Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • știri
  • Pluginuri de securitate pentru WordPress. Instalarea WordPress captcha

Pluginuri de securitate pentru WordPress. Instalarea WordPress captcha

27.04.2019 știri

Securitatea WordPress este o problemă care trebuie rezolvată în etapa instalării unui site web pe găzduire. Dacă nu protejați WordPress, nu luați nicio măsură în acest sens, atunci site-ul dvs. va fi preluat rapid de viruși, roboți și spammeri. Trebuie să fiți capabil să faceți față oricărei amenințări care ar putea dăuna resursei. În caz contrar, chiar înainte de a avea succes, site-ul tău va fi distrus de cei nedoritori.

Securitatea site-ului nu este doar un motor care funcționează bine într-un sistem închis, impracticabil, ci și securitatea computerului dumneavoastră.

Virușii nu ar trebui să fie pe disc. De asemenea, găzduirea nu trebuie să conțină viruși. În caz contrar, tu însuți vei deveni cauza distrugerii site-ului - virușii, precum troienii, îl vor mânca. Sau este posibil ca site-ul să nu fie deteriorat, dar va deveni un purtător al „infecției” - prin descărcarea fișierului, utilizatorul va descărca și virusul. Mai jos sunt sfaturi pentru a vă securiza site-ul, precum și pluginuri WordPress care vă vor ajuta în această problemă.

Unele dintre aceste sfaturi ți se pot părea evidente, dar nu toată lumea știe despre ele. Și chiar și cei care știu ignoră în mod deliberat regulile de protecție. Așadar, iată câteva sfaturi pentru a vă proteja site-ul:

  • Trebuie să ai parolă complexă a accesa. Spargere Panoul Administratorului- Acesta este poate cel mai rău lucru pe care îl pot face atacatorii. Odată piratați, aceștia vor putea fura toate articolele pe care nu le-ați publicat încă, precum și să șteargă conținutul site-ului.
  • Este mai bine să actualizați parola la fiecare șase luni. Biscuiții folosesc programe speciale pentru a selecta combinații. Dacă parola este actualizată, șansele lor de a pirata site-ul sunt reduse la zero.
  • Nu poți folosi un cuvânt binecunoscut ca parolă - spargerea unui astfel de cod este la fel de ușoară precum decojirea perelor. Chiar și cei care nu au program special pentru hacking de conturi.
  • Când intrați pe site în zona de administrare, browserul vă solicită să vă salvați parola. Pe de o parte, este convenabil - nu trebuie să introduceți o parolă complexă de fiecare dată. Pe de altă parte, acest lucru poate duce la piratarea panoului de administrare.
  • Cea mai mare greșeală pe care o fac majoritatea webmasterilor este să folosească aceeași parolă pentru a se conecta site-uri diferite... Dacă aveți aceeași parolă pentru panoul de administrare, găzduire și e-mail, atunci după ce ați spart contul de site, atacatorul va primi automat o parolă pentru toate celelalte profiluri ale dvs.
  • Nu este recomandat să stocați codurile PIN și parolele oriunde pe Internet sau chiar pe hard disk. Computerul poate fi furat, iar contul rețea socială- hack.
  • Dacă utilizați computerul altcuiva, nu accesați site-ul din panoul de administrare cu browser standard- poate salva parole. Utilizați mai bine modul incognito.

Toate aceste sfaturi au fost despre abordarea corectă pentru a folosi parole. Dar, pe lângă aceasta, există și alte nuanțe de care trebuie să țineți cont - aceștia sunt viruși pe computer. Dacă aveți un virus oriunde, acesta poate afecta credibilitatea site-ului dvs. și poate cauza mult rău vizitatorilor dvs. Prin urmare, urmați sfaturile descrise:

  • verificați computerul pentru viruși o dată pe săptămână;
  • instalare antivirus de calitate(una), precum și aplicații pentru blocarea site-urilor rău intenționate;
  • nu deschideți tot ce vă vine prin poștă - uneori atacatorii trimit scrisori spam care conțin viruși;
  • actualizați programele de pe computer și descărcați programe noi din surse oficiale - prin ele este puțin probabil ca virusul să pătrundă în hard disk.

Dacă nu urmați aceste sfaturi, atunci în curând site-ul dvs. va fi considerat dubios! Și iată ce puteți face în setările WordPress pentru a îmbunătăți securitatea resursei:

  1. De îndată ce apare o nouă actualizare, instalați-o - poate că noua actualizare a fost aplicată tehnologii inovatoareîmbunătăți securitatea.
  2. În cazul în care un cracker pătrunde totuși în zona de administrare și șterge tot conținutul de pe site, faceți o copie de rezervă a bazei de date și a întregului conținut. Atunci site-ul va fi ușor de restaurat.
  3. Uneori, subiectul conține un fel de link-uri străine. Șterge-le pentru orice eventualitate.
  4. Este mult mai ușor pentru crackeri și hackeri să-ți „abuzeze” resursa dacă aceasta conține versiunea motorului. Mai bine ai ascunde-o de priviri indiscrete... Pentru a preveni afișarea versiunii, va trebui să configurați fișierul header.php - eliminați linia care indică versiunea WordPress. De asemenea, ștergeți fișierele readme.htm și license.txt de pe găzduire - fără ele site-ul va funcționa la fel.
  5. Dacă lucrați pe același computer, sau aveți mai multe dintre ele, atunci puteți specifica în setările IP de la care vă conectați de obicei. Aceste informații sunt specificate în fișierul .htaccess. Din linia Permite de la. Dacă vă schimbați brusc computerul și trebuie să vă conectați dintr-un alt loc, puteți oricând să editați fișierul pentru a activa accesul de la un alt IP. Pentru a afla IP-ul dvs., utilizați servicii specialeîn internet.
  6. Este mai bine să nu utilizați contul standard al site-ului de administrare, ci să vă creați propriul nume de utilizator cu care ați venit. Acest lucru va face mult mai dificilă piratarea site-ului.
  7. Probabil ați auzit despre tot felul de atacuri asupra site-urilor web. Instalați pluginuri pentru a vă proteja site-ul de acestea.
  8. Protejați-vă bazele de date de pe server cât mai mult posibil, restricționând accesul prin toate mijloacele posibile.

Protecție plugin WordPress

Verificarea parolelor, actualizărilor, computerului pentru viruși este bună, dar nu suficientă pentru a vă proteja cu siguranță site-ul de intruși și malware... Mai jos sunt plugin-uri mai bune pentru a proteja motorul WordPress de diverse amenințări:

  1. Atacul anti-XSS este un modul care vă protejează resursa de atacurile XSS. Sună ciudat - „atac”. Dar cu ratele moderne de creștere, este foarte posibil ca resursa dumneavoastră să fie atacată. Există metode albe și negre de a trata concurenții. Cei cu bani și fără conștiință aleg adesea cele din urmă - modalități murdare de a elimina site-urile concurente. Un atac XSS este injectarea de cod rău intenționat în structura unui site web.
  2. Login LockDown va proteja zona dvs. de administrare de mai multe încercări de hacking. Boții ghicesc parolele ghicind combinații. Dacă nu limitați numărul de încercări și nu adăugați unele factor suplimentar pentru autorizare, sarcina pentru roboți va fi mult mai ușoară - aceștia vă pot sparge cu ușurință „parola”. Pluginul Login LockDown limitează numărul de intrări după număr și timp.
  3. WP Scanare de securitate Este un plugin puternic pentru securitate. După instalare și activare, resursa dvs. va fi verificată. Veți afla care puncte de securitate sunt încălcate și ce trebuie făcut pentru a le remedia. Pluginul scanează pentru versiuni noi de motor, tipul de prefix de tabel utilizat, secretul versiunii WordPress, baza de date pentru erori, contul utilizatorului de pe care administrezi site-ul, precum si setarile pentru fisierul .htaccess.
  4. Simplu Backup vă permite să faceți și să descărcați rapid o copie de rezervă a întregului site web. Faceți acest lucru cel puțin o dată pe lună - nu știți niciodată când vor apărea probleme.
  5. Dongle de conectare este un modul care va exclude absolut posibilitatea de a vă sparge contul de administrator. Se adaugă o întrebare la care va trebui să răspundeți la formularele obișnuite de completat. Astfel, robotul nu va putea ghici rapid atât parola, cât și răspunsul.
  6. Exploit Scanner este un plugin care se va asigura că nu există programe și fișiere rău intenționate pe site-ul dvs. web și în lista de baze de date. Nu credeți că totul este perfect pentru dvs. - virușii funcționează neobservați. Este mai bine să verificați absența acestora.
  7. Dacă uiți constant de nevoie controale regulate site-ul, apoi utilizați pluginul WordPress AntiVirus - face acest lucru automat.

Hackingul WordPress este o problemă comună destul de periculoasă în zilele noastre. Mi se pare că din 10 bloggeri, aproximativ 6 sunt fie piratați, fie infectați cu malware.

Din ce în ce mai multe vizualizări câștigă postări despre cum să evitați hackingul WordPress și în fiecare zi apare totul material nou... Mulți cititori se întreabă cum se pot proteja. Așadar, astăzi vreau să vă ofer o descriere detaliată a tot ceea ce știu despre cum să preveniți piratarea site-ului WordPress și să evit infecția cu malware.

După ce vă aflați parolele în cpanel, este timpul să vă schimbați parola de conectare la WordPress. Din nou, vă recomand să folosiți deja ceva nou, unic. Apropo, pentru a nu uita parolele și a le stoca într-un loc sigur, vă recomand să utilizați Kaspersky Password Manager - Parola Kaspersky Administrator, mi-a simplificat foarte mult viața pentru că el însuși completează automat formularele de autorizare pe site și în programe și criptează întreaga bază de date de parole. Cred că nu degeaba am cheltuit 900 de ruble pe el 😉

Faceți backup întregului blog WordPress

Acesta este cel mai mult etapa importanta si nu poate fi ignorat. Îmi amintesc că am vorbit cu un specialist în securitate pe internet și mi-a spus că nici măcar nu trebuie să-ți fie frică de nimic dacă ai o copie de rezervă a site-ului în stoc. Am blocat apoi o clipă, iar această frază mi-a rămas în memorie, pentru că nu aveam o copie de rezervă... Din fericire, la vremea aceea blogul meu era foarte mic, dar am încercat să-mi imaginez cât de deplorabilă ar fi situația dacă ar fi au fost un blog cu o mulțime de informații și conținut.

Deși majoritatea serviciilor de găzduire realizează copii de rezervă ale informațiilor de pe serverele lor, este totuși mai bine să joci în siguranță. Aici voi oferi un link către un articol al lui Sergey, autorul blogului max1net.com. Acolo, instrucțiuni detaliate pe o copie de rezervă regulată a site-ului.

Instalarea pluginurilor de securitate

Acum că aveți o copie de rezervă completă a blogului dvs. WordPress, nu trebuie să vă faceți griji pentru nimic, deoarece puteți oricând să restaurați versiunea normală. Acum este timpul să vă familiarizați cu pluginurile de securitate ale site-ului.

1.WP Security Scanner

Acesta este un scaner ușor de la Website Defender. Instalați-l și parcurgeți pașii. Există o opțiune aici care vă permite să redenumiți prefixul tabelului din baza de date. Schimbă-l în ceva greu de ghicit. De obicei, WordPress este instalat cu prefixul wp_. Acest lucru face mai ușor pentru hackeri să identifice bazele de date slabe prin care se poate efectua penetrarea.

Securitate WP mai bună include Cele mai bune caracteristici Securitate WordPress... Acest plugin vă poate oferi cam tot ceea ce aveți nevoie și ar trebui să fie pluginul numărul 1 pentru fiecare blogger. Intreaba de ce? Pentru că cu un singur clic poți activa multe dintre caracteristicile de securitate necesare ale sistemului pentru utilizatorii avansați, pluginul în sine va crea și actualiza .htaccess în așa fel încât să crească securitatea blogului tău. Nu trebuie să creați manual .htaccess și să vă faceți griji pentru coduri. Lasă pluginul să facă totul pentru tine.

După instalarea și activarea pluginului, mai trebuie să facem un lucru. În primul rând, va trebui să activați „securizarea împotriva atacului de bază” cu un singur clic și să vedeți câte puncte verzi și albastre vi se vor afișa. Ambele culori iti spun ca totul este ok! Culoarea verde este responsabil pentru o protecție excelentă, iar albastrul, așa cum ar fi, vă spune că puteți face acest articol verde, dar apoi unele plugin-uri nu vor funcționa și, prin urmare, puteți lăsa totul la locul său. Roșul, pe de altă parte, indică pericol.

Acum faceți clic pe fila „Ascunde backend” și activați această opțiune. Funcția „ascunde backend” modifică adresa URL la care poți accesa interfață internă WordPress.

Dacă tocmai ați instalat o versiune nouă de WordPress, atunci vă recomand să faceți clic pe fila „Director de conținut” și să schimbați numele directorului. Acest lucru va adăuga un alt nivel de securitate. Dar ar trebui să faci asta numai dacă blogul tău este nou-nouț! Amintiți-vă că, dacă schimbați directorul pe un blog care funcționează deja, atunci majoritatea linkurilor nu vor mai funcționa.

Principala provocare aici este schimbarea codurilor pentru a îmbunătăți securitatea. Joacă-te cu opțiunile și vezi care opțiune ți se potrivește cel mai bine. De exemplu, pot schimba toate elementele albastre în verde, deoarece acest lucru nu va afecta blogul meu sau pluginurile instalate. Cu toate acestea, aceleași setări pot afecta semnificativ modul în care funcționează blogul dvs. sau setați șablonul... După cum am spus, încercarea și eroarea funcționează excelent aici. Astăzi ți-am povestit despre pași importanți, și depinde doar de tine dacă îi faci sau nu.

Se descarcă .htaccess și robots.txt

Verdict

Nici măcar nu știu dacă ar trebui să fiu fericit sau trist de faptul că blogurile mele sunt sparte și expuse la infecții. Uneori mă gândesc că dacă blogul meu nu ar fi fost spart, atunci nu m-aș fi gândit să scriu un astfel de articol, iar atunci cititorii mei nu ar ști despre experiența mea, pentru că tot ce scriu este al meu. experienta personalași etapele trecute în viață și cauza noastră comună. După cum am spus mai devreme, nu există o modalitate completă garantată de a vă proteja blogul, dar dacă luați măsuri pentru a-l proteja, veți reuși. Nu vă va lua mai mult de câteva ore pentru a face tot ceea ce este descris în acest articol, iar în viitor vă va aduce beneficii uriașe! Acum du-te și apără-ți blogul de răufăcători!

WordPress este o platformă de publicare de articole și blog ușor de utilizat, care alimentează un număr mare de site-uri diferite. Datorită prevalenței sale, acest CMS a fost mult timp o bucată delicioasă pentru atacatori. Din pacate, setări de bază nu oferă un nivel suficient de protecție, lăsând multe găuri implicite descoperite. În acest articol, vom parcurge calea tipică a unui hacking „tipic” al unui site WordPress, precum și vom arăta cum să eliminăm vulnerabilitățile identificate.

Introducere

Astăzi, WordPress este cel mai popular sistem de gestionare a conținutului. Cota sa este de 60,4% din totalul site-uri care utilizează motoare CMS. Dintre acestea, conform statisticilor, 67,3% dintre site-uri se bazează pe ultima versiune dat software... Între timp, de-a lungul celor doisprezece ani de existență a motorului web, în ​​acesta au fost descoperite 242 de vulnerabilități de diferite tipuri (excluzând vulnerabilitățile găsite în pluginurile și temele terțelor părți). Iar statisticile suplimentelor terțe par și mai triste. Așadar, compania Revisium a analizat 2350 de șabloane rusești pentru WordPress, preluate din diverse surse... Drept urmare, ei au descoperit că mai mult de jumătate (54%) au fost infectați cu shell-uri web, uși din spate, legături seo blackhat ("spam") și, de asemenea, conțineau scripturi cu vulnerabilități critice... Prin urmare, faceți-vă confortabil, acum ne vom da seama cum să audităm un site WordPress și să eliminăm deficiențele găsite. Vom folosi versiunea 4.1 (rusificată).

Indexarea site-ului

Primul pas în orice test este de obicei colectarea de informații despre țintă. Și aici de multe ori ajută setare greșită indexarea site-ului, care permite utilizatorilor neautorizați să vizualizeze conținutul secțiunilor individuale ale site-ului și, de exemplu, să obțină informații despre plugin-uri instalateși subiecte, precum și accesul la date confidențiale sau copii de rezervă baze de date. Cel mai simplu mod de a verifica care directoare sunt vizibile din exterior este să folosești Google. Este suficient să execute interogare google Dorks de tip site: example.com intitle: „index of” inurl: / wp-content /. V operator inurl: puteți specifica următoarele directoare:

/ wp-content / / wp-content / limbi / pluginuri / wp-content / limbi / teme / wp-content / pluginuri / / wp-content / teme / / wp-content / încărcări /

Dacă puteți vizualiza / wp-content / plugins /, urmatorul pas strângerea de informații despre pluginurile instalate și versiunile acestora este mult simplificată. Desigur, puteți dezactiva indexarea folosind fișierul robots.txt. Deoarece în mod implicit nu este inclus în pachetul de instalare WordPress, trebuie să îl creați singur și să îl încărcați în directorul rădăcină site-ul. Există destul de multe manuale pentru crearea și lucrul cu fișierul robots.txt, așa că voi lăsa acest subiect pentru auto-pregătire. Voi oferi doar una dintre opțiunile posibile:

User-Agent: * Disallow: / cgi-bin Disallow: /wp-login.php Disallow: / wp-admin / Disallow: / wp-includes / Disallow: / wp-content / Disallow: / wp-content / plugins / Disallow : / wp-content / teme / Nu permiteți: /? autor = * Permiteți: /

Dacă fișierele stocate în folderul de încărcări conțin informații confidențiale, adăugați o linie la această listă: Disallow: / wp-content / uploads /.
Pe de altă parte, în fișierul robots.txt nu este recomandat să plasați link-uri către directoare care au fost create special pentru a stoca informații sensibile. În caz contrar, procedând astfel, îi vei face mai ușor atacatorului, deoarece acesta este primul loc în care toată lumea caută de obicei „interesant”.

Determinarea versiunii WordPress

O alta pas important- Identificare versiuni CMS... În caz contrar, cum găsești un exploit potrivit? Se află trei moduri rapide pentru a determina versiunea de WordPress folosită pe site:

  1. Gasit in cod sursa pagini. Este listat în metaeticheta generatorului:

    sau în etichete :

  2. Găsiți în fișierul readme.html (Figura 1) care este inclus cu pachet de instalareși este situat la rădăcina site-ului. Fișierul poate avea alte nume, cum ar fi readme-ja.html.
  3. Găsiți în fișierul ru_RU.po (Fig. 2), care este inclus în pachetul de instalare și aflat la / wp-content / languages ​​​​/: „Project-Id-Version: WordPress 4.1.1 \ n”

Una dintre opțiunile de protecție în în acest caz- restricționați accesul la fișierele readme.html și ru_RU.po folosind .htaccess.

Testarea automatizării procesului

Cercetarea de securitate WordPress nu a început ieri, așa că există o mulțime de instrumente pentru a automatiza sarcinile de rutină.

  • detectarea versiunii și a temei folosind scriptul http-wordpress-info nmap -sV --script http-wordpress-info
  • forțarea brută a unei parole folosind dicționare nmap -p80 --script http-wordpress-brute --script-args "userdb = users.txt, passdb = passwords.txt" example.com
  • modul de detectare a versiunii: auxiliar / scanner / http / wordpress_scanner;
  • un modul pentru determinarea numelui de utilizator auxiliar / scanner / http / wordpress_login_enum.
  • enumerarea pluginurilor instalate: wpscan --url www.exmple.com --enumerate p;
  • enumerare teme stabilite: wpscan --url www.exmple.com --enumerate t;
  • enumerarea timthumbs instalate: wpscan --url www.example.com --enumerate tt;
  • determinați numele de utilizator: wpscan --url www.example.com --enumerate u;
  • ghicirea unei parole folosind un dicționar pentru utilizatorul admin: wpscan --url www.example.com --wordlist wordlist.txt --username admin;
  • ghicirea parolei folosind un grup de nume de utilizator/parolă cu 50 de fire: wpscan --url www.example.com --wordlist wordlist.txt --threads 50.

Identificarea componentelor instalate

Acum să colectăm informații despre pluginurile și temele instalate, indiferent dacă sunt activate sau nu. În primul rând, astfel de informații pot fi extrase din codul sursă al unei pagini HTML, de exemplu, prin link-uri JavaScript, din comentarii și resurse. tip CSS care sunt încărcate pe pagină. Acesta este cel mai simplu mod de a obține informații despre componentele instalate... De exemplu, rândurile de mai jos indică tema douăzeci și unsprezece folosită:

Deoarece informațiile despre pluginuri nu sunt întotdeauna afișate în codul sursă al unei pagini HTML, puteți detecta componentele instalate folosind utilitarul WPScan (vezi bara laterală). Nu uitați că enumerarea căilor pluginurilor va fi înregistrată în jurnalele serverului web.
După ce ați primit informații despre componentele instalate, puteți începe deja să căutați vulnerabilități pe cont propriu sau să găsiți exploit-uri disponibile public pe resurse precum rapid7 sau exploit-db.

Determinarea numelor de utilizator

În mod implicit, WordPress atribuie fiecărui utilizator un ID unic, reprezentat ca un număr: example.com/?author=1. Parcurgând numerele, veți determina numele utilizatorilor site-ului. Cont Administratorul care este creat în timpul instalării WordPress este numerotat cu 1, așa că este recomandat să îl eliminați ca măsură de protecție.

Forța brută wp-login

Cunoscând numele de utilizator, puteți încerca să ghiciți parola pentru panoul de administrare. Formularul de autentificare WordPress de pe pagina wp-login.php este foarte informativ (Fig. 3), mai ales pentru un atacator: la introducerea datelor incorecte, apar solicitări despre un nume de utilizator sau o parolă incorectă pentru utilizator specific... Dezvoltatorii sunt conștienți de această funcție, dar au decis să o părăsească, deoarece astfel de mesaje sunt convenabile pentru utilizatorii care ar fi putut uita numele de utilizator și/sau parola. Problema ghicirii parolei poate fi rezolvată folosind o parolă puternică, formată din douăsprezece sau mai multe caractere și care include literele de sus și literă mică, numere și caractere speciale. Sau, de exemplu, folosind pluginul Login LockDown.

Umpleți Shell

După ce am șters parola, nimic nu ne împiedică să încărcăm shell-ul în resursa web compromisă. În aceste scopuri, cadrul Weevely este destul de potrivit, ceea ce vă permite să generați un shell într-o formă obscurată, ceea ce face detectarea acestuia destul de dificilă. Pentru a nu trezi suspiciuni, codul rezultat poate fi inserat în orice fișier temă (de exemplu, în index.php) prin editorul de teme al consolei WordPress. După aceea, folosind același Weevely, vă puteți conecta la aparatul victimei și puteți apela diverse comenzi:

Python weevely.py http: //test/index.php Pa $$ w0rd [+] weevely 3.1.0 [+] Țintă: test [+] Sesiune: _weevely / sessions / test / index_0.session [+] Răsfoiește sistemul de fișiere sau executa comenzi începe conexiunea [+] la țintă. Tip: ajutor pentru mai multe informații. weevely>: ajutor

Inclusiv.htaccess

Pentru a refuza accesul la informații sensibile, este mai bine să utilizați fișierul .htaccess - acesta este fișierul de configurare utilizat în Apache Web Server. Să luăm în considerare posibilitățile acestui fișier din punct de vedere al securității. Poate fi folosit pentru: a interzice accesul la directoare și fișiere, pentru a bloca diverse injecții SQL și scripturi rău intenționate. Pentru aceasta, fișierul standard .htaccess pentru CMS WordPress 4.1 trebuie să fie ușor extins. Pentru a închide lista de fișiere și foldere, adăugați:

Opțiuni + FollowSymLinks -Indexuri

RewriteCond% (QUERY_STRING) base64_encode [^ (] * \ ([^)] * \) va bloca link-urile care conțin codificare Base64. Scăpați de linkurile care conțin eticheta

Top articole similare

Cele mai bune programe pentru crearea muzicii de bază și electronice
Cele mai bune programe pentru crearea muzicii de bază și electronice
Structura generală a fișierelor teme
Structura generală a fișierelor teme
Principii de bază ale utilizării culorii în design web
Principii de bază ale utilizării culorii în design web
Categorii:
© 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.