Взлом WordPress блога. Как защитить свой блог?

Блогинг Перейти к комментариям

уязвимые места WordPress защита сайта

Всем привет!

Вы наверняка знаете  Свекровушку, так вот ее недавно атаковали хакеры, причем успешно. Хорошо, что ребята с хоста помогли. А то неизвестно что бы было.

Вредоносный скрипт записался в папку с темами.

ВАЖНО чтобы вы возвращали назад права на папки если экспериментируете, а еще лучше не трогать их вообще.

Итак где прячутся уязвимые места в сайте на WordPress:

1. Плагины;

2. Темы;

3. Ну и конечно сам движок.

Причем если тему мы можем заказать у профессионалов, то с плагинами и движком ничего не поделаешь, возможность взлома всегда есть.

Как можно усилить защиту WordPress блога.

1. Не показываем информацию о неверно введенном пароле.

Если при попытке залогиниться в WordPress вы ошибётесь с логином или паролем, движок скажет вам об этом. А зачем кому то (хакеру) знать, что пароль, который он пытается подобрать – неверен? Просто убираем эту информацию.

Что необходимо сделать?

Открываем файл functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/ваша тема) и добавляем следующий код:

add_filter(‘login_errors’,create_function(‘$a’, «return null ; » ));

сохраняем файл. Теперь никаких подсказок.

2. Принудительное использование SSL

Если вы хотите, чтобы передаваемая вами информация была защищена, вам необходимо использовать SSL—протокол, обеспечивающий целостность и конфиденциальность обмена данными.

Как включить?

Прежде всего узнаём, есть ли возможность у вашего провайдера использовать SSL. Если да, то открываем файл wp-config.php и добавляем следующий код:

define(‘FORCE_SSL_ADMIN’, true);

3. Защищаем файл wp-config с помощью .htaccess.

wp-config.php содержит все данные, необходимые для подключения к серверу MySQL и базе данных. Защита этого файла – одна из самых главных задач.

Что необходимо сделать?

Находим файл .htaccess в корне нашего сайта и добавляем следующий код:

<files wp-config.php>

order allow,deny

deny from all

</files>

Теперь никто, кроме владельца не сможет получить доступ к файлу.

Что делать, если Вас все же взломали.

Если вместо главной страницы отображается последствия хакерской атаки.

На форуме поддержки WordPres подсказали такую инструкцию:

Первое переключаем тему.

Если не помогло, делаем следующее:

1. Переустанавливаем весь WP, предварительно сделал полный бэкап с картинками и всеми загрузками и БД;

2. Удаляем все файлы на сервере;

3. Перезаписываем чистый WP и наш wp-config.php;

4. Копируем заново все наши плагины;

5. после этого можно зайти на сайт в админку посмотреть как все работает;

6. потом копировать назад папку upload с картинками предварительно проверив ее антивирусом.

ВАЖНО - перед изменениями в конфигурационных файлах, делаем их копии. Инструкцию 1 и 3 я сделал у себя, все ок. 3 нет, так как хост не поддерживает SSL.

(подтверждение «Я утверждаю регистрацию этого блога на службе Paperblog под псевдонимом lifeact») 


А как Вы защищаете свой блог?


.


Метки: ,

[.....Поделитесь записью с друзьями, они тоже хотят!......]



[.........................Получать новые статьи.........................]
Я в Facebook Мой Twitter



Похожие записи...

[............................Есть что сказать?.............................] Написать комментарий
  1. Icar Говорит:

    Да уж, и кому же понадобилось ломать блог Людмилы? Делать хакерам больше нечего. Сам стараюсь лишних движений не делать, но конечно никто не может быть уверен в безопасности своего блога… Спасибо за информацию :)

    [Ответить]

    Дмитрий Reply:

    там вместо главной была их заставка мол взломано нами, я погуглил, даже инфы про них не было.

    [Ответить]

  2. Larisenok Говорит:

    Дим, ну тоже все это странно как-то — ну пипец реально

    [Ответить]

    Дмитрий Reply:

    абзац, ну ты загнула))))))))
    так странно или реально?

    [Ответить]

    Larisenok Reply:

    @Дмитрий, ты же все понял))) ты просто теперь мой герой!!!

    [Ответить]

    Дмитрий Reply:

    ну все…. кем кем а героем мне еще не приходилось быть ))))

    [Ответить]

  3. Мария Говорит:

    Спасибо за инфу. А на работу темы, плагинов эти настройки не повлияли?

    [Ответить]

    Дмитрий Reply:

    нет, они и не должны влиять, вот SSL не поддерживает нормально мой хостер, а жаль (

    [Ответить]

  4. Свекровушка Говорит:

    Дима, размышления интересные.Пункт 1 выполнила. А остальное — посоветуюсь с хостером, Натальей, чтобы хуже не сделать. А то я еще запорчу.
    От себя еще добавлю: если вы не работаете в блоге — лучше выйти из админки. И входить каждый раз.Я напишу подробней в блоге.
    З.Ы. Только, что мой плагин прислал сообщение об очередной хакерской атаке, которую он отбил.

    [Ответить]

    Дмитрий Reply:

    блин ну и ну, кому же это ты так понравилась ))))
    а что за плагин такой?

    [Ответить]

    Дмитрий Reply:

    кстати если у них статичный айпи адрес, впиши его в файл .хттацесс это его не пустит (посоветуйся с хостером)

    [Ответить]

  5. madonna4ka Говорит:

    А мне так кажется что это от хостинга зависит, там она кому то не понравилась,ну как так взломать. Ладно когда у тебя бесплатный отбирают, а тут наоборот должно быть. *diablo*

    [Ответить]

  6. Вилия Говорит:

    Если честно, я не понимаю, зачем взламывать блоги,какая польза от этого хаккерам. Ужасно обидно, когда такое происходит, в каждый блог вложен определенный труд.

    [Ответить]

    Дмитрий Reply:

    это с той же оперы зачем писать вирусы… не те, что приносят доходы, а по мельче… люди научились писать и хотят показать что они круты….

    [Ответить]

  7. Wee Говорит:

    ОГО! Взламываю, оказывается, не только странички Вконтакте!

    [Ответить]

    Wee Reply:

    @Wee, *взламываюТ .) А то подумаете, что я такими пакостями занимаюсь)) Хотя, мне с моим знанием а-ля вкл-выкл до хакера-взломщика как до Луны на самокате.)) *laugh1*

    [Ответить]

    Дмитрий Reply:

    )))))

    [Ответить]

    Дмитрий Reply:

    как в той пословице — воруют все что плохо лежит…. )))

    [Ответить]

  8. sherhan Говорит:

    Видел у Свекровушки пост, забрал запись в избранное, попытаюсь разобраться!

    [Ответить]

    Дмитрий Reply:

    а чего там разбираться, 2 куска текста в два файла и все готово )

    [Ответить]

  9. Александр Говорит:

    Есть категория людей, живущих по принципу: «Сделал гадость, мелочь, а приятно».
    А за информацию спасибо.

    [Ответить]

    Дмитрий Reply:

    @Александр, ну если ломанут детище (блог) свое, то совсем не мелочь))

    а какие они многомиллиардные убытки наносят *help*

    [Ответить]

  10. TanyaKupchanko Говорит:

    Как-то читала на одном форуме хакерском переписку и офигевала. Малолетки-школьники хвастались друг перед другом. По ходу все пакости делались не потому, что был зуб на кого-то, а так… отнечегоделать… Да и самих «жертв» выбирали случайно…

    [Ответить]

    Дмитрий Reply:

    да, от нечего делать или просто, чтобы друг перед другом повыпендриваться какие они «умные»

    [Ответить]

    LaY_zzz Reply:

    @Дмитрий, да я по молодости сама, когда скучно было аськи и е-мейлы взламывала))
    да даже больше не взламывала, а просто пароль подбирала.

    [Ответить]

    Дмитрий Reply:

    ого круто ))) так ты хаЦкер оказывается )))))))

    я только к архивам пароли прогой подбирал

    [Ответить]

    LaY_zzz Reply:

    @Дмитрий, да так развлекалась немного)) у меня просто аську кто-то угнал я решила проверить насколько сложно ее взломать

    [Ответить]

    Дмитрий Reply:

    блин а у меня аська уже лет 10 наверно ))))
    и забывал пароль много раз, и сам номер терял, и всегда находился, прижилась видать и номер такой прикольный — 282457838 )

    [Ответить]

    LaY_zzz Reply:

    я свой новый номер так и не смогла запомнить, а первый номер помнила хорошо

    [Ответить]

    Дмитрий Reply:

    зуб за зуб, глаз за глаз ))))

    [Ответить]

  11. LaY_zzz Говорит:

    да уж… хреново, когда кто-то приходит и всё ломает(

    [Ответить]

    Дмитрий Reply:

    Доброго утра )
    не то слово, ты пыхтишь неделями, месяцами, а потом бах и все (

    [Ответить]

  12. Елена Говорит:

    Спасибо, Дима за полезности, постараюсь их применить. Я когда тему устанавливала, то проверяла ее на Валидаторе и ошибка оказалась в чужеродном коде бирже J2J, который оказался прописан в шаблоне.
    Но это повезло, что там была ошибка, а то не известно, когда бы я обнаружила такое.

    [Ответить]

    Дмитрий Reply:

    Привет Лен, рад видеть тебя )
    Ух ты, а можешь кинуть ссылку, что за валидатор, я свою не проверял, может у меня тоже бока :-)

    [Ответить]

  13. Надежда Говорит:

    Дима, спасибо за полную информацию, но я как sherhan, поробую разобраться.

    [Ответить]

    Дмитрий Reply:

    пожалуйста, если что спрашивайте, подскажу )

    [Ответить]

  14. Юрий Говорит:

    Привет, создал новый видео-блог о семье. Ищу блоги для дружбы RSS-ками. Есть желание взаимно подписаться?

    Юрий (AR00t)

    [Ответить]

    Дмитрий Reply:

    Привет)
    видео-блог о семье — что то новое)

    Есть желание взаимно подписаться?

    конечно, интересные блоги читаю и подписываюсь на них.
    подписался, вечером дома подтвержу подписку.

    ЗЫ а зачем пузомерки на таком видном месте? Тем более если они пока еще не велики :-)

    [Ответить]

  15. Марина Говорит:

    Дмитрий, вот это новость!!! А я и не задумывалась о таком, как-то не доводилось сталкиваться. Вот теперь думаю, отчего у меня недавно слетал блог…Правда, мне его восстановили быстро ребята с хостинга, если бы не они, наверное по сию пору бы ковырялась и не факт, что восстановила бы сама. А за ваш опыт, которым делитесь, спасибо огромное!

    [Ответить]

    Дмитрий Reply:

    за ваш опыт, которым делитесь, спасибо огромное!

    ну девиз блога — Превращение теории в реализованный опыт :-)
    Вам спасибо за поддержку…

    Кстати я в вашем блоге оставил камент, а он не появился… он появляется после одобрения?

    [Ответить]

  16. Яна Говорит:

    Меня тоже недавно взломали (подробности здесь http://polyova.com/?p=2930 )
    Чаще всего вирус проникает с компьютера через ФТП. Потому главная мера безопасности — чистота и здоровье ПК

    [Ответить]

    Дмитрий Reply:

    Привет Яна!)
    Давно же я тебя не видел) и не видел среди моих знакомых, как ты попала ко мне? )

    Чаще всего вирус проникает с компьютера через ФТП

    ну для доступа по фтп надо же пароль знать, а хостеры дают как правило сложный пароль, подобрать проблематично.

    В данном случае у Свекровушки в шаблоне дырка была.

    [Ответить]

    Дмитрий Reply:

    ааа, троян пароль ворует это да, у меня тьфу-тьфу comodo зорко за порядком смотрит :-)

    [Ответить]

    Icar Reply:

    @Дмитрий, Можешь скинуть фаерфол? :)

    [Ответить]

    Дмитрий Reply:

    в смысле…. фаервол? Саму прогу?
    У тебя нет фаервола?
    вот от комодо, бесплатный comodo.com/home/download/download.php?prod=firewall

    очень много специалистов, хорошего мнения о фаерволе от комодо… с виндовым ему не тягаться )

    Но я с комодо слез, у меня интернет секурити стоял, посидел немного не антивире от мелкософта, теперь поставил доктора веба лицензию, но мечу я на Нортон, похоже самый лучший и надежный антивирь)

    [Ответить]

  17. Larisenok Говорит:

    Димуль, ты можешь помочь Оле? — у нее посты индексируются, а ссылки нет… просто ты у нас самый умный

    [Ответить]

    Дмитрий Reply:

    Ну у меня тоже фигня ))
    мне Еленка сказала, что нужно писать Платону на Яше…. он проанализировал, поправил и все гуд, у нее тоже не индексировались, у меня руки до этого Платона еще не дошли, это вроде как чел с сапорта

    [Ответить]

  18. Илья Говорит:

    Фигня статья.

    1. По мимо простого сообщения можно с легкостью узнать подошел ли пароль или нет. Защита от брута — ограничение числа ввода и временная блокировка пользователя.
    2. Это защитит только он снифа. Ды и мало кто анализирует трафик, хотя не спорю, люди есть.
    3. Данный файл при обращении всегда выдаст пустоту, если пхп работает. А вот если пхп обрубился, то тогда да, htaccess будет кстати.

    Однако реально защитить сайт эта статья не поможет.

    [Ответить]

    Дмитрий Reply:

    Фигня статья.

    видать она не для таких спецов как Вы ;-)

    Однако реально защитить сайт эта статья не поможет

    статья не называется — абсолютная защита блога вордпрес!

    [Ответить]

    Илья Reply:

    @Дмитрий,
    Вот уже ближе к телу. Поможет снизить вероятность взлома. http://blogwm.ru/security-wordpress/
    Блог не мой, так что не реклама :)

    И еще не плохо было бы поставить фильтр на попытки sql инъекций

    [Ответить]

    Дмитрий Reply:

    Блог не мой, так что не реклама

    да ради Бога, делиться знаниями это благое дело

    И еще не плохо было бы поставить фильтр на попытки sql инъекций

    это приберег для второй части статьи :-D


    спасибо за ссылку, важная инфа

    [Ответить]

  19. Илья Говорит:

    Кстати, вот еще. Из этого скрипта можно не плохую статью выжать. http://wordpress.org/extend/plugins/bulletproof-security/

    [Ответить]

    Дмитрий Reply:

    Спасибо )

    я поставил плагин фаервол 2, но у этого вижу список фич повнушительней, по изучаем, спасибо)
    а ты чем в тырнете занимаешься? Просто линка на ресурс нет, а это большая редкость :-)

    [Ответить]

  20. Илья Говорит:

    Веб-разработчик. В основном коммерческие проекты. В ссылку указал блог, на котором иногда статьи пишу. Ведем его вдвоем с другом.

    [Ответить]

    Дмитрий Reply:

    понятно :-)

    [Ответить]

  21. pavka Говорит:

    Если хаккер проф, нич не спасет

    [Ответить]

    Илья Reply:

    @pavka,
    Если так рассуждать, то незачем вообще делать сайты :) Тем более профы не занимаются рядовыми блогами, это бессмысленно. Как правило это либо массовый взлом по уязвимости, либо малолетка балуется)

    [Ответить]

    Дмитрий Reply:

    это да, ток на обычные блоги профи время не тратят, это и спасает :-D

    [Ответить]

  22. ZeroXor Говорит:

    Использую самописный движок :) Отличная защита

    [Ответить]

    Дмитрий Reply:

    несмотря на всю свою суровость (честное слово, не смог найти фотографии, на которой улыбаюсь)

    )))) прикольно написал

    не каждый же может навоять движок, + он же не сильно универсальный и время на него больше уходит чем на готовый, хотя хз, не писал движков. Прелестей конечно много, как говорят программисты — хочешь сделать хорошую программу, напиши ее сам, так и с движком)

    [Ответить]

  23. СерыйШансон Говорит:

    А ты правда можешь всё? С темой помочь сможешь? Не знаю как в заголовок картинку вставить? Замучился уже ответ искать.

    [Ответить]

    Дмитрий Reply:

    @СерыйШансон, нет конечно, все может разве что Господь :)

    в заголовок ты имеешь в виду в хедер, шапку?

    иди по пути — ftp://твой_сайт/wp-content/themes/название твоей темы/style.css

    скопируй себе этот файл style.css
    и в секцию

    #header {
    height: 55px;
    padding-bottom: 15px;
    padding-left: 0px;
    padding-right: 0px;
    padding-top: 15px;
    }

    допиши путь к картинке, например так:

    #header {
    height: 55px;
    padding-bottom: 15px;
    background-image: url(«полный интернет путь к картинке»);
    padding-left: 0px;
    padding-right: 0px;
    padding-top: 15px;
    }

    размерами картинки играйся, пока не будет самое то.

    сохраняй файл и назад заливай поверх старого, естественно сделай копию файла.

    фтп менеджер http://filezilla.ru/

    удачи, если что пиши

    [Ответить]

  24. Ольга Ladyemansipe Говорит:

    Я эту тему пропустила, потому что была в отпуске:) Хочется верить, что меня это обойдет, хотя восстанавливать блог так муторно. Вывод один — меньше экспериментов с темами, и плагинами.

    [Ответить]

    Дмитрий Reply:

    + настройка автоматического бэкапа как базы, так и файлов, тогда ничего не страшно )

    [Ответить]

  25. Денис Говорит:

    Пока что только создал блог, буду пользоваться советами и защищать его от взлома.

    [Ответить]

    Дмитрий Reply:

    @Денис, дерзайте. Не забудьте еще посмотреть записи по СЕО — /tag/seo/ и по монетизации — /tag/zarobotok/

    [Ответить]

Ответить


+ 3 = 5

LifeAct 2010-2011
 
Rambler's Top100 каталог блогов каталог блогов Яндекс.Метрика