Подскажите пожалуйста какими плагинами пользуетесь, настолько они эффективны и если не затруднит в 2х. словах их суть.
Также интересует какие способы кроме плагинов используете для защиты.
Пробовал через .htaccess поставить двойную авторизацию и блокировку по айпи, не получилось.
При двойной авторизации постоянно всплывает окно, хотя логин и пароль введены правильно, файл .htpasswd сгенерирован, в .htaccess все прописано.
Блокировка по айпи - выдает ошибку.
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.
Спасибо!
Может дело не в ВП? Ну, вообще, сделай так, чтобы до админки нельзя было дойти (если через нее ломают). Т.е делаешь такую архитектуру varnish-> nginx -> php_frm. Всем отдаешь статику, на /wp-admin/ закэшруй пустую страничку. А для своего ip грузи php версию.
AntiShell Скрипт -универсальный, бесплатный PHP-скрипт для предупреждения взлома Вашего сайта. Поможет вам своевременно выявить заливку шелла на сайт или другие изменения, в файлах сайта в результате взлома.
Использую WP hide login и All in One WP Security, а то раньше постоянно на почту приходили письма от WP limit login attemps, что с проксей пытаются взломать. Ну и все самописное с хорошей защитой на инклюдинг, инжектинг, т.к. сам WordPress может нормальный, ломают через какие-то дополнительные самописные скрипты, а кажется, что это CMS с уязвимостями, а с ней все в порядке. А, еще шаблон нужно тоже проверить на уязвимости, но если скачен с официального сайта Wordpress, то там они надежные.
Только комплексный подход может дать надёжные гарантии.
1. Жёсткая фильтрация запросов к сайту по типам, адресам и содержимому.
С помощью htaccess или файрвола.
Индивидуальная адаптация с подходом исключительного "белого списка" на POST-запросы, запросы с GET-параметрами - для многих может сразу дать 98+% эффективности.
Поскольку блокирует сами возможности для использования уязвимостей.
2. Исключение лишних данных из запросов.
Некоторые уязвимости используют неправильную обработку заголовков USER-AGENT, X-FORWARDED-FOR и некоторых других.
Большинству сайтов они не нужны и могут быть просто заранее вырезаны перед попаданием данных к CMS.
3. Минимально необходимые права на все файлы.
Некоторые уязвимости взломщик может использовать только, если одновременно есть проблемы с правами.
4. Готовность к тому, что возникнет ситуация, когда все защиты не сработали и взлом произошёл.
- Контроль работоспособности сайта
- Постоянные антивирусные сканирования файлов и БД
- Контроль за всеми изменениями в потенциально опасных файлах
- Внешний контроль за появлением редиректов, новых js-вставок и исходящих ссылок
- Обеспечение возможности быстро восстановиться после проблем из резервной копии
5. Постоянное обновление CMS, плагинов и сопутствующих скриптов - разумеется, тоже помощь.
Но, как и отслеживание багтрекеров, - это требует постоянной ручной работы, в результате чего является самым дорогим методом.
Который в полноценном виде доступен только достаточно крупным проектам.
А для стандартных, в основном, используется после взлома.
#Чт Сен 21, 2017 10:22 amSundryЗарег.: 12.08.2017 ; Сообщ.: 110
У некоторых есть бесплатные тарифы с пробным периодом для оценки функционала. Попробуйте вбить в поиск "защита сайта от взлома" и возможно найдете подходящий вариант.
Но даже платные тарифы имеют весьма скромные расценки, по сравнению с теми проблемами, которые можно получить при взломе сайта и прочими напастями.
#Ср Сен 27, 2017 9:39 amSkyworkerЗарег.: 25.12.2013 ; Сообщ.: 11416
