Se ei riitä poistamaan seurauksia, sinun on ymmärrettävä syyt. Olen jo kirjoittanut sen meitä hakkeroitiin ja oletettavasti me kaikki päätimme. Viikkoa myöhemmin tarina toistui, toinen jquery-komentosarja, samoin kuin .htaccess-tiedostot, muutettiin. Ja .htaccess-sovelluksessa uudelleenohjauksia vasemmalle sivustolle tehtiin vain mobiililaitteille ja tablet-laitteille, ja siksi huomasin tämän ei heti.
Muutamassa päivässä onnistuin löytämään kaikki hyökkääjän muokkaamat tiedostot sekä ne, jotka hän on luonut erityisesti tunkeutumista varten (kuori). Ja jälleen kerran, kiitos isännöinnille heidän avustaan. Sen jälkeen päätin ryhtyä kaikkiin Internetissä kuvattuihin toimenpiteisiin.
Artikkelin sisältö
- 1 Pikkubloggari UKK: n kaikki osat:
- 2 WordPress-blogin tietoturvavinkit
- 2.1 Päivitä laskuri- ja widget-koodit
- 2.2 Päivitä kaikki laajennukset ja WordPress uusimpaan versioon ja poista käyttämättömät
- 2,3 Päivitä timthumb.php
- 2,4 Tarkista kansioiden ja tiedostojen käyttöoikeudet
- 2.5 Vaihda järjestelmänvalvojan käyttäjänimi
- 2.6 Vaihda kaikki salasanat monimutkaisemmiksi
- 2.7 Suojaa .htaccess- ja wp-config.php-tiedostot kaikkien pääsyltä
- 2.8 Suojaa wp-sisältyy kansio .htaccess -sovelluksella
- 2,9 Suojaa wp-admin-kansio .htaccess- ja .htpasswd-tiedostoilla
- 2,10 Muuta tietokannan etuliitettä
- 2.11 Asenna Belavir-laajennus
- 2.12 Asenna WP Security Scan -laajennus
- 2.13 Asenna Parempi WP-suojauslaajennus
- 2,14 FTP: n muutosten seuranta
- 2.15 Tietokantojen ja tiedostojen varmuuskopiot muutaman päivän välein
Pikkubloggari UKK: n kaikki osat:
Olen kirjoittanut useita blogointiin liittyviä artikkeleita. He eivät väitä olevansa täydellinen käsikirja, mutta aloittelijoille voi olla hyödyllistä. Voit lukea sen, jos olet kiinnostunut.
0. Suosittelen kurssia «Kuinka tulla miljoonasta bloggaajaksi ja ansaita rahaa»
1. Kuinka aloittaa blogi
2. Kuinka mainostaa blogia - luettelo toimistani
3. Kuinka ansaita rahaa blogissa ja matkustaa
4. Esimerkki ansaitsemisesta blogissamme - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Lukija- ja hakuliikenne, ja miksi lukijat eivät tule takaisin
6. Pieni totuus matkablogista
7. WordPress-blogin suojausvihjeitä
WordPress-blogin tietoturvavinkit
WordPress-blogin tietoturvavinkit
Luettelo ei todennäköisesti ole täydellinen, ja kuten sanotaan, kuka sitä tarvitsee, he rikkovat sen joka tapauksessa. Mutta ainakin melkein kuka tahansa bloggaaja voi tehdä nämä toimenpiteet ainakin suojautuakseen itsestään..
Päivitä laskuri- ja widget-koodit
Tarkista blogien ja sivustosi kaikkien laskurien ja sosiaalisten widgetien koodit, mistä sait ne.
Ehkä ne on päivitetty. Huomasin, että Facebook muuttaa usein widget-koodia, se parantaa tietoturvaa.
Päivitä kaikki laajennukset ja WordPress uusimpaan versioon ja poista käyttämättömät
Tässä kommentit ovat tarpeettomia, kaikki tietävät miten se tehdään. Haavoittuvuudet sisältyvät yleensä laajennuksiin ja teemoihin, joten ainakin kaikki käyttämättömät tulisi poistaa.
Päivitä timthumb.php
Jos teemasi käyttää pikkukuvien koon muuttamista timthumb.php-tiedostoa käyttämällä, sinun on ehdottomasti päivitettävä tämä tiedosto uusimpaan versioon, koska vanhemmilla versioilla on tiedossa oleva haavoittuvuus.
Tarkista kansioiden ja tiedostojen käyttöoikeudet
Kaikilla tiedostoilla on oltava 644 käyttöoikeutta, 755 kansiota paitsi .htaccess - 444 käyttöoikeutta ja lataamisen kansiot - 777 käyttöoikeutta.
Vaihda järjestelmänvalvojan käyttäjänimi
Nopein vaihtoehto on siirtyä phpadminiin ja suorittaa tietokannassa seuraava kysely:
UPDATE wp_users SET user_login = ‘Uusi kirjautumistunnuksesi’ WHERE user_login = ‘admin’;
Tai voit luoda uuden käyttäjän blogin järjestelmänvalvojapaneelin kautta, määrittää kaikki artikkelit hänelle ja poistaa vanha järjestelmänvalvojan käyttäjä..
Vaihda kaikki salasanat monimutkaisemmiksi
Banaaleja neuvoja, mutta salasanojen tulisi olla monimutkaisia, koostuen eri rekistereiden numeroista ja kirjaimista. Älä myöskään unohda, että virusten torjunnan jälkeen sinun on vaihdettava kaikki salasanat millään tavalla (blogin ylläpitäjä, isäntä admin, ftp, sql-tietokanta), ja on myös järkevää muuttaa salaiset avaimet wp-config.php.
Suojaa .htaccess- ja wp-config.php-tiedostot kaikkien pääsyltä
Lisää .htaccess-blogiisi juuri tämä koodi:
Tilaa kieltää, sallia
kieltää kaikki
jotta sallia, kieltää
kieltää kaikki
Suojaa wp-sisältyy kansio .htaccess -sovelluksella
Luo tavallinen tekstitiedosto, soita sille .htaccess ja kopioi se wp-sisältää-kansioon, kun olet lisännyt koodin tiedostoon:
Tilaa Salli, estä
Kieltävät kaikki
Salli kaikista
Suojaa wp-admin-kansio .htaccess- ja .htpasswd-tiedostoilla
Luo tavallinen tekstitiedosto, soita sille .htaccess ja kopioi se wp-admin-kansioon lisätyn koodin jälkeen tiedostoon:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “rajoitettu”
Tilaa kieltää, salli
Kieltävät kaikki
Vaadi kelvollinen käyttäjä
Tyydyttävä
Missä, «/home/public/.htpasswd» Onko täydellinen polku .htpasswd-tiedostoon. On suositeltavaa, että tämä tiedosto sijaitsee blogisi hakemiston yläpuolella.
.Htpasswd-tiedosto sisältää salasanan pääsyyn wp-admin-vyöhykkeelle salatussa muodossa. Helpoin tapa luoda tämä tiedosto on kirjoittaa käyttäjänimi ja salasana tavalliseen tapaan. On parasta olla toistamatta ja ilmoittamasta tietoja, jotka eroavat nykyisistä tileistä.
Tällä menetelmällä on vain yksi haitta - sitä ei voida soveltaa, jos sinulla on monen käyttäjän blogi, koska salasanaa pyydetään kaikilta käyttäjiltä.
Muuta tietokannan etuliitettä
Vaihda sql-tietokannan etuliite vakiona «wp_» joissakin «wpsdjflk647_» Se oli mahdollista jo blogin luomisen alussa. Mutta nyt tämä ei ole ongelma. Tein siitä laajennuksen, josta keskustellaan alla. Vaikka voisit mennä phpadminiin, korvaa kaikki siellä olevat taulukonimet ja muuta sitten etuliite wp-config.php-tiedostossa
Asenna Belavir-laajennus
Asenna Belavir-laajennus, joka seuraa blogisi kaikkien php-tiedostojen muutoksia. Laajennus itsessään ei tarkkaile mitään, mutta aloittaa tarkistuksen, kun siirryt konsolin sivun blogin järjestelmänvalvojan paneeliin, jossa se näyttää muutokset. Hänellä ei ole asetuksia.
Asenna WP Security Scan -laajennus
Asenna WP Security Scan -laajennus, jolla voit tehdä joitain asioita, erityisesti:
muuttaa tietokannan etuliitettä -
- tarkistaa kansioiden ja tiedostojen käyttöoikeudet
piilota WordPressin versio
- yhdistä blogin virustorjunta ja tarkista se
Asenna Parempi WP-suojauslaajennus
Asenna Better WP Security -laajennus, sitä tarvitaan vielä enemmän kuin kahta edellistä. Sen ominaisuuksien luettelo on erittäin suuri, luettelon osa:
- antaa sinun muuttaa tietokannan etuliitettä
- poistaa tarpeettomat tiedot blogikoodista WordPress-version tyypin mukaan
- tarkkailee kaikkien tiedostojen muutoksia
- kieltää niiden henkilöiden IP-osoitteen, jotka kirjoittavat omia osoitteita selaimeesi blogin nimen jälkeen, saaden virheen 404
- kieltää salasanan valitsemisen hallintapaneelille, ban ip
- Muuttaa oletusarvoiset järjestelmänvalvojan sisäänkirjautumisosoitteet, erinomaisen suojan raa'ilta voimilta
- ja paljon enemmän.
FTP: n muutosten seuranta
Asenna ftpinfo-ohjelma tietokoneellesi, jonka avulla voit muodostaa yhteyden ftp-palvelimeesi ja seurata kaikkien tilitiedostojen muutoksia niiden ulkonäön / poiston / muutoksen varalta. Erittäin kätevä asia virushyökkäysten aikana. Voit seurata kaikkien tiedostojen lisäksi myös luoda maskeja tiedostoille ja kansioille.
Tietokantojen ja tiedostojen varmuuskopiot muutaman päivän välein
Erittäin hyödyllinen asia, se voi olla hyödyllinen virusten torjunnassa. Alkuperäiset tiedostot ovat aina kädessä ja siellä on mahdollisuus palata takaisin, jos sivustoa ei ole mahdollista puhdistaa viruksilta. Käytän BackWPup-laajennusta. Siinä on monia ominaisuuksia, kuten tietojen kopioiminen Dropboxiin - kätevä palvelu, joka tarjoaa 2 Gt vapaata tilaa Internetissä ja synkronointi tietokoneesi kanssa.
Nämä ovat vinkkejä WordPress-blogin suojaamiseen, joita käytin blogiimme. Jos sinulla on kysymyksiä tai lisäyksiä (ehkä jotain muuta voidaan tehdä), kirjoita kommentteihin 🙂
