Форум Сайтостроение Веб-строительство

Безопасность Wordpress

12
akill
На сайте с 04.04.2011
Offline
105
akill
1186

Последнее время (после двух взломов) всерьез задумался о безопасности Wordpress 3.2.1.

Посоветуйте полезные плагины под это дело, а так же дайте пару советов чтобы полезное написать в .htaccess.

Поделитесь опытом.

S1
На сайте с 13.03.2008
Offline
49
smart1k
#1
Последнее время (после двух взломов) всерьез задумался о безопасности Wordpress 3.2.1.

Обновить антивирус. Поставить последние заплатки для ОС. Перестать посещать warez/порно и иные ресурсы на которых вероятность подцепить вирус крайне) высока.

Посоветуйте полезные плагины под это дело

Могу посоветовать отказаться от плагинов или хотя-бы оставить/(заменить на) регулярно обновляемые.

а так же дайте пару советов чтобы полезное написать в .htaccess.

Options -Indexes

<Files "\.(php)$">

order allow,deny

deny from all

</Files>

<Files index.php>

allow from all

</Files>

Грешить на Wordpress - последнее дело...;)

Дизайн сайтов (UI/UX), логотипов, баннеров и прочего... (/ru/forum/770062)
Как распознать и заблокировать Как найти и починить Распространённые ошибки веб-мастеров при
getnaked
На сайте с 13.02.2011
Offline
62
getnaked
#2

Если IP постоянный, то в .htaccess можно прописать ограничение на вход в админку.

Мой блог (http://getked.ru)
maldivec
На сайте с 04.11.2008
Offline
160
maldivec
#3
smart1k:
Обновить антивирус. Поставить последние заплатки для ОС. Перестать посещать warez/порно и иные ресурсы на которых вероятность подцепить вирус крайне) высока.

Вот это +500, вряд ли тут безопасность WP виновата. Разве что у вас какой-то кривой плагин установлен.

Apach47
На сайте с 28.10.2008
Offline
74
Apach47
#4

ТС, а какой тип атак Вас особенно беспокоит?

С DDoS Вы ничего сделать на уровне двига не сможете))

На уровне двига разве что можно защититься от бруга на админку через .htaccess, да повыкидывать левые плагины.

Вообще надо смотреть на сайт внимательнее, с Вами ТС разговаривать, потом можно будет что-то более конкретное рекомендовать.

И опыт - сын ошибок трудных... И гений - парадоксов труд... И случай бог изобретатель... (А.С.Пушкин)
В VK Cloud стали Google добавил новые функции Бесплатный вебинар «Как разместить
akill
На сайте с 04.04.2011
Offline
105
akill
#5
smart1k:
Обновить антивирус.

У меня аваст, обновляется автоматом.

smart1k:
Поставить последние заплатки для ОС

Проблематично, видна пиратская.

smart1k:
Перестать посещать warez/порно

Блин как сложно.

getnaked:
Если IP постоянный

Динамический.

Apach47:
ТС, а какой тип атак Вас особенно беспокоит?

Не знаю как называется. Короче когда появляется куча внешних ссылок на сайты казино, порно... на всех страницах блога.

Apach47:
да повыкидывать левые плагины

У меня вроде все нормальные. Вот список установленных:

Akismet

Breadcrumb NavXT

Dagon Design Sitemap Generator

Exploit Scanner

Fast Secure Contact Form

Google XML Sitemaps

My Category Order

RusToLat

Search Meter

Similarity

Subscribe To Comments

TAC (Theme Authenticity Checker)

TwitterUpdater

WordPress Database Backup

Список страниц

WP-PostViews

WP Security Scan

12 плагинов WordPress для Оптимизация сайтов на AngularJS Как избежать SEO-проблем с
hexacell
На сайте с 10.12.2010
Offline
65
hexacell
#6

Cудя по всему дыра в WYSIWYG-редакторе движка. Обязательно закройте для записи всю дирректорию wp-includes и wp-admin, обновляйтесь только вручную. Также известна уязвимость в файле timthumb.php (или thumb.php), который часто встречается в шаблонах для WP. Обязательно обновите этот файл! Последняя версия тут.

В WordPress закрыли три В WP-плагине Contact Form WordPress улучшила блочный редактор
InFakes
На сайте с 05.02.2011
Offline
108
InFakes
#7

Александр Прокудин (http://wa7sa34.cx) недавно же писал:

Cудя по всему дыра в визивиг-редакторе движка. Обязательно закройте для записи всю дирректорию wp-includes и wp-admin, а обновляйтесь только вручную. Так же недавно узнал про уязвимость в файле timthumb.php (или thumb.php), который часто встречается в шаблонах для вордпресс. Обязательно обновите этот файл!
Я пошел даже дальше и попросил хостера (мои блоги живут на Бегемоте) чтобы мне заблочили функции PHP имеющие доступ к выполнению команд на сервере, и не оперативно пересобрали интерпретатор. Сам я эти функции не юзаю, а хацкерам они нужны, чтобы залить и пользовать шелл на ваших серваках. Теперь х*й им, а не бэкдорчик.
В общем, следите за безопасностью: и на уровне файловой структуры и на уровне сервера.

InFakes добавил 13.09.2011 в 13:26

hexacell, видимо, мы читаем одного и того же веб-мастера🤪

HungryFoerster
На сайте с 03.08.2007
Offline
72
HungryFoerster
#8
akill:

Проблематично, видна пиратская.

поставьте линукс в виртуальную машину или второй системой

а так, обновляться надо... правда, свежие версии требуют свежего MySQL, который у только что упавшего хостера, например, далеко не на всех серверах стоит :) кой-где и хочу обновить, а выходит только на 3.0.4 или типа того

читаю @frazasutra (https://twitter.com/frazasutra)
Google обновил поисковое приложение Google обновил поисковый алгоритм, Google сократил спамный контент
KoDmAn
На сайте с 24.09.2009
Offline
42
KoDmAn
#9

Не качайте шаблоны с варезников

akill
На сайте с 04.04.2011
Offline
105
akill
#10
hexacell:
для записи всю дирректорию wp-includes и wp-admin

Как это сделать? Какие права ставить?

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий