Skocz do zawartości
marcin.lubianka

Zabezpieczenie stron internetowych - wordpress

Polecane posty

Dobry wieczór wszystkim użytkownikom.

 

Przeniosłem się z joomli na wordpressa, ostatnio pojawiają się częste ataki na moje strony i ręce mi już opadają. Mam zabezpieczone katalogi wp-admin do tego dodatki typu wordfence czy WP Security, dbam o aktualizację wtyczek i wordpressa a ostatnio wszystkie moje posty zostały podmienione... Chciałbym rozwiązania, które jest bezpieczne i działa. Mam serdecznie dość ciągłego grzebania w tym wszystkim i analizowania...

 

Szukam osoby, która "siedzi w temacie" która pomogła by mi zabezpieczyć strony przed atakami.

Lub doradziła jakieś rozwiązanie.

 

Będę wdzięczny za jakąkolwiek informację, sugestię czy pomoc.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Masz najnowszą wersję Wordpressa? Ostatnio w 4.7.0 i 4.7.1 pojawiła się groźna luka umożliwiająca zdalne - bez uwierzytelnienia edytowanie stron i postów. Upewnij się że korzystasz z wersji 4.7.2.

 

Dodatkowo warto ukryć pewne informacje które da się wyciągnąć o cms oraz ograniczyć dostęp do niektórych plików, ale to już trochę wyższa szkoła jazdy i trzeba mieć pojęcie co się robi. Nie sądzę by to było w tej chwili powodem Twoich problemów.

Edytowano przez Fizyda (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To teraz jesteś bezpieczny, spróbuj może uda się odzyskać zawartość starych postów dzięki historii zmian. Polecam nie wyłączać w wp-config automatycznych aktualizacji konkretnej wersji wordpressa, czyli z odnogi master. Z automatu w tedy będziesz dostawał wszystkie kolejne aktualizacje 4.7.X, ale np 4.8 będziesz musiał zainstalować sam.

U mnie strony same się zaktualizowały do 4.7.2 a potem 4.7.3 i nie miałem żadnych nieprzyjemności.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Aktualizowałem godzinę temu do 4.7.2 i niestety znów podmienił się jeden post... Cofnąłem przez historię zmian ale minutę temu nowy wpis się pojawił... Mam w panelu direct Admin installatron poprzez, który instaluję wszystkie cms'y i w nim staram się mieć ustawienie automatycznej aktualizacji i backup'u.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niewykluczone, że masz jakieś pliki zainfekowane. Ja bym wyeksportował wszystkie wpisy i strony, zainstalował od nowa wordpressa i zaimportował ponownie dane.

Chyba że chcesz się bawić w poszukiwacza obcego kodu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki, tak zrobię bo raczej nie mam ochoty grzebać linijkę po linijce kodu. Czekam jeszcze na odzyskanie z backup'u użytkownika ale support gdzie mam hosting teraz nie pracuje...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisz jeszcze z jakich pluginow korzystasz? Najczesciej do WP mozna sie dostac przez niezabezpieczone pluginy.

 

Wysłane z mojego E2105 przy użyciu Tapatalka

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki, tak zrobię bo raczej nie mam ochoty grzebać linijkę po linijce kodu. Czekam jeszcze na odzyskanie z backup'u użytkownika ale support gdzie mam hosting teraz nie pracuje...

Nie musisz grzebać linijka po linijce :D Jest świeże narzędzie do monitorowania zmian plikach i w zasadzie jedyne działające z tego co testowałem. Dostajesz powiadomienia o każdej zmianie (wyłączając przy tym wyjątki, które wcześniej dodałeś).Tu masz strone www.ispectio.com .Mi w zupełności wystarcza, bo uzyskuje informacje gdzie jest luka i wiem jak szybko wyeliminować problem. Nie ma co się bawić w jakieś pseudo antywirusy, bo hackerzy zawsze są o ten krok do przodu. Przecież nie da się zabezpieczyć przed wirusem, który jeszcze nie był w obiegu.

Edytowano przez knockknock (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Główne pluginy to woocomerce, re-captcha google, wordfence / wp security, contact form 7 i tyle. Staram się naprawdę ograniczać do minimum wtyczki.


Nie musisz grzebać linijka po linijce :D Jest świeże narzędzie do monitorowania zmian plikach i w zasadzie jedyne działające z tego co testowałem. Dostajesz powiadomienia o każdej zmianie (wyłączając przy tym wyjątki, które wcześniej dodałeś).Tu masz strone www.ispectio.com .Mi w zupełności wystarcza, bo uzyskuje informacje gdzie jest luka i wiem jak szybko wyeliminować problem. Nie ma co się bawić w jakieś pseudo antywirusy, bo hackerzy zawsze są o ten krok do przodu. Przecież nie da się zabezpieczyć przed wirusem, który jeszcze nie był w obiegu.

 

Ok założenie bardzo dobre ale z tego co widzę jest to projekt beta. Nigdzie też nie ma cennika podanego na stronie a w regulaminie wyraźnie jest napisane że trzeba zapłacić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Główne pluginy to woocomerce, re-captcha google, wordfence / wp security, contact form 7 i tyle. Staram się naprawdę ograniczać do minimum wtyczki.

 

Ok założenie bardzo dobre ale z tego co widzę jest to projekt beta. Nigdzie też nie ma cennika podanego na stronie a w regulaminie wyraźnie jest napisane że trzeba zapłacić.

Napisałem do nich na chat i dostałem odpowiedź, że regulamin jest już przygotowany pod finalną wersje oraz zapewnili mnie, że sama funkcjonalność działa w 100%. Więc wychodzi na to, że można cieszyć się pełną wersja produktu za darmo jeszcze przez pewien okres.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Rafiki

podstawowa zasada to korzystanie tylko z sprawdzonych wtyczek / tematów, często aktualizowanych i jak już pisano wyżej pluginy należy ograniczyć do minimum.

Wiele ataków na wordpressa (jak nie większość) dokonywana jest przez xmlrpc.php - warto zablokować ten plik chociaż przez htaccess.:

 <files xmlrpc.php>
  order deny,allow
  deny from all
 </files>

Gdy jest taka potrzeba można go udostępnić tylko dla wybranych IP.

 

Jeżeli możesz sobie na to pozwolić warto zablokować ruch z azjatyckich i innych podejrzanych krajów - ryzyko jakiegokolwiek ataku spada drastycznie :)

 

Jeszcze co do pluginów typu wordfence czy WP Security, często takie pluginy same w sobie zawierają masę bugów. Ja radze się ich pozbyć. Kilka miesięcy temu WPSecurity (swoją drogą jest dość popularny) miał krytyczny bug i strona bez problemów była hackowana właśnie przez niego.
Wszystkie zabezpieczenia jakie oferują te "magiczne" wtyczki można zrobić samemu i "ręcznie".

Edytowano przez Rafiki (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Piszesz o "stronach" - jeśli to konto współdzielone przez kilka domen/serwisów to prawdopodobnie do sprawdzenia/oczyszczenia są pozostałe.

 

Przejrzyj logi - dosyć łatwo wyłapiesz POSTy - powinno to ułatwić znalezienie podejrzanych plików.

 

@Rafiki - zgoda co do "magicznych" wtyczek :) ale trudno samemu ręcznie zrobić jakiś WAF

wg mnie WordFence + AllInOne WP Security skonfigurowane żeby się uzupełniały to optymalne połączenie (ps. podrzucisz link do luki w AllInOne? ja ostatnią kojarzę w połowie 2015, dzięki)

 

A.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zawsze można uderzyć do Sucuri. Jak masz luźną stówkę to wyczyszczą stronę i zakładam powiedzą jak się dziadostwo dostało.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może spróbuj postawić swoje strony na innej platformie, skoro Wordpress jest taki zawodny i wymaga mnóstwa zabiegów administracyjnych. Ja napisałem swego CMS-a i postawiłem na nim parę stron, które działają już ładnych kilka lat i nie mam żadnych problemów z włamaniami. Nie muszę dbać o żadne aktualizacje ani zabezpieczenia. Mówiąc obrazowo: "instaluję i zapominam, mam święty spokój". W moim CMS-ie nie stosuję żadnych wtyczek ani pluginów - system jest jednorodny i spójny. Gdy chcę do niego dodać jakiś ficzer, siadam i piszę natywny kod - ostatnie przykłady to dodanie statystyki wejść wzbogaconej o wykresy, albo system komentarzy.

CMS jest darmowy - można go pobrać, zainstalować u siebie, a nawet zmodyfikować według własnego uznania.

Tu piszę szerzej o powodach, dla których napisałem swojego CMS-a.

Tu jest strona poświęcona projektowi. Znajdziesz na niej link do pobrania kodu z GitHuba.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×