Със сигурността на вашия блог трябва да се погрижите от самото начало, а не да го отлагате до неясно „завъртете се и се заемете“. Особено след като сега е пред вас подробни инструкцииза това как да защитите вашия WordPress сайт от хакване, вируси и други проблеми.
Преди мислех за сигурност, но не толкова сериозно. И след тази статия в сайта А. Борисова се зае сериозно с въпроса. Намерих в Интернет всички проблемни области на системата и методи за тяхното отстраняване. Оказа се доста голяма статия от 14 точки!
Как да защитите уебсайт на wordpress
1. Променете стандартното влизане.На първо място, хакерите пробиват такива популярни влизания като администратор, потребител, модератор, администратор. Ако използвате един от тях, тогава сте свършили половината работа за нападателите. Особено често се използва администраторът - кратък, лесен за запомняне, веднага можете да видите, че това е важен удар, така че собствениците на сайтове не го променят на нещо по-сложно.
Има много опции за промяна на това влизане, но най-простият е:
- Отидете в административния панел, отидете в секцията Потребители - щракнете върху Добавяне.
- Измислете сложно влизане за новия потребител (можете само да зададете букви и цифри) и изберете Роля - Администратор.
- Излезте от текущия потребител (изберете Изход горе вдясно).
- Влезте с новия потребител, който току-що създадохте.
- Работете с този акаунт: създавайте нови статии, редактирайте стари, добавяйте/премахвайте добавки. Като цяло проверете дали наистина има всички правомощия на администратора.
- Изтриване на потребител с псевдоним admin.
2. Задайте сложна парола- това е точно случаят, когато не можете да използвате стандартната си парола под формата на qwerty. Трябва да измислите уникална парола, много сложна, от 20 знака с различни главни букви, цифри и различни символи. Ако се страхувате да забравите, запишете го в хартиен тефтер. Но не го съхранявайте на компютъра си. Как да измислите сложна парола можете да намерите в тази статия.
Сложна парола трябва да има не само в административния панел на wordpress, но и за други услуги, свързани със сайта: поща, хостинг и др.
3. Скриване на влизане- колкото и да се опитвате да измислите супер сложен логин, има вратичка, която ви позволява да го видите и копирате. За да направите това, въведете http://your_domain.ru?author=1 в адресната лента, като замените вашия домейн. Ако връзката не се превръща в /author/admin, където admin е новото ви логин, значи всичко е наред.
Но ако вашето име за вход все още се показва там, трябва спешно да го скриете, като използвате специална команда във файла functions.php:
/* Промяна на данните за вход в коментарите */
функция del_login_css($css) (foreach($css като $key => $class) (
if(strstr($class, "comment-author-insert_valid_login")) (
$css[$key] = 'comment-author-enter_fictitious_login'; ) )
връща $css; )
add_filter('comment_class', 'del_login_css');
Сега настройваме пренасочване към главната страница, за това трябва да отворите файла .htaccess в главната папка (с помощта на filezilla) и тук след реда
RewriteRule. /index.php [L]
Добавете този текст:
RedirectMatch Постоянно ^/author/real_login$ http://your_domain.ru
4. Поддържайте WordPress актуален.Нови версии се появяват от време на време, известията висят направо в контролния панел. Направете резервно копие на сайта, актуализирайте и проверете дали работи. Колкото по-нова е, толкова по-трудно е да се хакне системата - появяват се нови нива на защита, а старите техники за хакване не работят.
5. Скрийте версията на WordPress от любопитни очи.По подразбиране тази информациясе показва в кода на страниците и нападателите не трябва да го докладват. Познавайки вашата версия, ще му бъде по-лесно да разпознае пропуски и да хакне системата.
Така че отворете functions.php за редактиране и след това добавете този ред:
remove_action('wp_head', 'wp_generator');
Тази проста функция деактивира показването на системни данни.
6. Премахнете license.txt и readme.htmlот основната папка. Те не са необходими сами по себе си, но могат да се използват за лесно четене на информация за вашата система и откриване на версията на WordPress. Те автоматично се появяват отново, ако актуализирате wordpress. Така че почиствайте файловете всеки път, когато инсталирате актуализация.
7. Скрийте папките wp-includes, wp-content и wp-content/plugins/.Първо проверете дали съдържанието на тези папки е видимо за външни лица. Просто заменете вашия домейн във връзките и отворете връзките в браузъра:
- http://вашият_домейн/wp-includes
- http://вашият_домейн/wp-съдържание
- http://вашият_домейн/ wp-съдържание/плъгини
Ако виждате папки и файлове, когато отидете на тези страници, тогава трябва да скриете информацията. Това се прави много, много просто - създайте празен файл с име index.php и го поставете в тези директории. Сега този файл ще бъде отворен по време на прехода, т.е. празна страница без информация.
8. Не инсталирайте безплатни теми- вече е от личен опитинформация, въпреки че всички пишат за това. Но реших да заобиколя системата и да сложа безплатна тема от интернет на другия си сайт - много ми хареса. И в началото всичко беше наред.
След около шест месеца започнах да проверявам изходящите връзки от сайта и открих 3 неясни връзки. На самите страници не успях да ги намеря - скриха ги много хитро. След като проучих проблема, намерих информация, че това е много често срещан проблем, когато кодът за отдалечено поставяне на връзки е вграден в безплатни шаблони. Трябваше да прекарам цялата вечер, но отстраних проблема и сега всичко е наред. Но колко щети може да причини!
9. Инсталирайте правилните добавки за защита, но не забравяйте да инсталирате от официалния сайт ru.wordpress.org или от контролния панел.
- Ограничаване на опитите за влизане - за ограничаване на опитите за влизане. Ако въведете вашето потребителско име и парола неправилно 3 пъти, достъпът ще бъде блокиран за N минути/часа. Вие сами задавате броя на опитите и времето за блокиране.
- Wordfence Security е плъгин за проверка на уебсайт за вируси и промени в зловреден код. За да започнете, просто инсталирайте и щракнете върху Сканиране. Но след проверка е препоръчително да го деактивирате, за да не създавате допълнително натоварване на сайта. Проверявайте блога си за вируси поне веднъж месечно.
- Архивиране на база данни на WordPress - автоматично изпраща резервно копие на базата данни на вашия уебсайт по пощата. Честотата може да се задава независимо - веднъж на ден или седмично.
- Преименуване на wp-login.php - Променя адреса за влизане в контролния панел от стандартния http://your_domain/wp-admin.
- Anti-XSS атака - защитава блога от XSS атаки.
10. Проверете компютъра си за вируси– понякога вирусите идват директно от вашия компютър. Затова инсталирайте добра антивирусна програма и я поддържайте актуална.
11. Систематично архивирайте– или с помощта на приставката за архивиране на база данни на WordPress, или ръчно. При някои хостове това се случва автоматично, така че можете да възстановите сайта по всяко време в случай на проблеми.
12. Работете с доверен хост, защото в много отношения сигурността на сайта зависи от качеството на хостинга. Преместих се в Makhost преди месец и разликата с предишния е забележима (преместването беше описано в тази статия). Силно няма да го препоръчам, тъй като не съм бил с тях от дълго време, въпреки че приятел с тях от година не може да им се насити. Като цяло, не вземайте тарифи за 100 рубли в името на спестяването, тогава можете да платите скъпо.
13. Различни пощенски кутии за сайта и хостинга. Много е лесно да извадите пощенска кутия от WordPress, след което можете да я хакнете и да получите достъп до данните. И ако хостингът е обвързан с него, няма да е трудно да промените паролата и да вземете сайта за себе си. Така че вземете отделна кутия за хостинг, така че никой да не знае или да я види.
14. Свържете специален IP адрес, за да не съжителства с порно сайтове, сайтове под филтър или с вируси. Така че, ако имате възможност, вземете отделно IP, за да не се притеснявате за това. Между другото, в областта на блогърите има непотвърдени слухове, че специалният IP подобрява позициите в резултатите от търсенето.
Сега знаете най-много прости начиникак да защитите сайт на wordpress и ще бъдете пощадени от банални заплахи. Но освен това има много други опасности, от които не е толкова лесно да се спасите. Точно за такива сериозни ситуации Юрий Колесов създаде курса "
Бях хакнат. Харесайте страница във VKontakte. Но те не са молили за пари, а са създали много "леви" страници с връзки към различни сайтове. Тогава се замислих да защитя блога си. И намерих идеалното решение.
Първото нещо, което направих, беше да се свържа с техническата поддръжка с молба за възстановяване на сайта ми в деня преди хакването и десет минути по-късно имах нормалния си блог.
След това инсталирах много добавки, за да предпазя WordPress от хакване. Но блогът стана ужасно бавен. Страниците се зареждат за пет до десет секунди. Твърде дълго е.
Започнах да търся добавки, които не натоварват толкова много системата. Четох отзиви за тези добавки и все по-често се натъквах на All In One WP Security. Според описанието много ми хареса и реших да го сложа в блога си. И той все още ме защитава, защото не съм виждал нищо по-добро.
Какво може да направи All In One WP Security (защита на wordpress всичко в едно):
- Прави резервни копия на база данни, конфигурационен файл wp-config. и .htaccess файл
- Промяна на адреса на страницата за оторизация
- Скрива информацията за версията на WordPress
- Защита на админ панел - блокиране при некоректна авторизация
- Защита на роботи
- И още много полезни неща
Смело мога да кажа, че плъгинът All In One WP Security е най-добрата защита за WordPress сайт.
Настройване на All In One WP Security
След като влезете в секцията Настройки, първото нещо, което трябва да направите, е да направите резервни копия:
- база данни;
- wp-конфигурационен файл
- htaccess файл
Това става на първата страница от настройките на плъгина All In One WP Security.
Направете резервно копие (резервно копие) преди да започнете работа
Ще премина само през най-важните точки.
всички в едно настройки на приставката за защита на wp Контролен панел
Тук ни посреща броячът „Safety Meter“. Показва нивото на защита на сайта. Вашият обект трябва да е поне в зелената зона. Няма нужда да преследвате максималната лента - допълнителните настройки могат да нарушат функционалността на сайта. Вземете златната среда.
Брояч за защита на сайта на WordPress Когато промените настройките за сигурност на приставката, ще видите зелен щит с числа във всеки елемент - това са числата, които се добавят към общия резултат за сигурност.
цифрата се добавя към общия резултат за сигурност Настройки
Информация за WP версия
Поставете отметка в квадратчето Изтриване на метаданни на WP Generator.
Премахване на метаданни на WP Generator Това се прави, за да не се показва в кода версията на WordPress двигателя, който сте инсталирали. Нападателите знаят коя версия има уязвимости и като знаят версията на WordPress, която сте инсталирали, ще могат да хакнат сайта ви по-бързо.
Администратори
Персонализирано име на WP
Ако имате вход за влизане в администраторския панел на администратора, тогава не забравяйте да го промените. Admin е най-популярното влизане. Много TsMSki го предлагат по подразбиране и хората просто са твърде мързеливи, за да го променят.
Нападателите използват различни програми за хакване на уебсайтове. Тези програми избират потребителски имена и пароли, докато намерят подходяща комбинация.
Затова не използвайте администраторско име.
Екранно име
Ако вашият псевдоним съвпада с данните за вход, не забравяйте да промените данните за вход или псевдонима.
Парола
Ако въведете паролата си тук, плъгинът ще покаже колко време отнема хакването на вашия сайт.
Препоръки за укрепване на силата на паролата:
- Паролата трябва да се състои от букви и цифри
- Използвайте главни и малки букви
- Не използвайте кратки пароли (минимум 6 знака)
- Желателно е паролата да има специални знаци (% # _ * @ $ и многословно)
Сложност на паролата Упълномощаване
Раздел за блокиране на оторизация
Не забравяйте да включите. Ако в рамките на 5 минути някой въведе неправилна парола 3 пъти, тогава IP ще бъде блокиран за 60 минути. Можете да сложите повече, но е по-добре да не правите това. Може да се случи вие самите да въведете неправилна парола и след това да чакате месеци или дори години :)
Поставете отметка в квадратчето „Незабавно блокиране на невалидни потребителски имена“.
Да приемем, че вашето име за вход е hozyainsayta и ако някой въведе друго име за вход (например вход), тогава неговият IP адрес ще бъде автоматично блокиран.
опции за заключване на авторизация Автоматично излизане на потребителите
Поставяме отметка. Ако влезете в административния панел на сайта от друг компютър и забравите да излезете от административния панел, след определен период от време системата ще ви излезе.
Сложих 1440 минути (това са 24 часа).
Опции за автоматично излизане на потребители Регистрация на потребител
Ръчно потвърждение
Поставете отметка до „Активиране на ръчно одобрение на нови регистрации“
Ръчно одобрение на нови регистрации CAPTCHA при регистрация
Отбелязваме и квадратчето. Това прекъсва опитите за регистриране на бот-робот, тъй като роботите не могат да се справят с captcha.
Регистрация Honeypot (бъчва с мед)
Ние празнуваме. И ние не оставяме на роботите нито един шанс. Тази настройка създава допълнително невидимо поле (като Въведете текст тук). Това поле е видимо само за роботи. Тъй като автоматично попълват всички полета, ще напишат нещо и в това поле. Системата автоматично блокира тези опити за регистрация, за които това поле е попълнено.
Защита на бази данни
Префикс на DB таблица
Ако вашият сайт съществува от дълго време и в него има много информация, тогава трябва да промените префикса на базата данни с най-голямо внимание.
не забравяйте да архивирате базата данни
Ако току-що сте създали вашия сайт, можете спокойно да промените префикса.
Префикс на таблицата на базата данни Архивиране на база данни
Активиране на автоматичното архивиране.
Изберете честотата на архивиране.
И броя на файловете с тези резервни копия, които ще бъдат запазени. Тогава те ще започнат да презаписват.
Ако искате тези файлове да бъдат изпратени допълнително на вашия имейл, поставете отметка в съответното поле. Имам отделна папка в пощенската си кутия за тези цели, всички архиви (на моите и клиентските сайтове) се изпращат там.
Настройки за архивиране на база данни Защита на файловата система
Тук променяме разрешенията за файлове, така че всичко да е зелено.
редактиране на php файл
Поставяме в случай, че не редактирате файлове през админ панела. По принцип трябва да правите промени във файлове чрез програми за управление на ftp (като filezilla). Така че в случай на някакъв "якс" винаги можете да отмените предишното действие.
Ние отказваме достъп. С това действие можем да скрием важна информация за хакерите.
Черен списък
Ако вече имате IP адреси, на които искате да забраните достъп до сайта, активирайте тази опция.
Блокиране на потребители по IP защитна стена
Основни правила на защитната стена.
Firewall и Firewall е софтуерен пакет, който е филтър за неоторизиран трафик.
Тези правила се добавят към файла .htaccess, така че първо го архивираме.
Сега можете да поставите необходимите квадратчета за отметка:
Активирайте основните функции на защитната стена 
Защита срещу XMLRPC уязвимост и WordPress Pingback 
Блокирайте достъпа до debug.log Допълнителни правила за защитна стена
В този раздел поставете отметки в следните квадратчета:
- Деактивирайте сърфирането в директория
- Деактивирайте HTTP проследяването
- Деактивирайте коментарите чрез прокси
- Деактивирайте злонамерените низове в заявките (може да наруши функционалността на други добавки)
- Активирайте допълнително филтриране на знаци (Ние също действаме предпазливо, трябва да погледнете как това се отразява на ефективността на сайта)
- Всеки елемент има бутон „+ Още подробности“, където можете да прочетете подробно за всяка опция.
6G Черен списък Правила за защитна стена
Отбелязваме и двете точки. Това е доказан списък с правила, които плъгинът за сигурност на сайта WordPress предоставя.
Настройки на защитната стена (защитна стена). Интернет ботове
Възможно е да има проблеми с индексирането на сайта. Не активирам тази опция.
Предотвратяване на горещи връзки
Поставяме отметка. Така че изображенията от вашия сайт да не се показват на други сайтове чрез директна връзка. Тази функция намалява натоварването на сървъра.
Откриване 404
Грешка 404 (няма такава страница) се появява, когато въведете адреса на страницата по погрешка. Хакерите използват груба сила, опитвайки се да намерят страници с уязвимости и следователно въвеждат много несъществуващи URL адреси за кратък период от време.
Такива опити за хакване ще бъдат въведени в таблица на тази страница и като поставите отметка в квадратчето, ще можете да блокирате техните IP адреси за определеното време.
404 настройки за проследяване на грешки Защита срещу атаки с груба сила
По подразбиране всички сайтове на WordPress имат един и същ адрес на страницата за оторизация. И така нападателите знаят точно откъде да започнат да хакнат сайта.
Тази опция ви позволява да промените адреса на тази страница. Това е много добра защита за wordpress сайт. Не забравяйте да смените адреса. Не съм поставил отметка в това квадратче, защото моята автоматично промени тази страница за мен по време на инсталирането на системата.
Защита от груба сила с бисквитки
Не съм включил тази настройка, тъй като има възможност да се блокирам при влизане от различни устройства.
CAPTCHA за влизане
Ако има много потребители на вашия сайт или имате онлайн магазин, тогава можете да активирате Captcha по време на оторизация във всички точки.
Captcha защита по време на оторизация Бял списък за влизане
Влизате в админ панела само от домашния си компютър и сте единственият потребител на вашия сайт? След това въведете вашия IP адрес и на всички останали ще бъде отказан достъп до страницата за оторизация.
Смешно е понякога в живота да се случват неща. Попаднах на готин курс за Udemy модерни начинизащита на сайта и хакване. Повишавайки нивото си на умения, пропуснах вирусната инфекция на моя блог. Най-вероятно потребителите на WordPress са изпитали симптомите по един или друг начин, които ще опиша по-нататък. Ако не, значи сте късметлии. Аз самият не прикачих нищо към сайтове много дълго време, мислейки как все още успяват да заразят своите уеб ресурси. Още през 2014 г. бях изненадан от съобщения във форумите, че техният сайт с отлична посещаемост просто е бил заразен и отнет.
И така тази сутрин по пощата пристигна писмо от хостера ми, което ме озадачи. Да, бях приятно изненадан, че ihc следи сайтовете за зловреден софтуер, но съобщението, че един файл е бил променен през нощта без мое знание и това съмнение за вирусна активност предизвикаха хаотични емоции. Всъщност това беше потвърждение на подозренията ми.
Преди известно време открих, че показателят има кликвания към сайтове, които просто не мога да напиша в публикациите си. Когато се опитах да намеря глупаво тези връзки чрез търсачката на блога, бях пренасочен към Apache със съобщение за грешка. Още тогава, подозирайки, че нещо не е наред, влязох в досието Търсене.phpактивна тема, в която видях обфусциран код. Тогава това ме постави в ступор, но поради липса на време не се задълбочих повече. Както се оказа напразно. В крайна сметка това беше един от признаците на инфекция.
Пример за кодиран зловреден софтуер
Глупаво разчитах на средствата за откриване на зловреден код от различни услуги, които затрупват интернет. Всички те "радостно" ми съобщиха, че площадката е чиста като утринна роса.
Представете си парадоксална ситуация - има неработеща функция за търсене, има замазан php код, така че нещастният уебмастър да не вижда "подаръка", а антивирусните услуги просто мълчат.
Но да се върнем към нашите овце, по-точно към сайтовете. Във всички тези сайтове имам две нива на оторизация. Може би това е спасило сайта от отнемане от хакер. Два дни след заразяването search.phpПолучих известие от ihc.ru, че някои файлове са променени и ако не съм направил нищо, се препоръчва да проверя с антивирусната програма, предоставена от самия хостинг. Е, сега се появи възможността да тествам този антивирус, жалко, че любимият ми сайт стана тестов обект 🙁
Резултатът от проверката, меко казано, доста ме озадачи. Антивирусната програма претърси сайта за около четиридесет минути и след това изпрати своята „присъда“. 42 файла бяха заразени...
Тук беше време да се хванете за главата, като си помислите как е могло да се случи такова нещо. От само себе си се разбира, че е имало експлойт. Но повече за това по-късно.
Беше необходимо мястото да се третира, но за целта трябваше да се проучи щателно. Да, можеше да се направи много по-лесно - да се обедини дъмпът на базата данни, да се прехвърлят снимки от wp-съдържаниеи качете отново всичко това в току-що инсталиран WordPress двигател. Но "по-лесно" не означава "по-добро". Всъщност, без да знае какво е променено, човек би очаквал дупката да се появи и на повторно качения сайт. И тогава беше точно така да станеш новоизсечен Шерлок Холмс, за да извършиш пълен одит на сайта.
Намирането на зловреден софтуер е като да си детектив
Честно казано, отдавна не бях изпитвал такава страст и интерес. Да, хостинг антивирусът ми помогна по много начини, като посочи в кои файлове е намерил промени. Но дори и той не можа да открие напълно всичко, тъй като кодът се редуваше с обфускация и банално шестнадесетично кодиране, използвайки злонамерен js. Беше необходимо да се направи много с химикалки, като се използват всички инструменти на трети страни само като помощници.
И така, стартираме редактора на код и разглеждаме заразените файлове. Всъщност в кода те "изстрелват" достатъчно бързо поради тяхното криптиране. Това обаче далеч не е така навсякъде. Случи се, че е необходимо да анализирате кода на php файла ред по ред и да разберете какво не е наред с него. Веднага трябва да кажа, че беше с файловете на темата. В този случай оригиналните файлове на темата са много полезни за сравнение, ако не сте сигурни точно за какво служи тази или онази функция (а правилно написаният вирус трябва да наследява възможно най-малко).
Но нека да разгледаме всичко в ред. Вече публикувах екранна снимка на кода, замаян от вируса, в началото на статията. С помощта на ресурса https://malwaredecoder.com/ можете да го декодирате в смилаема форма и да го изучавате. В моя случай някои файлове съдържаха инжекцията. Изтриваме всичко това по дяволите.
Понякога обаче може да попаднете на кратък код с включване. Като правило те се заразяват индекс.phpи wp-конфиг.php. За съжаление не направих екранна снимка на такъв код, тъй като по това време не планирах да напиша статия. От този код стана ясно, че това е кодът за извикване на конкретен файл, кодиран чрез js. За декодиране на шестнадесетичния код ще използваме услугата http://ddecode.com/hexdecoder/, с помощта на която ще определим, че файлът се извиква на адрес wp-includes/Text/Diff/.703f1cf4.ico(Пропуснах пълния път, важна е самата същност). Какво мислите, струва ли си да се кодира извикването на прост файл с икони, макар и относително просто кодиране? Мисля, че отговорът е очевиден и отворете тази "икона" през бележника. Естествено, това отново се оказа напълно кодиран php. Изтриваме го.
След като изчистите очевидните файлове, можете да преминете към не толкова очевидните - файловете с теми на WordPress. Тук не се използва обфускация, трябва да копаете кода. Всъщност, ако не знаете какво първоначално е възнамерявал разработчикът, тогава тази задача е много креативна, въпреки че може да бъде решена доста бързо. Ако не сте променили кода на темата, по-лесно е да замените заразените файлове (антивирусът ги идентифицира със сигурност) и да продължите. Или можете да копаете като мен и да откриете, че много често такива вируси се приписват на файла функция.phpабсолютно лява функция, в която със сигурност ще има код за достъп до sql. В моя случай изглежда така (форматирането е оставено непроменено):
$sq1="ИЗБЕРЕТЕ ОТДЕЛЕН ИД, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb-> публикации ВКЛЮЧЕНИ ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\"1\" И comment_type=\"\" A ND post_author=\"li".$sepr."vethe". $comment_types."mes".$sepr."@".$c_is_approved."gm".$comment_auth."ail".$sepr.".".$sepr."co"."m\" И post_password=\ "\" И comment_date_gmt >= CURRENT_TIMESTAMP() ПОРЪЧКА ПО comment_date_gmt DESC LIMIT $src_count";
Къде отива тази проба, вече сме го почистили. Затова ние спокойно гледаме в коя функция се намира този код и изтриваме цялата тази функция - тя беше приписана на злонамерения софтуер. Но, отново, много по-лесно и по-добре е да презапишете целия файл от готовата тема, ако се страхувате да не счупите нещо.
Е, последният щрих - проверете броя на потребителите на сайта. Всички мои сайтове винаги съм водил сам. Съответно не може и не трябва да има други потребители. Предвид инфекцията обаче е лесно да се предположи, че те ще се опитат да откраднат сайта и да създадат свой собствен потребител с права на администратор. В моя случай се оказа wp.service.controller.2wXoZ. Изтриваме го.
Много работа е свършена, но има ли ауспух? Да проверим отново с антивирусна, която съобщава, че не са намерени повече вируси. Всичко, сайтът е излекуван.
Резултати
Както можете да видите, лечението на сайт е доста просто, макар и отнема много време. След лечението е необходимо да се предотвратят подобни ситуации в бъдеще. Тук трябва да направите само няколко стъпки:
- Актуализирайте самия WordPress до последна версия. Възможно е да са използвали експлойт за остарял двигател.
- Проверете всички добавки. Изтрийте всички ненужни (които поставяте на "бъдещето" и не използвате) и проверете уместността на тези, които вече работят. Въпреки това, дори изтеглянето на плъгин от хранилището на WordPress не ви дава гаранция, че плъгинът ще бъде чист. Зачестиха случаите, когато купуват този или онзи плъгин, правят злонамерен софтуер от него и когато актуализирате на вашия сайт, ще срещнете същите „радости“ като мен. В моя случай се заразих точно така.
- Винаги проверявайте темата. Ако е публично - актуализирайте. Разбира се, по-добре е да го купите на същия templatemonster, въпреки че това не дава 100% защита.
- Не пренебрегвайте инструменти като Wordfence. Въпреки че безплатната версия на плъгина е много, много ограничена, поне ще знаете какво е подозрително на вашия сайт.
- Веднъж месечно не бъдете мързеливи, за да стартирате сайта wpscan,за да видите какви уязвимости са се появили в него.
- Обърнете внимание на корена на сайта. Може да има файл индекс.html.бак.бак. Това също показва, че имате заразен сайт (можете веднага да редактирате index.php, той е 100% заразен)
- Не се доверявайте на антивирусите за обществени сайтове. Има малко смисъл от тях.
Опитах се да покажа с моя пример как можете да излекувате WordPress сайт. Антивирусът на ihc.ru е просто скенер за зловреден софтуер. Но той също направи нещата лесни. Независимо от това, дори ако вашият хостинг няма такава услуга, можете да идентифицирате и предотвратите инфекция, като използвате горния алгоритъм.
WordPress е една от най-популярните системи за управление на съдържанието (CMS), използвана от хората или за обикновено блогване, или за други цели, като например създаване на онлайн магазин. Има много плъгини и теми, от които да избирате. Някои от тях са безплатни, други не. Често тези теми се изтеглят от хора, които са ги персонализирали за собствена полза.
1. Проверка на автентичността на темата (TAC)
Theme Authenticity Checker (TAC) е приставка за WordPress, която сканира изходните файлове на всяка инсталирана тема на WordPress за скрити връзки в долния колонтитул и кодове Base64. След като бъде открит, той показва конкретния път на темата, номера на реда и малка част от зловреден код, което позволява на администратора на WordPress лесно да анализира този подозрителен код. [Изтегли ]
2.Exploit Scanner
Exploit Scanner е в състояние да сканира файловете и базата данни на вашия сайт и е в състояние да открие наличието на всичко съмнително. Когато използвате Exploit Scanner, имайте предвид, че той няма да помогне за предотвратяване на хакерска атака срещу вашия сайт и няма да премахне никакви подозрителни файлове от вашия WordPress сайт. Той е там, за да помогне за идентифицирането на подозрителни файлове, качени от хакер. Ако искате да ги изтриете, ще трябва да го направите ръчно. [Изтегли ]
3. Sucuri Security
Sucuri е добре установен плъгин за откриване на злонамерен софтуер и защита като цяло. Основните функции на Sucuri са мониторинг на файлове, качени на сайта на WordPress, мониторинг на черен списък, известия за сигурност и др. Той също така предлага дистанционно сканиране на зловреден софтуер с безплатния скенер Sucuri SiteCheck. Плъгинът също така предоставя мощна добавка за защитна стена на сайта, която може да бъде закупена и активирана, за да подобрите сигурността на вашия сайт. [Изтегли ]
4. Анти-зловреден софтуер
Anti-Malware е приставка за WordPress, която може да се използва за сканиране и премахване на вируси, заплахи и друг зловреден софтуер, който може да присъства на вашия сайт. Някои от неговите важни функциипредлагат персонализирани сканирания, пълни и бързи сканирания, автоматично премахване на известни заплахи. Плъгинът може да се регистрира безплатно в gotmls. [Изтегли ]
5.WP антивирусна защита на сайта
WP Antivirus Site Protection е плъгин за сигурност за сканиране на WordPress теми заедно с други файлове, качени на вашия WordPress сайт. Основните функции на WP Antivirus Site Protection са сканиране на всеки файл, качен на сайта, непрекъснато актуализиране на базата данни с вируси, премахване на злонамерен код, изпращане на известия и предупреждения по имейл и много други. Има и функции, за които можете да платите, ако искате по-„затегната“ сигурност за вашия сайт. [Изтегли ]
6. Антивирусна програма за WordPress
AntiVirus за WordPress е лесен за използване плъгин за защита, който ще ви помогне да сканирате темите на WordPress, използвани на вашия сайт, за злонамерен код. Използвайки този плъгин, ще можете да получавате известия за вируси в административния панел. Има и ежедневно сканиране, според резултатите от което ще получите имейл, ако бъде открито нещо подозрително. [Изтегли ]
7. Quttera Web Malware Scanner
Quttera Web Malware Scanner ще ви помогне да сканирате сайта и да го защитите от въвеждането на зловреден код, вируси, червеи, троянски коне и други компютърни зли духове. Той предлага няколко интересни функции като сканиране и откриване на неизвестен злонамерен софтуер, черни списъци, сканираща машина с "изкуствен интелект", откриване на чужди външни връзки и много други. Можете да сканирате сайта си за злонамерен софтуер безплатно, докато други услуги струват $60/година. [Изтегли ]
8. Wordfence
Ако търсите начин да защитите сайта си от кибератаки, тогава трябва да опитате плъгина Wordfence. Той осигурява защита в реално време срещу известни атаки, двуфакторно удостоверяване, блокира цялата заразена мрежа (при откриване), сканира за известни задни врати и много други неща. Споменатите услуги са безплатни, но други функции се предлагат срещу заплащане. [Изтегли ]
Използването на плъгин за сигурност защитава вашия WordPress сайт от зловреден софтуер, атаки и опити за хакване. Тази статия събира най-добрите плъгини за сигурност на WordPress, които се препоръчват за защита на вашия сайт.
Защо да използвате плъгин за сигурност на WordPress
Всяка седмица около 18,5 милиона уебсайта са заразени със зловреден софтуер. Средният сайт е атакуван 44 пъти всеки ден, включително WordPress и други CMS уебсайтове.
Пробив в сигурността на вашия уебсайт може да причини сериозни щети на бизнеса:
- Хакерите могат да откраднат вашите данни или данни, принадлежащи на вашите потребители и клиенти.
- Хакнат уебсайт може да се използва за разпространение на зловреден код, заразяващ нищо неподозиращи потребители.
- Може да загубите данни, да загубите достъп до уебсайта си, сайтът може да бъде блокиран.
- Вашият сайт може да бъде унищожен или повреден, което може да повлияе на SEO класирането и репутацията на марката.
Можете да сканирате вашия WordPress сайт за пробиви в сигурността по всяко време. Почистването на хакнат WordPress сайт без професионална помощ обаче може да бъде доста трудно за начинаещите уебмастъри.
За да избегнете хакване, трябва да следвате указанията за сигурност на сайта. Една от важните стъпки за защита на вашия WordPress сайт е използването на плъгин за сигурност. Тези плъгини помагат за опростяване на сигурността на WordPress и също така блокират атаки на вашия сайт.
Нека да разгледаме някои от най-добрите добавки за сигурност на WordPress и как те защитават вашия сайт.
Забележка!
Забележка. Трябва да използвате само един плъгин от този списък. Наличието на множество активни добавки за сигурност може да доведе до грешки.
Забележка.Трябва да използвате само един плъгин от този списък. Наличието на множество активни добавки за сигурност може да доведе до грешки.
1. Сукури
Sucuri е лидер в сигурността на WordPress. Разработчиците предлагат основен безплатен плъгин, Sucuri Security, който ви помага да втвърдите сигурността си и сканира сайта ви за често срещани заплахи.
Но истинската стойност се крие в платените планове, които идват с тях най-добрата защитазащитната стена на WordPress. Защитната стена помага за блокиране на злонамерени атаки при достъп до WordPress.
Интернет защитната стена Sucuri филтрира лошия трафик, преди да достигне вашия сървър. Той също така обслужва статично съдържание от собствените си CDN сървъри. Като оставим настрана сигурността, тяхната защитна стена на DNS слой с CDN ви дава невероятно подобрение на производителността и ускорява уебсайта ви.
Най-важното е, че Sucuri предлага да почисти вашия WordPress сайт, ако се зарази със злонамерен софтуер, без допълнителни разходи.
Вижте също:
2.Wordfence
Wordfence е друг популярен плъгин за сигурност на WordPress. Разработчиците предлагат безплатна версия на своя плъгин, която идва с мощен скенер за зловреден софтуер. Плъгинът открива и оценява заплахи.
Плъгинът автоматично сканира вашия сайт за често срещани заплахи, но можете също да стартирате пълно сканиране по всяко време. Ще бъдете предупредени, ако бъдат открити признаци на пробив в сигурността. Ще получите и инструкции как да ги коригирате.
Wordfence идва с вградена защитна стена на WordPress. Тази защитна стена обаче работи на вашия сървър, преди да зареди WordPress. Това го прави по-малко ефективен от защитната стена на DNS слой като Sucuri.
3.iThemes Сигурност
iThemes Security е плъгин за сигурност на WordPress от разработчиците на популярния плъгин BackupBuddy. Както всички техни продукти, iThemes Security предлага страхотен изчистен потребителски интерфейс с тонове опции.
Предлага се с проверки за целостта на файловете, втвърдяване на сигурността, ограничения за опити за влизане, силно налагане на парола, откриване на грешка 404, защита от атаки и др.
Защитата на iThemes не включва защитна стена на уебсайт. Той също така не включва собствен скенер за злонамерен софтуер, но използва скенера за злонамерен софтуер Sitecheck Sucuri.
4. All In One WP Сигурност
All In One WP Security е мощен плъгин за проверка на сигурността, мониторинг и защитна стена на WordPress. Това улеснява прилагането на основни най-добри практики за сигурност на WordPress към вашия уебсайт.
Плъгинът включва функции за блокиране на влизане за предотвратяване на атаки към вашия сайт, филтриране на IP адреси, наблюдение на целостта на файловете, наблюдение на потребителски акаунти, сканиране за подозрителни модели на въвеждане на база данни и др.
Той също така идва с основна защитна стена на ниво уебсайт, която може да открие и блокира някои общи модели. Това обаче не винаги е ефективно и често ще трябва ръчно да поставяте в черен списък подозрителни IP адреси.
5. Защита срещу зловреден софтуер
Anti-Malware Security е друг полезен плъгин за WordPress срещу злонамерен софтуер и сигурност. Плъгинът идва с активно поддържани дефиниции, които ви помагат да намерите най-често срещаните заплахи.
Плъгинът ви позволява лесно да сканирате всички файлове и папки на вашия WordPress сайт за злонамерен код, задни вратички, злонамерен софтуер и други известни модели на атака на злонамерен софтуер.
Приставката изисква да създадете безплатен акаунт на уебсайта на приставката. След това ще имате достъп до най-новите дефиниции, както и до някои първокласни функции, като например защита от атаки.
Нюанс:въпреки че плъгинът прави строги тестове, той често показва голям брой фалшиви положителни резултати. Координирането на всеки от тях с изходния файл е доста усърдна работа.
6 Защита срещу куршуми
BulletProof Security не е най-красивият плъгин за сигурност на WordPress на пазара, но все пак е полезен с някои страхотни функции. Предлага се със съветник за настройка. Панелът с настройки включва и връзки към обширна документация. Това ще ви помогне да разберете как работят проверките и настройките за сигурност.
Плъгинът идва със софтуерен скенер, който проверява целостта на файловете и папките на WordPress. Той включва защита при влизане, време за изчакване на сесията, регистрационни файлове за сигурност и помощна програма за архивиране на база данни. Можете също да настроите известия по имейл в регистрационните файлове за сигурност и да получавате предупреждения, когато даден потребител е блокиран.
