На днях прошлась DOC атака на мой блог Blogowed.ru, и он был взломан! Технически поработали, да кстати WordPress очень дырявый, из — за многочисленных скриптов он является очень уязвимым CMS . Если кто — то был у меня на блоге с 5 до 7 вечера мог наблюдать ошибки на сайте, и не открывалась ни одна статья, я проводил откат Б/Д, и мне пришлось пожертвовать одной статьей за что прошу извинения, советую прочитать эту статью полностью я буду говорить полезные вещи.
Начну я с того что при очередной проверки исходника, обнаружил непонятный список сайтов, которые периодически менялись. Число их составляло около 200 штук.
Это не весь список а только часть него, позже я узнал что распространение WordPress используют для развертки вспомогательных дроно-сайтов, куда в блогроллы выкидываются индексы сайтов под индексацию. То есть мой блог использовали как линка — помойку. Другими словами я был конвейером.
Ладно это мелочь я ее решил с помощью отката базы данных, можно было обойти иными путями и просто обновить WordPress до последней версии. Дело в том что хакеры взламывают сервер и в index. php добавляют произвольный код html, такой же способ может произвести трой который ворует данные дял доступа к серверам с FTP- менеджеров вроде Total Commander и отправляет их куда надо, где в автоматическом режиме скрипт сканирует корневую директорию на наличие index.php , index.html и добавляет туда свой код.
Как защитить блог на wordpress от взлома?
В первую очередь нужно задуматься как обезопасить свой блог от взлома, я уже убедился что WordPress очень дырявый , давайте разберем все возможные решения и попробуем как можно больше закрыть дыр на блоге.
Решение 1. При попытке залогиниться в WordPress , Если Вы сделаете ошибку , то движок скажет Вам об этом, эти подсказки можно спрятать от хакера, зачем ему знать правильно он вел пароль или нет.
Для этого в файле functions.php в самом низу вставьте строчку:
[sourcecode language=’php’]add_filter(‘login_errors’,create_function(‘$a’, «return null ; » ));[/sourcecode]
Сохраняем файл, теперь ни каких подсказок….
Решение 2 . Поменяйте логин и пароль на сайте, в место Admin пропишите например свой ник , делать это мы будем с помощью phpMyAdmin . Заходим в панель управления хостингом и находим там phpMyAdmin
Далее ищем таблицу “wp_users” и жмем кнопку “Обзор” , выбираем пользователя Админ:
- Стираем admin в поле user_login и ставим свой ник или Любое другое имя
- Стираем все иероглифы в поле user_pass и прописываем свой пароль 20-25 символов для надежности
- В поле User_pass из выпадающего меню выбираем шифрование MD5
- Нажимаем ок
BulletProof Security — Защитит Ваш блог от кросс-серверных скриптов, SQL-инъекций, base64, CSRF, а также надежно сохранить жизненно важные файлы вашего сервера, такие как .htaccess и php.ini.
Login Lock Down или Limit Login Attempts — это плагины, которые предотвращают многократные попытки входа в админку , работают они по принципу 3 раза не правильно ввел, ЖДИ! Вы можете в настройках установить количество попыток и время блокировки.
Anti-XSS attack — Плагин для защиты от XSS-атак
Решение 4 Находим файл .htaccess в корне нашего сайта и добавляем следующий код:
[sourcecode language=’php’]
order allow,deny
deny from all
[/sourcecode]
wp-config.php содержит все данные, необходимые для подключения к серверу MySQL и базе данных. Защищать это файл нужно в первую очередь.
Решение 5 На сайте существуют бесполезные файлов, по сути они не нужны, за то для взломщиков они несут полезную информацию. Просто удалите эти файлы: readme.html и license.txt.
А также строчку в файл header.php (строка показывает версию wordpress)
[sourcecode language=’php’]” />[/sourcecode]
И на последок обязательно установите плагин wordpress database backup , он нужен для восстановления базы данных.
На этом пока все! Обновляйте постоянно свою версию сайта, а также не забывайте следить за своими исходниками, враг не дремлет.
Как я Вас понимаю! Мы тоже недавно столкнулись с проблемой взлома сайта- пережили кучу неприятных моментов. Пришлось также повысить безопасность блога, благодаря Вашей статье еще займусь защитой.
спасибо за полезную информацию.
Роман,спасибо ,за полезную статью! А нельзя ли подробней про настройки
BulletProof Security, именно,что жизненно важно в опциях этого плагина настроить.Гуглил- информации -кот наплакал.
Защита htaccess файла, это самое важное, т к через него производится множество атак,
Роман возможно я напишу статью об плагине BulletProof Security, я все свои блоги переделал и установил каждому дополнительную защиту.
1) ДДос атака (с 2-мя «Д») — это довольно дорогое мероприятие. Вы считаете что кому-то понадобилось спатить несколько десятков тысяч долларов чтобы положить ваш блог? )))
Т.е. другими словами: не «ДДОС атака» а «криво настроеный ВП без кеширования».
2) Не берите русифицированные темы на стремных сайтах, тогда и ссылочных сюрпризов не будет.
Лучше возьмите тему на английском и русифицируйте ее сами. Занимает это максимум пол часа 😉
3) «зачем ему знать правильно он вел пароль или нет.» — т.е. если 12-летний закер не увидит сообщение о ошибке, то он подумает что ввел пароль верно? о_О
Елы, по моему даже клиническому идиоту будет ясно что если в браузере нет админки, то и «взлом» не удался.
Кстати, это не взлом хзакера а развлечение идиота. Хакеры немного по другому работают, автоматизировано 😉
4) Не надо в БД лезть, вот честно.
Просто поставьте 3-й ВордПресс: там с самого начала можно указать любой логин.
5) Чем вам не угодил метатег «generator» ?
Для большинства унылых дешевых хостингов достаточно одного многопоточного брута, который за пару минут положит сайт.
Я знаю что Ddos атака это очень дорогое мероприятие, и нужна специальная программа, Все дело в безопасности слишком мало я этому время уделил, но на будущее буду знать. А все пять решений это старые методы, которые пока работают,
Обязательно надо в кэш дублировать. Я ещё сохраняю записи на компьютере. Блог у меня тьфу-тьфу не ломали, но однажды грёбаные хостеры всю базу потеряли. Типа это их взломали. Обидно было очень.
Мне всегда казалось, что DDOS-атака приводит к зависанию сайта или сервера, но не взлому.
В каком файле вордпресса Вы обнаружили список из 200 непонятных сайтов?
А ещё при установке wp рекомендуют префиксы таблиц Б/Д менять ради безопасности.
Как надежно защитить свой блог на движке WordPress от взлома можно узнать из курса 1000-k.ru/op/2512. Берегите свой сайт и свои нервы)