Защита WP от взлома?
На страницу 1, 2  След.
Новая тема Написать ответ
# Пн Авг 28, 2017 6:55 pmSundry Зарег.: 12.08.2017 ; Сообщ.: 110Ответить с цитатой
Подскажите пожалуйста какими плагинами пользуетесь, настолько они эффективны и если не затруднит в 2х. словах их суть.
Также интересует какие способы кроме плагинов используете для защиты.
Пробовал через .htaccess поставить двойную авторизацию и блокировку по айпи, не получилось.
При двойной авторизации постоянно всплывает окно, хотя логин и пароль введены правильно, файл .htpasswd сгенерирован, в .htaccess все прописано.
Блокировка по айпи - выдает ошибку.
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.
Спасибо!
# Пн Авг 28, 2017 7:01 pmDrKronos Зарег.: 11.03.2008 ; Сообщ.: 13024Ответить с цитатой
Может дело не в ВП? Ну, вообще, сделай так, чтобы до админки нельзя было дойти (если через нее ломают). Т.е делаешь такую архитектуру varnish-> nginx -> php_frm. Всем отдаешь статику, на /wp-admin/ закэшруй пустую страничку. А для своего ip грузи php версию.
# Вт Авг 29, 2017 6:52 amЛик Зарег.: 03.07.2010 ; Сообщ.: 4501Ответить с цитатой
Цитата:
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.


А что, трастовые сайты? Может конкуренты стараются?
# Вт Авг 29, 2017 8:11 amSkyworker Зарег.: 25.12.2013 ; Сообщ.: 11427Ответить с цитатой
Делай доступ к админке только со своего IP - это самое простое.
# Вт Авг 29, 2017 11:40 amToulan Зарег.: 12.07.2012 ; Сообщ.: 3172Ответить с цитатой
AntiShell Скрипт -универсальный, бесплатный PHP-скрипт для предупреждения взлома Вашего сайта. Поможет вам своевременно выявить заливку шелла на сайт или другие изменения, в файлах сайта в результате взлома.
# Чт Авг 31, 2017 3:16 amYabuti Зарег.: 28.11.2008 ; Сообщ.: 16263Ответить с цитатой
Использую WP hide login и All in One WP Security, а то раньше постоянно на почту приходили письма от WP limit login attemps, что с проксей пытаются взломать. Ну и все самописное с хорошей защитой на инклюдинг, инжектинг, т.к. сам WordPress может нормальный, ломают через какие-то дополнительные самописные скрипты, а кажется, что это CMS с уязвимостями, а с ней все в порядке. А, еще шаблон нужно тоже проверить на уязвимости, но если скачен с официального сайта Wordpress, то там они надежные.
# Чт Авг 31, 2017 2:13 pmСтранник Зарег.: 28.06.2010 ; Сообщ.: 4617Ответить с цитатой
Цитата:
Подскажите пожалуйста какими плагинами пользуетесь


Вот, вот, понаустанавливают левых плагинов, а потом жалуются, что сайты ломают. :oldher:
# Пт Сен 08, 2017 3:02 pmDoc Зарег.: 31.03.2010 ; Сообщ.: 4909Ответить с цитатой
Вот полезная статья с хабра: https://habrahabr.ru/post/262331/
# Вт Сен 19, 2017 10:43 pmWSR Зарег.: 18.09.2017 ; Сообщ.: 8Ответить с цитатой
Только комплексный подход может дать надёжные гарантии.

1. Жёсткая фильтрация запросов к сайту по типам, адресам и содержимому.
С помощью htaccess или файрвола.
Индивидуальная адаптация с подходом исключительного "белого списка" на POST-запросы, запросы с GET-параметрами - для многих может сразу дать 98+% эффективности.
Поскольку блокирует сами возможности для использования уязвимостей.

2. Исключение лишних данных из запросов.
Некоторые уязвимости используют неправильную обработку заголовков USER-AGENT, X-FORWARDED-FOR и некоторых других.
Большинству сайтов они не нужны и могут быть просто заранее вырезаны перед попаданием данных к CMS.

3. Минимально необходимые права на все файлы.
Некоторые уязвимости взломщик может использовать только, если одновременно есть проблемы с правами.

4. Готовность к тому, что возникнет ситуация, когда все защиты не сработали и взлом произошёл.
- Контроль работоспособности сайта
- Постоянные антивирусные сканирования файлов и БД
- Контроль за всеми изменениями в потенциально опасных файлах
- Внешний контроль за появлением редиректов, новых js-вставок и исходящих ссылок
- Обеспечение возможности быстро восстановиться после проблем из резервной копии

5. Постоянное обновление CMS, плагинов и сопутствующих скриптов - разумеется, тоже помощь.
Но, как и отслеживание багтрекеров, - это требует постоянной ручной работы, в результате чего является самым дорогим методом.
Который в полноценном виде доступен только достаточно крупным проектам.
А для стандартных, в основном, используется после взлома.
# Чт Сен 21, 2017 10:22 amSundry Зарег.: 12.08.2017 ; Сообщ.: 110Ответить с цитатой
Wordfence Security - этим плагином кто-то пользовался? Есть ли о нем отзывы участников форума?
# Чт Сен 21, 2017 1:43 pmJohn Doe Зарег.: 25.06.2010 ; Сообщ.: 4332Ответить с цитатой
Хороший плагин. Вот обзор.

# Пт Сен 22, 2017 12:37 pmWSR Зарег.: 18.09.2017 ; Сообщ.: 8Ответить с цитатой
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов + само собой делать ежедневные бэкапы.
# Пт Сен 22, 2017 12:55 pmKamilla Зарег.: 09.07.2013 ; Сообщ.: 1315Ответить с цитатой
Цитата:
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов


А что за сервисы? Платные?
# Вт Сен 26, 2017 12:45 pmWSR Зарег.: 18.09.2017 ; Сообщ.: 8Ответить с цитатой
[quote="Kamilla"]
Цитата:

А что за сервисы? Платные?


У некоторых есть бесплатные тарифы с пробным периодом для оценки функционала. Попробуйте вбить в поиск "защита сайта от взлома" и возможно найдете подходящий вариант.
Но даже платные тарифы имеют весьма скромные расценки, по сравнению с теми проблемами, которые можно получить при взломе сайта и прочими напастями.
# Ср Сен 27, 2017 9:39 amSkyworker Зарег.: 25.12.2013 ; Сообщ.: 11427Ответить с цитатой
WSR писал(а):
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов + само собой делать ежедневные бэкапы.

Либо делать сайты с кешированием на статике, тогда их тяжеловато будет подломить.
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ
 На страницу 1, 2  След.
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.