Antivirus για wordpress. Τα καλύτερα πρόσθετα προστασίας από ιούς WordPress

Η ασφάλεια του ιστολογίου σας πρέπει να αντιμετωπιστεί από την αρχή, χωρίς να το αναβάλλετε σε ένα ασαφές "spin up and get busy". Ειδικά από τώρα μπροστά σου αναλυτικές οδηγίεςσχετικά με το πώς να προστατεύσετε τον ιστότοπό σας στο wordpress από hacking, ιούς και άλλα προβλήματα.

Κάποτε σκεφτόμουν την ασφάλεια, αλλά όχι τόσο σοβαρά. Και μετά από αυτό το άρθρο στην ιστοσελίδα, η A. Borisova πήρε το θέμα στα σοβαρά. Βρήκα στο Διαδίκτυο όλες τις προβληματικές περιοχές του συστήματος και μεθόδους για την εξάλειψή τους. Αποδείχθηκε ότι ήταν ένα αρκετά μεγάλο άρθρο 14 πόντων!

Πώς να ασφαλίσετε έναν ιστότοπο wordpress

1. Αλλάξτε την τυπική σύνδεση.Πρώτα απ 'όλα, οι χάκερ διαπερνούν τόσο δημοφιλή στοιχεία σύνδεσης όπως διαχειριστής, χρήστης, συντονιστής, διαχειριστής. Αν χρησιμοποιήσετε ένα από αυτά, τότε έχετε κάνει τη μισή δουλειά για τους επιθετικούς. Ο διαχειριστής χρησιμοποιείται ιδιαίτερα συχνά - σύντομος, εύκολος στην απομνημόνευση, μπορείτε να δείτε αμέσως ότι είναι ένα σημαντικό χτύπημα, επομένως οι ιδιοκτήτες του ιστότοπου δεν το αλλάζουν σε κάτι πιο περίπλοκο.

Υπάρχουν πολλές επιλογές για την αλλαγή αυτής της σύνδεσης, αλλά η πιο απλή είναι:

• Μεταβείτε στον πίνακα διαχείρισης, μεταβείτε στην ενότητα Χρήστες - κάντε κλικ στην Προσθήκη.
• Δημιουργήστε μια περίπλοκη σύνδεση για τον νέο χρήστη (μπορείτε απλώς να ορίσετε γράμματα και αριθμούς) και επιλέξτε Ρόλος - Διαχειριστής.
• Αποσυνδεθείτε από τον τρέχοντα χρήστη (επιλέξτε Αποσύνδεση επάνω δεξιά).
• Συνδεθείτε με τον νέο χρήστη που μόλις δημιουργήσατε.
• Εργαστείτε με αυτόν τον λογαριασμό: δημιουργήστε νέα άρθρα, επεξεργαστείτε παλιά, προσθέστε/αφαιρέστε προσθήκες. Γενικά, ελέγξτε αν όντως έχει όλες τις εξουσίες του Διαχειριστή.
• Διαγραφή χρήστη με ψευδώνυμο διαχειριστής.

2. Ορίστε έναν σύνθετο κωδικό πρόσβασης- αυτό ακριβώς συμβαίνει όταν δεν μπορείτε να χρησιμοποιήσετε τον τυπικό κωδικό πρόσβασής σας με τη μορφή qwerty. Πρέπει να βρείτε έναν μοναδικό κωδικό πρόσβασης, πολύ περίπλοκο, 20 χαρακτήρων με διαφορετική πεζά, αριθμούς και διαφορετικά σύμβολα. Αν φοβάστε να ξεχάσετε, γράψτε το σε ένα τετράδιο. Αλλά μην το αποθηκεύσετε στον υπολογιστή σας. Πώς να βρείτε έναν σύνθετο κωδικό πρόσβασης μπορείτε να βρείτε σε αυτό το άρθρο.

Ένας σύνθετος κωδικός πρόσβασης δεν πρέπει να υπάρχει μόνο στον πίνακα διαχείρισης του wordpress, αλλά και για άλλες υπηρεσίες που σχετίζονται με τον ιστότοπο: αλληλογραφία, φιλοξενία κ.λπ.

3. Απόκρυψη σύνδεσης- ανεξάρτητα από το πώς προσπαθείτε να βρείτε μια εξαιρετικά περίπλοκη σύνδεση, υπάρχει ένα κενό που σας επιτρέπει να το δείτε και να το αντιγράψετε. Για να το κάνετε αυτό, πληκτρολογήστε http://your_domain.ru?author=1 στη γραμμή διευθύνσεων, αντικαθιστώντας τον τομέα σας. Εάν ο σύνδεσμος δεν μετατραπεί σε /author/admin, όπου admin είναι η νέα σας σύνδεση, τότε όλα είναι εντάξει.

Αλλά εάν η σύνδεσή σας εξακολουθεί να εμφανίζεται εκεί, θα πρέπει να την αποκρύψετε επειγόντως χρησιμοποιώντας μια ειδική εντολή στο αρχείο functions.php:

/* Αλλαγή σύνδεσης στα σχόλια */
συνάρτηση del_login_css($css) (foreach($css ως $key => $class) (
if(strstr($class, "comment-author-insert_valid_login")) (
$css[$key] = 'comment-author-enter_fictitious_login'; ) )
επιστροφή $css; )
add_filter('comment_class', 'del_login_css');

Τώρα δημιουργήσαμε μια ανακατεύθυνση στην κύρια σελίδα, για αυτό πρέπει να ανοίξετε το αρχείο .htaccess στον ριζικό φάκελο (χρησιμοποιώντας το filezilla) και εδώ μετά τη γραμμή

RewriteRule. /index.php [L]

Προσθέστε αυτό το κείμενο:

RedirectMatch Permanent ^/author/real_login$ http://your_domain.ru

4. Διατηρήστε το WordPress ενημερωμένο.Νέες εκδόσεις εμφανίζονται κατά καιρούς, οι ειδοποιήσεις βρίσκονται ακριβώς στον πίνακα ελέγχου. Δημιουργήστε ένα αντίγραφο ασφαλείας του ιστότοπου, ενημερώστε και ελέγξτε αν λειτουργεί. Όσο πιο νέο, τόσο πιο δύσκολο είναι να χακάρετε το σύστημα - εμφανίζονται νέα επίπεδα προστασίας και οι παλιές τεχνικές hacking δεν λειτουργούν.

5. Απόκρυψη της έκδοσης του WordPress από τα αδιάκριτα βλέμματα.Προκαθορισμένο αυτή η πληροφορίαεμφανίζεται στον κώδικα των σελίδων και οι εισβολείς δεν πρέπει να το αναφέρουν. Γνωρίζοντας την έκδοσή σας, θα είναι πιο εύκολο γι 'αυτόν να αναγνωρίσει κενά και να χακάρει το σύστημα.

Ανοίξτε λοιπόν το functions.php για επεξεργασία και μετά προσθέστε αυτήν τη γραμμή:

remove_action('wp_head', 'wp_generator');

Αυτή η απλή λειτουργία απενεργοποιεί την εμφάνιση δεδομένων συστήματος.

6. Καταργήστε το License.txt και το readme.htmlαπό τον ριζικό φάκελο. Δεν χρειάζονται από μόνα τους, αλλά μπορούν να χρησιμοποιηθούν για να διαβάσετε εύκολα πληροφορίες σχετικά με το σύστημά σας και να μάθετε την έκδοση του WordPress. Εμφανίζονται αυτόματα αν ενημερώσετε το wordpress. Καθαρίστε λοιπόν τα αρχεία κάθε φορά που εγκαθιστάτε μια ενημέρωση.

7. Απόκρυψη των φακέλων wp-includes, wp-content και wp-content/plugins/.Πρώτα, ελέγξτε εάν τα περιεχόμενα αυτών των φακέλων είναι ορατά σε τρίτους. Απλώς αντικαταστήστε τον τομέα σας στους συνδέσμους και ανοίξτε τους συνδέσμους στο πρόγραμμα περιήγησης:

• http://your_domain/wp-includes
• http://your_domain/wp-content
• http://your_domain/ wp-content/plugins

Εάν βλέπετε φακέλους και αρχεία όταν μεταβαίνετε σε αυτές τις σελίδες, τότε πρέπει να αποκρύψετε τις πληροφορίες. Αυτό γίνεται πολύ, πολύ απλά - δημιουργήστε ένα κενό αρχείο που ονομάζεται index.php και τοποθετήστε το σε αυτούς τους καταλόγους. Τώρα αυτό το αρχείο θα ανοίξει κατά τη μετάβαση, π.χ. κενή σελίδα χωρίς καμία πληροφορία.

8. Μην εγκαθιστάτε δωρεάν θέματα- είναι ήδη από προσωπική εμπειρίαπληροφορίες, αν και όλοι γράφουν γι' αυτό. Αλλά αποφάσισα να παρακάμψω το σύστημα και να βάλω ένα δωρεάν θέμα από το Διαδίκτυο στον άλλο ιστότοπό μου - μου άρεσε πολύ. Και στην αρχή όλα ήταν καλά.

Μετά από περίπου έξι μήνες, άρχισα να ελέγχω τους εξερχόμενους συνδέσμους από τον ιστότοπο και βρήκα 3 ασαφείς συνδέσμους. Δεν τα βρήκα στις ίδιες τις σελίδες - τα έκρυψαν πολύ πονηρά. Αφού μελέτησα το ζήτημα, βρήκα πληροφορίες ότι αυτό είναι ένα πολύ κοινό πρόβλημα όταν ενσωματώνεται κώδικας για απομακρυσμένη τοποθέτηση συνδέσμων σε δωρεάν πρότυπα. Έπρεπε να περάσω όλο το βράδυ, αλλά διόρθωσα το πρόβλημα και τώρα όλα είναι εντάξει. Αλλά πόση ζημιά θα μπορούσε να κάνει!

9. Εγκαταστήστε τα σωστά πρόσθετα προστασίας, αλλά φροντίστε να το εγκαταστήσετε από τον επίσημο ιστότοπο ru.wordpress.org ή από τον πίνακα ελέγχου.

• Περιορισμός προσπαθειών σύνδεσης - για περιορισμό των προσπαθειών σύνδεσης. Εάν εισαγάγετε λανθασμένα τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής σας 3 φορές, η πρόσβαση θα αποκλειστεί για N λεπτά/ώρες. Μπορείτε να ορίσετε μόνοι σας τον αριθμό των προσπαθειών και τον χρόνο αποκλεισμού.
• Το Wordfence Security είναι ένα πρόσθετο για τον έλεγχο ενός ιστότοπου για ιούς και κακόβουλες αλλαγές κώδικα. Για να ξεκινήσετε, απλώς εγκαταστήστε και κάντε κλικ στην επιλογή Σάρωση. Αλλά μετά τον έλεγχο, συνιστάται να το απενεργοποιήσετε για να μην δημιουργηθεί επιπλέον φορτίο στον ιστότοπο. Ελέγξτε το ιστολόγιό σας για ιούς τουλάχιστον μία φορά το μήνα.
• Δημιουργία αντιγράφων ασφαλείας βάσης δεδομένων WordPress - στέλνει αυτόματα ένα αντίγραφο ασφαλείας της βάσης δεδομένων του ιστότοπού σας στην αλληλογραφία. Η συχνότητα μπορεί να ρυθμιστεί ανεξάρτητα - μία φορά την ημέρα ή την εβδομάδα.
• Μετονομασία wp-login.php - Αλλάζει τη διεύθυνση σύνδεσης στον πίνακα ελέγχου από τον τυπικό http://your_domain/wp-admin.
• Επίθεση Anti-XSS - προστατεύει το ιστολόγιο από επιθέσεις XSS.

10. Ελέγξτε τον υπολογιστή σας για ιούς– μερικές φορές οι ιοί προέρχονται απευθείας από τον υπολογιστή σας. Εγκαταστήστε λοιπόν ένα καλό πρόγραμμα προστασίας από ιούς και κρατήστε το ενημερωμένο.

11. Συστηματική δημιουργία αντιγράφων ασφαλείας– είτε χρησιμοποιώντας την προσθήκη αντιγράφων ασφαλείας βάσης δεδομένων WordPress είτε χειροκίνητα. Για ορισμένους κεντρικούς υπολογιστές, αυτό συμβαίνει αυτόματα, ώστε να μπορείτε να επαναφέρετε τον ιστότοπο ανά πάσα στιγμή σε περίπτωση προβλημάτων.

12. Συνεργαστείτε με έναν αξιόπιστο οικοδεσπότη, γιατί από πολλές απόψεις η ασφάλεια του ιστότοπου εξαρτάται από την ποιότητα της φιλοξενίας. Μετακόμισα στο Makhost πριν από ένα μήνα και η διαφορά με το προηγούμενο είναι αισθητή (η μετακόμιση περιγράφηκε σε αυτό το άρθρο). Δεν θα το συστήσω ανεπιφύλακτα, μιας και δεν είμαι μαζί τους για πολύ καιρό, αν και ένας φίλος μαζί τους εδώ και ένα χρόνο δεν τα χορταίνει. Γενικά, μην παίρνετε τιμολόγια για 100 ρούβλια για λόγους εξοικονόμησης, τότε μπορείτε να πληρώσετε ακριβά.

13. Διαφορετικά γραμματοκιβώτια για τον ιστότοπο και τη φιλοξενία. Είναι πολύ εύκολο να βγάλετε ένα γραμματοκιβώτιο από το WordPress, τότε μπορείτε να το χακάρετε και να αποκτήσετε πρόσβαση στα δεδομένα. Και αν η φιλοξενία είναι συνδεδεμένη με αυτό, δεν θα είναι δύσκολο να αλλάξετε τον κωδικό πρόσβασης και να πάρετε τον ιστότοπο για τον εαυτό σας. Πάρτε λοιπόν ένα ξεχωριστό κουτί φιλοξενίας για να μην το ξέρει ή να το δει κανείς.

14. Συνδέστε μια αποκλειστική διεύθυνση IP, για να μην συνυπάρχουν με πορνογραφικούς ιστότοπους, ιστότοπους κάτω από το φίλτρο ή με ιούς. Αν λοιπόν έχετε την ευκαιρία, πάρτε ξεχωριστή IP για να μην ανησυχείτε για αυτό. Παρεμπιπτόντως, στον τομέα των bloggers υπάρχουν ανεπιβεβαίωτες φήμες ότι μια αποκλειστική IP βελτιώνει τις θέσεις στα αποτελέσματα αναζήτησης.

Τώρα ξέρεις τα περισσότερα απλούς τρόπουςπώς να προστατέψετε έναν ιστότοπο στο wordpress και θα γλιτώσετε από απλές απειλές. Αλλά εκτός από αυτό, υπάρχουν πολλοί άλλοι κίνδυνοι από τους οποίους δεν είναι τόσο εύκολο να σωθείς. Μόνο για τέτοιες σοβαρές καταστάσεις, ο Γιούρι Κολέσοφ δημιούργησε το μάθημα "

με χάκαραν. Ξέρετε, αρέσει σε μια σελίδα στο VKontakte. Αλλά δεν παρακαλούσαν για χρήματα, αλλά δημιούργησαν πολλές «αριστερές» σελίδες με συνδέσμους σε διαφορετικούς ιστότοπους. Μετά σκέφτηκα να προστατεύσω το blog μου. Και βρήκα την τέλεια λύση.

Το πρώτο πράγμα που έκανα ήταν να επικοινωνήσω με την τεχνική υποστήριξη ζητώντας να επαναφέρω τον ιστότοπό μου την ημέρα πριν από το χακάρισμα και μέσα σε δέκα λεπτά είχα το κανονικό μου blog.

Στη συνέχεια εγκατέστησα πολλά πρόσθετα για να προστατεύσω το WordPress από το hacking. Αλλά το blog έχει γίνει τρομερά αργό. Οι σελίδες φορτώνονται σε πέντε έως δέκα δευτερόλεπτα. Είναι πολύ μεγάλο.

Άρχισα να ψάχνω για πρόσθετα που δεν φορτώνουν τόσο πολύ το σύστημα. Διάβασα κριτικές για αυτά τα πρόσθετα και άρχισα να σκοντάφτω όλο και περισσότερο στο All In One WP Security. Σύμφωνα με την περιγραφή, μου άρεσε πολύ και αποφάσισα να το βάλω στο blog μου. Και ακόμα με προστατεύει, γιατί δεν έχω δει κάτι καλύτερο.

Τι μπορεί να κάνει το All In One WP Security (προστασία wordpress όλα σε ένα):

• Δημιουργεί αντίγραφα ασφαλείας της βάσης δεδομένων, αρχείο ρυθμίσεων wp-config. και αρχείο .htaccess
• Αλλαγή της διεύθυνσης της σελίδας εξουσιοδότησης
• Απόκρυψη πληροφοριών έκδοσης WordPress
• Προστασία πίνακα διαχειριστή - αποκλεισμός σε περίπτωση λανθασμένης εξουσιοδότησης
• Προστασία ρομπότ
• Και πολλά άλλα χρήσιμα πράγματα

Μπορώ να πω με ασφάλεια ότι η προσθήκη All In One WP Security είναι η καλύτερη προστασία wordpressιστοσελίδα.

Ρύθμιση της ασφάλειας All In One WP

Αφού μπείτε στην ενότητα Ρυθμίσεις, το πρώτο πράγμα που πρέπει να κάνετε είναι να δημιουργήσετε αντίγραφα ασφαλείας:

• βάση δεδομένων;
• αρχείο wp-config
• αρχείο htaccess

Αυτό γίνεται στην πρώτη σελίδα των ρυθμίσεων της προσθήκης All In One WP Security.

Δημιουργήστε ένα αντίγραφο ασφαλείας (αντίγραφο ασφαλείας) πριν ξεκινήσετε την εργασία

Θα περάσω μόνο από τα πιο σημαντικά σημεία.

όλα σε ένα στοιχείο ρυθμίσεων πρόσθετου ασφαλείας wp

Πίνακας Ελέγχου

Εδώ μας συναντά ο μετρητής «Safety Meter». Δείχνει το επίπεδο προστασίας του ιστότοπου. Ο ιστότοπός σας πρέπει να βρίσκεται τουλάχιστον στην πράσινη ζώνη. Δεν χρειάζεται να κυνηγήσετε τη μέγιστη μπάρα - οι επιπλέον ρυθμίσεις μπορεί να διαταράξουν τη λειτουργικότητα του ιστότοπου. Πάρτε το χρυσό μέσο.

Μετρητής προστασίας ιστότοπου WordPress

Όταν αλλάζετε τις ρυθμίσεις ασφαλείας της προσθήκης, θα δείτε μια πράσινη ασπίδα με αριθμούς σε κάθε στοιχείο - αυτοί είναι οι αριθμοί που προστίθενται στη συνολική βαθμολογία ασφαλείας.

ο αριθμός προστίθεται στη συνολική βαθμολογία ασφαλείας

Ρυθμίσεις

Καρτέλα πληροφοριών έκδοσης WP

Επιλέξτε το πλαίσιο Διαγραφή μεταδεδομένων του WP Generator.

Κατάργηση μεταδεδομένων WP Generator

Αυτό γίνεται για να μην εμφανίζεται στον κώδικα η έκδοση της μηχανής WordPress που έχετε εγκαταστήσει. Οι εισβολείς γνωρίζουν ποια έκδοση έχει ευπάθειες και γνωρίζοντας την έκδοση του WordPress που έχετε εγκαταστήσει θα μπορέσουν να χακάρουν τον ιστότοπό σας πιο γρήγορα.

Διαχειριστές

Προσαρμοσμένο όνομα WP

Εάν έχετε μια σύνδεση για να εισέλθετε στον διαχειριστή του πίνακα διαχείρισης, τότε φροντίστε να την αλλάξετε. Ο διαχειριστής είναι η πιο δημοφιλής σύνδεση. Πολλά TsMSki το προσφέρουν από προεπιλογή και οι άνθρωποι είναι πολύ τεμπέληδες για να το αλλάξουν.
Οι εισβολείς χρησιμοποιούν διάφορα προγράμματα για να χακάρουν ιστοσελίδες. Αυτά τα προγράμματα επιλέγουν στοιχεία σύνδεσης και κωδικούς πρόσβασης μέχρι να βρουν τον κατάλληλο συνδυασμό.
Επομένως, μην χρησιμοποιείτε τη σύνδεση διαχειριστή.

Εμφανιζόμενο όνομα

Εάν το ψευδώνυμό σας ταιριάζει με τη σύνδεση, τότε φροντίστε να αλλάξετε τη σύνδεση ή το ψευδώνυμο.

Κωδικός πρόσβασης

Εάν εισαγάγετε τον κωδικό πρόσβασής σας εδώ, η προσθήκη θα δείξει πόσο χρόνο χρειάζεται για να χακάρει τον ιστότοπό σας.
Προτάσεις για την ενίσχυση της ισχύος του κωδικού πρόσβασης:

• Ο κωδικός πρόσβασης πρέπει να αποτελείται από γράμματα και αριθμούς
• Χρησιμοποιήστε κεφαλαία και πεζά γράμματα
• Μην χρησιμοποιείτε σύντομους κωδικούς πρόσβασης (τουλάχιστον 6 χαρακτήρες)
• Είναι επιθυμητό να υπάρχουν ειδικοί χαρακτήρες στον κωδικό πρόσβασης (% # _ * @ $ και αναλυτικός)

Πολυπλοκότητα κωδικού πρόσβασης

Εξουσιοδότηση

Καρτέλα αποκλεισμού εξουσιοδότησης

Φροντίστε να συμπεριλάβετε. Εάν μέσα σε 5 λεπτά κάποιος εισάγει λανθασμένα τον κωδικό πρόσβασης 3 φορές, τότε η IP θα αποκλειστεί για 60 λεπτά. Μπορείτε να βάλετε περισσότερα, αλλά καλύτερα να μην το κάνετε αυτό. Μπορεί να συμβεί εσείς οι ίδιοι να εισαγάγετε τον κωδικό πρόσβασης λανθασμένα και μετά να περιμένετε μήνες ή και χρόνια :)
Επιλέξτε το πλαίσιο "Άμεση αποκλεισμός μη έγκυρων ονομάτων χρήστη".
Ας υποθέσουμε ότι η σύνδεσή σας είναι hozyainsayta και εάν κάποιος εισέλθει σε άλλη σύνδεση (για παράδειγμα, σύνδεση), τότε η διεύθυνση IP του θα αποκλειστεί αυτόματα.

επιλογές κλειδώματος εξουσιοδότησης

Αυτόματη αποσύνδεση χρηστών

Βάζουμε τσιμπούρι. Εάν συνδεθείτε στον πίνακα διαχείρισης του ιστότοπου από άλλον υπολογιστή και ξεχάσετε να αποσυνδεθείτε από τον πίνακα διαχείρισης, τότε μετά από μια καθορισμένη χρονική περίοδο το σύστημα θα σας αποσυνδεθεί.
Έβαλα 1440 λεπτά (24 ώρες δηλαδή).

Επιλογές για αυτόματη αποσύνδεση χρηστών

Εγγραφή χρήστη

Μη αυτόματη επιβεβαίωση

Επιλέξτε "Ενεργοποίηση μη αυτόματης έγκρισης νέων εγγραφών"

Χειροκίνητη έγκριση νέων εγγραφών

CAPTCHA κατά την εγγραφή

Τσεκάρουμε και το πλαίσιο. Αυτό διακόπτει τις προσπάθειες εγγραφής ενός bot-robot, καθώς τα ρομπότ δεν μπορούν να αντιμετωπίσουν το captcha.

Εγγραφή Honeypot (βαρέλι με μέλι)

Εορτάζουμε. Και δεν αφήνουμε στα ρομπότ ούτε μια ευκαιρία. Αυτή η ρύθμιση δημιουργεί ένα επιπλέον αόρατο πεδίο (πληκτρολογήστε Enter text εδώ). Αυτό το πεδίο είναι ορατό μόνο σε ρομπότ. Αφού συμπληρώνουν αυτόματα όλα τα πεδία, κάτι θα γράψουν και σε αυτό το πεδίο. Το σύστημα αποκλείει αυτόματα τις προσπάθειες εγγραφής για τις οποίες συμπληρώνεται αυτό το πεδίο.

Προστασία βάσεων δεδομένων

Πρόθεμα πίνακα DB

Εάν ο ιστότοπός σας υπάρχει εδώ και πολύ καιρό και υπάρχουν πολλές πληροφορίες για αυτόν, τότε θα πρέπει να αλλάξετε το πρόθεμα της βάσης δεδομένων με τη μέγιστη προσοχή.

φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας της βάσης δεδομένων

Εάν μόλις δημιουργήσατε τον ιστότοπό σας, μπορείτε να αλλάξετε με ασφάλεια το πρόθεμα.

Πρόθεμα πίνακα βάσης δεδομένων

Αντίγραφο ασφαλείας βάσης δεδομένων

Ενεργοποίηση αυτόματης δημιουργίας αντιγράφων ασφαλείας.
Επιλέξτε τη συχνότητα δημιουργίας αντιγράφων ασφαλείας.
Και ο αριθμός των αρχείων με αυτά αντίγραφα ασφαλείαςπου θα αποθηκευτούν. Μετά θα αρχίσουν να αντικαθιστούν.
Εάν θέλετε αυτά τα αρχεία να αποστέλλονται επιπλέον στο e-mail σας, επιλέξτε το αντίστοιχο πλαίσιο. Έχω έναν ξεχωριστό φάκελο στο γραμματοκιβώτιό μου για αυτούς τους σκοπούς, όλα τα αντίγραφα ασφαλείας (των ιστοτόπων μου και πελατών) αποστέλλονται εκεί.

Ρυθμίσεις δημιουργίας αντιγράφων ασφαλείας βάσης δεδομένων

Προστασία συστήματος αρχείων

Εδώ αλλάζουμε τα δικαιώματα του αρχείου έτσι ώστε όλα να είναι πράσινα.

php επεξεργασία αρχείων

Βάζουμε σε περίπτωση που δεν επεξεργάζεστε αρχεία μέσω του πίνακα διαχείρισης. Γενικά, πρέπει να κάνετε οποιεσδήποτε αλλαγές σε αρχεία μέσω προγραμμάτων ftp-managers (όπως ένα filezilla). Έτσι σε περίπτωση οποιουδήποτε "τζάμπ" μπορείτε πάντα να αναιρέσετε την προηγούμενη ενέργεια.

Αρνούμαστε την πρόσβαση. Με αυτήν την ενέργεια, μπορούμε να αποκρύψουμε σημαντικές πληροφορίες για τους χάκερ.

Μαύρη λίστα

Εάν έχετε ήδη διευθύνσεις IP που θέλετε να αρνηθείτε την πρόσβαση στον ιστότοπο, ενεργοποιήστε αυτήν την επιλογή.

Αποκλεισμός χρηστών μέσω IP

τείχος προστασίας

Βασικοί κανόνες τείχους προστασίας.

Το Firewall and Firewall είναι ένα πακέτο λογισμικού που είναι ένα φίλτρο μη εξουσιοδοτημένης κυκλοφορίας.

Αυτοί οι κανόνες προστίθενται στο αρχείο .htaccess, οπότε δημιουργούμε αντίγραφα ασφαλείας πρώτα.

Τώρα μπορείτε να βάλετε τα απαραίτητα πλαίσια ελέγχου:

Ενεργοποιήστε τις βασικές λειτουργίες τείχους προστασίας
Προστασία από την ευπάθεια XMLRPC και το WordPress Pingback
Αποκλεισμός πρόσβασης στο debug.log

Πρόσθετοι κανόνες τείχους προστασίας

Σε αυτήν την καρτέλα, επιλέξτε τα ακόλουθα πλαίσια:

• Απενεργοποιήστε την περιήγηση καταλόγου
• Απενεργοποιήστε την ανίχνευση HTTP
• Απενεργοποιήστε τα σχόλια μέσω διακομιστή μεσολάβησης
• Απενεργοποίηση κακόβουλων συμβολοσειρών σε αιτήματα (Μπορεί να παραβιάσει τη λειτουργικότητα άλλων προσθηκών)
• Ενεργοποίηση πρόσθετου φιλτραρίσματος χαρακτήρων (Ενεργούμε επίσης με προσοχή, πρέπει να εξετάσετε πώς επηρεάζει την απόδοση του ιστότοπου)
  Κάθε στοιχείο έχει ένα κουμπί "+ Περισσότερες λεπτομέρειες", όπου μπορείτε να διαβάσετε λεπτομερώς για κάθε επιλογή.

Κανόνες τείχους προστασίας της μαύρης λίστας 6G

Σημειώνουμε και τα δύο σημεία. Αυτή είναι μια αποδεδειγμένη λίστα κανόνων που παρέχει η προσθήκη ασφάλειας ιστότοπου WordPress.

Ρυθμίσεις τείχους προστασίας (firewall).

Διαδικτυακά ρομπότ

Ενδέχεται να υπάρχουν προβλήματα με την ευρετηρίαση του ιστότοπου. Δεν ενεργοποιώ αυτήν την επιλογή.

Αποτροπή hotlinks

Βάζουμε ένα τσιμπούρι. Για να μην εμφανίζονται εικόνες από τον ιστότοπό σας σε άλλους ιστότοπους μέσω απευθείας συνδέσμου. Αυτή η δυνατότητα μειώνει το φόρτο του διακομιστή.

Ανίχνευση 404

Το σφάλμα 404 (δεν υπάρχει τέτοια σελίδα) εμφανίζεται όταν εισάγετε τη διεύθυνση της σελίδας κατά λάθος. Οι χάκερ προσπαθούν να βρουν σελίδες με τρωτά σημεία και επομένως εισάγουν πολλές ανύπαρκτες διευθύνσεις URL σε σύντομο χρονικό διάστημα.
Τέτοιες απόπειρες hacking θα καταχωρηθούν σε έναν πίνακα σε αυτήν τη σελίδα και επιλέγοντας το πλαίσιο θα μπορείτε να αποκλείσετε τις διευθύνσεις IP τους για τον καθορισμένο χρόνο.

Ρυθμίσεις παρακολούθησης σφαλμάτων 404

Προστασία από επιθέσεις ωμής βίας

Από προεπιλογή, όλοι οι ιστότοποι στο WordPress έχουν την ίδια διεύθυνση της σελίδας εξουσιοδότησης. Και έτσι οι επιτιθέμενοι ξέρουν ακριβώς από πού να ξεκινήσουν το hacking στον ιστότοπο.
Αυτή η επιλογή σάς επιτρέπει να αλλάξετε τη διεύθυνση αυτής της σελίδας. Αυτή είναι μια πολύ καλή προστασία για έναν ιστότοπο wordpress. Φροντίστε να αλλάξετε τη διεύθυνση. Δεν τσεκάρω αυτό το πλαίσιο, επειδή το δικό μου άλλαξε αυτόματα αυτήν τη σελίδα για μένα κατά την εγκατάσταση του συστήματος.

Προστασία ωμής βίας με μπισκότα

Δεν ενεργοποίησα αυτήν τη ρύθμιση, καθώς υπάρχει δυνατότητα αποκλεισμού του εαυτού μου όταν συνδέομαι από διαφορετικές συσκευές.

CAPTCHA για σύνδεση

Εάν υπάρχουν πολλοί χρήστες στον ιστότοπό σας ή έχετε ηλεκτρονικό κατάστημα, τότε μπορείτε να ενεργοποιήσετε το Captcha κατά την εξουσιοδότηση σε όλα τα σημεία.

Προστασία Captcha κατά την εξουσιοδότηση

Λευκή λίστα για σύνδεση

Συνδεθείτε στον πίνακα διαχείρισης μόνο από τον οικιακό σας υπολογιστή και είστε ο μόνος χρήστης του ιστότοπού σας; Στη συνέχεια, εισαγάγετε τη διεύθυνση IP σας και σε όλους τους άλλους θα απαγορεύεται η πρόσβαση στη σελίδα εξουσιοδότησης.

Είναι αστείο μερικές φορές συμβαίνουν πράγματα στη ζωή. Βρήκα ένα ωραίο μάθημα για το Udemy σύγχρονους τρόπουςπροστασία του ιστότοπου και πειρατεία. Αναβαθμίζοντας το επίπεδο δεξιοτήτων μου, έχασα τη μόλυνση από τον ιό του ιστολογίου μου. Πιθανότατα, οι χρήστες του WordPress να έχουν βιώσει τα συμπτώματα με τον ένα ή τον άλλο τρόπο, τα οποία θα περιγράψω στη συνέχεια. Αν όχι, τότε είσαι τυχερός. Εγώ ο ίδιος δεν επισύναψα τίποτα σε ιστότοπους για πολύ καιρό, σκεφτόμενος πώς εξακολουθούν να καταφέρνουν να μολύνουν τους πόρους ιστού τους. Πίσω το 2014, με εξέπληξαν τα μηνύματα στα φόρουμ ότι ο ιστότοπός τους με εξαιρετική προσέλευση απλά μολύνθηκε και αφαιρέθηκε.

Και έτσι, σήμερα το πρωί, έφτασε στο ταχυδρομείο ένα γράμμα από τον οικοδεσπότη μου, το οποίο με μπέρδεψε. Ναι, με εξέπληξε ευχάριστα το γεγονός ότι η ihc παρακολουθεί ιστότοπους για κακόβουλο λογισμικό, αλλά το μήνυμα ότι ένα αρχείο άλλαξε τη νύχτα εν αγνοία μου και αυτή η υποψία δραστηριότητας ιού προκάλεσε χαοτικά συναισθήματα. Στην πραγματικότητα, ήταν η επιβεβαίωση των υποψιών μου.

Πριν από λίγο καιρό, ανακάλυψα ότι η μέτρηση έχει κλικ σε ιστότοπους που απλώς δεν μπορώ να γράψω στις αναρτήσεις μου. Όταν προσπάθησα να βρω αυτούς τους συνδέσμους ανόητα μέσω της μηχανής αναζήτησης ιστολογίου, ανακατευθύνθηκα στο Apache με ένα μήνυμα σφάλματος. Ακόμα και τότε, υποπτευόμενος ότι κάτι δεν πάει καλά, μπήκα στον φάκελο Αναζήτηση.phpενεργό θέμα, στο οποίο είδα ασαφή κώδικα. Μετά με έβαλε σε λήθαργο, αλλά λόγω έλλειψης χρόνου δεν εμβαθύνω. Όπως αποδείχθηκε μάταια. Εξάλλου, αυτό ήταν ένα από τα σημάδια μόλυνσης.

Ένα παράδειγμα κωδικοποιημένου κακόβουλου λογισμικού

Βασίστηκα ανόητα στα μέσα ανίχνευσης κακόβουλου κώδικα από διάφορες υπηρεσίες που γεμίζουν το Διαδίκτυο. Όλοι τους «χαρούμενα» με πληροφόρησαν ότι ο χώρος ήταν καθαρός σαν πρωινή δροσιά.

Φανταστείτε μια παράδοξη κατάσταση - υπάρχει μια λειτουργία αναζήτησης που δεν λειτουργεί, υπάρχει ένας ασαφής κώδικας php, έτσι ώστε ο άτυχος webmaster να μην βλέπει το "δώρο" και οι υπηρεσίες προστασίας από ιούς είναι απλώς σιωπηλές.

Αλλά πίσω στα πρόβατά μας, πιο συγκεκριμένα, στις τοποθεσίες. Σε όλους αυτούς τους ιστότοπους έχω εξουσιοδότηση δύο επιπέδων. Ίσως αυτό έσωσε τον ιστότοπο από την κατάληψη από έναν χάκερ. Δύο μέρες μετά τη μόλυνση αναζήτηση.phpΈλαβα μια ειδοποίηση από το ihc.ru ότι ορισμένα αρχεία έχουν αλλάξει και αν δεν έκανα τίποτα, συνιστάται να ελέγξω με το antivirus που παρέχεται από την ίδια τη φιλοξενία. Λοιπόν, τώρα εμφανίστηκε η ευκαιρία να δοκιμάσω αυτό το πρόγραμμα προστασίας από ιούς, είναι κρίμα που ο αγαπημένος μου ιστότοπος πήρε ως θέμα δοκιμής 🙁

Το αποτέλεσμα του ελέγχου, για να το θέσω ήπια, μάλλον με μπέρδεψε. Το antivirus φτυαρίζει τον ιστότοπο για περίπου σαράντα λεπτά και στη συνέχεια έστειλε την «ετυμηγορία» του. 42 αρχεία μολύνθηκαν...

Εδώ ήρθε η ώρα να πιάσω το κεφάλι σου, σκεπτόμενος πώς θα μπορούσε να έχει συμβεί κάτι τέτοιο. Εννοείται ότι υπήρξε εκμετάλλευση. Αλλά περισσότερα για αυτό αργότερα.

Χρειάστηκε να γίνει θεραπεία του χώρου, αλλά για αυτό έπρεπε να διερευνηθεί διεξοδικά. Ναι, θα μπορούσε να είχε γίνει πολύ πιο εύκολα - συγχώνευση της απόρριψης βάσης δεδομένων, μεταφορά εικόνων από wp-περιεχόμενοκαι ανεβάστε ξανά όλα αυτά σε μια πρόσφατα εγκατεστημένη μηχανή WordPress. Αλλά «ευκολότερο» δεν σημαίνει «καλύτερο». Μάλιστα, χωρίς να γνωρίζει κανείς τι άλλαξε, θα περίμενε να εμφανιστεί η τρύπα και στο site που ανέβηκε ξανά. Και τότε ήταν σωστό να γίνω ένας πρόσφατα δημιουργημένος Σέρλοκ Χολμς για να γίνει πλήρης έλεγχος του ιστότοπου.

Η εύρεση κακόβουλου λογισμικού είναι σαν να είσαι ντετέκτιβ

Για να είμαι ειλικρινής, δεν έχω βιώσει τέτοιο πάθος και ενδιαφέρον εδώ και πολύ καιρό. Ναι, το hosting antivirus με βοήθησε με πολλούς τρόπους, υποδεικνύοντας σε ποια αρχεία βρήκε αλλαγές. Αλλά ακόμη και ο ίδιος δεν μπορούσε να εντοπίσει πλήρως τα πάντα, καθώς ο κώδικας εναλλάσσονταν με συσκότιση και απλή εξαγωνική κωδικοποίηση χρησιμοποιώντας κακόβουλο js. Ήταν απαραίτητο να κάνουμε πολλά με στυλό, χρησιμοποιώντας όλα τα εργαλεία τρίτων μόνο ως βοηθούς.

Έτσι, εκκινούμε τον επεξεργαστή κώδικα και εξετάζουμε τα μολυσμένα αρχεία. Μάλιστα στον κώδικα «πυροβολούν» αρκετά γρήγορα λόγω της κρυπτογράφησης τους. Ωστόσο, αυτό απέχει πολύ από το να συμβαίνει παντού. Συνέβη ότι ήταν απαραίτητο να αναλύσετε τον κώδικα του αρχείου php γραμμή προς γραμμή και να καταλάβετε τι ήταν λάθος με αυτό. Πρέπει να πω αμέσως ότι ήταν με τα αρχεία θεμάτων. Σε αυτήν την περίπτωση, τα αρχικά αρχεία θεμάτων είναι πολύ χρήσιμα για σύγκριση, εάν δεν είστε βέβαιοι για τι ακριβώς χρησιμεύει αυτή ή εκείνη η λειτουργία (και ένας σωστά γραμμένος ιός θα πρέπει να κληρονομεί όσο το δυνατόν λιγότερο).

Ας τα δούμε όμως όλα με τη σειρά. Έχω ήδη δημοσιεύσει ένα στιγμιότυπο οθόνης του κωδικού που έχει συσκοτιστεί από τον ιό στην αρχή του άρθρου. Χρησιμοποιώντας τον πόρο https://malwaredecoder.com/, μπορείτε να τον αποκωδικοποιήσετε σε μια εύπεπτη μορφή και να τον μελετήσετε. Στην περίπτωσή μου, ορισμένα αρχεία περιείχαν την ένεση. Όλα αυτά τα σβήνουμε στο διάολο.

Ωστόσο, μερικές φορές μπορεί να συναντήσετε έναν σύντομο κωδικό με συμπερίληψη. Κατά κανόνα, μολύνονται δείκτης.phpκαι wp-config.php. Δυστυχώς, δεν έβγαλα στιγμιότυπο οθόνης τέτοιου κώδικα, αφού εκείνη την εποχή δεν σχεδίαζα να γράψω ένα άρθρο. Από αυτόν τον κώδικα, ήταν σαφές ότι αυτός ήταν ο κώδικας για την κλήση ενός συγκεκριμένου αρχείου που κωδικοποιήθηκε μέσω js. Για την αποκωδικοποίηση του δεκαεξαδικού κώδικα, θα χρησιμοποιήσουμε την υπηρεσία http://ddecode.com/hexdecoder/, με τη βοήθεια της οποίας θα προσδιορίσουμε ότι το αρχείο καλείται στη διεύθυνση wp-includes/Text/Diff/.703f1cf4.ico(Παρέλειψα την πλήρη διαδρομή, η ίδια η ουσία είναι σημαντική). Τι πιστεύετε, αξίζει να κωδικοποιηθεί η κλήση ενός απλού αρχείου εικονιδίων, αν και σχετικά απλή κωδικοποίηση; Νομίζω ότι η απάντηση είναι προφανής και ανοίξτε αυτό το "εικονίδιο" μέσα από το σημειωματάριο. Φυσικά, αυτό πάλι αποδείχθηκε ότι ήταν μια πλήρως κωδικοποιημένη php. Το διαγράφουμε.

Έχοντας διαγράψει τα προφανή αρχεία, μπορείτε να προχωρήσετε στα όχι και τόσο προφανή - τα αρχεία θεμάτων WordPress. Εδώ η συσκότιση δεν χρησιμοποιείται, πρέπει να σκάψετε τον κώδικα. Στην πραγματικότητα, εάν δεν γνωρίζετε τι είχε αρχικά ο προγραμματιστής, τότε αυτή η εργασία είναι πολύ δημιουργική, αν και μπορεί να λυθεί αρκετά γρήγορα. Αν δεν έχετε αλλάξει τον κωδικό θέματος, είναι πιο εύκολο να αντικαταστήσετε τα μολυσμένα αρχεία (το anti-virus τα εντόπισε σίγουρα) και να προχωρήσετε. Ή μπορείτε να σκάψετε όπως εγώ και να διαπιστώσετε ότι πολύ συχνά τέτοιοι ιοί αποδίδονται στο αρχείο λειτουργία.phpαπολύτως αριστερή συνάρτηση, στην οποία σίγουρα θα υπάρχει κωδικός πρόσβασης στο sql. Στην περίπτωσή μου, μοιάζει με αυτό (η μορφοποίηση παραμένει αμετάβλητη):

$sq1="SELECT DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS$src_length AS $INFOUT_p_ex αναρτήσεις ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\"1\" AND comment_type=\"\" A ND post_author=\"li".$sepr."vethe". $comment_types."mes".$sepr."@".$c_is_approved."gm".$comment_auth."ail".$sepr.".".$sepr."co"."m\" ΚΑΙ post_password=\ "\" ΚΑΙ comment_date_gmt >= CURRENT_TIMESTAMP() ORDER BY comment_date_gmt DESC LIMIT $src_count";

Όπου πηγαίνει αυτό το δείγμα, έχουμε ήδη καθαρίσει. Επομένως, εξετάζουμε ήρεμα σε ποια λειτουργία βρίσκεται αυτός ο κωδικός και διαγράφουμε ολόκληρη αυτήν τη λειτουργία - αποδόθηκε στο κακόβουλο λογισμικό. Αλλά, και πάλι, είναι πολύ πιο εύκολο και καλύτερο να αντικαταστήσετε ολόκληρο το αρχείο από το ολοκληρωμένο θέμα, εάν φοβάστε να σπάσετε κάτι.

Λοιπόν, η τελευταία πινελιά - ελέγξτε τον αριθμό των χρηστών του ιστότοπου. Όλες οι ιστοσελίδες μου πάντα οδηγούσα ο ίδιος. Συνεπώς, δεν μπορεί και δεν πρέπει να υπάρχουν άλλοι χρήστες. Ωστόσο, δεδομένης της μόλυνσης, είναι εύκολο να μαντέψει κανείς ότι θα προσπαθήσουν να κλέψουν τον ιστότοπο και να δημιουργήσουν τον δικό του χρήστη με δικαιώματα διαχειριστή. Στην περίπτωσή μου αποδείχθηκε wp.service.controller.2wXoZ. Το διαγράφουμε.

Έχει γίνει πολλή δουλειά, αλλά υπάρχει εξάτμιση; Ας ελέγξουμε ξανά με ένα antivirus, το οποίο αναφέρει ότι δεν βρέθηκαν άλλοι ιοί. Όλα, ο ιστότοπος θεραπεύεται.

Αποτελέσματα

Όπως μπορείτε να δείτε, η θεραπεία ενός ιστότοπου είναι αρκετά απλή, αν και χρονοβόρα. Μετά τη θεραπεία, είναι απαραίτητο να αποφευχθούν τέτοιες καταστάσεις στο μέλλον. Εδώ πρέπει να κάνετε μερικά μόνο βήματα:

1. Ενημερώστε το ίδιο το WordPress σε τελευταία έκδοση. Είναι πιθανό να χρησιμοποίησαν ένα exploit για έναν ξεπερασμένο κινητήρα.
2. Ελέγξτε όλα τα πρόσθετα. Διαγράψτε όλα τα περιττά (τα οποία βάζετε στο «μέλλον» και δεν χρησιμοποιείτε) και ελέγξτε τη συνάφεια αυτών που ήδη εργάζονται. Ωστόσο, ακόμη και η λήψη μιας προσθήκης από το αποθετήριο του WordPress δεν σας παρέχει εγγύηση ότι η προσθήκη θα είναι καθαρή. Έχουν γίνει πιο συχνές οι περιπτώσεις όταν αγοράζουν αυτό ή εκείνο το πρόσθετο, δημιουργούν κακόβουλο λογισμικό από αυτό και κατά την ενημέρωση στον ιστότοπό σας, θα συναντήσετε τις ίδιες «χαρές» με εμένα. Στην περίπτωσή μου, μολύνθηκα ακριβώς έτσι.
3. Ελέγχετε πάντα το θέμα. Αν είναι δημόσιο - ενημέρωση. Φυσικά, είναι καλύτερα να το αγοράσετε στο ίδιο templatemonster, αν και αυτό δεν παρέχει 100% προστασία.
4. Μην παραμελείτε εργαλεία όπως Wordfence. Αν και η δωρεάν έκδοση του πρόσθετου είναι πολύ, πολύ περιορισμένη, τουλάχιστον θα γνωρίζετε τι είναι ύποπτο στον ιστότοπό σας.
5. Μία φορά το μήνα, μην τεμπελιάζετε να τρέχετε τον ιστότοπο wpscan,για να δούμε τι τρωτά σημεία εμφανίστηκαν σε αυτό.
6. Δώστε προσοχή στη ρίζα του ιστότοπου. Μπορεί να υπάρχει αρχείο δείκτης.html.ψήνω.ψήνω. Αυτό υποδηλώνει επίσης ότι έχετε μολυσμένο ιστότοπο (μπορείτε να επεξεργαστείτε αμέσως το index.php, είναι 100% μολυσμένο)
7. Μην εμπιστεύεστε τα antivirus για δημόσιους ιστότοπους. Δεν υπάρχει νόημα από αυτά.

Προσπάθησα να δείξω με το παράδειγμά μου πώς μπορείτε να θεραπεύσετε έναν ιστότοπο WordPress. Το Antivirus στο ihc.ru είναι απλώς ένας σαρωτής κακόβουλου λογισμικού. Αλλά έκανε και τα πράγματα εύκολα. Ωστόσο, ακόμα κι αν η φιλοξενία σας δεν διαθέτει τέτοια υπηρεσία, μπορείτε να εντοπίσετε και να αποτρέψετε τη μόλυνση χρησιμοποιώντας τον παραπάνω αλγόριθμο.

Το WordPress είναι ένα από τα πιο δημοφιλή συστήματα διαχείρισης περιεχομένου (CMS) που χρησιμοποιείται από ανθρώπους είτε για απλό blogging είτε για άλλους σκοπούς όπως η δημιουργία ενός ηλεκτρονικού καταστήματος. Υπάρχουν πολλά πρόσθετα και θέματα για να διαλέξετε. Κάποια από αυτά είναι δωρεάν, άλλα όχι. Συχνά αυτά τα θέματα κατεβαίνουν από άτομα που τα έχουν προσαρμόσει για δικό τους όφελος.

1. Έλεγχος αυθεντικότητας θέματος (TAC)

Το Theme Authenticity Checker (TAC) είναι μια προσθήκη WordPress που σαρώνει τα αρχεία πηγής κάθε εγκατεστημένου θέματος WordPress για κρυφούς συνδέσμους υποσέλιδου και κωδικούς Base64. Μόλις εντοπιστεί, εμφανίζει τη συγκεκριμένη διαδρομή θέματος, τον αριθμό γραμμής και ένα μικρό κομμάτι κακόβουλου κώδικα, επιτρέποντας στον διαχειριστή του WordPress να αναλύσει εύκολα αυτόν τον ύποπτο κώδικα. [Κατεβάστε ]

2.Exploit Scanner

Το Exploit Scanner είναι σε θέση να σαρώσει τα αρχεία και τη βάση δεδομένων του ιστότοπού σας και είναι σε θέση να ανιχνεύσει την παρουσία οτιδήποτε αμφισβητήσιμο. Όταν χρησιμοποιείτε το Exploit Scanner, να θυμάστε ότι δεν θα βοηθήσει στην αποτροπή επίθεσης χάκερ στον ιστότοπό σας και δεν θα αφαιρέσει τυχόν ύποπτα αρχεία από τον ιστότοπό σας στο WordPress. Είναι εκεί για να βοηθήσει στον εντοπισμό τυχόν ύποπτων αρχείων που έχουν ανέβει από χάκερ. Εάν θέλετε να τα διαγράψετε, θα πρέπει να το κάνετε χειροκίνητα. [Κατεβάστε ]

3. Sucuri Security

Το Sucuri είναι ένα καθιερωμένο πρόσθετο εντοπισμού κακόβουλου λογισμικού και γενικά ασφάλειας. Τα κύρια χαρακτηριστικά του Sucuri είναι η παρακολούθηση αρχείων που ανεβαίνουν στον ιστότοπο WordPress, η παρακολούθηση μαύρης λίστας, οι ειδοποιήσεις ασφαλείας και πολλά άλλα. Προσφέρει επίσης απομακρυσμένη σάρωση κακόβουλου λογισμικού με το δωρεάν σαρωτή Sucuri SiteCheck. Το πρόσθετο παρέχει επίσης ένα ισχυρό πρόσθετο τείχους προστασίας ιστότοπου που μπορεί να αγοραστεί και να ενεργοποιηθεί προκειμένου να βελτιωθεί η ασφάλεια του ιστότοπού σας. [Κατεβάστε ]

4.Anti-Malware

Το Anti-Malware είναι μια προσθήκη WordPress που μπορεί να χρησιμοποιηθεί για τη σάρωση και την αφαίρεση ιών, απειλών και άλλου κακόβουλου λογισμικού που ενδέχεται να υπάρχουν στον ιστότοπό σας. Κάποια δικά του σημαντικές λειτουργίεςπροσφέρει εξατομικευμένες σαρώσεις, πλήρεις και γρήγορες σαρώσεις, αυτόματη αφαίρεση γνωστών απειλών. Το πρόσθετο μπορεί να εγγραφεί δωρεάν στο gotmls. [Κατεβάστε ]

5.WP Antivirus Site Protection

Το WP Antivirus Site Protection είναι μια προσθήκη ασφαλείας για τη σάρωση θεμάτων WordPress μαζί με άλλα αρχεία που έχουν μεταφορτωθεί στον ιστότοπό σας στο WordPress. Οι κύριες λειτουργίες του WP Antivirus Site Protection είναι η σάρωση κάθε αρχείου που αποστέλλεται στον ιστότοπο, η ενημέρωση της βάσης δεδομένων ιών σε συνεχή βάση, η αφαίρεση κακόβουλου κώδικα, η αποστολή ειδοποιήσεων και ειδοποιήσεων μέσω email και πολλά άλλα. Υπάρχουν επίσης λειτουργίες για τις οποίες μπορείτε να πληρώσετε εάν θέλετε πιο «αυστηρότερη» ασφάλεια για τον ιστότοπό σας. [Κατεβάστε ]

6. AntiVirus για WordPress

Το AntiVirus for WordPress είναι ένα εύχρηστο πρόσθετο προστασίας που θα σας βοηθήσει να σαρώσετε τα θέματα WordPress που χρησιμοποιούνται στον ιστότοπό σας για κακόβουλο κώδικα. Χρησιμοποιώντας αυτό το πρόσθετο, θα μπορείτε να λαμβάνετε ειδοποιήσεις για ιούς στον πίνακα διαχείρισης. Υπάρχει και καθημερινή σάρωση, σύμφωνα με τα αποτελέσματα της οποίας θα λάβετε email αν βρεθεί κάτι ύποπτο. [Κατεβάστε ]

7. Quttera Web Malware Scanner

Το Quttera Web Malware Scanner θα σας βοηθήσει να σαρώσετε τον ιστότοπο και να τον προστατέψετε από την εισαγωγή κακόβουλου κώδικα, ιών, ιού τύπου worm, trojans και άλλων κακών πνευμάτων υπολογιστών. Προσφέρει αρκετά ενδιαφέροντα χαρακτηριστικά όπως σάρωση και ανίχνευση άγνωστου κακόβουλου λογισμικού, μαύρη λίστα, μηχανή σάρωσης με «τεχνητή νοημοσύνη», ανίχνευση ξένων εξωτερικών συνδέσμων και πολλά άλλα. Μπορείτε να σαρώσετε τον ιστότοπό σας για κακόβουλο λογισμικό δωρεάν, ενώ άλλες υπηρεσίες κοστίζουν 60 $/έτος. [Κατεβάστε ]

8.Wordfence

Αν ψάχνετε για έναν τρόπο να προστατεύσετε τον ιστότοπό σας από επιθέσεις στον κυβερνοχώρο, τότε θα πρέπει να δοκιμάσετε το πρόσθετο Wordfence. Παρέχει προστασία σε πραγματικό χρόνο από γνωστές επιθέσεις, έλεγχο ταυτότητας δύο παραγόντων, μπλοκάρει ολόκληρο το μολυσμένο δίκτυο (κατά τον εντοπισμό), σαρώνει για γνωστές κερκόπορτες και πολλά άλλα πράγματα. Οι αναφερόμενες υπηρεσίες είναι δωρεάν, αλλά προσφέρονται και άλλες λειτουργίες έναντι χρέωσης. [Κατεβάστε ]

Η χρήση μιας προσθήκης ασφαλείας προστατεύει τον ιστότοπό σας WordPress από κακόβουλο λογισμικό, επιθέσεις και απόπειρες εισβολής. Αυτό το άρθρο συλλέγει τις καλύτερες προσθήκες ασφαλείας WordPress που συνιστάται να χρησιμοποιείτε για την ασφάλεια του ιστότοπού σας.

Γιατί να χρησιμοποιήσετε μια προσθήκη ασφαλείας WordPress

Κάθε εβδομάδα, περίπου 18,5 εκατομμύρια ιστότοποι μολύνονται με κακόβουλο λογισμικό. Ο μέσος ιστότοπος δέχεται επίθεση 44 φορές κάθε μέρα, συμπεριλαμβανομένων των ιστοτόπων WordPress και άλλων CMS.

Μια παραβίαση ασφαλείας στον ιστότοπό σας μπορεί να προκαλέσει σοβαρή επαγγελματική ζημιά:

• Οι χάκερ μπορούν να κλέψουν τα δεδομένα σας ή τα δεδομένα που ανήκουν στους χρήστες και τους πελάτες σας.
• Ένας παραβιασμένος ιστότοπος μπορεί να χρησιμοποιηθεί για τη διανομή κακόβουλου κώδικα, μολύνοντας ανυποψίαστους χρήστες.
• Μπορεί να χάσετε δεδομένα, να χάσετε την πρόσβαση στον ιστότοπό σας, ο ιστότοπος μπορεί να αποκλειστεί.
• Ο ιστότοπός σας μπορεί να καταστραφεί ή να καταστραφεί, γεγονός που μπορεί να επηρεάσει την κατάταξη SEO και τη φήμη της επωνυμίας.

Μπορείτε να σαρώσετε τον ιστότοπό σας στο WordPress για παραβιάσεις ασφαλείας ανά πάσα στιγμή. Ωστόσο, ο καθαρισμός ενός παραβιασμένου ιστότοπου WordPress χωρίς επαγγελματική βοήθεια μπορεί να είναι αρκετά δύσκολος για αρχάριους webmasters.

Για να αποφύγετε την παραβίαση, πρέπει να ακολουθείτε τις οδηγίες ασφαλείας του ιστότοπου. Ένα από τα σημαντικά βήματα για να ασφαλίσετε τον ιστότοπό σας στο WordPress είναι να χρησιμοποιήσετε ένα πρόσθετο ασφαλείας. Αυτά τα πρόσθετα βοηθούν στην απλοποίηση της ασφάλειας του WordPress και επίσης αποκλείουν επιθέσεις στον ιστότοπό σας.

Ας ρίξουμε μια ματιά σε μερικά από τα καλύτερα πρόσθετα ασφαλείας του WordPress και πώς προστατεύουν τον ιστότοπό σας.

Σημείωση!

Σημείωση. Χρειάζεται να χρησιμοποιήσετε μόνο ένα πρόσθετο από αυτήν τη λίστα. Η ύπαρξη πολλαπλών ενεργών προσθηκών ασφαλείας μπορεί να οδηγήσει σε σφάλματα.

Σημείωση.Χρειάζεται να χρησιμοποιήσετε μόνο ένα πρόσθετο από αυτήν τη λίστα. Η ύπαρξη πολλαπλών ενεργών προσθηκών ασφαλείας μπορεί να οδηγήσει σε σφάλματα.

1. Sucuri

Η Sucuri είναι ο ηγέτης στην ασφάλεια του WordPress. Οι προγραμματιστές προσφέρουν ένα βασικό δωρεάν πρόσθετο, το Sucuri Security, το οποίο σας βοηθά να ενισχύσετε την ασφάλειά σας και να σαρώσετε τον ιστότοπό σας για κοινές απειλές.

Αλλά η πραγματική αξία έγκειται στα προγράμματα επί πληρωμή που συνοδεύουν την καλύτερη προστασία τείχους προστασίας του WordPress. Ένα τείχος προστασίας βοηθά στον αποκλεισμό κακόβουλων επιθέσεων κατά την πρόσβαση στο WordPress.

Το τείχος προστασίας του Διαδικτύου Sucuri φιλτράρει την κακή κίνηση πριν φτάσει στον διακομιστή σας. Εξυπηρετεί επίσης στατικό περιεχόμενο από τους δικούς του διακομιστές CDN. Πέρα από την ασφάλεια, το τείχος προστασίας επιπέδου DNS με CDN σάς προσφέρει εκπληκτική ώθηση απόδοσης και επιταχύνει τον ιστότοπό σας.

Το πιο σημαντικό, η Sucuri προσφέρει να καθαρίσει τον ιστότοπό σας WordPress εάν μολυνθεί από κακόβουλο λογισμικό χωρίς επιπλέον κόστος.

Δείτε επίσης:

2.Wordfence

Το Wordfence είναι ένα άλλο δημοφιλές πρόσθετο ασφαλείας του WordPress. Οι προγραμματιστές προσφέρουν μια δωρεάν έκδοση της προσθήκης τους που συνοδεύεται από έναν ισχυρό σαρωτή κακόβουλου λογισμικού. Το πρόσθετο εντοπίζει και αξιολογεί απειλές.

Η προσθήκη σαρώνει αυτόματα τον ιστότοπό σας για κοινές απειλές, αλλά μπορείτε επίσης να εκτελέσετε πλήρη σάρωση ανά πάσα στιγμή. Θα ειδοποιηθείτε εάν εντοπιστούν σημάδια παραβίασης ασφάλειας. Θα λάβετε επίσης οδηγίες για το πώς να τα διορθώσετε.

Το Wordfence συνοδεύεται από ενσωματωμένο τείχος προστασίας WordPress. Ωστόσο, αυτό το τείχος προστασίας εκτελείται στον διακομιστή σας πριν από τη φόρτωση του WordPress. Αυτό το καθιστά λιγότερο αποτελεσματικό από ένα τείχος προστασίας επιπέδου DNS όπως το Sucuri.

3.iThemes Security

Το iThemes Security είναι μια προσθήκη ασφαλείας WordPress από τους προγραμματιστές της δημοφιλούς προσθήκης BackupBuddy. Όπως όλα τα προϊόντα τους, το iThemes Security προσφέρει μια εξαιρετική καθαρή διεπαφή χρήστη με πολλές επιλογές.

Έρχεται με ελέγχους ακεραιότητας αρχείων, ενίσχυση ασφαλείας, περιορισμούς απόπειρας σύνδεσης, ισχυρή επιβολή κωδικού πρόσβασης, ανίχνευση σφαλμάτων 404, προστασία από επιθέσεις και πολλά άλλα.

Το iThemes Security δεν περιλαμβάνει τείχος προστασίας ιστότοπου. Επίσης, δεν περιλαμβάνει τον δικό του σαρωτή κακόβουλου λογισμικού, αλλά χρησιμοποιεί τον σαρωτή κακόβουλου λογισμικού Sitecheck Sucuri.

4. All In One WP Security

Το All In One WP Security είναι ένα ισχυρό πρόσθετο ελέγχου ασφαλείας, παρακολούθησης και τείχους προστασίας του WordPress. Διευκολύνει την εφαρμογή βασικών βέλτιστων πρακτικών ασφάλειας του WordPress στον ιστότοπό σας.

Η προσθήκη περιλαμβάνει λειτουργίες αποκλεισμού σύνδεσης για την αποτροπή επιθέσεων στον ιστότοπό σας, φιλτράρισμα διευθύνσεων IP, παρακολούθηση ακεραιότητας αρχείων, παρακολούθηση λογαριασμού χρήστη, σάρωση για ύποπτα μοτίβα εισαγωγής βάσης δεδομένων και πολλά άλλα.

Έρχεται επίσης με ένα βασικό τείχος προστασίας σε επίπεδο ιστότοπου που μπορεί να εντοπίσει και να αποκλείσει ορισμένα κοινά μοτίβα. Ωστόσο, δεν είναι πάντα αποτελεσματικό και συχνά θα πρέπει να βάζετε με μη αυτόματο τρόπο τη μαύρη λίστα ύποπτων διευθύνσεων IP.

5. Ασφάλεια κατά του κακόβουλου λογισμικού

Το Anti-Malware Security είναι ένα άλλο χρήσιμο πρόσθετο κατά του κακόβουλου λογισμικού και ασφάλειας του WordPress. Το πρόσθετο συνοδεύεται από ενεργά διατηρημένους ορισμούς που σας βοηθούν να βρείτε τις πιο συνηθισμένες απειλές.

Η προσθήκη σάς επιτρέπει να σαρώνετε εύκολα όλα τα αρχεία και τους φακέλους στον ιστότοπό σας WordPress για κακόβουλο κώδικα, κερκόπορτες, κακόβουλο λογισμικό και άλλα γνωστά μοτίβα επίθεσης κακόβουλου λογισμικού.

Η προσθήκη απαιτεί να δημιουργήσετε έναν δωρεάν λογαριασμό στον ιστότοπο της προσθήκης. Στη συνέχεια, θα έχετε πρόσβαση στους πιο πρόσφατους ορισμούς, καθώς και σε ορισμένες premium λειτουργίες, όπως η προστασία από επίθεση.

Απόχρωση:ενώ το πρόσθετο κάνει αυστηρούς ελέγχους, συχνά εμφανίζει μεγάλο αριθμό ψευδώς θετικών. Ο συντονισμός καθενός από αυτούς με το αρχείο προέλευσης είναι μια μάλλον επίπονη δουλειά.

6 Αλεξίσφαιρη ασφάλεια

Το BulletProof Security δεν είναι το ωραιότερο πρόσθετο ασφαλείας WordPress στην αγορά, αλλά εξακολουθεί να είναι χρήσιμο με μερικές εξαιρετικές δυνατότητες. Έρχεται με έναν οδηγό εγκατάστασης. Ο πίνακας ρυθμίσεων περιλαμβάνει επίσης συνδέσμους προς εκτενή τεκμηρίωση. Αυτό θα σας βοηθήσει να κατανοήσετε πώς λειτουργούν οι έλεγχοι και οι ρυθμίσεις ασφαλείας.

Το πρόσθετο συνοδεύεται από έναν σαρωτή λογισμικού που ελέγχει την ακεραιότητα των αρχείων και των φακέλων του WordPress. Περιλαμβάνει προστασία σύνδεσης, χρονικό όριο περιόδου λειτουργίας, αρχεία καταγραφής ασφαλείας και ένα βοηθητικό πρόγραμμα δημιουργίας αντιγράφων ασφαλείας βάσης δεδομένων. Μπορείτε επίσης να ρυθμίσετε ειδοποιήσεις email σε αρχεία καταγραφής ασφαλείας και να λαμβάνετε ειδοποιήσεις όταν ένας χρήστης αποκλείεται.