Sigurnosni dodaci za WordPress. Instaliranje WordPress captcha

WordPress sigurnost je problem koji treba riješiti u fazi instaliranja stranice na hosting. Ako ne zaštitite WordPress i ne poduzmete nikakve mjere da to učinite, vašu stranicu brzo će preuzeti virusi, botovi i spameri. Morate se moći nositi sa svakom prijetnjom koja bi potencijalno mogla naštetiti resursu. U protivnom, prije nego što stignete postati uspješni, nedobronamjernici će uništiti vašu stranicu.

Sigurnost web stranice nije samo nesmetan rad motora u zatvorenom, neprobojnom sustavu, već i sigurnost vašeg računala.

Virusi ne bi trebali biti na vašem disku. Također, hosting ne smije sadržavati viruse. Inače ćete sami postati razlog za uništenje stranice - virusi će je, poput trojanaca, pojesti. Ili stranica možda neće biti oštećena, ali će postati nositelj "infekcije" - preuzimanjem datoteke, korisnik će preuzeti i virus. Ispod su savjeti za zaštitu vaše stranice, kao i WordPress dodaci koji će vam pomoći u ovom pitanju.

Neki od gore navedenih savjeta mogu vam se činiti očiglednima, ali ne znaju svi za njih. Pa čak i oni koji znaju namjerno ignoriraju pravila zaštite. Dakle, evo savjeta koji će vam pomoći da zaštitite svoje web mjesto:

• Moraš imati složena lozinka pristupiti . Razbijanje upravni panel- Ovo je možda i najgore što napadači mogu napraviti. Nakon što budu hakirani, moći će ukrasti sve članke koje još niste objavili, kao i izbrisati sadržaj stranice.
• Bolje je ažurirati lozinku jednom svakih šest mjeseci. Provalnici koriste posebne programe za odabir kombinacija. Ako se lozinka ažurira, njihove šanse za hakiranje stranice svedene su na nulu.
• Ne možete upotrijebiti dobro poznatu riječ kao lozinku - razbijanje takvog koda je lako. Čak i oni koji nemaju poseban program hakirati račune.
• Kada pristupite stranici u administratorskoj ploči, preglednik će od vas zatražiti da spremite lozinku. S jedne strane, ovo je zgodno - ne morate svaki put unositi složenu lozinku. S druge strane, to može uzrokovati hakiranje administratorske ploče.
• Najveća pogreška koju većina webmastera čini je korištenje iste lozinke za prijavu. različite stranice. Ako imate istu lozinku za admin, hosting i mail, tada će hakiranjem računa stranice napadač automatski dobiti lozinku za sve vaše ostale profile.
• Ne preporučuje se pohranjivanje PIN kodova i lozinki nigdje na internetu pa čak ni na tvrdom disku. Vaše računalo može biti ukradeno, a vaš račun društvena mreža- hakirati.
• Ako koristite tuđe računalo, nemojte ići na stranicu u administratorskom području. standardni preglednik- može spremati lozinke. Bolje koristiti anonimni način rada.

Svi ovi savjeti u pitanju pravi pristup na korištenje lozinki. Ali osim toga, postoje i druge nijanse koje morate uzeti u obzir - to su virusi na vašem računalu. Ako bilo gdje imate virus, on može uništiti vjerodostojnost vaše stranice i nanijeti mnogo štete posjetiteljima. Stoga slijedite opisane savjete:

• provjerite svoje računalo na viruse jednom tjedno;
• instalirati visokokvalitetni antivirusni program(jedan), kao i aplikacije za blokiranje zlonamjernih stranica;
• ne otvarajte sve što vam stigne poštom - ponekad napadači šalju spam pisma koja sadrže viruse;
• ažurirajte programe na računalu i preuzmite nove programe iz službenih izvora - kroz njih virus vjerojatno neće prodrijeti na vaš tvrdi disk.

Ako ne slijedite ove savjete, uskoro će se vaša stranica smatrati sumnjivom! Evo što možete učiniti u postavkama WordPressa kako biste povećali sigurnost resursa:

Čim se pojavi novo ažuriranje, instalirajte ga - možda će se novo ažuriranje primijeniti inovativne tehnologije povećanje sigurnosti.

U slučaju da napadač uđe u administratorsko područje i izbriše sav sadržaj stranice, napravite sigurnosnu kopiju baze podataka i cijelog sadržaja. Tada će web mjesto biti lako vratiti.

Ponekad postoje neke nepotrebne veze u temi. Za svaki slučaj, uklonite ih.

Provalnicima i hakerima mnogo je lakše "zlouporabiti" vaš resurs ako je u njemu navedena verzija motora. Bolje to sakriti od znatiželjnih očiju. Kako biste spriječili prikaz verzije, morat ćete konfigurirati datoteku header.php - uklonite redak koji označava verziju WordPressa. Također izbrišite datoteke readme.htm i license.txt na hostingu - bez njih stranica će raditi potpuno isto.

Ako radite na istom računalu ili ih imate više, tada u IP postavkama možete odrediti s kojeg se najčešće prijavljujete. Ove informacije navedene su u datoteci .htaccess. Iz retka Dopusti iz. Ako iznenada promijenite svoje računalo i trebate se prijaviti s druge lokacije, uvijek možete urediti datoteku kako biste aktivirali pristup s druge IP adrese. Da biste saznali svoj IP, koristite posebne usluge na internetu.

Bolje je ne koristiti standardni račun administratorske stranice, već stvoriti vlastiti s prijavom koju ste stvorili. To će znatno otežati hakiranje stranice.

Sigurno ste čuli za sve vrste napada na web stranice. Instalirajte dodatke kako biste zaštitili svoju stranicu od njih.

Zaštitite svoje baze podataka poslužitelja što je više moguće ograničavanjem pristupa svim mogućim sredstvima.

Zaštita WordPressa pomoću dodataka

Provjera lozinki, ažuriranja i vašeg računala na viruse je dobra, ali nije dovoljna da definitivno zaštiti svoju stranicu od uljeza i malware. Ispod su bolji dodaci za zaštitu WordPress motora od raznih prijetnji:

Anti-XSS napad - modul koji će zaštititi vaš resurs od XSS napada. Zvuči čudno - "napad". Ali s trenutnim stopama rasta, sasvim je moguće da vaš resurs bude napadnut. Postoje bijele i crne metode obračuna s konkurencijom. Oni koji imaju novca i nemaju savjesti često biraju potonje - prljave metode uklanjanja konkurentskih stranica. XSS napad je uvođenje štetnog koda u strukturu web stranice.

Login LockDown zaštitit će vašu administrativnu ploču od brojnih pokušaja hakiranja. Botovi pogađaju lozinku pogađajući kombinacije. Ako ne ograničite broj pokušaja i dodajte neke dodatni faktor za dovršetak autorizacije, zadatak za robote bit će puno lakši - lako mogu hakirati vašu "lozinku". Dodatak Login LockDown ograničava broj unosa prema količini i vremenu.

W.P. Sigurnosno skeniranje moćan je sigurnosni dodatak. Nakon instalacije i aktivacije, vaš će resurs biti provjeren. Saznat ćete koje su sigurnosne točke povrijeđene i što je potrebno učiniti da se one isprave. Dodatak skenira nove verzije mehanizma, vrstu korištenog prefiksa tablice, sigurnost WordPress verzije, bazu podataka za pogreške, korisnički račun, s kojeg administrirate stranicu, kao i postavke .htaccess datoteke.

Jednostavna sigurnosna kopija omogućuje vam da brzo napravite i preuzmete sigurnosnu kopiju cijele svoje stranice. Učinite to barem jednom mjesečno – nikad se ne zna kada će se dogoditi nevolja.

Login Dongle je modul koji će u potpunosti eliminirati mogućnost hakiranja vašeg administratorskog računa. Dodaje pitanje uobičajenim obrascima za ispunjavanje na koje ćete morati odgovoriti. Dakle, robot neće moći brzo pogoditi i lozinku i odgovor.

Exploit Scanner je dodatak koji će provjeriti nepostojanje zlonamjernog softvera i datoteka na vašoj web stranici i u popisu baze podataka. Nemojte misliti da je sve savršeno – virusi djeluju neprimjetno. Bolje je još jednom provjeriti njihovu odsutnost.

Ako neprestano zaboravljate na potrebu redovite provjere web mjesto, zatim upotrijebite WordPress AntiVirus dodatak - on to radi automatski.

Danas je hakiranje WordPressa prilično opasan čest problem. Čini mi se da je od 10 blogera, oko 6 njihova stranica ili hakirana ili zaražena zlonamjernim softverom.

Objave o tome kako izbjeći hakiranje WordPressa dobivaju sve više pregleda, a svakim danom ih se sve više pojavljuje. novi materijal. Mnogi čitatelji pitaju kako se mogu zaštititi. Stoga vam danas želim dati detaljan pregled svega što znam o tome kako spriječiti hakiranje vaše WordPress stranice i zarazu zlonamjernim softverom.

Nakon što ste razvrstali lozinke za cpanel, vrijeme je da promijenite lozinku za prijavu na WordPress. Opet, preporučujem da koristite nešto novo i jedinstveno. Usput, kako ne biste zaboravili svoje lozinke i pohranili ih na sigurno mjesto, preporučujem korištenje Kaspersky upravitelja lozinki - Kaspersky lozinka Voditelj, on mi je uvelike olakšao život jer... Automatski ispunjava obrasce za autorizaciju na stranici iu programima te šifrira cijelu bazu podataka zaporki. Mislim da nisam uzalud potrošio 900 rubalja na njega 😉

Sigurnosno kopiranje cijelog WordPress bloga

Ovo je najviše važna faza, i ne može se zanemariti. Sjećam se da sam razgovarao sa stručnjakom za internetsku sigurnost i rekao mi je da se ne morate ničega čak ni bojati ako imate sigurnosnu kopiju svoje stranice. Tada sam se na trenutak ukočio, a ovaj mi se izraz urezao u sjećanje, jer nisam imao sigurnosnu kopiju... Srećom, u to je vrijeme moj blog bio vrlo malen, ali pokušao sam zamisliti koliko bi strašna situacija bila da je to bio blog s mnoštvom informacija i sadržaja.

Iako većina pružatelja usluga hostinga izrađuje sigurnosne kopije podataka sa svojih poslužitelja, ipak je bolje biti na sigurnoj strani. Ovdje ću dati poveznicu na članak Sergeja, autora bloga max1net.com. Tamo, detaljne upute uz redovite sigurnosne kopije stranice.

Instaliranje sigurnosnih dodataka

Sada kada imate potpunu sigurnosnu kopiju svog WordPress bloga, ne morate brinuti ni o čemu jer uvijek možete vratiti normalnu verziju. Sada je vrijeme da shvatimo dodatke za sigurnost web stranica.

1.WP sigurnosni skener

Ovo je lagani skener tvrtke Website Defender. Instalirajte ga i samo prođite kroz korake. Ovdje postoji opcija koja vam omogućuje preimenovanje prefiksa tablice u bazi podataka. Promijenite u nešto što je teško pogoditi. WordPress se obično instalira s prefiksom wp_. To hakerima olakšava prepoznavanje slabih baza podataka kroz koje mogu prodrijeti.

Bolja WP sigurnost uključuje Najbolje značajke WordPress sigurnost. Ovaj vam dodatak može ponuditi gotovo sve što vam treba i trebao bi biti dodatak br. 1 za svakog blogera. Pitajte "zašto?" Da, budući da samo jednim klikom možete aktivirati mnoge od potrebnih sigurnosnih značajki sustava za napredne korisnike, dodatak će sam kreirati i modernizirati .htaccess na takav način da poveća sigurnost vašeg bloga. Ne morate ručno stvarati .htaccess i brinuti se o kodovima. Neka dodatak učini sve umjesto vas.

Nakon instalacije i aktivacije dodatka morat ćemo učiniti još jednu stvar. Prije svega, morat ćete omogućiti “sigurno od osnovnog napada” jednim klikom i vidjeti koliko će vam se zelenih i plavih točaka prikazati. Obje boje pokazuju da je sve u redu! Zelena boja je odgovoran za izvrsnu zaštitu, a plava kao da vam govori da ovu stavku možete učiniti zelenom, ali tada neki dodaci neće raditi i stoga možete ostaviti sve na svom mjestu. Crvena boja označava opasnost.

Sada kliknite na karticu "hide backend" i omogućite ovu opciju. Funkcija "hide backend" mijenja URL kojemu možete pristupiti interno sučelje WordPress.

Ako ste upravo instalirali svježu verziju WordPressa, preporučujem da kliknete na karticu "Content Directory" i promijenite naziv direktorija. Ovo će dodati još jednu razinu sigurnosti. Ali to biste trebali učiniti samo ako je vaš blog potpuno nov! Imajte na umu da ako promijenite direktorij na već pokrenutom blogu, većina poveznica više neće raditi.

Glavni izazov ovdje je promijeniti kodove radi poboljšanja sigurnosti. Poigrajte se s opcijama i vidite koja vam opcija najbolje odgovara. Na primjer, mogu promijeniti sve plave stavke u zelene jer to neće utjecati na funkcionalnost mog bloga ili instaliranih dodataka. Međutim, iste postavke mogu značajno utjecati na performanse vašeg bloga ili uspostavljeni predložak. Kao što sam rekao, pokušaji i pogreške ovdje rade odlično. Danas sam vam govorio o važnim koracima, a na vama je hoćete li ih poduzeti ili ne.

Download.htaccess i robots.txt

Presuda

Ne znam ni da li da budem sretan ili tužan što su moji blogovi hakirani i zaraženi. Ponekad pomislim da moj blog nije hakiran, ne bih se ni potrudio napisati takav članak, a onda moji čitatelji ne bi znali za moje iskustvo, jer sve što napišem je moje osobno iskustvo i prijeđene faze u životu i našoj zajedničkoj stvari. Kao što sam ranije rekao, ne postoji potpuno zajamčen način da zaštitite svoj blog, ali ako poduzmete barem neke korake da ga zaštitite, uspjet ćete. Za sve što je opisano u ovom članku neće vam trebati više od nekoliko sati, au budućnosti će vam donijeti ogromne koristi! Sada idite i zaštitite svoj blog od negativaca!

WordPress je praktična platforma za bloganje za objavljivanje i upravljanje člancima, koja pokreće veliki broj različitih web stranica. Zbog svoje raširenosti, ovaj CMS je dugo bio slastan zalogaj za napadače. Nažalost, osnovne postavke ne pružaju dovoljnu razinu zaštite, ostavljajući mnoge zadane rupe nezatvorene. U ovom ćemo članku proći kroz tipičan put "tipičnog" hakiranja WordPress stranice, a također ćemo pokazati kako eliminirati identificirane ranjivosti.

Uvod

Danas je WordPress najpopularniji sustav za upravljanje sadržajem. Njegov udio iznosi 60,4 posto ukupni broj stranice koje koriste CMS motore. Od toga se, prema statistici, 67,3% stranica temelji na Najnovija verzija dano softver. U međuvremenu, tijekom dvanaest godina postojanja web motora, u njemu su otkrivene 242 ranjivosti različitih vrsta (isključujući ranjivosti pronađene u dodacima i temama trećih strana). A statistika dodataka trećih strana izgleda još tužnije. Tako je tvrtka Revisium analizirala 2350 rusificiranih WordPress predložaka preuzetih iz razni izvori. Kao rezultat toga, otkrili su da je više od polovice (54%) bilo zaraženo web školjkama, backdoorima, blackhat SEO ("spam") vezama, a također je sadržavalo skripte s kritične ranjivosti. Stoga se udobno smjestite, sada ćemo otkriti kako izvršiti reviziju WordPress stranice i ukloniti pronađene nedostatke. Koristit ćemo verziju 4.1 (rusificiranu).

Indeksiranje stranice

Prvi korak u svakom testu obično je prikupljanje informacija o meti. I tu često pomaže. neispravna postavka indeksiranje stranica, koje neovlaštenim korisnicima omogućuje pregled sadržaja pojedinih odjeljaka stranica i, na primjer, dobivanje informacija o instaliranih dodataka i teme, kao i pristup povjerljivim podacima odn sigurnosne kopije baze podataka. Kako biste provjerili koji su imenici vidljivi izvana, najlakše je koristiti Google. Dovoljno je dovršiti Google upit Kreteni poput site:example.com intitle:"index of" inurl:/wp-content/ . U inurl operator: Možete navesti sljedeće direktorije:

/wp-content/ /wp-content/languages/plugins /wp-content/languages/themes /wp-content/plugins/ /wp-content/themes/ /wp-content/uploads/

Ako možete pregledavati /wp-content/plugins/ , sljedeći korak prikupljanje informacija o instaliranim dodacima i njihovim verzijama znatno je pojednostavljeno. Naravno, možete onemogućiti indeksiranje pomoću datoteke robots.txt. Budući da prema zadanim postavkama nije uključen u instalacijski paket WordPressa, morate ga sami izraditi i učitati na korijenski direktorij mjesto. Postoji dosta priručnika o stvaranju i radu s datotekom robots.txt, pa ću ovu temu ostaviti za samostalnu pripremu. Dat ću samo jednu od mogućih opcija:

User-Agent: * Disallow: /cgi-bin Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/plugins/ Disallow : /wp-content/themes/ Zabrani: /?author=* Dopusti: /

Ako datoteke pohranjene u mapi za uploads sadrže povjerljive informacije, dodajte redak na ovaj popis: Disallow: /wp-content/uploads/.
S druge strane, ne preporučuje se postavljanje poveznica na direktorije u datoteku robots.txt koji su kreirani posebno za pohranu osjetljivih informacija. Inače, time ćete napadaču olakšati posao jer je ovo prvo mjesto gdje svi obično gledaju u potrazi za nečim “zanimljivim”.

Određivanje verzije WordPressa

Još važan korak- identifikacija CMS verzije. Inače, kako odabrati odgovarajući exploit? Postoje tri brzi načini za određivanje verzije WordPressa koja se koristi na web mjestu:

Naći u izvorni kod stranice. To je naznačeno u meta oznaci generatora:

ili u oznakama:

Pronađite u datoteci readme.html (slika 1), koja je uključena u instalacijski paket i nalazi se u korijenu stranice. Datoteka može imati druga imena kao što je readme-ja.html.

Pronađite u datoteci ru_RU.po (Sl. 2), koja je uključena u instalacijski paket i nalazi se na /wp-content/languages/: "Project-Id-Version: WordPress 4.1.1\n"

Jedna od mogućnosti zaštite u ovom slučaju- ograničite pristup datotekama readme.html i ru_RU.po koristeći .htaccess.

Automatizacija procesa testiranja

WordPress sigurnosno istraživanje nije započelo jučer, tako da postoji dovoljan broj alata koji vam omogućuju automatizaciju rutinskih zadataka.

• otkrivanje verzije i teme pomoću skripte http-wordpress-info nmap -sV --skripte http-wordpress-info
• pogađanje lozinke pomoću rječnika nmap -p80 --script http-wordpress-brute --script-args "userdb=users.txt,passdb=passwords.txt" example.com

• modul za određivanje verzije: auxiliary/scanner/http/wordpress_scanner ;
• modul za određivanje korisničkog imena auxiliary/scanner/http/wordpress_login_enum .

• popis instaliranih dodataka: wpscan --url www.exmple.com --enumerate p ;
• prijenos instalirane teme: wpscan --url www.exmple.com --enumerate t ;
• nabroji instalirane timthumbe: wpscan --url www.example.com --enumerate tt ;
• određivanje korisničkog imena: wpscan --url www.example.com --enumerate u ;
• odabir lozinke korištenjem rječnika za admin korisnika: wpscan --url www.example.com --wordlist wordlist.txt --username admin ;
• pogađanje lozinke korištenjem kombinacije korisničko ime/lozinka s brojem niti jednakim 50: wpscan --url www.example.com --wordlist wordlist.txt --threads 50 .

Određivanje ugrađenih komponenti

Sada prikupimo informacije o instaliranim dodacima i temama, bez obzira jesu li aktivirani ili ne. Prije svega, takve informacije mogu se izvući iz izvornog koda HTML stranice, na primjer, iz JavaScript veza, iz komentara i izvora tip CSS, koji se učitavaju na stranicu. Ovo je najlakši način da dobijete informacije o instalirane komponente. Na primjer, donji redovi označavaju temu twentyeleven koja se koristi:

Budući da informacije o dodacima nisu uvijek prikazane u izvornom kodu HTML stranice, možete otkriti instalirane komponente pomoću uslužnog programa WPScan (pogledajte bočnu traku). Samo nemojte zaboraviti da će pretraživanje kroz staze dodataka biti zabilježeno u zapisima web poslužitelja.
Nakon što dobijete podatke o instaliranim komponentama, možete sami početi tražiti ranjivosti ili pronaći javno dostupne exploite na resursima poput rapid7 ili exploit-db.

Definiranje korisničkih imena

Prema zadanim postavkama, WordPress svakom korisniku dodjeljuje jedinstveni ID, predstavljen kao broj: example.com/?author=1 . Razvrstavanjem brojeva utvrdit ćete imena korisnika stranice. Račun Admin admin koji se kreira tijekom procesa instalacije WordPressa je broj 1, pa ga je preporučljivo ukloniti kao zaštitnu mjeru.

Brute force wp-login

Znajući korisničko ime, možete pokušati pogoditi lozinku za administracijsku ploču. Obrazac za prijavu na WordPress na stranici wp-login.php vrlo je informativan (Sl. 3), posebno za napadače: ako unesete netočne podatke, pojavljuju se upiti o pogrešnom korisničkom imenu ili lozinci za konkretnog korisnika. Programeri su svjesni ove značajke, ali su je odlučili ostaviti jer su takve poruke prikladne za korisnike koji su možda zaboravili svoju prijavu i/ili lozinku. Problem pogađanja lozinke može se riješiti korištenjem jake lozinke koja se sastoji od dvanaest ili više znakova i uključuje velika i mala slova. mala slova, brojevi i posebni znakovi. Ili, na primjer, pomoću dodatka Login LockDown.

Napunite školjku

Nakon što poništimo zaporku, ništa nas ne sprječava da prenesemo ljusku na ugroženi web izvor. U ove svrhe, okvir Weevely je sasvim prikladan, koji vam omogućuje generiranje ljuske u maskiranom obliku, što otežava njegovo otkrivanje. Kako bi se izbjeglo izazivanje sumnje, rezultirajući kod može se umetnuti u bilo koju datoteku teme (na primjer, index.php) putem uređivača tema konzole WordPress. Zatim, koristeći isti Weevely, možete se povezati sa žrtvinim strojem i pozivati ​​različite naredbe:

Python weevely.py http://test/index.php Pa$$w0rd [+] weevely 3.1.0 [+] Target:test [+] Sesija: _weevely/sessions/test/index_0.session [+] Pregledavanje datotečnog sustava ili izvrši naredbe pokreće vezu [+] s ciljem. Upišite: pomoć za više informacija. weevely>: pomoć

Connect.htaccess

Da biste zabranili pristup osjetljivim informacijama, bolje je koristiti datoteku .htaccess - ovo je konfiguracijska datoteka koja se koristi u Apache Web poslužitelj. Razmotrimo mogućnosti ove datoteke sa sigurnosne točke gledišta. Uz njegovu pomoć možete: zabraniti pristup direktorijima i datotekama, blokirati razne SQL injekcije i zlonamjerne skripte. Da biste to učinili, standardnu ​​.htaccess datoteku za CMS WordPress 4.1 potrebno je malo proširiti. Za zatvaranje popisa datoteka i mapa dodajte:

Opcije +FollowSymLinks -Indeksi

RewriteCond %(QUERY_STRING) base64_encode[^(]*\([^)]*\) blokirat će veze koje sadrže Base64 kodiranje. Riješite se veza koje sadrže oznaku:

RewriteCond %(QUERY_STRING) (|%3E)

Protiv skripti koje pokušavaju postaviti globalne varijable ili promijeniti varijablu _REQUEST putem URL-a:

RewriteCond %(QUERY_STRING) GLOBALS (=|\[|\%(0,2)) RewriteCond %(QUERY_STRING) _REQUEST (=|\[|\%(0,2))

Kako bismo spriječili SQL injekcije, blokiramo zahtjeve za URL-ove koji sadrže određene ključne riječi:

RewriteCond %(query_string) concat.*\( RewriteCond %(query_string) union.*select.*\( RewriteCond %(query_string) union.*all.*select RewriteRule ^(.*)$ index.php

Kako bismo uništili život uobičajenih hakerskih alata, filtriramo određene korisničke agente:

SetEnvIf user-agent "Indy Library" stayout=1 SetEnvIf user-agent "libwww-perl" stayout=1 SetEnvIf user-agent "Wget" stayout=1 deny from env=stayout

Zaštita datoteka

Također bi bilo dobro ograničiti pristup posebnim važne datoteke, koji pohranjuju konfiguraciju ili jednostavno napadaču mogu dati neke informacije. Mogu se izdvojiti sljedeći kandidati:

• wp-config.php , sadrži naziv baze podataka, korisničko ime, lozinku i prefiks tablice;
• .htaccess ;
• readme.html i ru_RU.po, koji sadrže verziju WordPressa;
• instaliraj.php .

To se radi na sljedeći način:

Order Allow,Deny Deny from all

Štoviše, datoteka .htaccess koja sadrži ove retke mora se nalaziti u istom direktoriju kao i zaštićena datoteka. Zatim zabranjujemo popis korisnika (sjećate se, maloprije smo govorili o tome kako je lako doći do popisa korisnika?):

RewriteCond %(QUERY_STRING) author=\d RewriteRule ^ /?

Pa, što još? Možete dopustiti prijavu samo s navedenih IP adresa. Da biste to učinili, stvorite .htaccess datoteku u mapi wp-admin sa sljedećim pravilima:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all dopustiti od 178.178.178.178 # Kućno računalo IP dopustiti od 248.248.248.248 # Radno računalo IP

Metoda nije baš fleksibilna i primjenjiva je samo ako radite s ograničen broj fiksne IP adrese. U suprotnom, preporučuje se postavljanje lozinke za mapu wp-admin putem panela hostinga (ako je takva funkcija dostupna).

Dodatne mjere

Gore rečenom možemo dodati sljedeće preporuke. Prvo, koristite samo trenutne verzije WordPress i njegove komponente - ovo će eliminirati poznate ranjivosti. Drugo, uklonite nekorištene dodatke i teme koje se također mogu iskoristiti. Treće, preuzmite teme i WordPress dodaci iz pouzdanih izvora, kao što su web stranice za programere i službena WordPress stranica. Baš kao i vaše kućno računalo, morate povremeno provjeravati svoj web resurs web antivirusom, na primjer AI-Bolit. Ako imate pristup web poslužitelju, konfigurirajte prava pristupa datotekama i direktorijima. U pravilu, WordPress postavlja sva potrebna prava u fazi instalacije, ali ako je potrebno, chmod se može postaviti ručno. Za direktorije - chmod 755, za datoteke - chmod 644. Uvjerite se da su prava 777 dodijeljena samo objektima kojima su potrebna (ponekad je to potrebno za normalna operacija neki dodaci). Ako WordPress prestane normalno funkcionirati, eksperimentirajte s dopuštenjima: prvo pokušajte 755, zatim 766 i na kraju 777. Za sve htaccess datoteke postavite chmod 444 (samo za čitanje). Ako web mjesto prestane raditi, pokušajte eksperimentirati s vrijednostima 400, 440, 444, 600, 640, 644.

Premjestite datoteku wp-config.php. Ova datoteka sadrži podatke o MySQL postavke, prefiks tablice, tajni ključevi itd. Stoga se mora prenijeti tako da datoteka nije dostupna s interneta. Ako se web mjesto ne nalazi u mapi public_html, premjestite datoteku wp-config.php u višu mapu i WordPress će je automatski pronaći u ovom korijenskom direktoriju (primjenjivo ako hosting ima samo jednu stranicu na ovom CMS-u).

Da biste otežali ispunjavanje ljuske, onemogućite mogućnost uređivanja teme putem WordPress konzole. Da biste to učinili, umetnite sljedeći redak u datoteku wp-config.php: define("DISALLOW_FILE_EDIT", true); .

Još slabost- datoteka install.php (koja se nalazi u mapi wp-admin). Stoga ga je bolje izbrisati, blokirati ili promijeniti. Učinite jednu od opcija:

Samo izbrišite ovu datoteku - nakon instalacije više nije potrebna.

Odbijte pristup datoteci koristeći .htaccess.

Preimenovati izvorna datoteka install.php (na primjer install.php.old) i kreirajte nova datoteka install.php sa sljedećim sadržajem: Pogreška uspostavljanja veze s bazom podataka

Trenutno imamo problema s bazom podataka. Provjerite uskoro. Hvala vam.

Osim obavještavanja posjetitelja stranice, ova skripta izvodi sljedeće radnje:

• klijentu i tražilicama šalje statusni kod 503 (“Usluga privremeno nedostupna”);
• označava vremenski period nakon kojeg klijenti i tražilice može se vratiti na stranicu (parametar koji se može prilagoditi);
• obavještava po e-pošta o problemu s bazom podataka kako bi se mogle poduzeti odgovarajuće mjere.

Poanta je u tome da u ranije verzije WordPress (
Omogućit će enkripciju za WP administratora.

Maskiranje drugih WordPress mapa

U WordPress imenik dvije glavne mape koje su zanimljive hakerima: wp-content/themes/ i wp-content/plugins/.

Pokušajte otvoriti ove mape u svom pregledniku, odnosno unesite u adresnu traku:

• vaša-domena/wp-sadržaj/dodaci/ zatim;
• Vaša-domena/wp-sadržaj/teme/.

Ako vidiš Bijela lista ili pogreška 404, tada su vaše mape zaštićene.

Ako vidite popis direktorija i datoteka, mape su otvorene svima.

Da biste ih prikrili, stvorite prazna datoteka Index.html i stavite ga putem FTP-a u te mape. Ovo će prikriti ove mape, ali ih neće sakriti od naprednih hakera.

Možete ih zaštititi linijom: Opcije - Indeksi dodano na kraj .htaccess datoteke. Nakon dodavanja linije, učinite kontrolna provjera. Trebali biste dosegnuti 404 stranice.

Važno! Sve zaštite u .htaccess datoteci vrijede ako ne koristite sigurnosne dodatke na svom WordPressu, ali se pokušate zaštititi.

Ostala WordPress sigurnosna zaštita

Izbrišite korisnika pod imenom admin. Ako su članci napisani pod ovim imenom, učinite sljedeće:

• Uđite u karticu: Korisnici;
• Stvorite novog administratora;
• Uklonite administratora: admin. Kad brišete admina, preusmjerite sve publikacije admin za novog administratora.

• Uklonite "Meta" widget sa stranice izravnom registracijom korisnika. Zamijenite "Meta" pretplatom putem e-pošte;
• Za paranoične: potpuno odjavite korisnike. Kartica→Postavke→Općenito→Članstvo (poništite potvrdni okvir).