Sonuçları kaldırmak yeterli değildir, nedenlerini anlamanız gerekir. Bunu zaten yazdım hacklendik ve sözde hepimiz karar verdik. Ancak, bir hafta sonra hikaye tekrarlandı, başka bir jquery betiği ve .htaccess dosyaları değiştirildi. Ve .htaccess'te sadece mobil cihazlar ve tabletler için bazı sol sitelere yönlendirmeler yapıldı ve bu yüzden bunu hemen fark etmedim.
Birkaç gün içinde, saldırgan tarafından değiştirilen tüm dosyaları ve onun tarafından özel olarak penetrasyon (kabuk) için oluşturduğu dosyaları bulmayı başardım. Ve yine, yardımları için barındırma sayesinde. Bundan sonra internette açıklanan tüm önlemleri almaya karar verdim.
Makalenin içeriği
- 1 Benim küçük blogger SSS tüm parçaları:
- 2 WordPress Blog Güvenlik İpuçları
- 2.1 Sayaç ve widget kodlarını güncelleme
- 2.2 Tüm eklentileri ve WordPress'i en son sürümlere güncelleyin ve kullanılmayanları kaldırın
- 2.3 Timthumb.php dosyasını güncelleyin
- 2.4 Klasörler ve dosyalar üzerindeki izinleri kontrol edin
- 2.5 Yönetici kullanıcı adını değiştirme
- 2.6 Tüm şifreleri daha karmaşık şifrelerle değiştirin
- 2.7 .Htaccess ve wp-config.php dosyalarını herkes için erişime karşı koruyun
- 2.8 Wp-include klasörünü .htaccess ile koruyun
- 2.9 Wp-admin klasörünü .htaccess ve .htpasswd ile koruyun
- 2.10 Veritabanı önekini değiştir
- 2.11 Belavir Eklentisini Yükle
- 2.12 WP Güvenlik Tarama Eklentisini Yükleme
- 2.13 Daha İyi WP Güvenlik Eklentisi Yükleyin
- 2.14 Ftp'nizdeki değişiklikleri izleme
- 2.15 Veritabanlarının ve dosyaların birkaç günde bir yedeklenmesi
Benim küçük blogger SSS tüm parçaları:
Blog yazmayla ilgili bir dizi makale yazdım. Tam teşekküllü bir kılavuz gibi davranmazlar, ancak yeni başlayanlar yararlı olabilir. Eğer ilgilenirseniz okuyabilirsiniz.
0. Kursu tavsiye ederim «Nasıl milyoner blogcu olunur ve para kazanılır»
1. Blog nasıl başlatılır?
2. Bir blog nasıl tanıtılır - eylemlerimin bir listesi
3. Bir blogda ve seyahatte nasıl para kazanılır
4. Blogumuzda kazanç elde etme örneği - Finstrip 2013, finstrip 2012, Finstrip 2011
beş. Okuyucu ve arama trafiği ve okuyucuların neden geri gelmediği
6. Seyahat bloglama hakkında küçük bir gerçek
7. WordPress Blog Koruma İpuçları
WordPress Blog Güvenlik İpuçları
WordPress Blog Güvenlik İpuçları
Listenin tam olması olası değildir ve dedikleri gibi, kime ihtiyacı var, yine de kıracaklar. Ancak en azından hemen hemen her blogcu bu eylemleri en azından kendini biraz korumak için yapabilir..
Sayaç ve widget kodlarını güncelleme
Blogunuzdaki ve sitedeki tüm sayaçların ve sosyal widget'ların kodlarını kontrol edin..
Belki de güncellendi. Facebook'un widget'ların kodunu sık sık değiştirdiğini fark ettim, görünüşe göre güvenliği artırdı.
Tüm eklentileri ve WordPress'i en son sürümlere güncelleyin ve kullanılmayanları kaldırın
Burada yorumlar gereksiz, herkes bunu nasıl yapacağını biliyor. Güvenlik açıkları genellikle eklentilerde ve temalarda yer alır, bu nedenle en azından kullanılmayanların tümü kaldırılmalıdır.
Timthumb.php dosyasını güncelleyin
Temanız timthumb.php kullanarak küçük resimleri yeniden boyutlandırıyorsa, eski sürümlerde bilinen bir güvenlik açığı olduğu için bu dosyayı kesinlikle en son sürüme güncellemeniz gerekir..
Klasörler ve dosyalar üzerindeki izinleri kontrol edin
.Htaccess - 444 izinleri ve karşıya yükleme klasörleri - 777 izinleri dışında tüm dosyaların 644 izni ve 755 klasörü olmalıdır..
Yönetici kullanıcı adını değiştirme
En hızlı seçenek phpadmin'e gitmektir ve orada, veritabanınızda bu sorguyu yürütün:
GÜNCELLEME wp_users SET user_login = ‘Yeni giriş bilgileriniz’ NEREDEN user_login = ‘yönetim’;
Ya da blogun yönetici panelinden yeni bir kullanıcı oluşturabilir, tüm makaleleri ona yeniden atayabilir ve eski yönetici kullanıcıyı silebilirsiniz..
Tüm şifreleri daha karmaşık şifrelerle değiştirin
Banal tavsiye, ancak şifreler farklı kayıtların sayıları ve harflerinden oluşan karmaşık olmalıdır. Ayrıca, virüslerle mücadeleden sonra, tüm şifreleri herhangi bir şekilde değiştirmeniz gerektiğini unutmayın (blog yöneticisi, barındırma yöneticisi, ftp, sql veritabanı) ve ayrıca wp-config.php dosyasındaki gizli anahtarları değiştirmenin mantıklı olduğunu unutmayın..
.Htaccess ve wp-config.php dosyalarını herkes için erişime karşı koruyun
Blogun kökündeki .htaccess'inize şu kodu ekleyin:
Sipariş reddetme, izin verme
hepsinden inkar
sipariş ver, reddet
hepsinden inkar
Wp-include klasörünü .htaccess ile koruyun
Düz bir metin dosyası oluşturun, dosyayı .htaccess olarak adlandırın ve kodu dosyaya ekledikten sonra wp-include klasörüne kopyalayın:
Sipariş İzin Ver, Reddet
Hepsinden reddet
Herkesten izin ver
Wp-admin klasörünü .htaccess ve .htpasswd ile koruyun
Düz bir metin dosyası oluşturun, .htaccess olarak adlandırın ve dosyayı dosyaya ekleyerek wp-admin klasörüne kopyalayın:
AuthUserFile /home/public/.htpasswd
AuthType Temel
AuthName “kısıtlı”
Sipariş Reddi, İzin Ver
Hepsinden reddet
Geçerli kullanıcı gerektir
Herhangi birini tatmin et
Nerede, «/home/public/.htpasswd» .Htpasswd dosyasının tam yoludur. Bu dosyanın blogunuzun dizininin üzerinde olması önerilir.
.Htpasswd dosyası, wp-admin bölgesine şifrelenmiş biçimde erişim için parola içerir. Bu dosyayı oluşturmanın en kolay yolu kullanıcı adını ve şifreyi her zamanki gibi girmektir. Mevcut hesaplardan farklı verileri tekrar etmemek ve belirtmemek en iyisidir.
Bu yöntemle ilgili yalnızca bir sorun vardır - tüm kullanıcılardan şifre isteneceği için çok kullanıcılı bir blogunuz varsa geçerli değildir.
Veritabanı önekini değiştir
SQL veritabanınızın önekini standarttan değiştirin «wp_» bazı «wpsdjflk647_» Blogun oluşturulmasının en başında mümkün oldu. Ama şimdi bu bir sorun değil. Aşağıda tartışılacak bir eklenti yaptım. Her ne kadar phpadmin'e girebilseniz de, oradaki tüm tablo adlarını değiştirin ve wp-config.php dosyasındaki öneki değiştirin
Belavir Eklentisini Yükle
Blogunuzun tüm php dosyalarındaki değişiklikleri izleyecek Belavir eklentisini yükleyin. Eklentinin kendisi hiçbir şey izlemez, ancak Konsol sayfasındaki blog yönetici paneline gittiğinizde taramayı başlatır ve burada değişiklikleri görüntüler. Ayarı yok.
WP Güvenlik Tarama Eklentisini Yükleme
Özellikle bazı şeyler yapabileceğiniz WP Güvenlik Taraması eklentisini yükleyin:
- veritabanı önekini değiştir
- klasörler ve dosyalar üzerindeki izinleri kontrol et
- WordPress sürümünü gizle
- bir blog için bir antivirüs bağlayın ve kontrol edin
Daha İyi WP Güvenlik Eklentisi Yükleyin
Better WP Security eklentisini yükleyin, önceki ikisinden daha da gereklidir. Özelliklerinin listesi çok büyük, bir kısmı listeleyeceğim:
- veritabanı önekini değiştirmenize izin verir
- wordpress sürümünün türüne göre gereksiz bilgileri blog kodundan kaldırır
- tüm dosyalardaki değişiklikleri izler
- blogunuzun adından sonra tarayıcıya garip adresler girenlerin ipini 404 hatası alarak yasaklar
- yönetici paneli için bir şifre seçilmesini yasaklar, ip ip
- standart yönetici giriş adreslerini değiştirir, kaba kuvvet saldırılarına karşı mükemmel koruma
- ve daha fazlası.
Ftp'nizdeki değişiklikleri izleme
Ftpfo programınızı bilgisayarınıza yükleyin, bu da ftp sunucunuza bağlanmanızı ve tüm hesap dosyalarının görünümlerini / silinmelerini / değişimlerini izlemenizi sağlar. Virüs saldırıları sırasında çok kullanışlı bir şey. Yalnızca tüm dosyaları izlemekle kalmaz, aynı zamanda dosya ve klasörler için maske de oluşturabilirsiniz.
Veritabanlarının ve dosyaların birkaç günde bir yedeklenmesi
Çok faydalı bir şey, virüslerle savaşmak için kullanışlı olabilir. Orijinal dosyalar her zaman elinizin altında olacak ve siteyi virüslerden temizlemek mümkün değilse geri alma fırsatı olacaktır. BackWPup eklentisini kullanıyorum. Verileri Dropbox'a kopyalamak da dahil olmak üzere birçok özelliği vardır - İnternette 2GB boş alan ve bilgisayarınızla senkronizasyon sağlayan kullanışlı bir hizmet.
Bunlar, blogumuza uyguladığım bir WordPress blogunu korumanın ipuçları. Herhangi bir sorunuz veya eklemeniz varsa (belki başka bir şey yapılabilir), yorumlara yazın 🙂
