Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Lajme
  • Shtojcat e sigurisë për WordPress. Instalimi i WordPress captcha

Shtojcat e sigurisë për WordPress. Instalimi i WordPress captcha

27.04.2019 Lajme

Siguria e WordPress është një çështje që duhet adresuar në fazën e instalimit të një faqe interneti në pritje. Nëse nuk e mbroni WordPress-in, mos merrni asnjë masë për këtë, atëherë faqja juaj do të pushtohet shpejt nga viruset, bots dhe spammers. Ju duhet të jeni në gjendje të përballeni me çdo kërcënim që mund të dëmtojë potencialin burimin. Përndryshe, edhe para se të ketë sukses, faqja juaj do të shkatërrohet nga keqbërësit.

Siguria e faqes nuk është vetëm një motor që funksionon mirë në një sistem të mbyllur të pakalueshëm, por edhe siguria e kompjuterit tuaj.

Viruset nuk duhet të jenë në diskun tuaj. Gjithashtu, hostimi nuk duhet të përmbajë viruse. Përndryshe, ju vetë do të bëheni shkaku i shkatërrimit të faqes - viruset, si Trojans, do ta hanë atë. Ose faqja mund të mos dëmtohet, por do të bëhet bartës i "infeksionit" - duke shkarkuar skedarin, përdoruesi do të shkarkojë edhe virusin. Më poshtë janë këshilla për sigurimin e faqes tuaj, si dhe shtojcat e WordPress që do t'ju ndihmojnë në këtë çështje.

Disa nga këto këshilla mund t'ju duken të qarta, por jo të gjithë e dinë për këtë. Dhe edhe ata që dinë qëllimisht i injorojnë rregullat e mbrojtjes. Pra, këtu janë disa këshilla për të ndihmuar në mbrojtjen e faqes tuaj:

  • Ti duhet te kesh fjalëkalim kompleks për të hyrë. Depërtimi në paneli admin- Kjo është ndoshta gjëja më e keqe që mund të bëjnë sulmuesit. Pasi të hakohen, ata do të jenë në gjendje të vjedhin të gjithë artikujt që nuk i keni publikuar ende, si dhe të fshijnë përmbajtjen e faqes.
  • Është më mirë të përditësoni fjalëkalimin çdo gjashtë muaj. Crackers përdorin programe speciale për të zgjedhur kombinime. Nëse fjalëkalimi përditësohet, shanset e tyre për të hakuar faqen reduktohen në zero.
  • Ju nuk mund të përdorni një fjalë të njohur si fjalëkalim - thyerja e një kodi të tillë është po aq e lehtë sa goditja e dardhave. Edhe ata që nuk kanë program të veçantë për hakimin e llogarive.
  • Kur futni sajtin në zonën e administratorit, shfletuesi ju kërkon të ruani fjalëkalimin tuaj. Nga njëra anë, është i përshtatshëm - nuk duhet të vendosni një fjalëkalim kompleks çdo herë. Nga ana tjetër, kjo mund të çojë në hakimin e panelit të administratorit.
  • Gabimi më i madh që bëjnë shumica e webmasterëve është përdorimi i të njëjtit fjalëkalim për t'u identifikuar faqe të ndryshme... Nëse keni të njëjtin fjalëkalim për panelin e administratorit, hostin dhe postën, atëherë pasi të keni hakuar llogarinë e faqes, sulmuesi do të marrë automatikisht një fjalëkalim për të gjitha profilet tuaja të tjera.
  • Nuk rekomandohet të ruani kodet PIN dhe fjalëkalimet kudo në internet apo edhe në hard diskun tuaj. Kompjuteri mund të vidhet dhe llogaria rrjet social- hak.
  • Nëse jeni duke përdorur kompjuterin e dikujt tjetër, mos shkoni te faqja në panelin e administratorit me shfletues standard- mund të ruajë fjalëkalime. Përdorni më mirë modalitetin incognito.

Të gjitha këto këshilla ishin rreth qasja e duhur për të përdorur fjalëkalime. Por përveç kësaj, ka nuanca të tjera që duhet të merrni parasysh - këto janë viruse në kompjuterin tuaj. Nëse keni një virus diku, ai mund të dëmtojë besueshmërinë e faqes suaj dhe të shkaktojë shumë dëm për vizitorët tuaj. Prandaj, ndiqni këshillat e përshkruara:

  • kontrolloni kompjuterin tuaj për viruse një herë në javë;
  • instaloni antivirus cilësor(një), si dhe aplikacione për bllokimin e faqeve me qëllim të keq;
  • mos hapni gjithçka që ju vjen me postë - ndonjëherë sulmuesit dërgojnë letra spam që përmbajnë viruse;
  • përditësoni programet në kompjuterin tuaj dhe shkarkoni programe të reja nga burime zyrtare - përmes tyre virusi nuk ka gjasa të depërtojë në hard disk.

Nëse nuk ndiqni këto këshilla, atëherë së shpejti faqja juaj do të konsiderohet e dyshimtë! Dhe ja çfarë mund të bëni në cilësimet e WordPress për të përmirësuar sigurinë e burimit:

  1. Sapo të shfaqet një përditësim i ri, instaloni atë - ndoshta përditësimi i ri është aplikuar teknologjive inovative përmirësojnë sigurinë.
  2. Në rast se një cracker megjithatë depërton në zonën e administratorit dhe fshin të gjithë përmbajtjen në faqe, bëni një kopje rezervë të bazës së të dhënave dhe të gjithë përmbajtjes. Atëherë faqja do të jetë e lehtë për t'u rivendosur.
  3. Ndonjëherë tema përmban disa lloj lidhjesh të jashtme. Fshini ato për çdo rast.
  4. Është shumë më e lehtë për krisurat dhe hakerët të "abuzojnë" me burimin tuaj nëse ai përmban versionin e motorit. Më mirë ta fshihni atë sy kureshtarë... Për të parandaluar shfaqjen e versionit, do t'ju duhet të konfiguroni skedarin header.php - hiqni rreshtin që tregon versionin e WordPress. Fshini gjithashtu skedarët readme.htm dhe license.txt në host - pa to, faqja do të funksionojë në të njëjtën mënyrë.
  5. Nëse punoni në të njëjtin kompjuter, ose keni disa prej tyre, atëherë mund të specifikoni në cilësimet e IP-së nga të cilat zakonisht identifikoheni. Ky informacion specifikohet në skedarin .htaccess. Nga rreshti Lejo nga. Nëse ndryshoni papritur kompjuterin tuaj dhe duhet të identifikoheni nga një vend tjetër, gjithmonë mund ta modifikoni skedarin për të aktivizuar aksesin nga një IP tjetër. Për të zbuluar IP-në tuaj, përdorni shërbime speciale në internet.
  6. Është më mirë të mos përdorni llogarinë standarde të faqes së administratorit, por krijoni tuajën me një emër përdoruesi që keni dalë. Kjo do ta bëjë shumë më të vështirë hakimin e sajtit.
  7. Ju ndoshta keni dëgjuar për të gjitha llojet e sulmeve në faqet e internetit. Instaloni shtojca për të mbrojtur faqen tuaj prej tyre.
  8. Mbroni bazat e të dhënave tuaja në server sa më shumë që të jetë e mundur duke kufizuar aksesin me të gjitha mjetet e mundshme.

Mbrojtja e shtojcave të WordPress

Kontrollimi i fjalëkalimeve, përditësimeve, kompjuterit për viruse është i mirë, por jo i mjaftueshëm për të mbrojtur me siguri faqen tuaj nga ndërhyrës dhe malware... Më poshtë janë shtojca më të mira për të mbrojtur motorin WordPress nga kërcënime të ndryshme:

  1. Sulmi Anti-XSS është një modul që mbron burimin tuaj nga sulmet XSS. Tingëllon e çuditshme - "sulm". Por me ritmet moderne të rritjes, është mjaft e mundur që burimi juaj të sulmohet. Ka metoda të bardha dhe të zeza për t'u përballur me konkurrentët. Ata me para dhe pa ndërgjegje shpesh zgjedhin këtë të fundit - mënyra të pista për të hequr faqet konkurruese. Një sulm XSS është injektimi i kodit me qëllim të keq në strukturën e një faqe interneti.
  2. Login LockDown do të mbrojë zonën tuaj të administratorit nga përpjekjet e shumta të hakimit. Bots i gjejnë fjalëkalimet duke hamendësuar kombinime. Nëse nuk e kufizoni numrin e përpjekjeve dhe mos shtoni disa faktor shtesë për autorizim, detyra për robotët do të jetë shumë më e lehtë - ata lehtë mund të hakojnë "fjalëkalimin" tuaj. Shtojca Login LockDown kufizon numrin e hyrjeve sipas numrit dhe kohës.
  3. WP Skanimi i sigurisëËshtë një shtojcë e fuqishme për sigurinë. Pas instalimit dhe aktivizimit, burimi juaj do të kontrollohet. Do të zbuloni se cilat pika sigurie janë shkelur dhe çfarë duhet bërë për t'i rregulluar ato. Shtojca skanon për versione të reja të motorit, llojin e prefiksit të tabelës së përdorur, sekretin e versionit të WordPress, bazën e të dhënave për gabime, llogaria e përdoruesit nga i cili administroni sitin, si dhe cilësimet për skedarin .htaccess.
  4. Rezervimi i thjeshtë ju lejon të bëni dhe shkarkoni shpejt një kopje rezervë të të gjithë uebsajtit tuaj. Bëni këtë të paktën një herë në muaj - nuk e dini kurrë se kur do të ndodhin telashet.
  5. Login Dongle është një modul që do të përjashtojë absolutisht mundësinë e hakimit të llogarisë suaj të administratorit. Ai shton një pyetje që do t'ju duhet t'i përgjigjeni formularëve të zakonshëm për plotësimin. Kështu, roboti nuk do të jetë në gjendje të hamendësojë shpejt si fjalëkalimin ashtu edhe përgjigjen.
  6. Exploit Scanner është një shtojcë që do të sigurohet që nuk ka programe dhe skedarë keqdashës në faqen tuaj të internetit dhe në listën e bazës së të dhënave. Mos mendoni se gjithçka është perfekte për ju - viruset funksionojnë pa u vënë re. Është më mirë të kontrolloni dyfish mungesën e tyre.
  7. Nëse vazhdimisht harroni nevojën kontrolle të rregullta faqe, më pas përdorni shtojcën WordPress AntiVirus - këtë e bën automatikisht.

Hakimi i WordPress është një problem mjaft i rrezikshëm i zakonshëm këto ditë. Më duket se nga 10 blogerë, rreth 6 janë ose të hakuar ose të infektuar me malware.

Gjithnjë e më shumë shikime po fitojnë postime se si të shmangni hakimin e WordPress dhe çdo ditë shfaqet gjithçka material i ri... Shumë lexues pyesin se si mund të mbrohen. Pra, sot dua t'ju ofroj një llogari të detajuar të gjithçkaje që di se si të parandaloni hakimin e faqes së WordPress dhe të shmangni infeksionin e malware.

Pasi të kuptoni fjalëkalimet tuaja në cpanel, është koha për të ndryshuar fjalëkalimin tuaj të hyrjes në WordPress. Përsëri, unë rekomandoj që të përdorni diçka të re, unike tashmë. Nga rruga, për të mos harruar fjalëkalimet dhe për t'i ruajtur ato në një vend të sigurt, unë rekomandoj përdorimin e Kaspersky Password Manager - Fjalëkalimi i Kaspersky Menaxheri, ai ma thjeshtoi shumë jetën sepse vetë plotëson automatikisht formularët e autorizimit në sajt dhe në programe dhe kodon të gjithë bazën e të dhënave të fjalëkalimeve. Unë mendoj se jo më kot harxhova 900 rubla për të 😉

Duke rezervuar të gjithë blogun tuaj të WordPress

Kjo është më fazë e rëndësishme dhe nuk mund të injorohet. Mbaj mend që fola me një specialist të sigurisë në internet dhe ai më tha se as nuk duhet të kesh frikë nga asgjë nëse ke një kopje rezervë të faqes në magazinë. Më pas ngriva për një moment dhe kjo frazë më mbeti në kujtesë, sepse nuk kisha një kopje rezervë... Fatmirësisht, në atë kohë blogu im ishte shumë i vogël, por u përpoqa të imagjinoja sa e mjerueshme do të ishte situata nëse do të ishte ishin një blog me shumë informacione dhe përmbajtje.

Megjithëse shumica e shërbimeve të pritjes bëjnë kopje rezervë të informacionit nga serverët e tyre, është akoma më mirë ta luani atë të sigurt. Këtu do të jap një lidhje me një artikull nga Sergey, autor i blogut max1net.com. Aty, udhëzime të hollësishme në një kopje rezervë të rregullt të faqes.

Instalimi i shtojcave të sigurisë

Tani që keni një kopje rezervë të plotë të blogut tuaj të WordPress, nuk duhet të shqetësoheni për asgjë pasi gjithmonë mund të rivendosni versionin normal. Tani është koha për t'u marrë me shtojcat e sigurisë së faqes.

1. Skaneri i sigurisë WP

Ky është një skaner i lehtë nga Website Defender. Instaloni atë dhe thjesht kaloni hapat. Ekziston një opsion këtu që ju lejon të riemërtoni prefiksin e tabelës në bazën e të dhënave. Ndryshojeni në diçka të vështirë për t'u marrë me mend. Zakonisht WordPress instalohet me prefiksin wp_. Kjo e bën më të lehtë për hakerët të identifikojnë bazat e të dhënave të dobëta përmes të cilave mund të kryhet depërtimi.

Siguria më e mirë e WP përfshin karakteristikat më të mira Siguria e WordPress... Ky plugin është në gjendje t'ju ofrojë pothuajse gjithçka që ju nevojitet dhe duhet të jetë shtojca numër 1 për çdo bloger. Pyete pse? Duke qenë se vetëm me një klikim mund të aktivizoni shumë nga veçoritë e nevojshme të sigurisë të sistemit për përdoruesit e avancuar, vetë shtojca do të krijojë dhe përditësojë .htaccess në mënyrë të tillë që të rrisë sigurinë e blogut tuaj. Ju nuk keni nevojë të krijoni manualisht .htaccess dhe të shqetësoheni për kodet. Lëreni shtojcën të bëjë gjithçka për ju.

Pas instalimit dhe aktivizimit të shtojcës, duhet të bëjmë edhe një gjë tjetër. Para së gjithash, do t'ju duhet të aktivizoni "sigurimin nga sulmi bazë" me një klikim dhe të shihni se sa pika jeshile dhe blu do t'ju shfaqen. Të dyja ngjyrat ju tregojnë se gjithçka është në rregull! Ngjyra jeshileështë përgjegjëse për mbrojtjen e shkëlqyer, dhe bluja, si të thuash, ju thotë që mund ta bëni këtë artikull të gjelbër, por më pas disa shtojca nuk do të funksionojnë dhe për këtë arsye mund të lini gjithçka në vendin e vet. E kuqja, nga ana tjetër, tregon rrezik.

Tani klikoni në skedën "fsheh backend" dhe aktivizoni këtë opsion. Funksioni "fsheh backend" ndryshon URL-në ku mund të përdorni ndërfaqe e brendshme WordPress.

Nëse sapo keni instaluar një version të ri të WordPress, atëherë ju rekomandoj të klikoni në skedën "Drejtoria e përmbajtjes" dhe të ndryshoni emrin e drejtorisë. Kjo do të shtojë një shtresë tjetër sigurie. Por ju duhet ta bëni këtë vetëm nëse blogu juaj është krejt i ri! Mos harroni se nëse ndryshoni drejtorinë në një blog tashmë funksional, atëherë shumica e lidhjeve do të ndalojnë së punuari.

Sfida kryesore këtu është ndryshimi i kodeve për të përmirësuar sigurinë. Luani me opsionet dhe shikoni se cili opsion ju përshtatet më së miri. Për shembull, unë mund t'i ndryshoj të gjithë artikujt blu në jeshile, pasi kjo nuk do të ndikojë në blogun tim ose shtojcat e instaluara. Sidoqoftë, të njëjtat cilësime mund të ndikojnë ndjeshëm në mënyrën se si funksionon blogu juaj ose vendos shabllon... Siç thashë, prova dhe gabimi funksionojnë shumë këtu. Sot ju thashë për hapa të rëndësishëm dhe varet vetëm nga ju nëse do t'i bëni ato apo jo.

Shkarkimi i .htaccess dhe robots.txt

Verdikti

Unë as nuk e di nëse duhet të jem i lumtur apo i trishtuar për faktin që bloget e mia po hakohen dhe po ekspozohen ndaj infeksionit. Ndonjëherë mendoj se nëse blogu im nuk do të ishte hakuar, atëherë nuk do të kisha menduar të shkruaj një artikull të tillë dhe atëherë lexuesit e mi nuk do të dinin për përvojën time, sepse gjithçka që shkruaj është e imja. përvojë personale dhe fazat e kaluara në jetë dhe kauzën tonë të përbashkët. Siç thashë më herët, nuk ka asnjë mënyrë të plotë të garantuar për të mbrojtur blogun tuaj, por nëse ndërmerrni ndonjë hap për ta mbrojtur atë, do të keni sukses. Do t'ju duhen jo më shumë se disa orë për të bërë gjithçka që përshkruhet në këtë artikull, dhe në të ardhmen do t'ju sjellë përfitime të mëdha! Tani shkoni dhe mbroni blogun tuaj nga zuzarët!

WordPress është një platformë botuese dhe blogu miqësore për përdoruesit që fuqizon një numër të madh faqesh të ndryshme. Për shkak të përhapjes së tij, ky CMS ka qenë prej kohësh një kafshatë e shijshme për sulmuesit. Për fat të keq, cilësimet bazë nuk ofrojnë një nivel të mjaftueshëm mbrojtjeje, duke lënë shumë vrima të paracaktuara të pambuluara. Në këtë artikull, ne do të ecim në rrugën tipike të një hakimi "tipik" të një faqeje WordPress, si dhe do të tregojmë se si të eliminojmë dobësitë e identifikuara.

Prezantimi

Sot WordPress është sistemi më i popullarizuar i menaxhimit të përmbajtjes. Pjesa e saj është 60.4% e Totali faqet që përdorin motorë CMS. Nga këto, sipas statistikave, 67.3% e faqeve janë të bazuara Versioni i fundit dhënë software... Ndërkohë, gjatë dymbëdhjetë viteve të ekzistencës së motorit të uebit, në të u zbuluan 242 dobësi të llojeve të ndryshme (duke përjashtuar dobësitë e gjetura në shtojcat dhe temat e palëve të treta). Dhe statistikat e shtesave të palëve të treta duken edhe më të trishtuara. Pra, kompania Revisium analizoi 2350 shabllone ruse për WordPress, të marra nga burime të ndryshme... Si rezultat, ata zbuluan se më shumë se gjysma (54%) ishin të infektuar me predha ueb, porta të pasme, lidhje blackhat SEO ("spam") dhe gjithashtu përmbanin skripta me dobësitë kritike... Prandaj, bëhuni rehat, tani do të kuptojmë se si të auditojmë një faqe WordPress dhe të eliminojmë mangësitë e gjetura. Ne do të përdorim versionin 4.1 (Rusifikuar).

Indeksimi i faqes

Hapi i parë në çdo test është zakonisht mbledhja e informacionit rreth objektivit. Dhe këtu shpesh ndihmon vendosje e gabuar indeksimi i faqes, i cili lejon përdoruesit e paautorizuar të shikojnë përmbajtjen e seksioneve individuale të faqes dhe, për shembull, të marrin informacione rreth shtojcat e instaluara dhe tema, si dhe akses në të dhëna konfidenciale ose kopje rezervë bazat e të dhënave. Mënyra më e lehtë për të kontrolluar se cilat drejtori janë të dukshme nga jashtë është të përdorni Google. Mjafton të ekzekutohet pyetje google Dorks e tipit site: shembull.com titulli: "indeksi i" inurl: / wp-content /. V operator inurl: mund të specifikoni drejtoritë e mëposhtme:

/ wp-content / / wp-content / gjuhët / shtojcat / wp-content / gjuhët / temat / wp-content / shtojcat / / wp-content / temat / / wp-content / ngarkimet /

Nëse mund të shikoni / wp-content / plugins /, hapi tjeter mbledhja e informacionit në lidhje me shtojcat e instaluara dhe versionet e tyre është thjeshtuar shumë. Natyrisht, mund të çaktivizoni indeksimin duke përdorur skedarin robots.txt. Meqenëse si parazgjedhje nuk përfshihet në paketën e instalimit të WordPress, duhet ta krijoni vetë dhe ta ngarkoni në direktoria rrënjësore faqe. Ka mjaft manuale për krijimin dhe punën me skedarin robots.txt, ndaj do ta lë këtë temë për vetë-përgatitje. Unë do të jap vetëm një nga opsionet e mundshme:

Përdoruesi-Agjent: * Mos lejo: / cgi-bin Mos lejo: /wp-login.php Mos lejo: / wp-admin / Mos lejo: / wp-përfshin / Mos lejo: / wp-content / Mos lejo: / wp-content / shtojcat / Mos lejo : / wp-content / tema / Mos lejo: /? autor = * Lejo: /

Nëse skedarët e ruajtur në dosjen e ngarkimeve përmbajnë informacion konfidencial, shtoni një rresht në këtë listë: Mos lejo: / wp-content / ngarkime /.
Nga ana tjetër, në skedarin robots.txt nuk rekomandohet vendosja e lidhjeve me drejtoritë që janë krijuar posaçërisht për të ruajtur informacione të ndjeshme. Përndryshe, duke e bërë këtë, do t'ia lehtësoni sulmuesit, pasi ky është vendi i parë ku të gjithë zakonisht shikojnë në kërkim të "interesantit".

Përcaktimi i versionit të WordPress

Një tjetër hap i rëndësishëm- identifikimi Versionet CMS... Përndryshe, si e gjeni një shfrytëzim të përshtatshëm? Janë tre mënyra të shpejta për të përcaktuar versionin e WordPress të përdorur në sit:

  1. Gjeni në Kodi i burimit faqet. Është e shënuar në meta etiketën e gjeneratorit:

    ose në etiketa :

  2. Gjeni në skedarin readme.html (Figura 1) i cili përfshihet me paketën e instalimit dhe ndodhet në rrënjë të faqes. Skedari mund të ketë emra të tjerë, të tillë si readme-ja.html.
  3. Gjeni në skedarin ru_RU.po (Fig. 2), i cili përfshihet në paketën e instalimit dhe ndodhet në / wp-content / languages ​​/: "Project-Id-Version: WordPress 4.1.1 \ n"

Një nga opsionet për mbrojtje në në këtë rast- kufizoni aksesin në skedarët readme.html dhe ru_RU.po duke përdorur .htaccess.

Automatizimi i procesit të testimit

Hulumtimi i sigurisë së WordPress nuk filloi dje, kështu që ka shumë mjete atje për të automatizuar detyrat rutinë.

  • zbulimi i versionit dhe temës duke përdorur skriptin http-wordpress-info nmap -sV --script http-wordpress-info
  • detyrimi brut i një fjalëkalimi duke përdorur fjalorë nmap -p80 --script http-wordpress-brute --script-args "userdb = users.txt, passdb = passwords.txt" shembull.com
  • Moduli i zbulimit të versionit: ndihmës / skaner / http / wordpress_scanner;
  • një modul për përcaktimin e emrit të përdoruesit ndihmës / skaner / http / wordpress_login_enum.
  • numërimi i shtojcave të instaluara: wpscan --url www.exmple.com --enumerate p;
  • numërimi tema të vendosura: wpscan --url www.exmple.com --enumerate t;
  • numërimi i timthumbs të instaluara: wpscan --url www.example.com --enumerate tt;
  • përcaktoni emrin e përdoruesit: wpscan --url www.example.com --numerate u;
  • gjetja e një fjalëkalimi duke përdorur një fjalor për përdoruesin admin: wpscan --url www.example.com --wordlist wordlist.txt --emri i përdoruesit admin;
  • hamendja e fjalëkalimit duke përdorur një grup emri përdoruesi/fjalëkalimi me 50 tema: wpscan --url www.example.com --lista e fjalëve wordlist.txt --threads 50.

Identifikimi i komponentëve të instaluar

Tani le të mbledhim informacione rreth shtojcave dhe temave të instaluara, pavarësisht nëse ato janë të aktivizuara apo jo. Para së gjithash, një informacion i tillë mund të nxirret nga kodi burim i një faqe HTML, për shembull, nëpërmjet lidhjeve JavaScript, nga komentet dhe burimet. Lloji CSS që ngarkohen në faqe. Kjo është mënyra më e lehtë për të marrë informacion rreth komponentët e instaluar... Për shembull, rreshtat më poshtë tregojnë temën e njëzet e njëmbëdhjetë që përdoret:

Meqenëse informacioni rreth shtojcave nuk shfaqet gjithmonë në kodin burimor të një faqe HTML, ju mund të zbuloni komponentët e instaluar duke përdorur mjetin WPScan (shih shiritin anësor). Vetëm mos harroni se numërimi i shtigjeve të shtojcave do të regjistrohet në regjistrat e serverit në internet.
Pasi të keni marrë informacione për komponentët e instaluar, tashmë mund të filloni të kërkoni për dobësi vetë ose të gjeni shfrytëzime të disponueshme publikisht në burime të tilla si rapid7 ose exploit-db.

Përcaktimi i emrave të përdoruesve

Si parazgjedhje, WordPress i cakton çdo përdoruesi një ID unike, të përfaqësuar si një numër: shembull.com/?author=1. Duke kaluar nëpër numra, do të përcaktoni emrat e përdoruesve të faqes. Llogaria Administratori i administratorit që krijohet gjatë instalimit të WordPress-it është me numër 1, ndaj këshillohet ta hiqni atë si masë mbrojtëse.

Forca brutale wp-login

Duke ditur emrin e përdoruesit, mund të provoni të merrni me mend fjalëkalimin për panelin e administrimit. Formulari i hyrjes në WordPress në faqen wp-login.php është shumë informues (Fig. 3), veçanërisht për një sulmues: kur futni të dhëna të pasakta, shfaqen kërkesa për një emër përdoruesi ose fjalëkalim të pasaktë për përdorues specifik... Zhvilluesit janë të vetëdijshëm për këtë veçori, por ata vendosën ta lënë atë, pasi mesazhe të tilla janë të përshtatshme për përdoruesit që mund të kenë harruar emrin e përdoruesit dhe / ose fjalëkalimin e tyre. Problemi i gjetjes së fjalëkalimit mund të zgjidhet duke përdorur një fjalëkalim të fortë që përbëhet nga dymbëdhjetë ose më shumë karaktere dhe duke përfshirë shkronjat e sipërme dhe të shkronja të vogla, numra dhe karaktere speciale. Ose, për shembull, duke përdorur shtojcën Login LockDown.

Mbush Shell

Pasi të kemi pastruar fjalëkalimin, asgjë nuk na pengon të ngarkojmë guaskën në burimin e uebit të komprometuar. Për këto qëllime, korniza Weevely është mjaft e përshtatshme, e cila ju lejon të gjeneroni një guaskë në një formë të errët, gjë që e bën mjaft të vështirë zbulimin e saj. Për të mos ngjallur dyshime, kodi që rezulton mund të futet në çdo skedar teme (për shembull, në index.php) përmes redaktuesit të temave të tastierës WordPress. Pas kësaj, duke përdorur të njëjtin Weevely, mund të lidheni me makinën e viktimës dhe të telefononi komanda të ndryshme:

Python weevely.py http: //test/index.php Pa $$ w0rd [+] weevely 3.1.0 [+] Synimi: testi [+] Sesioni: _weevely / sesionet / testi / index_0.session [+] Shfletoni sistemin e skedarëve ose ekzekutimi i komandave fillon lidhjen [+] me objektivin. Lloji: ndihmë për më shumë informacion. weevely>: ndihmë

duke përfshirë.htaccess

Për të mohuar aksesin në informacione të ndjeshme, është më mirë të përdorni skedarin .htaccess - ky është skedari i konfigurimit që përdoret në Web Apache Serveri. Le të shqyrtojmë mundësitë e këtij skedari nga pikëpamja e sigurisë. Mund të përdoret për të: mohuar aksesin në drejtori dhe skedarë, bllokuar injeksione të ndryshme SQL dhe skriptet me qëllim të keq. Për këtë, skedari standard .htaccess për CMS WordPress 4.1 duhet të zgjerohet pak. Për të mbyllur listën e skedarëve dhe dosjeve, shtoni:

Opsionet + FollowSymLinks -Indekset

RewriteCond% (QUERY_STRING) base64_encode [^ (] * \ ([^)] * \) do të bllokojë lidhjet që përmbajnë kodimin Base64. Hiqni qafe lidhjet që përmbajnë etiketën

Artikujt kryesorë të lidhur

Programet më të mira për krijimin e muzikës bazë dhe elektronike
Programet më të mira për krijimin e muzikës bazë dhe elektronike
Struktura e përgjithshme e skedarëve me temë
Struktura e përgjithshme e skedarëve me temë
Parimet themelore të përdorimit të ngjyrave në web design
Parimet themelore të përdorimit të ngjyrave në web design
Kategoritë:
© 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.