- Меня неоднократно взламывали!
- ПЕРЕД ЛЮБЫМ изменением на сайте сделать копию себе на ПК.
- С 2024 года сайты стали просто атаковываться извне очень часто (((
- Способы защиты админки
- Первое, не ставить WP с админ логином «admin»,
- Второе, using плагин «WPS Hide Login«. Меняю «wp-login.php» на «HUY_Ugadaysch»
- Можно еще использовать плагин Limit Login Attempts Reloaded.
- For FREE установлю эти плагины и настрою, но за 500 рублей сделаю это лучше!
- Блокировка API WordPress
- Больше защиты с Wordfence Security
- Самая главная защита: не использовать null версии тем и плагинов.
Меня неоднократно взламывали!
Особенно те сайта которые писал быстро и не думал, что они имеют ценность! На них не было сбора телефонов и Email клиентов.
Не задумывался их защищать, т.к. всегда сохраняю копии на своем ПК и храню в архиве на хостинге.
Как и полагается в 3 экземплярах! 3-я копия на внешнем диске.
ПЕРЕД ЛЮБЫМ изменением на сайте сделать копию себе на ПК.
Это должно стать вашей первой привычкой — купите внешний диск для сохранения второй копии!
По правилам хранения данных, нужно три копии — будем считать ваш сайт на хостинге ПЕРВОЙ копией!
С 2024 года сайты стали просто атаковываться извне очень часто (((
Такие как этот и типа HOLTER24-ONLINE.RU. Особенно после того как отказался от импортного домена HOLTER24.ONLINE
Пришлось задуматься, так на восстановление даже из архива требуется время, а сайтов я наклепал под 50!
Способы защиты админки
Первое, не ставить WP с админ логином «admin»,
который предлагает установщик по умолчанию.
Если у вас старый сайт измените имя в записи базы: wp_users — на, например, такое «SiteAdmFamilia» или даже еще сложнее… пароль никогда не делайте менее 8 симовлов!
«сегодня» WP предлагает пароль из 24 символов, типа: «YZs%VypCsn&Qky)z4TafM&Rl» — рекомендую Его сохранять и менять в нем , анпрмиер 5 символ ан следующий на клавиатуре!, например пароль тут реально такой: «YZs$VypCsn&Qky)z4TafM&Rl».
Второе, using плагин «WPS Hide Login«. Меняю «wp-login.php» на «HUY_Ugadaysch»
Конечно , шутка в имени!
Можно еще использовать плагин Limit Login Attempts Reloaded.
Плагин позволяет ограничить логирование после 2-4 попыток входа.
Рекомендую ставить 2 попытки lzk входа и потом блокировку на 1 или 24 часа! Что хватает для ботов!
Кроме того, версия PRO позволяет блокировать входы из других стран. В версии FREE до 1000 блокировок в месяц.
For FREE установлю эти плагины и настрою, но за 500 рублей сделаю это лучше!
Блокировка API WordPress
Лучше всего сделать это вручную, но кто не знаком хорошо с кодами плагин Disable XML-RPC-API от Автора: Neatma
Настройки для импорта (ГЛУХИЕ, пости все откл.):
{«dsxmlrpc-switcher»:»»,»xmlrpc-slug»:»»,»jetpack-switcher»:»»,»disabled-methods»:[«pingback.ping»,»mt.getTrackbackPings»,»pingback.extensions.getPingbacks»,»x-pingback»],»White-list-IPs»:»»,»Black-list-IPs»:»»,»json-rest-api»:»1″,»htaccess protection»:»1″,»remove-wp-ver»:»1″,»disable-code-editor»:»1″,»disable-wlw»:»1″,»slow-heartbeat»:»1″,»hotlink-fix»:»1″,»remove-emojis»:»1″,»remove-rss»:»1″,»disable-oembed»:»1″}
ОСОБЕННОСТИ ПЛАГИНА
(Вы можете включить или отключить каждую из этих опций)
1.Отключите доступ к файлу xmlrpc.php, используя файл .httacess
Автоматически измените разрешение файла htaccess на доступ только для чтения (0444)
Отключите X-pingback, чтобы минимизировать загрузку процессора
Отключите выбранные методы из XML-RPC
Удалите ссылку pingback из заголовка
Отключите отслеживание и пингбэки, чтобы избежать спамеров и хакеров
Переименуйте XML-RPC slug на любой другой, который вам нужен
IP-адреса из черного списка для XML-RPC
IP-адреса из белого списка для XML-RPC
Некоторые опции для ускорения работы вашего веб-сайта wordpress
Отключите JSON REST API
Скройте версию WordPress
Отключите встроенный файловый редактор WordPress
Отключите манифест wlw
И некоторые другие опции
Что такое XMLRPC
XML-RPC, или удаленный вызов процедур XML, — это протокол, который использует XML для кодирования своих вызовов и HTTP в качестве транспортного механизма.
Начиная с версии WordPress 3.5, XML-RPC включен по умолчанию. Кроме того, была удалена возможность отключать/включать XML-RPC. По разным причинам владельцы сайтов могут захотеть отключить эту функциональность. Этот плагин предоставляет простой способ сделать это.
Почему вам следует отключить XML-RPC
У Xmlrpc есть два основных недостатка
Атаки методом перебора:
Злоумышленники пытаются войти в WordPress с помощью xmlrpc.php, используя столько комбинаций имени пользователя и пароля, сколько они могут ввести. Метод внутри xmlrpc.php позволяет злоумышленнику использовать одну команду (system.multicall) для подбора сотен паролей. Дэниел Сид из Sucuri хорошо описал это в октябре 2015 года: “С помощью всего лишь 3 или 4 HTTP-запросов злоумышленники могут перепробовать тысячи паролей, обходя средства безопасности, которые предназначены для поиска и блокирования попыток перебора”.
Атаки типа «Отказ в обслуживании» с помощью Pingback:
Еще в 2013 году злоумышленники отправляли запросы на Pingback через xmlrpc.php примерно 2500 сайтов WordPress, чтобы “объединить (эти сайты) в добровольную ботнет-сеть”, по словам Гура Шатца из Incapsula. “Это дает любому злоумышленнику практически неограниченный набор IP-адресов для распространения атаки типа ”Отказ в обслуживании» по сети, состоящей из более чем 100 миллионов сайтов WordPress, без необходимости их компрометировать».
Больше защиты с Wordfence Security
Плагин Wordfence Security использую давно! Всегда можно посмотреть что и где осталось уязвимым на сайте и предпринять меры!
Кроме того, разработчики постоянно информируют о последних уязвимостях WP, а собирают их за деньги, просто платят за взломы ))).
Самая главная защита: не использовать null версии тем и плагинов.
Но это сколько не говори ,не для нас ))).
Тогда основное правило, которое должно стать привычкой: ПЕРЕД ЛЮБЫМ изменением на сайте сделать копию себе на ПК.