WordPress blog savjeti za sigurnost
Nije dovoljno ukloniti posljedice, morate razumjeti uzroke. To sam već napisao bili smo hakirani a navodno smo svi odlučili. Međutim, tjedan dana kasnije priča se ponovila, promijenjena je još jedna jquery skripta, kao i .htaccess datoteke. I u .htaccess je bilo preusmjeravanja na neko lijevo web mjesto samo za mobilne uređaje i tablete, pa sam to primijetio ne odmah.
U par dana uspio sam pronaći sve datoteke modificirane od strane napadača, kao i one koje je stvorio posebno za prodiranje (ljuska). I opet, hvala hostingu na njihovoj pomoći. Nakon čega sam odlučio poduzeti sve mjere opisane na Internetu.
Sadržaj članka
- 1 Svi dijelovi mog malog blogera FAQ:
- 2 WordPress blog savjeti za sigurnost
- 2.1 Ažurirajte brojeve brojača i widgeta
- 2.2 Ažurirajte sve dodatke i WordPress do najnovijih verzija i uklonite neiskorištene
- 2.3 Ažurirajte timthumb.php
- 2.4 Provjerite dopuštenja za mape i datoteke
- 2.5 Promijenite korisničko ime korisnika
- 2.6 Promijenite sve lozinke u složenije
- 2.7 Zaštitite .htaccess i wp-config.php datoteke od pristupa svima
- 2.8 Zaštitite mapu koja sadrži wp sa .htaccess
- 2.9 Zaštitite mapu wp-admin s .htaccess i .htpasswd
- 2.10 Promjena prefiksa baze podataka
- 2.11 Instalirajte dodatak Belavir
- 2.12 Instalirajte WP sigurnosni dodatak za skeniranje
- 2.13 Instalirajte bolji WP sigurnosni dodatak
- 2.14 Nadgledanje promjena na vašem ftp
- 2.15 Izrada sigurnosnih kopija baza podataka i datoteka jednom u nekoliko dana
Svi dijelovi mog malog blogera FAQ:
Napisao sam brojne članke vezane za bloganje. Ne tvrde da je potpuni priručnik, ali početnicima to može biti korisno. Možete ga pročitati, ako vas zanima.
0. Preporučujem tečaj «Kako postati milijunaš bloger i zaraditi novac»
1. Kako započeti blog
2. Kako promovirati blog - popis mojih postupaka
3. Kako zaraditi novac na blogu i putovati
4. Primjer zarade na našem blogu - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Promet za čitanje i pretraživanje i zašto se čitatelji ne vraćaju
6. Mala istina o blogerskim putovanjima
7. Savjeti za zaštitu WordPress bloga
WordPress blog savjeti za sigurnost
WordPress blog savjeti za sigurnost
Popis vjerojatno neće biti potpun, a kako kažu, tko ga treba, ionako će ga prekršiti. Ali barem gotovo svaki bloger može učiniti ove radnje kako bi se barem malo zaštitio..
Ažurirajte brojeve brojača i widgeta
Provjerite kodove svih šaltera i društvenih widgeta na svom blogu i na web mjestu gdje ste ih dobili.
Možda su ažurirani. Primijetio sam da Facebook često mijenja kod za widgete, naizgled povećava sigurnost.
Ažurirajte sve dodatke i WordPress do najnovijih verzija i uklonite neiskorištene
Ovdje su komentari suvišni, svi znaju kako to učiniti. Ranjivosti se obično nalaze u dodacima i temama, stoga bi barem sve neiskorištene trebalo ukloniti.
Ažurirajte timthumb.php
Ako vaša tema koristi promjenu veličine minijature pomoću timthumb.php, morate ažurirati ovu datoteku na najnoviju verziju, jer starije verzije imaju poznatu ranjivost.
Provjerite dopuštenja za mape i datoteke
Sve datoteke moraju imati 644 dozvole, 755 mapa osim .htaccess - 444 dozvole, a mape za prijenos - 777 dozvola.
Promijenite korisničko ime korisnika
Najbrža opcija je ulazak u phpadmin i tamo, u vašoj bazi podataka, izvršiti ovaj upit:
UPDATE wp_users SET user_login = ‘Vaša nova prijava’ GDJE user_login = ‘admin’;
Ili jednostavno možete stvoriti novog korisnika putem administratorske ploče bloga, dodijeliti mu sve članke i izbrisati starog administratora..
Promijenite sve lozinke u složenije
Banalni savjeti, ali lozinke trebaju biti složene, sastojati se od brojeva i slova različitih registara. Također, ne zaboravite da nakon borbe protiv virusa na bilo koji način morate promijeniti sve lozinke (blog administrator, hosting administrator, ftp, sql baza podataka), a također ima smisla mijenjati tajne ključeve u wp-config.php datoteci.
Zaštitite .htaccess i wp-config.php datoteke od pristupa svima
Dodajte svom .htaccess u korijenu bloga ovaj kôd:
Naručite odbiti, dopustiti
zanijekati od svih
narediti dopustiti, zanijekati
zanijekati od svih
Zaštitite mapu koja sadrži wp sa .htaccess
Napravite običnu tekstualnu datoteku, nazovite je .htaccess i kopirajte je u mapu wp-include, nakon što dodate kôd u datoteku:
Naredite Dopusti, odbij
Negirajte od svih
Dopusti od svih
Zaštitite mapu wp-admin s .htaccess i .htpasswd
Napravite redovitu tekstualnu datoteku, nazovite je .htaccess i kopirajte je u mapu wp-admin, nakon dodavanja koda u datoteku:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “ograničen”
Naručite odbiti, dopustiti
Negirajte od svih
Zahtijevajte valjanog korisnika
Udovoljite bilo kojem
Gdje, «/home/public/.htpasswd» Puni je put do datoteke .htpasswd. Preporučljivo je da se ova datoteka nalazi iznad mape vašeg bloga.
Datoteka .htpasswd sadrži lozinku za pristup zoni wp-admin u šifriranom obliku. Najlakši način za stvaranje ove datoteke je unošenje korisničkog imena i lozinke na uobičajeni način. Najbolje je ne ponavljati i navesti podatke koji se razlikuju od postojećih računa.
Postoji samo jedna neugodnost s ovom metodom - ona nije primjenjiva ako imate blog s više korisnika jer će lozinku zatražiti svi korisnici.
Promjena prefiksa baze podataka
Promijenite prefiks svoje sql baze podataka iz standardnog «wp_» na nekima «wpsdjflk647_» To je bilo moguće na samom početku stvaranja bloga. Ali sada to nije problem. Napravio sam ga kao dodatak, o kojem će biti govora u nastavku. Iako biste mogli ući u phpadmin, zamijenite tamo sva imena tablice, a zatim promijenite prefiks u wp-config.php datoteci
Instalirajte dodatak Belavir
Instalirajte dodatak Belavir koji će pratiti promjene u svim php datotekama vašeg bloga. Dodatak sam po sebi ne nadzire ništa, ali pokreće skeniranje kad odete na administratorski panel bloga na stranici Konzole, gdje zapravo prikazuje promjene. On nema postavke.
Instalirajte WP sigurnosni dodatak za skeniranje
Instalirajte dodatak WP Security Scan s kojim možete raditi neke stvari, posebno:
- promijeni prefiks baze podataka
- provjerite dopuštenja za mape i datoteke
- sakrij verziju WordPress-a
- spojite antivirus za blog i provjerite ga
Instalirajte bolji WP sigurnosni dodatak
Instalirajte Better WP Security dodatak, on je još potrebniji nego prethodna dva. Popis njegovih značajki je vrlo velik, navest ću dio:
- omogućuje vam promjenu prefiksa baze podataka
- uklanja nepotrebne podatke s koda bloga prema vrsti verzije wordpressa
- prati promjene u svim datotekama
- zabranjuje ip onima koji u preglednik unose čudne adrese nakon naziva vašeg bloga, primajući pogrešku 404
- zabranjuje odabir lozinke za administrativnu ploču, zabranjuje ip
- Mijenja zadane adrese za prijavu administratora, izvrsnu zaštitu od brutalnih napada
- i mnogo više.
Nadgledanje promjena na vašem ftp
Na svoje računalo instalirajte ftpinfo program koji vam omogućava povezivanje s vašim ftp poslužiteljem i nadziranje promjena svih datoteka računa radi njihovog izgleda / brisanja / promjena. Vrlo zgodna stvar tijekom virusnih napada. Možete nadzirati ne samo sve datoteke, već i izrađivati maske za datoteke i mape.
Izrada sigurnosnih kopija baza podataka i datoteka jednom u nekoliko dana
Vrlo korisna stvar, može biti korisna za borbu protiv virusa. Izvorne datoteke uvijek će vam biti pri ruci i pojavit će se prilika da se vratite natrag ako web mjesto nije moguće očistiti od virusa. Koristim dodatak BackWPup. Ima mnoštvo značajki, uključujući kopiranje podataka u Dropbox - praktičnu uslugu koja pruža 2 GB slobodnog prostora na Internetu i sinkronizaciju s računalom.
Ovo su savjeti za zaštitu bloga WordPress koji sam primijenio na našem blogu. Ako imate bilo kakvih pitanja ili dodataka (možda se može i nešto drugo) napišite u komentarima :)