Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • vijesti
  • Sigurnosni dodaci za WordPress. Instaliranje WordPress captcha

Sigurnosni dodaci za WordPress. Instaliranje WordPress captcha

27.04.2019 vijesti

Sigurnost WordPress-a je problem koji se mora riješiti u fazi postavljanja stranice za hosting. Ako ne zaštitite WordPress, ne poduzmete nikakve mjere za to, tada će vašu stranicu brzo preuzeti virusi, botovi i spameri. Morate biti u mogućnosti da se nosite sa bilo kojom prijetnjom koja bi potencijalno mogla naštetiti resursu. U suprotnom, prije nego što budete uspješni, vašu će stranicu uništiti zlobnici.

Sigurnost sajta nije samo nesmetan rad motora u zatvorenom neprobojnom sistemu, već i sigurnost vašeg računara.

Virusi ne bi trebali biti na vašem disku. Također hosting ne bi trebao sadržavati viruse. Inače ćete sami postati uzrok uništenja stranice - virusi, poput trojanaca, pojesti će ga. Ili stranica možda neće biti oštećena, ali će postati nosilac "zaraze" - preuzimanjem datoteke korisnik će preuzeti i virus. Ispod su savjeti za osiguranje vaše stranice, kao i WordPress dodaci koji će vam pomoći u ovom pitanju.

Neki od gore navedenih savjeta vam mogu izgledati očigledni, ali ne znaju svi za to. Pa čak i oni koji znaju namjerno zanemaruju pravila zaštite. Dakle, evo nekoliko savjeta koji će vam pomoći da zaštitite svoju web stranicu:

  • Morate imati složena lozinka za pristup. Provaljivanje u administrativni panel- ovo je možda najgora stvar koju napadači mogu učiniti. Nakon hakiranja, moći će ukrasti sve članke koje još niste objavili, kao i ukloniti sadržaj stranice.
  • Bolje je ažurirati lozinku svakih šest mjeseci. Krekeri koriste posebne programe za odabir kombinacija. Ako se lozinka ažurira, njihove šanse za hakiranje stranice su svedene na nulu.
  • Ne možete koristiti dobro poznatu riječ kao lozinku - razbijanje takvog koda je lako. To mogu da urade i oni koji nemaju poseban program za hakovanje naloga.
  • Kada unesete web lokaciju u admin panel, pretraživač od vas traži da sačuvate lozinku. S jedne strane, ovo je zgodno - na kraju krajeva, ne morate svaki put unositi složenu lozinku. S druge strane, ovo može uzrokovati hakovanje admin panela.
  • Najveća greška koju većina webmastera čini je korištenje iste lozinke za prijavu različita mjesta. Ako imate istu lozinku za admin panel, hosting i poštu, onda će hakiranjem naloga stranice napadač automatski dobiti lozinku za sve vaše ostale profile.
  • Ne preporučuje se pohranjivanje PIN kodova i lozinki bilo gdje na Internetu, pa čak ni na tvrdom disku. Računar može biti ukraden, a račun socijalna mreža- hack.
  • Ako sjedite na tuđem računaru, nemojte ići na stranicu u admin panelu sa standardni pretraživač- može sačuvati lozinke. Bolje koristite anonimni način rada.

Svi ovi savjeti se odnose na pravi pristup na upotrebu lozinki. Ali osim ovoga, postoje i druge nijanse koje biste trebali uzeti u obzir - to su virusi na vašem računalu. Ako igdje imate virus, on može oštetiti kredibilitet vaše stranice i uzrokovati veliku štetu vašim posjetiteljima. Zato slijedite ove savjete:

  • jednom sedmično proveravajte svoj računar na viruse;
  • instalirati kvalitetan antivirus(jedan), kao i aplikacije za blokiranje zlonamjernih stranica;
  • ne otvarajte sve što vam stigne poštom - ponekad napadači šalju neželjenu poštu koja sadrži viruse;
  • ažurirajte programe na svom računalu i preuzimajte nove programe iz službenih izvora - malo je vjerojatno da će virus kroz njih prodrijeti na tvrdi disk.

Ako ne slijedite ove savjete, uskoro će se vaša stranica smatrati sumnjivom! A evo šta možete učiniti u postavkama WordPress-a da povećate sigurnost resursa:

  1. Čim se pojavi novo ažuriranje, instalirajte ga - moguće je da je novo ažuriranje primijenjeno inovativne tehnologije sigurnosna poboljšanja.
  2. U slučaju da napadač ipak uđe u admin panel i izbriše sav sadržaj stranice, napravite rezervnu kopiju baze podataka i cijelog sadržaja. Tada će stranicu biti lako obnoviti.
  3. Ponekad postoje neke strane veze u temi. Za svaki slučaj, izbrišite ih.
  4. Krekerima i hakerima je mnogo lakše da "naljute" vaš resurs ako sadrži verziju motora. Bolje je sakrij od nje radoznale oči. Da biste spriječili prikazivanje verzije, morat ćete podesiti datoteku header.php uklanjanjem linije koja označava verziju WordPress-a. Također izbrišite datoteke readme.htm i licence.txt na hostingu - stranica će raditi na isti način i bez njih.
  5. Ako radite na istom računaru, ili imate nekoliko njih, onda možete odrediti u IP postavkama sa kojih se obično prijavljujete. Ove informacije su navedene u datoteci .htaccess. Iz linije Dozvoli od. Ako iznenada promijenite svoj računar i trebate se prijaviti sa druge lokacije, uvijek možete urediti datoteku da biste aktivirali pristup s druge IP adrese. Da biste saznali svoj IP, koristite posebne usluge na internetu.
  6. Bolje je da ne koristite standardni nalog administratora sajta, već kreirate sopstveni sa sopstvenim prijavljivanjem. Ovo će znatno otežati hakovanje stranice.
  7. Sigurno ste čuli za sve vrste napada na web stranice. Instalirajte dodatke da zaštitite svoju stranicu od njih.
  8. Zaštitite svoje baze podataka na serveru što je više moguće ograničavanjem pristupa na sve moguće načine.

Zaštita WordPress dodataka

Provjera lozinki, ažuriranja, kompjutera na viruse je dobra, ali nedovoljno da definitivno zaštiti vašu stranicu od uljeza i malware. Ispod su bolji dodaci za zaštitu WordPress motora od raznih prijetnji:

  1. Anti-XSS napad - modul koji će zaštititi vaš resurs od XSS napada. Zvuči čudno - "napad". Ali s današnjim stopama rasta, sasvim je moguće da će vaš resurs biti napadnut. Postoje bijele i crne metode obračuna s konkurentima. Oni koji imaju novca, a nemaju savjesti, često biraju ovo drugo - prljave načine uklanjanja konkurentskih stranica. XSS napad je unošenje zlonamjernog koda u strukturu stranice.
  2. Zaključavanje prijave će zaštititi vaš administratorski panel od više pokušaja hakovanja. Botovi pogađaju lozinku pogađajući kombinacije. Ako ne ograničite broj pokušaja i ne dodajete neke dodatni faktor da bi izvršili autorizaciju, zadatak za robote će biti mnogo lakši - oni lako mogu provaliti vašu "lozinku". Dodatak Login LockDown ograničava broj unosa po broju i vremenu.
  3. WP sigurnosno skeniranje je moćan sigurnosni dodatak. Nakon instalacije i aktivacije, vaš resurs će biti provjeren. Naučit ćete koje sigurnosne točke su narušene i šta trebate učiniti da ih popravite. Dodatak skenira nove verzije motora, tip prefiksa tablice koji se koristi, skrivenu verziju WordPress-a, bazu podataka za greške, korisnički račun, sa kojeg administrirate sajt, kao i podešavanja .htaccess fajla.
  4. Jednostavna sigurnosna kopija vam omogućava da brzo napravite i preuzmete sigurnosnu kopiju cijele vaše web stranice. Radite ovo barem jednom mjesečno - nikad ne znate kada će se dogoditi nevolja.
  5. Dongle za prijavu je modul koji apsolutno eliminiše mogućnost hakovanja vašeg administratorskog naloga. Dodaje pitanje uobičajenim obrascima za popunjavanje, na koje ćete morati odgovoriti. Stoga robot neće moći brzo pogoditi i lozinku i odgovor.
  6. Exploit Scanner je dodatak koji će potvrditi odsustvo zlonamjernog softvera i datoteka na vašoj web lokaciji i na listi baze podataka. Nemojte misliti da je sve savršeno za vas - virusi rade neprimjetno. Bolje je još jednom provjeriti njihovo odsustvo.
  7. Ako stalno zaboravljate na potrebu redovne kontrole web stranicu, a zatim koristite dodatak WordPress AntiVirus - to radi automatski.

Danas je hakovanje WordPress-a prilično opasan uobičajeni problem. Čini mi se da je od 10 blogera oko 6 ili hakovano na svoju stranicu ili zaraženo malverom.

Objavljuje se sve više pregleda o tome kako izbjeći hakovanje WordPress-a, a svakim danom sve je više novi materijal. Mnogi čitaoci pitaju kako se mogu zaštititi. Dakle, danas želim da vam ponudim detaljnu priču o svemu što znam o tome kako spriječiti hakiranje WordPress stranice i izbjeći zarazu zlonamjernim softverom.

Nakon što sredite svoje lozinke za cpanel, vrijeme je da promijenite lozinku za prijavu na WordPress. Opet, preporučujem da već koristite nešto novo, jedinstveno. Usput, kako ne biste zaboravili lozinke i pohranili ih na sigurno mjesto, preporučujem korištenje Kaspersky upravitelja lozinki - kaspersky lozinka menadžer, uvelike mi je pojednostavio život. automatski popunjava formulare za autorizaciju na sajtu iu programima i šifruje celu bazu podataka lozinki. Mislim da nisam uzalud potrošila 900 rubalja na to 😉

Izrada sigurnosne kopije vašeg cijelog WordPress bloga

Ovo je najviše prekretnica i ne može se zanemariti. Sjećam se da sam razgovarao sa stručnjakom za internet sigurnost i on mi je rekao da se ne možete ničega bojati ako imate rezervnu kopiju stranice. Zatim sam se na trenutak ukočio, a ova fraza mi se urezala u pamćenje, jer nisam imala rezervnu kopiju... Srećom, moj blog je tada bio veoma mali, ali sam pokušao da zamislim koliko bi situacija bila žalosna da bio je to blog sa gomilom informacija i sadržaja.

Iako većina domaćina pravi rezervne kopije informacija sa servera, ipak je bolje igrati na sigurno. Ovdje ću dati link do članka Sergeja, autora bloga max1net.com. Tamo, detaljna uputstva redovnim backupom stranice.

Instaliranje sigurnosnih dodataka

Sada kada imate potpunu rezervnu kopiju svog WordPress bloga, ne morate brinuti ni o čemu, jer uvijek možete vratiti normalnu verziju. Sada je vrijeme da se pozabavimo dodacima za sigurnost stranice.

1.WP sigurnosni skener

Ovo je lagani skener iz Website Defendera. Instalirajte ga i samo slijedite korake. Ovdje postoji opcija koja vam omogućava da preimenujete prefiks tablice u bazi podataka. Promijenite ga u nešto što je teško pogoditi. Obično se WordPress instalira sa prefiksom wp_. To hakerima olakšava identifikaciju slabih baza podataka kroz koje se infiltriraju.

Bolja WP sigurnost uključuje najbolje karakteristike wordpress sigurnost. Ovaj dodatak vam može ponuditi gotovo sve što vam treba i trebao bi biti dodatak broj 1 za svakog blogera. Pitajte "zašto?" Da, jer samo jednim klikom možete aktivirati mnoge potrebne sigurnosne karakteristike sistema za napredne korisnike, sam dodatak će kreirati i modernizirati .htaccess na način da poveća sigurnost vašeg bloga. Ne morate ručno kreirati .htaccess i voditi računa o kodovima. Neka plugin radi sve umjesto vas.

Nakon instaliranja i aktivacije dodatka, morat ćemo uraditi još jednu stvar. Prije svega, morat ćete jednim klikom omogućiti "sigurno od osnovnog napada" i vidjeti koliko će vam zelenih i plavih stavki biti prikazano. Obje boje govore da je sve ok! Zelena boja je zaslužan za odličnu zaštitu, a plava vam, takoreći, govori da ovu stavku možete učiniti zelenom, ali tada neki dodaci neće raditi i stoga možete ostaviti sve na svom mjestu. Crvena boja ukazuje na opasnost.

Sada kliknite na karticu "sakrij pozadinu" i omogućite ovu opciju. Funkcija "hide backend" mijenja URL na koji možete pristupiti interni interfejs WordPress.

Ako ste upravo instalirali novu verziju WordPress-a, onda vam preporučujem da kliknete na karticu "Content Directory" i promijenite naziv direktorija. Ovo će dodati još jedan nivo sigurnosti. Ali ovo biste trebali učiniti samo ako je vaš blog potpuno nov! Imajte na umu da ako promijenite direktorij na blogu koji je već pokrenut, većina veza će prestati raditi.

Glavni zadatak ovdje je promijeniti kodove radi poboljšanja sigurnosti. Poigrajte se opcijama i vidite koja opcija vam najbolje odgovara. Na primjer, mogu promijeniti sve plave stavke u zelene jer to neće utjecati na moj blog ili instalirane dodatke. Međutim, iste postavke mogu značajno utjecati na funkcioniranje vašeg bloga ili instalirani šablon. Kao što rekoh, pokušaji i greške ovdje rade odlično. Danas sam vam govorio o važnim koracima, a na vama je da li ćete ih preduzeti ili ne.

Preuzimanje.htaccess i robots.txt

Presuda

Ne znam ni da li da budem sretan ili tužan što su moji blogovi hakovani i zaraženi. Ponekad pomislim da da moj blog nije hakovan, onda ne bih imao ideju da napišem takav članak, a onda moji čitaoci ne bi znali za moje iskustvo, jer sve što pišem je moje lično iskustvo i prošlih faza u životu i našoj zajedničkoj stvari. Kao što sam ranije rekao, ne postoji potpuno zagarantovan način da zaštitite svoj blog, ali ako preduzmete barem neke korake da ga zaštitite, uspjet ćete. Neće vam trebati više od par sati da uradite sve što je opisano u ovom članku, a u budućnosti će vam to donijeti ogromne koristi! Sada idite i zaštitite svoj blog od loših momaka!

WordPress je platforma za blogovanje prilagođena korisnicima za objavljivanje i upravljanje člancima, koja se zasniva na velikom broju različitih stranica. Zbog svoje rasprostranjenosti, ovaj CMS je dugo bio poslastica za napadače. nažalost, osnovna podešavanja ne pružaju dovoljan nivo zaštite, ostavljajući mnoge zadane rupe nepokrivene. U ovom članku ćemo proći kroz tipičan put "tipičnog" hakovanja WordPress stranice, a također ćemo pokazati kako popraviti identificirane propuste.

Uvod

WordPress je najpopularniji sistem za upravljanje sadržajem danas. Njegov udio je 60,4%. ukupan broj web stranice koje koriste CMS motore. Od toga je, prema statistikama, 67,3% sajtova zasnovano na najnoviju verziju dato softvera. U međuvremenu, tokom dvanaest godina postojanja web motora, u njemu su otkrivene 242 ranjivosti različitih vrsta (isključujući ranjivosti pronađene u dodacima i temama trećih strana). A statistika dodataka trećih strana izgleda još tužnije. Tako je kompanija Revisium analizirala 2350 rusifikovanih šablona za WordPress, preuzetih sa raznih izvora. Kao rezultat toga, otkrili su da je više od polovice (54%) zaraženo web školjkama, backdoorima, blackhat seo (“spam”) vezama, a sadržavalo je i skripte sa kritične ranjivosti. Stoga, raskomotite se, sada ćemo shvatiti kako izvršiti reviziju WordPress stranice i otkloniti pronađene nedostatke. Koristićemo verziju 4.1 (rusifikovanu).

Indeksiranje sajta

Prvi korak u svakom testu je obično prikupljanje informacija o meti. I ovo često pomaže. pogrešno podešavanje indeksiranje sajta, koje omogućava neovlašćenim korisnicima da pregledaju sadržaj pojedinih delova sajta i, na primer, dobiju informacije o instalirane dodatke i teme, kao i pristup povjerljivim podacima ili rezervne kopije baze podataka. Da biste provjerili koji direktoriji su vidljivi izvana, najlakši način je da koristite Google. Dovoljno za izvođenje Google upit Dorks vole site:example.com intitle:"index of" inurl:/wp-content/ . V inurl operator: možete odrediti sljedeće direktorije:

/wp-content/ /wp-content/languages/plugins /wp-content/languages/themes /wp-content/plugins/ /wp-content/themes/ /wp-content/uploads/

Ako možete vidjeti /wp-content/plugins/ , sljedeći korak prikupljanje informacija o instaliranim dodacima i njihovim verzijama uvelike je pojednostavljeno. Naravno, možete onemogućiti indeksiranje pomoću datoteke robots.txt. Budući da nije uključen u WordPress instalacioni paket prema zadanim postavkama, morate ga sami kreirati i učitati korijenski direktorij site. Postoji dosta priručnika za kreiranje i rad sa datotekom robots.txt, pa ću ovu temu ostaviti za samopripremu. Evo samo jedne od mogućih opcija:

User-Agent: * Disallow: /cgi-bin Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/plugins/ Disallow : /wp-content/themes/ Disallow: /?author=* Dozvoli: /

Ako datoteke pohranjene u folderu za otpremanje sadrže povjerljive informacije, dodajte sljedeći red na ovu listu: Disallow: /wp-content/uploads/ .
S druge strane, u datoteci robots.txt nije preporučljivo postavljati veze do direktorija koji su kreirani posebno za pohranjivanje osjetljivih informacija. U suprotnom, ovim ćete olakšati napadaču, jer je ovo prvo mjesto na koje svi obično gledaju u potrazi za "zanimljivim".

Određivanje WordPress verzije

Drugi važan korak- identifikacija CMS verzije. Inače, kako odabrati pravi sploit? Ima ih tri brz način da odredite koju verziju WordPress-a vaša stranica koristi:

  1. Pronađite u izvorni kod stranice. To je navedeno u meta oznaci generatora:

    ili u oznakama :

  2. Pronađite u datoteci readme.html (slika 1), koja je uključena u instalacioni paket i nalazi se u korijenu stranice. Datoteka može imati druga imena kao što je readme-ja.html .
  3. Pronađite u datoteci ru_RU.po (slika 2), koja je uključena u instalacioni paket i nalazi se na /wp-content/languages/ : "Project-Id-Version: WordPress 4.1.1\n"

Jedna od opcija zaštite ovaj slučaj- ograničiti pristup datotekama readme.html i ru_RU.po koristeći .htaccess.

Automatizacija procesa testiranja

WordPress sigurnosna istraživanja postoje već duže vrijeme, tako da postoji dovoljan broj alata koji vam omogućavaju automatizaciju rutinskih zadataka.

  • otkriti verziju i temu sa http-wordpress-info skriptom nmap -sV --script http-wordpress-info
  • pogađanje lozinke pomoću rječnika nmap -p80 --script http-wordpress-brute --script-args "userdb=users.txt,passdb=passwords.txt" example.com
  • modul za detekciju verzije: auxiliary/scanner/http/wordpress_scanner ;
  • modul za određivanje korisničkog imena auxiliary/scanner/http/wordpress_login_enum .
  • nabroji instalirane dodatke: wpscan --url www.exmple.com --enumerate p ;
  • nabrajanje ustaljene teme: wpscan --url www.exmple.com --enumerate t ;
  • enumerate instalirane timthumbs: wpscan --url www.example.com --enumerate tt ;
  • detekcija korisničkog imena: wpscan --url www.example.com --enumerate u ;
  • nagađanje lozinke za rječnik za korisnika admin: wpscan --url www.example.com --popis riječi wordlist.txt --korisničko ime admin ;
  • pogađanje lozinke pomoću povezivanja korisničkog imena/lozinke sa 50 niti: wpscan --url www.example.com --wordlist wordlist.txt --threads 50 .

Identifikacija instaliranih komponenti

Sada skupimo informacije o instaliranim dodacima i temama, bez obzira da li su aktivirane ili ne. Prije svega, takve informacije mogu se izdvojiti iz izvornog koda HTML stranice, na primjer, iz JavaScript veza, iz komentara i resursa. css tip koji se učitavaju na stranicu. Ovo je najlakši način da dođete do informacija instalirane komponente. Na primjer, redovi ispod označavaju dvadeset jedanaest tema koja se koristi:

Budući da se informacije o dodacima ne prikazuju uvijek u izvornom kodu HTML stranice, instalirane komponente se mogu otkriti pomoću uslužnog programa WPScan (pogledajte bočnu traku). Samo nemojte zaboraviti da će nabrajanje putanja dodataka biti zabilježeno u logovima web servera.
Nakon što ste dobili podatke o instaliranim komponentama, već možete sami početi tražiti ranjivosti ili pronaći javno dostupne eksploatacije na resursima poput rapid7 ili exploit-db.

Definicija korisničkog imena

Po defaultu, WordPress svakom korisniku dodjeljuje jedinstveni ID, predstavljen kao broj: example.com/?author=1 . Razvrstavanjem brojeva odredit ćete imena korisnika stranice. Račun Administratorski fajl koji se kreira tokom instalacije WordPress-a je broj 1, pa se preporučuje da ga uklonite iz bezbednosne mere.

Brute force wp-login

Znajući korisničko ime, možete pokušati pogoditi lozinku za administrativni panel. Obrazac za prijavu na WordPress na stranici wp-login.php je vrlo informativan (slika 3), posebno za napadača: prilikom unosa netačnih podataka pojavljuju se nagoveštaji o pogrešnom korisničkom imenu ili lozinki za određenog korisnika. Programeri su svjesni ove mogućnosti, ali su odlučili da je ostave, jer su takve poruke zgodne za korisnike koji mogu zaboraviti svoju prijavu i/ili lozinku. Problem pogađanja lozinke može se riješiti korištenjem jake lozinke koja se sastoji od dvanaest ili više znakova i koja uključuje slova gornjeg i mala slova, brojevima i specijalnim znakovima. Ili, na primjer, korištenjem dodatka Login LockDown.

Pour Shell

Nakon što resetujemo lozinku, ništa nas ne sprečava da učitamo ljusku na kompromitovani veb resurs. Za ove svrhe, okvir Weevely je sasvim prikladan, koji vam omogućava da generišete ljusku u zamagljenom obliku, što ga čini prilično teškim za otkrivanje. Kako ne bi izazivali sumnju, rezultujući kod se može umetnuti u bilo koju datoteku teme (na primjer, u index.php) preko uređivača tema na WordPress konzoli. Nakon toga, koristeći isti Weevely, možete se povezati na mašinu žrtve i pozivati ​​različite komande:

Python weevely.py http://test/index.php Pa$$w0rd [+] weevely 3.1.0 [+] Target:test [+] Sesija: _weevely/sessions/test/index_0.session [+] Pregledajte sistem datoteka ili izvršavanje naredbi pokreće vezu [+] sa ciljem. Upišite: pomoć za više informacija. weevely> :help

Povezivanje .htaccess

Da biste spriječili pristup osjetljivim informacijama, bolje je koristiti datoteku .htaccess - ovo je konfiguracijski fajl koji se koristi u Apache web server. Razmotrite mogućnosti ove datoteke sa sigurnosne tačke gledišta. Pomoću njega možete: zabraniti pristup direktorijima i datotekama, blokirati razne SQL injekcije i zlonamjerne skripte. Da biste to učinili, standardni .htaccess fajl za CMS WordPress 4.1 treba malo proširiti. Da zatvorite listu fajlova i foldera, dodajte:

Opcije +FollowSymLinks -Indeksi

RewriteCond %(QUERY_STRING) base64_encode[^(]*\([^)]*\) će blokirati veze koje sadrže Base64 kodiranje. Riješite se veza koje sadrže oznaku

Top Related Articles

Kako pronaći izgubljeni iPhone Kako saznati ko posjeduje iPhone
Kako pronaći izgubljeni iPhone Kako saznati ko posjeduje iPhone
Huawei Y6 - Specifikacije Šta je u kutiji
Huawei Y6 - Specifikacije Šta je u kutiji
Huawei Y6 - Specifikacije
Huawei Y6 - Specifikacije
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.