Het is niet voldoende om de gevolgen weg te nemen, u moet de oorzaken begrijpen. Dat heb ik al geschreven we zijn gehackt en vermoedelijk hebben we allemaal besloten. Een week later herhaalde het verhaal zich echter, een ander jQuery-script werd gewijzigd, evenals .htaccess-bestanden. En in .htaccess waren er omleidingen naar een linkse site alleen voor mobiele apparaten en tablets, en daarom merkte ik dit niet meteen.
In een paar dagen slaagde ik erin om alle door de aanvaller gewijzigde bestanden te vinden, evenals de bestanden die hij speciaal voor penetratie (shell) had gemaakt. En nogmaals, dankzij de hosting voor hun hulp. Waarna ik besloot alle maatregelen te nemen die op internet staan beschreven.
De inhoud van het artikel
- 1 Alle delen van mijn kleine blogger FAQ:
- 2 WordPress Blog beveiligingstips
- 2.1 Update teller- en widgetcodes
- 2.2 Update alle plug-ins en WordPress naar de nieuwste versies en verwijder ongebruikt
- 2.3 Update timthumb.php
- 2.4 Controleer de rechten op mappen en bestanden
- 2.5 Wijzig de gebruikersnaam van de beheerder
- 2.6 Wijzig alle wachtwoorden in complexere
- 2.7 Bescherm .htaccess- en wp-config.php-bestanden voor iedereen
- 2.8 Bescherm de map wp-includes met .htaccess
- 2.9 Bescherm de map wp-admin met .htaccess en .htpasswd
- 2.10 Wijzig databasevoorvoegsel
- 2.11 Installeer de Belavir-plug-in
- 2.12 Installeer WP Security Scan Plugin
- 2.13 Installeer Better WP Security Plugin
- 2.14 Het monitoren van veranderingen op uw ftp
- 2.15 Backups van databases en bestanden eens in de paar dagen
Alle delen van mijn kleine blogger FAQ:
Ik heb een aantal bloggerelateerde artikelen geschreven. Ze beweren niet dat ze een volwaardige handleiding zijn, maar beginners kunnen nuttig zijn. Je kunt het lezen als je geïnteresseerd bent.
0. Ik raad een cursus aan «Hoe miljonair blogger te worden en geld te verdienen»
1. Hoe een blog te starten
2. Hoe een blog te promoten - een lijst met mijn acties
3. Geld verdienen op een blog en reizen
4. Een voorbeeld van verdienen op onze blog - Finstrip 2013, finstrip 2012, Finstrip 2011
vijf. Lezers- en zoekverkeer en waarom lezers niet terugkomen
6. Een kleine waarheid over bloggen over reizen
7. Tips voor WordPress Blog Protection
WordPress Blog beveiligingstips
Het is onwaarschijnlijk dat de lijst compleet is en, zoals ze zeggen, wie het ook nodig heeft, wordt hoe dan ook verbroken. Maar in ieder geval kan bijna elke blogger deze acties uitvoeren om zichzelf op zijn minst een beetje te beschermen..
Update teller- en widgetcodes
Controleer de codes van alle tellers en sociale widgets op je blog en op de site, waar heb je ze vandaan?.
Misschien zijn ze bijgewerkt. Ik merkte dat Facebook vaak de code voor widgets verandert, het verbetert blijkbaar de beveiliging.
Update alle plug-ins en WordPress naar de nieuwste versies en verwijder ongebruikt
Hier zijn opmerkingen overbodig, iedereen weet hoe het moet. Kwetsbaarheden zitten meestal in plug-ins en thema's, daarom moeten in ieder geval alle ongebruikte worden verwijderd.
Update timthumb.php
Als je thema het formaat van miniaturen wijzigt via timthumb.php, dan moet je dit bestand zeker bijwerken naar de nieuwste versie, aangezien oudere versies een bekende kwetsbaarheid hebben.
Controleer de rechten op mappen en bestanden
Alle bestanden moeten 644 rechten hebben, 755 mappen behalve .htaccess - 444 rechten en mappen uploaden - 777 rechten.
Wijzig de gebruikersnaam van de beheerder
De snelste optie is om naar phpadmin te gaan en daar in uw database deze query uit te voeren:
UPDATE wp_users SET user_login = ‘Uw nieuwe login’ WAAR user_login = ‘beheerder’;
Of u kunt eenvoudig een nieuwe gebruiker maken via het admin-paneel van de blog, alle artikelen opnieuw aan hem toewijzen en de oude admin-gebruiker verwijderen..
Wijzig alle wachtwoorden in complexere
Banaal advies, maar wachtwoorden moeten complex zijn, bestaande uit cijfers en letters van verschillende registers. Vergeet ook niet dat je na de strijd tegen virussen alle wachtwoorden op welke manier dan ook moet wijzigen (blog admin, hosting admin, ftp, sql database), en het is ook logisch om de geheime sleutels in het wp-config.php bestand te veranderen.
Bescherm .htaccess- en wp-config.php-bestanden voor iedereen
Voeg deze code toe aan je .htaccess in de root van de blog:
Bestelling weigeren, toestaan
ontkennen van alles
bestelling toestaan, ontkennen
ontkennen van alles
Bescherm de map wp-includes met .htaccess
Maak een gewoon tekstbestand, noem het .htaccess en kopieer het naar de map wp-includes, nadat je de code aan het bestand hebt toegevoegd:
Bestel toestaan, weigeren
Ontken iedereen
Sta toe van alles
Bescherm de map wp-admin met .htaccess en .htpasswd
Maak een gewoon tekstbestand, noem het .htaccess en kopieer het naar de wp-admin-map, nadat je de code aan het bestand hebt toegevoegd:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “beperkt”
Bestelling weigeren, toestaan
Ontken iedereen
Vereist een geldige gebruiker
Bevredig iedereen
Waar, «/home/public/.htpasswd» Is het volledige pad naar het .htpasswd-bestand. Het is raadzaam dat dit bestand zich boven de directory van je blog bevindt.
Het .htpasswd-bestand bevat het wachtwoord voor toegang tot de wp-admin-zone in gecodeerde vorm. De eenvoudigste manier om dit bestand te maken, is door de gebruikersnaam en het wachtwoord op de gebruikelijke manier in te voeren. Herhaal en geef geen gegevens aan die verschillen van bestaande accounts.
Er is maar één ongemak met deze methode - het is niet van toepassing als je een blog voor meerdere gebruikers hebt, omdat het wachtwoord van alle gebruikers wordt gevraagd.
Wijzig databasevoorvoegsel
Wijzig het voorvoegsel van uw SQL-database van standaard «wp_» op sommige «wpsdjflk647_» Het was mogelijk aan het begin van de oprichting van de blog. Maar nu is dit geen probleem. Ik heb er een plug-in van gemaakt, die hieronder zal worden besproken. Hoewel je naar phpadmin zou kunnen gaan, vervang je alle tabelnamen daar en verander je het voorvoegsel in het bestand wp-config.php
Installeer de Belavir-plug-in
Installeer de Belavir-plug-in, die wijzigingen in alle php-bestanden van uw blog zal volgen. De plug-in zelf controleert niets, maar start de scan wanneer u naar het blogbeheerpaneel op de consolepagina gaat, waar het de wijzigingen daadwerkelijk weergeeft. Hij heeft geen instellingen.
Installeer WP Security Scan Plugin
Installeer de WP Security Scan-plug-in, waarmee u een aantal dingen kunt doen, met name:
- wijzig database prefix
- controleer de rechten op mappen en bestanden
- verberg de versie van WordPress
- sluit de antivirus voor de blog aan en controleer deze
Installeer Better WP Security Plugin
Installeer de Better WP Security-plug-in, deze is zelfs meer nodig dan de vorige twee. De lijst met functies is erg groot, ik zal een deel opsommen:
- hiermee kunt u het databasevoorvoegsel wijzigen
- verwijdert onnodige informatie uit de blogcode per type wordpress-versie
- controleert veranderingen in alle bestanden
- verbiedt het ip van degenen die vreemde adressen in de browser invoeren achter de naam van je blog, en krijgen een foutmelding 404
- verbiedt de selectie van een wachtwoord voor het admin-paneel, verbiedt ip
- wijzigt de standaard admin-inlogadressen, uitstekende bescherming tegen brute-force-aanvallen
- en veel meer.
Het monitoren van veranderingen op uw ftp
Installeer het ftpinfo-programma op uw computer, waarmee u verbinding kunt maken met uw ftp-server en de wijzigingen van alle accountbestanden kunt controleren op hun uiterlijk / verwijdering / wijziging. Heel handig tijdens virusaanvallen. U kunt niet alleen alle bestanden controleren, maar ook maskers maken voor bestanden en mappen.
Backups van databases en bestanden eens in de paar dagen
Het is erg handig, het kan handig zijn om virussen te bestrijden. De originele bestanden zijn altijd bij de hand en er is een mogelijkheid om terug te draaien als het niet mogelijk is om de site van virussen te verwijderen. Ik gebruik de BackWPup-plug-in. Het heeft veel functies, waaronder het kopiëren van gegevens naar Dropbox - een handige service die 2 GB vrije ruimte op internet biedt en synchronisatie met uw computer.
Dit zijn de tips voor het beschermen van een WordPress-blog die ik op onze blog heb toegepast. Als er vragen of aanvullingen zijn (misschien kan er iets anders worden gedaan), schrijf dan in de comments 🙂