Взлом сайта на WordPress и его защита.

Взлом сайта на Wordpress и его защита. readme.789fdb3659fb6a76648277a48390e2a6.html

Статья написана, после того как мне надоело вытаскивать сайты из архива, после очередного взлома! ))

Решил плотнее заняться защитой сайтов на WordPress. Ниже описана защита…. для «новичков» (среднего уровня: знание файловой WP системы обязательно!)

Более сложную защиту или закажите или с опытом придет осознание! )

Содержание
  1. Как узнать что сайт взломали?
  2. Как узнать уязвимости своего сайта?
  3. В данной статье перечислены совместимые плагины!
  4. ДЕЛАЙТЕ АРХИВ, до внесения изменений на сайте и настроек плагинов защиты!
  5. Можно ли взломать сайт на WordPRess — да!
  6. Во-первых, если вы выбрали недорогой хостинг, именно в нем найдется «дырка»,
  7. Во-вторых, конечно сайты пишут люди и взламывают их тоже люди,
  8. Защищаем сайт на WordPress и соответственно узнаем его уязвимости:
  9. Не используем null темы и плагины, но кто это слушает ;-)
  10. Стараемся использовать минимальное количество плагинов.
  11. Удаляем лишние темы, работаем на дочерней теме.
  12. Надежные логины и пароли.
  13. Изменить префикс для базы с «wp_» на , к примеру  «c3XI34_».
  14. Видео как установить WordPress
  15. При установке придумайте сложный логин для админа, пароль и смените префикс базы.
  16. Я пользуюсь следующими стадиями защиты:
  17. Меняю точку входа в админку: https://САЙТ/wp-login.php  на https://САЙТ/HrenVam, к примеру.
  18. Disable xml rpc api — плагин ограничения доступа к ядру WordPRess.
  19. Wordfence Security— антивирус, файрвол и сканер вредоносных программ и двухфакторная аутентификация.
  20. iQ Block Country— блокирование IP по странам, большинство сайтов Россия+.
  21. Limit login attempts reloaded — плагин ограничения входа и IP защита
  22. Установить капчу на вход, формы обратной связи и на сайт в целом.
  23. Не помешает:
  24. Постоянно обновлять сайт — темы, плагины, ядро.
  25. Настроить верно robots.txt для WopdPress, скачать пример
  26. Настроить ОСТОРОЖНО! Пример файла .htaccess — скачать нулевой (стартовый) файл .htaccess
  27. Удалить файл …/wp-admin/install.php
  28. Скрыть версию WordPress
  29. Отключить выполнение кода для каталога Uploads
  30. Немедленно заблокировать некорректные имена пользователей
  31. Проверить права доступа на хостинга к основным файлам и папкам!
  32. Для сайта блогера отключаем регистрацию и комменты без авторизации.
  33. All in one wp security — cмена входа, ограничение числа ввода логина и пароля, блокировки по IP.
  34. Как видите, сайт защитить это ТА еще работа! Пишите если сайт взломали….
  35. Оплачу взлом сайта: https://holter-cardian.ru = 1000руб.
  36. Другие статьи по защите сайтов на WP

Как узнать что сайт взломали?

В начале, проверьте отображение сайта, если привычный вид, то все ок. Проёдитесь по разным страницам, купите товар через корзину и.т.п.

Проверьте количество и ссылки индексируемых страниц в Вебмастере https://webmaster.yandex.ru/

Индексирование — Мониторинг важных страницах — URL — появление ссылок типа /?page-18321-267 или похожих проверяйте куда  они ведут ( кликните опо ней) , может оказаться к вашему домену прикрепили ДРУГОЙ магазин!  Такое тоже встречал!

Проверьте основные файлы, такие как index.php, wp-config.php, и wp-settings.php и даже robot.txt  .htaccess на наличие вредоносного кода или скриптов. Чаще всего заражаются файлы …include…

Увидеть их не сложно, что то типа:

Идеально уставите программу сравнения файлов на ПК и периодически сканировать папки «НУЛЕВОГО сайта», того что сразу после установки на хостинг и его последней копией, то что делать копии сайта нужно напоминаю снова! Программа сравнения файлов покажет вам изменения…. и вы уже решите вернуть старый фал или исправить код руками.

Как узнать уязвимости своего сайта?

После обновления сайта ( не забудьте сделать копию ДО обновления) проверьте все , что стоит у вас на сайте в поиске по запросу: Уязвимость «название плагина/темы»

Уверен узнаете много интересного! ;-)

Сегодня стал просматривать сайт после сообщения Яндекса: На сайте  счётчик Яндекс Метрики не установлен или установлен некорректно.

В ЛК вебмастера увидел абракадабру в обходе счетчиков: https://САЙТ/db.php/sitemap-anika.xml — пошел смотреть, что в восстановленной копии сайта осталось от взлома! Нашел много чего, в частности файл в корневой папке readme.789fdb3659fb6a76648277a48390e2a6.html с атрибутами на выполнение!

В данной статье перечислены совместимые плагины!

ДЕЛАЙТЕ АРХИВ, до внесения изменений на сайте и настроек плагинов защиты!

Можно ли взломать сайт на WordPRess — да!

Почаще делайте копии сайта(ов)!

Почему вирусы часто нацелены на WordPress? Ответ заключается в его огромной популярности как наиболее широко используемой системы управления контентом, которая поддерживает более 50% всех веб-сайтов по всему миру.

Впрочем, как и любой другой сайт, за редким исключением, конечно! Попробуйте взломать:  test.tw1.ru получилось? Не войти, а именно взломать!

 

Во-первых, если вы выбрали недорогой хостинг, именно в нем найдется «дырка»,

в первую очередь на роли в доступе к папкам.

Из тех, что я использую считаю, надежным BEGET.RU  ( партнерский код: 1124373 beget.com/p1124373)

Для клиентов советую REG.RU, а тестирую сайты и делаю статические на TIMEWEB.RU ( партнерский код 44598 https://timeweb.com/ru/?i=44598) Так как на одной учетке можно разместить 10-15 сайтов по приемлемой цене при хороших параметрах. На последнем архивы правда платные, приходится следить за backup самому.

НО если сайт статический или даже лендинг… лучше использовать TIMEWEB.RU или REG.RU ( тут хостинги с низким ресурсом на 1-3 сайта.)

 

Во-вторых, конечно сайты пишут люди и взламывают их тоже люди,

понятно что привлекая всю вычислительную мощь ботов к своим знаниям!

Защищаем сайт на WordPress и соответственно узнаем его уязвимости:

Не используем null темы и плагины, но кто это слушает ;-)

Стараемся использовать минимальное количество плагинов.

Иногда желаемый функционал достигается только двумя десятками плагинов :-(

Удаляем лишние темы, работаем на дочерней теме.

Дочерние темы сохранят ваши изменения в коде, при обновлении основной.

Надежные логины и пароли.

Придумываем и создаем надежные логины и пароли.

Например, логин «HrenVamaneAdmin» лучше «admin», а пароль «AKeC544UnwEXuSfrsQEckycVEsG1» лучше чем «qwerty123», да?

При установке WordPress через средства хостинга Вы получите логин администратора «admin», по умолчанию

Его сразу нужно сменить! В базе строка: wp_users — нужно нажать на карандаш слева. Имя выбирайте типа: «HrenVamaneAdmin»

А пароли записывайте ( изменив один символ, например 5-й, на случай потери файла с паролем ). Он должен быть не менее 10 символов с цифрами и спецсимволами типа «#».

Изменить префикс для базы с «wp_» на , к примеру  «c3XI34_».

При установке средствами хостинга это сделать не получится, потому всегда ставлю WordPress через команду …/wp-admin/install.php из папки сайта.

Залезать в базу и там править для новичка не безопасно, потому советую поставить WordPress на хостинг через его инсталлятор http://example.com/wp-admin/install.php WP подробнее: https://codex.wordpress.org/Установка_WordPress

Видео как установить WordPress

https://dzen.ru/video/watch/6773dc158cc97041af727664

Пример установки на локальной сервер — к себе на ПК. Могу скинуть ссылку на скачивание OSPanel, что в видео.

На разных хостингах есть не большие отличия. Но пошаговый принцип тот же!

При установке придумайте сложный логин для админа, пароль и смените префикс базы.

 

Я пользуюсь следующими стадиями защиты:

(Вначале своей практики написания сайтов на WordPress, ею пользовался)

Меняю точку входа в админку: https://САЙТ/wp-login.php  на https://САЙТ/HrenVam, к примеру.

С этим хорошо справляется плагин: WPS Hide Login, не забудьте записать новую точку входа!!!

Disable xml rpc api — плагин ограничения доступа к ядру WordPRess.

Скачать файл с настройками для импорта настроек: disk.yandex.ru/d/d4N21VZSS0JTNA, проверьте потом все ли вас устраивает в них.

Wordfence Security — антивирус, файрвол и сканер вредоносных программ и двухфакторная аутентификация.

На вкладке «Админ панель» —  «Wordfence» — «Инструменты» — «Трафик в реальном времени» хорошо отслеживать кто и по каким точкам к вам «стучится» на сайт.

В бесплатной версии ( не на всех хостингах работает) защищает и сканирует ваш сайт с опозданием на 30 дней от обновления базы уязвимостей.

Устанавливайте двухфакторную аутентификацию после всех других настроек! Кстати только двухфакторная аутентификация е спасает от взломов, у меня взламывали с ней сайтов 5. Скорее всего из-за того что редко ( больше года)  обновлял плагины и использовал null плагины.

iQ Block Country — блокирование IP по странам, большинство сайтов Россия+.

файл GeoLite2-Country.mmdb ( скачать версию файла по ссылке под нем на 08-01-2025), требуемый плагином можно найти после уставки Wordfence Security в папке: ../public_html/wp-content/wflogs

Limit login attempts reloaded — плагин ограничения входа и IP защита

На free версии 1000 запросов на сайте для блокировки по IP. Не ставьте число неверных вводов логина и пароля менее 3!

Установить капчу на вход, формы обратной связи и на сайт в целом.

https://www.google.com/recaptcha/admin/create?hl=ru

Не помешает:

Постоянно обновлять сайт — темы, плагины, ядро.

Предварительно делайте КОПИЮ сайта! Не всегда новая версия сделана без ошибок!

Настроить верно robots.txt для WopdPress, скачать пример

https://disk.yandex.ru/d/8xXH2PlItTwWaA

Настроить ОСТОРОЖНО! Пример файла .htaccess — скачать нулевой (стартовый) файл .htaccess

Вот его содержимое:

Options -Indexes
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* — [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# БЛОК РОБОТОВ
RewriteCond %{HTTP_USER_AGENT} (DotBot|GeedoProductSearch|GPTBot|GeedoBot|Amazonbot|Jooblebot|GPTBot) [NC]
RewriteRule .* — [F,L] 
</IfModule>
<Files «.user.ini»>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order deny,allow
Deny from all
</IfModule>
</Files>
<Files xmlrpc.php>
order deny,allow
deny from all  
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>

Не все нужно копировать к себе на сайт, часть команд прописывают плагины !!!! https://disk.yandex.ru/d/nmcmyVCj9elOng

Удалить файл …/wp-admin/install.php

Ниже настройки можно слелать в плагине Wordfence Security во вкладке «все параметры»

Скрыть версию WordPress

Отключить выполнение кода для каталога Uploads

Немедленно заблокировать некорректные имена пользователей

Проверить права доступа на хостинга к основным файлам и папкам!

Для сайта блогера отключаем регистрацию и комменты без авторизации.

 

Позднее стал использовать мультиплагины ( firewall ), которые заменяют несколько плагинов из списка выше.

All in one wp security — cмена входа, ограничение числа ввода логина и пароля, блокировки по IP.

НО FREE ВЕРСИЯ НЕ СКАНИРУЕТ САЙТ НА ВЗЛОМЫ.

Так что каждый вправе выбрать плагины сам для защиты своего сайта. Я привел лишь свой опыт и совместимые плагины — можно поставить их все сразу…. Не повторяйте только настройки одного в другом!

«Знающие люди» часть их функций внедряют в сам код сайта, что делает его быстрее и более безопасно…. кто как меняет коды, кто догадается!?

Но выше описаны, основные уязвимости и чем их устранить!

Как видите, сайт защитить это ТА еще работа! Пишите если сайт взломали….

Только сделайте сразу копию, того что осталось и попробуйте восстановить из архивных копия хостинга…. если включена автоматическая архивация.

Оплачу взлом сайта: https://holter-cardian.ru = 1000руб.

На главной должна быть запись «взломано + НИК ваш». Или добавьте страницу/статью и пришлите ссылку.

Другие статьи по защите сайтов на WP

https://ultahost.com/blog/ru/12-sovetov-po-zaschite-wordpress-ot-virusov/

https://clickfraud.ru/rukovodstvo-po-vzlomu-i-predotvrashheniyu-vzloma-sajta-wordpress-2023/

 

Оцените статью
Добавить комментарии
Взлом сайта на WordPress и его защита.
Продление домена от мошенников
Когда сайт начинает работать?
× Спросить