АРМАДА
Защита WP от взлома?
На страницу 1, 2  След.
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг

Sundry
Опытный
Зарегистрирован: 12.08.2017
Сообщений: 110
Обратиться по нику
# Добавлено:Пн Авг 28, 2017 6:55 pmДобавить в избранноеОтветить с цитатой
Подскажите пожалуйста какими плагинами пользуетесь, настолько они эффективны и если не затруднит в 2х. словах их суть.
Также интересует какие способы кроме плагинов используете для защиты.
Пробовал через .htaccess поставить двойную авторизацию и блокировку по айпи, не получилось.
При двойной авторизации постоянно всплывает окно, хотя логин и пароль введены правильно, файл .htpasswd сгенерирован, в .htaccess все прописано.
Блокировка по айпи - выдает ошибку.
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.
Спасибо!

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 13024
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Пн Авг 28, 2017 7:01 pmОтветить с цитатой
Может дело не в ВП? Ну, вообще, сделай так, чтобы до админки нельзя было дойти (если через нее ломают). Т.е делаешь такую архитектуру varnish-> nginx -> php_frm. Всем отдаешь статику, на /wp-admin/ закэшруй пустую страничку. А для своего ip грузи php версию.
Oscar the grouch Здесь могла быть ваша реклама

Лик
V.I.P.
Зарегистрирован: 03.07.2010
Сообщений: 4501
Обратиться по нику
# Добавлено:Вт Авг 29, 2017 6:52 amОтветить с цитатой
Цитата:
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.


А что, трастовые сайты? Может конкуренты стараются?

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 10797
Обратиться по нику
# Добавлено:Вт Авг 29, 2017 8:11 amОтветить с цитатой
Делай доступ к админке только со своего IP - это самое простое.
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с ежеденевными выплатами

Toulan
V.I.P.
Зарегистрирован: 12.07.2012
Сообщений: 3172
Обратиться по нику
# Добавлено:Вт Авг 29, 2017 11:40 amОтветить с цитатой
AntiShell Скрипт -универсальный, бесплатный PHP-скрипт для предупреждения взлома Вашего сайта. Поможет вам своевременно выявить заливку шелла на сайт или другие изменения, в файлах сайта в результате взлома.

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Чт Авг 31, 2017 3:16 amОтветить с цитатой
Использую WP hide login и All in One WP Security, а то раньше постоянно на почту приходили письма от WP limit login attemps, что с проксей пытаются взломать. Ну и все самописное с хорошей защитой на инклюдинг, инжектинг, т.к. сам WordPress может нормальный, ломают через какие-то дополнительные самописные скрипты, а кажется, что это CMS с уязвимостями, а с ней все в порядке. А, еще шаблон нужно тоже проверить на уязвимости, но если скачен с официального сайта Wordpress, то там они надежные.
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--

Странник
V.I.P.
Зарегистрирован: 28.06.2010
Сообщений: 4617
Обратиться по нику
# Добавлено:Чт Авг 31, 2017 2:13 pmОтветить с цитатой
Цитата:
Подскажите пожалуйста какими плагинами пользуетесь


Вот, вот, понаустанавливают левых плагинов, а потом жалуются, что сайты ломают. :oldher:

Doc
V.I.P.
Зарегистрирован: 31.03.2010
Сообщений: 4909
Обратиться по нику
# Добавлено:Пт Сен 08, 2017 3:02 pmОтветить с цитатой
Вот полезная статья с хабра: https://habrahabr.ru/post/262331/

WSR
Свой
Зарегистрирован: 18.09.2017
Сообщений: 8
Обратиться по нику
# Добавлено:Вт Сен 19, 2017 10:43 pmОтветить с цитатой
Только комплексный подход может дать надёжные гарантии.

1. Жёсткая фильтрация запросов к сайту по типам, адресам и содержимому.
С помощью htaccess или файрвола.
Индивидуальная адаптация с подходом исключительного "белого списка" на POST-запросы, запросы с GET-параметрами - для многих может сразу дать 98+% эффективности.
Поскольку блокирует сами возможности для использования уязвимостей.

2. Исключение лишних данных из запросов.
Некоторые уязвимости используют неправильную обработку заголовков USER-AGENT, X-FORWARDED-FOR и некоторых других.
Большинству сайтов они не нужны и могут быть просто заранее вырезаны перед попаданием данных к CMS.

3. Минимально необходимые права на все файлы.
Некоторые уязвимости взломщик может использовать только, если одновременно есть проблемы с правами.

4. Готовность к тому, что возникнет ситуация, когда все защиты не сработали и взлом произошёл.
- Контроль работоспособности сайта
- Постоянные антивирусные сканирования файлов и БД
- Контроль за всеми изменениями в потенциально опасных файлах
- Внешний контроль за появлением редиректов, новых js-вставок и исходящих ссылок
- Обеспечение возможности быстро восстановиться после проблем из резервной копии

5. Постоянное обновление CMS, плагинов и сопутствующих скриптов - разумеется, тоже помощь.
Но, как и отслеживание багтрекеров, - это требует постоянной ручной работы, в результате чего является самым дорогим методом.
Который в полноценном виде доступен только достаточно крупным проектам.
А для стандартных, в основном, используется после взлома.

Sundry
Опытный
Зарегистрирован: 12.08.2017
Сообщений: 110
Обратиться по нику
# Добавлено:Чт Сен 21, 2017 10:22 amОтветить с цитатой
Wordfence Security - этим плагином кто-то пользовался? Есть ли о нем отзывы участников форума?

John Doe
V.I.P.
Зарегистрирован: 25.06.2010
Сообщений: 4332
Обратиться по нику
# Добавлено:Чт Сен 21, 2017 1:43 pmОтветить с цитатой
Хороший плагин. Вот обзор.


WSR
Свой
Зарегистрирован: 18.09.2017
Сообщений: 8
Обратиться по нику
# Добавлено:Пт Сен 22, 2017 12:37 pmОтветить с цитатой
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов + само собой делать ежедневные бэкапы.

Kamilla
Гуру
Зарегистрирован: 09.07.2013
Сообщений: 1315
Обратиться по нику
# Добавлено:Пт Сен 22, 2017 12:55 pmОтветить с цитатой
Цитата:
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов


А что за сервисы? Платные?

WSR
Свой
Зарегистрирован: 18.09.2017
Сообщений: 8
Обратиться по нику
# Добавлено:Вт Сен 26, 2017 12:45 pmОтветить с цитатой
[quote="Kamilla"]
Цитата:

А что за сервисы? Платные?


У некоторых есть бесплатные тарифы с пробным периодом для оценки функционала. Попробуйте вбить в поиск "защита сайта от взлома" и возможно найдете подходящий вариант.
Но даже платные тарифы имеют весьма скромные расценки, по сравнению с теми проблемами, которые можно получить при взломе сайта и прочими напастями.

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 10797
Обратиться по нику
# Добавлено:Ср Сен 27, 2017 9:39 amОтветить с цитатой
WSR писал(а):
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов + само собой делать ежедневные бэкапы.

Либо делать сайты с кешированием на статике, тогда их тяжеловато будет подломить.
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с ежеденевными выплатами
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры