זה לא מספיק כדי להסיר את ההשלכות, אתה צריך להבין את הסיבות. כבר כתבתי את זה נפרצנו ולכאורה כולנו החלטנו. עם זאת, שבוע לאחר מכן הסיפור חזר על עצמו, שונה תסריט של jquery נוסף, כמו גם קבצי .htaccess. וב. Access היו הפניות לאיזה אתר שמאלי רק למכשירים ניידים וטאבלטים, ולכן שמתי לב לכך שלא מייד.
תוך מספר ימים הצלחתי למצוא את כל הקבצים ששונו על ידי התוקף, כמו גם את הקבצים שנוצרו על ידו במיוחד לחדירה (מעטפת). ושוב, תודה לאירוח על עזרתם. לאחר מכן החלטתי לנקוט בכל האמצעים המתוארים באינטרנט.
תוכן המאמר
- 1 כל חלקי השאלות הקטנות של הבלוגר הקטן שלי:
- 2 טיפים לאבטחת בלוג של וורדפרס
- 2.1 עדכן קודי דלפק ווידג'ט
- 2.2 עדכן את כל התוספים ואת WordPress לגירסאות האחרונות והסר ללא שימוש
- 2.3 עדכן timtatt.php
- 2.4 בדוק הרשאות בתיקיות ובקבצים
- 2.5 שנה את שם המשתמש של מנהל המערכת
- 2.6 שנה את כל הסיסמאות למורכבות יותר
- 2.7 הגן על קבצי .htaccess ו- wp-config.php מפני גישה עבור כולם
- 2.8 הגן על תיקיה הכוללת wp עם .htaccess
- 2.9 הגן על תיקיית wp-admin באמצעות .htaccess ו- .htpasswd
- 2.10 שנה קידומת בסיס נתונים
- 2.11 התקן את תוסף Belavir
- 2.12 התקן את תוסף סריקת האבטחה של WP
- 2.13 התקן תוסף אבטחה טוב יותר ל- WP
- 2.14 מעקב אחר שינויים ב- ftp שלך
- 2.15 גיבויים של מסדי נתונים וקבצים אחת למספר ימים
כל חלקי השאלות הקטנות של הבלוגר הקטן שלי:
כתבתי מספר מאמרים הקשורים לבלוגים. הם לא טוענים שהם מדריכים מן המניין, אך מתחילים עשויים להועיל. אתה יכול לקרוא אותו, אם אתה מעוניין.
0. אני ממליץ על קורס «איך להפוך לבלוגר של מיליונרים ולהרוויח כסף»
1. כיצד לפתוח בלוג
2. איך לקדם בלוג - רשימת הפעולות שלי
3. איך להרוויח כסף בבלוג ונסיעות
4. דוגמא להרוויח בבלוג שלנו - פינסטריפ 2013, finstrip 2012, פינסטריפ 2011
חָמֵשׁ. תנועת קוראים וחיפושים, ומדוע הקוראים לא חוזרים
6. קצת אמת על בלוגים בנסיעות
7. טיפים להגנת בלוג של וורדפרס
טיפים לאבטחת בלוג של וורדפרס
סביר להניח שהרשימה לא תהיה שלמה, וכפי שאומרים, מי שיזדקק לה בכל מקרה יישבר. אבל לפחות כמעט כל בלוגר יכול לבצע את הפעולות האלה כדי להגן לפחות מעט.
עדכן קודי דלפק ווידג'ט
בדוק את הקודים של כל הדלפקים והווידג'טים החברתיים בבלוג שלך ובאתר, מאיפה הגעת אותם.
אולי הם עודכנו. שמתי לב שפייסבוק לעתים קרובות משנה את הקוד עבור ווידג'טים, זה משפר ככל הנראה את האבטחה.
עדכן את כל התוספים ואת WordPress לגירסאות האחרונות והסר ללא שימוש
כאן התגובות מיותרות, כולם יודעים לעשות את זה. הפגיעויות כלולות בדרך כלל בתוספים ובנושאים, לכן, לפחות, יש להסיר את כל אלה שלא השתמשו בהם.
עדכן timtatt.php
אם העיצוב שלך משתמש בגודל של תמונות ממוזערות המשתמשות ב- timtatt.php, עליך בהחלט לעדכן קובץ זה לגירסה האחרונה, מכיוון שגירסאות ישנות עם פגיעות ידועה..
בדוק הרשאות בתיקיות ובקבצים
על כל הקבצים להיות בעלי 644 הרשאות, 755 תיקיות למעט .htaccess - 444 הרשאות והעלאת תיקיות - 777 הרשאות.
שנה את שם המשתמש של מנהל המערכת
האפשרות המהירה ביותר היא להיכנס ל- phpadmin ושם, בבסיס הנתונים שלך, לבצע שאילתה זו:
UPDATE wp_users SET user_login = ‘הכניסה החדשה שלך’ איפה user_login = ‘מנהל’;
או שאתה יכול פשוט ליצור משתמש חדש דרך חלונית הניהול של הבלוג, להקצות לו מחדש את כל המאמרים ולמחוק את משתמש הניהול הישן..
שנה את כל הסיסמאות למורכבות יותר
עצות בנאליות, אך סיסמאות צריכות להיות מורכבות, המורכבות ממספרים ואותיות של רישומים שונים. כמו כן, אל תשכח שאחרי המאבק בווירוסים, עליך לשנות את כל הסיסמאות בכל דרך שהיא (מנהל בלוג, אירוח מנהל, ftp, מסד נתונים של sql), וזה גם הגיוני לשנות את המפתחות הסודיים בקובץ wp-config.php.
הגן על קבצי .htaccess ו- wp-config.php מפני גישה עבור כולם
הוסף .htaccess שלך בשורש הבלוג, קוד זה:
צו לשלול, לאפשר
להכחיש מכל
כדי לאפשר, להכחיש
להכחיש מכל
הגן על תיקיה הכוללת wp עם .htaccess
צור קובץ טקסט רגיל, קרא לו .htaccess והעתק אותו לתיקיה הכוללת wp, לאחר הוספת הקוד לקובץ:
סדר אפשר, דחה
להכחיש מכל
אפשר מכל
הגן על תיקיית wp-admin באמצעות .htaccess ו- .htpasswd
צור קובץ טקסט רגיל, קרא לו .htaccess והעתק אותו לתיקיית wp-admin, לאחר הוספת הקוד לקובץ:
AuthUserFile /home/public/.htpasswd
סוג AuthType Basic
שם אוטומטי “מוגבלת”
להזמין דחה, אפשר
להכחיש מכל
דרוש משתמש חוקי
סיפקו כל
איפה, «/home/public/.htpasswd» הוא הנתיב המלא לקובץ .htpasswd. רצוי שקובץ זה ממוקם מעל לספריית הבלוג שלך.
קובץ ה- .htpasswd מכיל את הסיסמה לגישה לאזור wp-admin בצורה מוצפנת. הדרך הקלה ביותר ליצור קובץ זה היא להזין את שם המשתמש והסיסמה בדרך הרגילה. עדיף לא לחזור ולציין נתונים השונים מחשבונות קיימים.
קיימת אי-נוחות אחת בשיטה זו - היא אינה מתאימה אם יש לך בלוג רב-משתמשים, כיוון שהסיסמה תתבקש מכל המשתמשים..
שנה קידומת בסיס נתונים
שנה את הקידומת של בסיס הנתונים שלך ב- SQL מהסטנדרט «wp_» על כמה «wpsdjflk647_» זה היה אפשרי כבר בתחילת הקמת הבלוג. אבל עכשיו זו לא בעיה. הכנתי לזה תוסף, שיידון בהמשך. למרות שאתה יכול להיכנס ל- phpadmin, החלף את כל שמות הטבלאות שם ואז שנה את הקידומת בקובץ wp-config.php
התקן את תוסף Belavir
התקן את התוסף Belavir, שיעקוב אחר השינויים בכל קבצי ה- PHP של הבלוג שלך. התוסף עצמו אינו עוקב אחר דבר, אלא מתחיל את הסריקה כשאתה ניגש ללוח הניהול של הבלוג בדף המסוף, שם הוא מציג את השינויים בפועל. אין לו הגדרות.
התקן את תוסף סריקת האבטחה של WP
התקן את התוסף WP לסריקת האבטחה, איתו אתה יכול לעשות כמה דברים, בפרט:
- שינוי קידומת מסד נתונים
- בדוק את ההרשאות בתיקיות ובקבצים
- הסתר את הגרסה של וורדפרס
- חבר את האנטי-וירוס לבלוג ובדוק אותו
התקן תוסף אבטחה טוב יותר ל- WP
התקן את התוסף Better WP Security, הוא נחוץ עוד יותר מהשניים הקודמים. רשימת התכונות שלו גדולה מאוד, אני אפרט חלק:
- מאפשר לך לשנות את קידומת מסד הנתונים
- מסיר מידע מיותר מקוד הבלוג לפי סוג גרסת WordPress
- עוקב אחר שינויים בכל הקבצים
- אוסר על ה- ip של מי שמזין כתובות מוזרות בדפדפן על שם הבלוג שלך, מקבל שגיאה 404
- אוסר על בחירת סיסמא עבור לוח הניהול, איסור ip
- משנה את כתובות הכניסה הרגילות של מנהל המערכת, הגנה מצוינת מפני התקפות כוח סוער
- ועוד הרבה.
מעקב אחר שינויים ב- ftp שלך
התקן את תוכנית ftpinfo במחשב שלך, המאפשרת לך להתחבר לשרת ה- ftp שלך ולעקוב אחר השינויים של כל קבצי החשבון לצורך הופעתם / מחיקתם / שינוים. דבר מאוד שימושי במהלך התקפות וירוסים. אתה יכול לפקח לא רק על כל הקבצים, אלא גם ליצור מסכות לקבצים ותיקיות.
גיבויים של מסדי נתונים וקבצים אחת למספר ימים
דבר שימושי מאוד, זה יכול להועיל למלחמה בוירוסים. הקבצים המקוריים תמיד יהיו בהישג ידנה ותהיה הזדמנות להחזיר חזרה אם לא ניתן לנקות את האתר מוירוסים. אני משתמש בתוסף ה- BackWPup. יש לו תכונות רבות, כולל העתקת נתונים ל- Dropbox - שירות נוח המספק שטח פנוי של 2 ג'יגה-בתים באינטרנט וסנכרון עם המחשב שלך.
אלה הטיפים להגנה על בלוג וורדפרס שהחלתי לבלוג שלנו. אם יש שאלות או תוספות (אולי אפשר לעשות משהו אחר), כתוב בתגובות 🙂