Skocz do zawartości


 

Zdjęcie

Zabezpieczenie stron internetowych - wordpress

Zabezpieczenie stron internetowych - wordpress wordpress joomla hosting zabezpieczenie

  • Proszę się zalogować aby odpowiedzieć
16 odpowiedzi na ten temat

Zabezpieczenie stron internetowych - wordpress

#1 marcin.lubianka

marcin.lubianka

    Nowy użytkownik

  • Nowy
  • 6 postów

Napisany 18 luty 2017 - 19:23

Dobry wieczór wszystkim użytkownikom. 

 

Przeniosłem się z joomli na wordpressa, ostatnio pojawiają się częste ataki na moje strony i ręce mi już opadają. Mam zabezpieczone katalogi wp-admin do tego dodatki typu wordfence czy WP Security, dbam o aktualizację wtyczek i wordpressa a ostatnio wszystkie moje posty zostały podmienione... Chciałbym rozwiązania, które jest bezpieczne i działa. Mam serdecznie dość ciągłego grzebania w tym wszystkim i analizowania... 

 

Szukam osoby, która "siedzi w temacie" która pomogła by mi zabezpieczyć strony przed atakami.

Lub doradziła jakieś rozwiązanie. 

 

Będę wdzięczny za jakąkolwiek informację, sugestię czy pomoc. 

 

 


  • 0

#2 Fizyda

Fizyda

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 498 postów

Napisany 18 luty 2017 - 20:14

Masz najnowszą wersję Wordpressa? Ostatnio w 4.7.0 i 4.7.1 pojawiła się groźna luka umożliwiająca zdalne - bez uwierzytelnienia edytowanie stron i postów. Upewnij się że korzystasz z wersji 4.7.2.

 

Dodatkowo warto ukryć pewne informacje które da się wyciągnąć o cms oraz ograniczyć dostęp do niektórych plików, ale to już trochę wyższa szkoła jazdy i trzeba mieć pojęcie co się robi. Nie sądzę by to było w tej chwili powodem Twoich problemów.


Edytowany przez Fizyda, 18 luty 2017 - 20:16.

  • 0

#3 marcin.lubianka

marcin.lubianka

    Nowy użytkownik

  • Nowy
  • 6 postów

Napisany 18 luty 2017 - 20:22

Miałem właśnie starą wersję 4.7.1 na jednej z stron i dopiero teraz zaktualizowałem do wersji 4.7.2 - niestety już po podmienieniu postów... 

 

 


  • 0

#4 Fizyda

Fizyda

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 498 postów

Napisany 18 luty 2017 - 21:15

To teraz jesteś bezpieczny, spróbuj może uda się odzyskać zawartość starych postów dzięki historii zmian. Polecam nie wyłączać w wp-config automatycznych aktualizacji konkretnej wersji wordpressa, czyli z odnogi master. Z automatu w tedy będziesz dostawał wszystkie kolejne aktualizacje 4.7.X, ale np 4.8 będziesz musiał zainstalować sam.

U mnie strony same się zaktualizowały do 4.7.2 a potem 4.7.3 i nie miałem żadnych nieprzyjemności.


  • 0

#5 marcin.lubianka

marcin.lubianka

    Nowy użytkownik

  • Nowy
  • 6 postów

Napisany 18 luty 2017 - 21:35

Aktualizowałem godzinę temu do 4.7.2 i niestety znów podmienił się jeden post... Cofnąłem przez historię zmian ale minutę temu nowy wpis się pojawił... Mam w panelu direct Admin installatron poprzez, który instaluję wszystkie cms'y i w nim staram się mieć ustawienie automatycznej aktualizacji i backup'u. 


  • 0

#6 Fizyda

Fizyda

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 498 postów

Napisany 18 luty 2017 - 21:57

Niewykluczone, że masz jakieś pliki zainfekowane. Ja bym wyeksportował wszystkie wpisy i strony, zainstalował od nowa wordpressa i zaimportował ponownie dane.

Chyba że chcesz się bawić w poszukiwacza obcego kodu.


  • 0

#7 marcin.lubianka

marcin.lubianka

    Nowy użytkownik

  • Nowy
  • 6 postów

Napisany 18 luty 2017 - 22:01

Dzięki, tak zrobię bo raczej nie mam ochoty grzebać linijkę po linijce kodu. Czekam jeszcze na odzyskanie z backup'u użytkownika ale support gdzie mam hosting teraz nie pracuje...
  • 0

#8 Fizyda

Fizyda

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 498 postów

Napisany 18 luty 2017 - 22:06

Jeśli backup zawiera pliki ftp to może nie musisz przeinstalowywać niczego.


  • 0

#9 marcin.lubianka

marcin.lubianka

    Nowy użytkownik

  • Nowy
  • 6 postów

Napisany 18 luty 2017 - 22:22

Pełna kopia pliki, baza danych. Ale muszę poczekać jak będzie ktoś osiągalny w firmie. Dziękuję za wszelką pomoc.
  • 0

#10 dawidryba11

dawidryba11

    Czasami na forum

  • Użytkownicy
  • 49 postów

Napisany 20 luty 2017 - 07:17

Napisz jeszcze z jakich pluginow korzystasz? Najczesciej do WP mozna sie dostac przez niezabezpieczone pluginy.

Wysłane z mojego E2105 przy użyciu Tapatalka
  • 0

#11 knockknock

knockknock

    Nowy użytkownik

  • Nowy
  • 2 postów

Napisany 20 luty 2017 - 15:45

Dzięki, tak zrobię bo raczej nie mam ochoty grzebać linijkę po linijce kodu. Czekam jeszcze na odzyskanie z backup'u użytkownika ale support gdzie mam hosting teraz nie pracuje...

Nie musisz grzebać linijka po linijce :D Jest świeże narzędzie do monitorowania zmian plikach i w zasadzie jedyne działające z tego co testowałem. Dostajesz powiadomienia o każdej zmianie (wyłączając przy tym wyjątki, które wcześniej dodałeś).Tu masz strone www.ispectio.com .Mi w zupełności wystarcza, bo uzyskuje informacje gdzie jest luka i wiem jak szybko wyeliminować problem.  Nie ma co się bawić w jakieś pseudo antywirusy, bo hackerzy zawsze są o ten krok do przodu. Przecież nie da się zabezpieczyć przed wirusem, który jeszcze nie był w obiegu.


Edytowany przez knockknock, 20 luty 2017 - 15:46.

  • 0

#12 marcin.lubianka

marcin.lubianka

    Nowy użytkownik

  • Nowy
  • 6 postów

Napisany 20 luty 2017 - 16:41

Główne pluginy to woocomerce, re-captcha google, wordfence / wp security, contact form 7 i tyle. Staram się naprawdę ograniczać do minimum wtyczki. 


Nie musisz grzebać linijka po linijce :D Jest świeże narzędzie do monitorowania zmian plikach i w zasadzie jedyne działające z tego co testowałem. Dostajesz powiadomienia o każdej zmianie (wyłączając przy tym wyjątki, które wcześniej dodałeś).Tu masz strone www.ispectio.com .Mi w zupełności wystarcza, bo uzyskuje informacje gdzie jest luka i wiem jak szybko wyeliminować problem.  Nie ma co się bawić w jakieś pseudo antywirusy, bo hackerzy zawsze są o ten krok do przodu. Przecież nie da się zabezpieczyć przed wirusem, który jeszcze nie był w obiegu.

 

Ok założenie bardzo dobre ale z tego co widzę jest to projekt beta. Nigdzie też nie ma cennika podanego na stronie a w regulaminie wyraźnie jest napisane że trzeba zapłacić. 


  • 0

#13 knockknock

knockknock

    Nowy użytkownik

  • Nowy
  • 2 postów

Napisany 20 luty 2017 - 17:39

Główne pluginy to woocomerce, re-captcha google, wordfence / wp security, contact form 7 i tyle. Staram się naprawdę ograniczać do minimum wtyczki. 


 

Ok założenie bardzo dobre ale z tego co widzę jest to projekt beta. Nigdzie też nie ma cennika podanego na stronie a w regulaminie wyraźnie jest napisane że trzeba zapłacić. 

Napisałem do nich na chat i dostałem odpowiedź, że regulamin jest już przygotowany pod finalną wersje  oraz zapewnili mnie, że sama funkcjonalność działa w 100%. Więc wychodzi na to, że można cieszyć się pełną wersja produktu za darmo jeszcze przez pewien okres. 


  • 0

#14 Gość_Rafiki_*

Gość_Rafiki_*
  • Goście

Napisany 20 luty 2017 - 20:05

podstawowa zasada to korzystanie tylko z sprawdzonych wtyczek / tematów, często aktualizowanych i jak już pisano wyżej pluginy należy ograniczyć do minimum.

Wiele ataków na wordpressa (jak nie większość) dokonywana jest przez xmlrpc.php - warto zablokować ten plik chociaż przez htaccess.:

 <files xmlrpc.php>
  order deny,allow
  deny from all
 </files>

Gdy jest taka potrzeba można go udostępnić tylko dla wybranych IP.

 

Jeżeli możesz sobie na to pozwolić warto zablokować ruch z azjatyckich i innych podejrzanych krajów - ryzyko jakiegokolwiek ataku spada drastycznie :)

 

Jeszcze co do pluginów typu wordfence czy WP Security, często takie pluginy same w sobie zawierają masę bugów. Ja radze się ich pozbyć. Kilka miesięcy temu WPSecurity (swoją drogą jest dość popularny) miał krytyczny bug i strona bez problemów była hackowana właśnie przez niego.
Wszystkie zabezpieczenia jakie oferują te "magiczne" wtyczki można zrobić samemu i "ręcznie".


Edytowany przez Rafiki, 20 luty 2017 - 20:19.

  • 0

#15 adamuss

adamuss

    Nowy użytkownik

  • Użytkownicy
  • 7 postów

Napisany 22 luty 2017 - 12:40

Piszesz o "stronach" - jeśli to konto współdzielone przez kilka domen/serwisów to prawdopodobnie do sprawdzenia/oczyszczenia są pozostałe.

 

Przejrzyj logi - dosyć łatwo wyłapiesz POSTy - powinno to ułatwić znalezienie podejrzanych plików.

 

@Rafiki - zgoda co do "magicznych" wtyczek :) ale trudno samemu ręcznie zrobić jakiś WAF

wg mnie WordFence + AllInOne WP Security skonfigurowane żeby się uzupełniały to optymalne połączenie (ps. podrzucisz link do luki w AllInOne? ja ostatnią kojarzę w połowie 2015, dzięki)

 

A.

 


  • 0

#16 infolotnicze

infolotnicze

    Często na forum

  • Użytkownicy
  • 70 postów
  • Firma:infolotnicze.pl

Napisany 25 luty 2017 - 16:03

Zawsze można uderzyć do Sucuri. Jak masz luźną stówkę to wyczyszczą stronę i zakładam powiedzą jak się dziadostwo dostało.


  • 0

#17 andrzuk

andrzuk

    Nowy użytkownik

  • Użytkownicy
  • 2 postów
  • Skąd:Poznań

Napisany 15 kwiecień 2017 - 19:15

Może spróbuj postawić swoje strony na innej platformie, skoro Wordpress jest taki zawodny i wymaga mnóstwa zabiegów administracyjnych. Ja napisałem swego CMS-a i postawiłem na nim parę stron, które działają już ładnych kilka lat i nie mam żadnych problemów z włamaniami. Nie muszę dbać o żadne aktualizacje ani zabezpieczenia. Mówiąc obrazowo: "instaluję i zapominam, mam święty spokój". W moim CMS-ie nie stosuję żadnych wtyczek ani pluginów - system jest jednorodny i spójny. Gdy chcę do niego dodać jakiś ficzer, siadam i piszę natywny kod - ostatnie przykłady to dodanie statystyki wejść wzbogaconej o wykresy, albo system komentarzy.

CMS jest darmowy - można go pobrać, zainstalować u siebie, a nawet zmodyfikować według własnego uznania.

Tu piszę szerzej o powodach, dla których napisałem swojego CMS-a.

Tu jest strona poświęcona projektowi. Znajdziesz na niej link do pobrania kodu z GitHuba.


  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: wordpress, joomla, hosting, zabezpieczenie

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników