АРМАДА
Защита WP от взлома?
На страницу 1, 2  След.
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг

Sundry
Свой
Зарегистрирован: 12.08.2017
Сообщений: 79
Обратиться по нику
# Добавлено:Пн Авг 28, 2017 6:55 pmДобавить в избранноеОтветить с цитатой
Подскажите пожалуйста какими плагинами пользуетесь, настолько они эффективны и если не затруднит в 2х. словах их суть.
Также интересует какие способы кроме плагинов используете для защиты.
Пробовал через .htaccess поставить двойную авторизацию и блокировку по айпи, не получилось.
При двойной авторизации постоянно всплывает окно, хотя логин и пароль введены правильно, файл .htpasswd сгенерирован, в .htaccess все прописано.
Блокировка по айпи - выдает ошибку.
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.
Спасибо!

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 9341
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Пн Авг 28, 2017 7:01 pmОтветить с цитатой
Может дело не в ВП? Ну, вообще, сделай так, чтобы до админки нельзя было дойти (если через нее ломают). Т.е делаешь такую архитектуру varnish-> nginx -> php_frm. Всем отдаешь статику, на /wp-admin/ закэшруй пустую страничку. А для своего ip грузи php версию.
Oscar the grouch EvaPharmacy. Буржуй не спит, таблетку ждёт – руби бабло хоть круглый год! Инвайты: [email protected]
Grover VPS Хостинг за 5,6$ в месяц: 4 Cores CPU | 8GB RAM | 200GB 100% SSD | Бесплатная поддержка | ДЦ в Германии.

Лик
V.I.P.
Зарегистрирован: 03.07.2010
Сообщений: 3486
Обратиться по нику
# Добавлено:Вт Авг 29, 2017 6:52 amОтветить с цитатой
Цитата:
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.


А что, трастовые сайты? Может конкуренты стараются?

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 7799
Обратиться по нику
# Добавлено:Вт Авг 29, 2017 8:11 amОтветить с цитатой
Делай доступ к админке только со своего IP - это самое простое.
Недорогой, надежный и отзывчивый VPS хостинг, выделенные сервера в наличии - ||| -
Конвертируй любой датинг, адалт, игровой или фарма трафф выгодно вместе с Imonetizeit

Toulan
V.I.P.
Зарегистрирован: 12.07.2012
Сообщений: 2148
Обратиться по нику
# Добавлено:Вт Авг 29, 2017 11:40 amОтветить с цитатой
AntiShell Скрипт -универсальный, бесплатный PHP-скрипт для предупреждения взлома Вашего сайта. Поможет вам своевременно выявить заливку шелла на сайт или другие изменения, в файлах сайта в результате взлома.

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 12868
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Чт Авг 31, 2017 3:16 amОтветить с цитатой
Использую WP hide login и All in One WP Security, а то раньше постоянно на почту приходили письма от WP limit login attemps, что с проксей пытаются взломать. Ну и все самописное с хорошей защитой на инклюдинг, инжектинг, т.к. сам WordPress может нормальный, ломают через какие-то дополнительные самописные скрипты, а кажется, что это CMS с уязвимостями, а с ней все в порядке. А, еще шаблон нужно тоже проверить на уязвимости, но если скачен с официального сайта Wordpress, то там они надежные.
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
EvaPharmacy. Чтобы мазать хлеб икоркой, Ева – лучшая партнёрка! Инвайты Jabber: [email protected] и ICQ: 750000

Странник
V.I.P.
Зарегистрирован: 28.06.2010
Сообщений: 3675
Обратиться по нику
# Добавлено:Чт Авг 31, 2017 2:13 pmОтветить с цитатой
Цитата:
Подскажите пожалуйста какими плагинами пользуетесь


Вот, вот, понаустанавливают левых плагинов, а потом жалуются, что сайты ломают. :oldher:

Doc
V.I.P.
Зарегистрирован: 31.03.2010
Сообщений: 3926
Обратиться по нику
# Добавлено:Пт Сен 08, 2017 3:02 pmОтветить с цитатой
Вот полезная статья с хабра: https://habrahabr.ru/post/262331/

WSR
Свой
Зарегистрирован: 18.09.2017
Сообщений: 8
Обратиться по нику
# Добавлено:Вт Сен 19, 2017 10:43 pmОтветить с цитатой
Только комплексный подход может дать надёжные гарантии.

1. Жёсткая фильтрация запросов к сайту по типам, адресам и содержимому.
С помощью htaccess или файрвола.
Индивидуальная адаптация с подходом исключительного "белого списка" на POST-запросы, запросы с GET-параметрами - для многих может сразу дать 98+% эффективности.
Поскольку блокирует сами возможности для использования уязвимостей.

2. Исключение лишних данных из запросов.
Некоторые уязвимости используют неправильную обработку заголовков USER-AGENT, X-FORWARDED-FOR и некоторых других.
Большинству сайтов они не нужны и могут быть просто заранее вырезаны перед попаданием данных к CMS.

3. Минимально необходимые права на все файлы.
Некоторые уязвимости взломщик может использовать только, если одновременно есть проблемы с правами.

4. Готовность к тому, что возникнет ситуация, когда все защиты не сработали и взлом произошёл.
- Контроль работоспособности сайта
- Постоянные антивирусные сканирования файлов и БД
- Контроль за всеми изменениями в потенциально опасных файлах
- Внешний контроль за появлением редиректов, новых js-вставок и исходящих ссылок
- Обеспечение возможности быстро восстановиться после проблем из резервной копии

5. Постоянное обновление CMS, плагинов и сопутствующих скриптов - разумеется, тоже помощь.
Но, как и отслеживание багтрекеров, - это требует постоянной ручной работы, в результате чего является самым дорогим методом.
Который в полноценном виде доступен только достаточно крупным проектам.
А для стандартных, в основном, используется после взлома.

Sundry
Свой
Зарегистрирован: 12.08.2017
Сообщений: 79
Обратиться по нику
# Добавлено:Чт Сен 21, 2017 10:22 amОтветить с цитатой
Wordfence Security - этим плагином кто-то пользовался? Есть ли о нем отзывы участников форума?

John Doe
V.I.P.
Зарегистрирован: 25.06.2010
Сообщений: 3290
Обратиться по нику
# Добавлено:Чт Сен 21, 2017 1:43 pmОтветить с цитатой
Хороший плагин. Вот обзор.


WSR
Свой
Зарегистрирован: 18.09.2017
Сообщений: 8
Обратиться по нику
# Добавлено:Пт Сен 22, 2017 12:37 pmОтветить с цитатой
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов + само собой делать ежедневные бэкапы.

Kamilla
Гуру
Зарегистрирован: 09.07.2013
Сообщений: 1099
Обратиться по нику
# Добавлено:Пт Сен 22, 2017 12:55 pmОтветить с цитатой
Цитата:
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов


А что за сервисы? Платные?

WSR
Свой
Зарегистрирован: 18.09.2017
Сообщений: 8
Обратиться по нику
# Добавлено:Вт Сен 26, 2017 12:45 pmОтветить с цитатой
[quote="Kamilla"]
Цитата:

А что за сервисы? Платные?


У некоторых есть бесплатные тарифы с пробным периодом для оценки функционала. Попробуйте вбить в поиск "защита сайта от взлома" и возможно найдете подходящий вариант.
Но даже платные тарифы имеют весьма скромные расценки, по сравнению с теми проблемами, которые можно получить при взломе сайта и прочими напастями.

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 7799
Обратиться по нику
# Добавлено:Ср Сен 27, 2017 9:39 amОтветить с цитатой
WSR писал(а):
Еще один надежный вариант - использовать онлайн сервисы, которые специализируются на защите сайтов + само собой делать ежедневные бэкапы.

Либо делать сайты с кешированием на статике, тогда их тяжеловато будет подломить.
Недорогой, надежный и отзывчивый VPS хостинг, выделенные сервера в наличии - ||| -
Конвертируй любой датинг, адалт, игровой или фарма трафф выгодно вместе с Imonetizeit
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры