «wpsdjflk647_» Det var möjligt redan i början av skapandet av bloggen. Men nu är detta inte ett problem. Jag gjorde det till ett plugin, som kommer att diskuteras nedan. Även om du kan gå in i phpadmin, byt ut alla tabellnamn där och ändra sedan prefixet i wp-config.php-filen
Installera Belavir Plugin
Installera Belavir-plugin, som spårar förändringar i alla php-filer i din blogg. Selve pluginet övervakar inte något, men startar skanningen när du går till bloggadministratörspanelen på Console-sidan, där den faktiskt visar ändringarna. Han har inga inställningar.
Installera WP Security Scan Plugin
Installera WP Security Scan plugin, som du kan göra några saker, särskilt:
- ändra databasprefix
- Kontrollera behörigheter för mappar och filer
- dölj versionen av WordPress
- anslut antivirusprogrammet för bloggen och kontrollera det
Installera Better WP Security Plugin
Installera plugin Better WP Security, det behövs ännu mer än de två föregående. Listan över dess funktioner är mycket stor, jag kommer att lista en del:
- låter dig ändra databasprefixet
- tar bort onödig information från bloggkoden efter typ av WordPress-version
- övervakar ändringar i alla filer
- förbjuder ip för dem som skriver in konstiga adresser i webbläsaren efter namnet på din blogg och får ett fel 404
- förbjuder val av lösenord för adminpanelen, förbud ip
- ändrar standardadministrationsinloggningsadresser, utmärkt skydd mot brute-force attacker
- och mycket mera.
Övervaka ändringar på din ftp
Installera ftpinfo-programmet på din dator, så att du kan ansluta till din ftp-server och övervaka ändringarna i alla kontofiler för deras utseende / radering / ändring. Mycket praktiskt under virusattacker. Du kan övervaka inte bara alla filer utan också skapa masker för filer och mappar.
Säkerhetskopiering av databaser och filer en gång var par dagar
En mycket användbar sak, det kan vara praktiskt för att bekämpa virus. De ursprungliga filerna kommer alltid att finnas till hands och det finns en möjlighet att rulla tillbaka om det inte är möjligt att rengöra webbplatsen från virus. Jag använder BackWPup-insticksprogrammet. Det har många funktioner, inklusive kopiering av data till Dropbox - en bekväm tjänst som ger 2 GB ledigt utrymme på Internet och synkronisering med din dator.
Det här är tips för att skydda en WordPress-blogg som jag använde på vår blogg. Om det finns några frågor eller tillägg (kanske något annat kan göras), skriv i kommentarerna 🙂