vprašanja debate oglasi
spletni posel
spletni posel paypal crm facebook dhl affiliate programi instagram
več ...
spletne strani
spletne strani cms html pdf wordpress less sass
več ...
splošne debate
splošne debate računalniki
programiranje
programiranje jquery php python postgresql ms sql mysql
več ...
spletni strežniki
spletni strežniki robots.txt domene dns spam .htaccess mod_rewrite
več ...
Značke Menu
spletni posel spletne strani splošne debate programiranje spletni strežniki
Išči
Nova tema
Vprašanje Debata Oglas
Prijava Registracija

Nenehni vdori na Wordpress strani

17 naročnikov

Pozdravljeni.

Imam veliko težav z vdori na Wordpress strani, ki gostujejo tukaj v Sloveniji. Po najboljših močeh skrbim za varnost, a očitno nekaj ne štima:

  • na računalniku imam Avast in Superantispyware in ju redno uporabljam,
  • takoj po vsaki inštalaciji WP najprej naredim novega admin uporabnika (nikoli ne uporabljam "admin") in pobrišem ID # 1,
  • vedno takoj zamenjam salt keys v config.php,
  • za gesla uporabljam cPanel generator nastavljen na 18 znakov, za vsa druga gesla pa generator nastavljen na 30 znakov!
  • na Filezilla nimam shranjenih gesel, res pa je, da uporabljam navadni ftp in ne sftp
  • prvi vtičniki, ki jih inštaliram, so Limit Login Attempts in iThemes Security (pred časom tudi nekajkrat Wordfence ali All in one Security), "navit" skoraj do konca,
  • Wordpress, teme in vsi vtičniki so redno posodabljani.

A, kot rečeno, vse to nič ne pomaga. Pred slabim mesecem sem eno stran, ki je imela težave z vdori, naredil popolnoma na novo - zbrisal sem račun, naredil novega, nova inštalacija WP, vse narejeno od začetka na novo, niti delčka kode nisem uporabil iz stare strani, uporabil sem vse varnostne postopke - in zdaj je stran ponovno okužena.

Vesel bom še kakšnega konkretnega predloga za izboljšanje varnosti. Mislim, da nisem edini s podobnimi težavami.

Lp

5123 1
spletne strani php wordpress

41 odgovorov

Možnosti za vstop je veliko. Vtičnike uporbaljaš? Iste na stari in novi verziji strani?
.htaccess datoteke in podobno si nastavil? administracijo pod geslo dodatno (htaccess)?
Vezava administracije na IP?

Geslo nima veze, če pridejo not preko varnostno oporečne komponente. Razen če jih ne uporabljaš sploh.

Shranjuješ FTP gesla v Filezillo? Si preveril FTP log?

Iste vtičnike sem uporabil na obeh straneh. Na supportu vtičnikov nisem zasledil nobenega problema glede ranljivosti.

Vse varnostne nastavitve sem naredil preko iThemes vtičnika. Očitno to ne zadostuje.
Mi lahko prosim podrobno napišeš, kaj in kako treba spremeniti v htaccess?

Gesel ne shranjujem v ftp, vedno uporabljam "vprašaj za geslo" opcijo.
Ftp log: Fri Oct 10 12:49:31 2014 0 89.212.192.66 17249 /home/wwwzavod/public_html/wp-config.php a _ o r wwwzavod ftp 1 * c

Mi pa ti logi ne pomagajo, ker jih ne znam brati :-(

Poizkusi še z Wordfence, če ga še ne uporabljaš.

Zablokiraj dostop do wp-login.php in wp-admin vsem razen lastnemu IPju, ithemes security ima po novem tudi distribuirano brute force zascito, omogoca pa tudi "skrivanje" admina (dostop le preko xyz linka). Potem pa vrzi se wordfence cez vse fajle.

1

Lombi:
Zablokiraj dostop do wp-login.php in wp-admin vsem razen lastnemu IPju, ithemes security ima po novem tudi distribuirano brute force zascito, omogoca pa tudi "skrivanje" admina (dostop le preko xyz linka). Potem pa vrzi se wordfence cez vse fajle.

Ampak če maš dinamični IP potem je problem blokirati IP-je razen svojega...

Dovolis samo IPje od tvojega ISPja

mckmck:

Lombi:
Zablokiraj dostop do wp-login.php in wp-admin vsem razen lastnemu IPju, ithemes security ima po novem tudi distribuirano brute force zascito, omogoca pa tudi "skrivanje" admina (dostop le preko xyz linka). Potem pa vrzi se wordfence cez vse fajle.

Ampak če maš dinamični IP potem je problem blokirati IP-je razen svojega...

Ja. Naceloma obstaja tudi ogromno poti kako svoj IP dodajas noter, ampak ce ze zapres wp-login in wp-admin izven slovenije, si zaflikal 90% "problema" - ce izvzamemo timthumb ter druge slabo napisane teme in/ali plugine, potem je s popolno blokado problem resen - ce ne tekmujes z matematicno verjetnostjo (wp pac nima integrirane brute force zascite), potem imas toliko manj moznosti za tezavo.

Cisto za primer - 4 leta stare "proof of concept" zascita:

  • deny to all (login/admin)
  • skrivni url dovoli prijavo (whitelista ip, vkolikor ga ni noter)
  • registracija/lost password zablokirana, registracija fizicno zbisana (glej PS)
  • 1 prijava z neobstojecim uporabnikom globalno zapre dostop do celotnega racuna

Okoli 90 (vcasih vec, recesija in to) narocniskih strani uporablja ta "proof of concept", v 4 letih sta se zgodila samo 2 vdora, oba zaradi varnostne luknje v gostovanju.

PS: Seveda ta resitev deluje izkljucno na straneh, kjer se obiskovalci ne prijavljajo/registrirajo v WP, torej da backend deluje izkljucno kot management vsebin.

...

Ampak ja, ce je prisel do podatkov skozi tvoj mail, potem ti nobena zascita ne pomaga (enako kot oba vdora v hosting), podobno tudi za delovno postajo in kak slabo zasciten cloud backup. Ce ves, v katerem grmu tici zajec, lazje zabetoniras grm ;)

Morda bo tudi tale članek uporaben:
http://www.thecodertips.com/2013/10/top-3-wordpress-security-plugins.html

Je smiselno namestiti en kup pluginov za varnost ali je bolje imeti le npr iThemes in Wordfence?

Sprašujem za spletne strani, kjer na dashboard ne dostopa nihče drug kot administrator.

Tele vdori so stvar ponudnika ali kakega plugina. Jaz sem imel enkrat en plugin ki je poslal takoj mail ko je ugotovil da se datoteke na strani spremenijo in to ti je signal da moreš nekaj narediti. Tukaj je blog od enega hostinga kako se oni spopdajao s tem
http://www.a2hosting.com/blog/stay-away-from-wordpress-security-plugins

Hočem rečt maš lahko kup pluginov ampak z vsakim je pomoje tveganje večje.