Nenehni vdori na Wordpress strani

17 naročnikov

Pozdravljeni.

Imam veliko težav z vdori na Wordpress strani, ki gostujejo tukaj v Sloveniji. Po najboljših močeh skrbim za varnost, a očitno nekaj ne štima:

• na računalniku imam Avast in Superantispyware in ju redno uporabljam,
• takoj po vsaki inštalaciji WP najprej naredim novega admin uporabnika (nikoli ne uporabljam "admin") in pobrišem ID # 1,
• vedno takoj zamenjam salt keys v config.php,
• za gesla uporabljam cPanel generator nastavljen na 18 znakov, za vsa druga gesla pa generator nastavljen na 30 znakov!
• na Filezilla nimam shranjenih gesel, res pa je, da uporabljam navadni ftp in ne sftp
• prvi vtičniki, ki jih inštaliram, so Limit Login Attempts in iThemes Security (pred časom tudi nekajkrat Wordfence ali All in one Security), "navit" skoraj do konca,
• Wordpress, teme in vsi vtičniki so redno posodabljani.

A, kot rečeno, vse to nič ne pomaga. Pred slabim mesecem sem eno stran, ki je imela težave z vdori, naredil popolnoma na novo - zbrisal sem račun, naredil novega, nova inštalacija WP, vse narejeno od začetka na novo, niti delčka kode nisem uporabil iz stare strani, uporabil sem vse varnostne postopke - in zdaj je stran ponovno okužena.

Vesel bom še kakšnega konkretnega predloga za izboljšanje varnosti. Mislim, da nisem edini s podobnimi težavami.

Lp

Kako pa pridejo notri?

To je treba prvo raziskat.

Ne vem, nisem stručko. Kako še lahko pridejo not?
Na eni okuženi strani je tole - PHP: Backdoor-FE [Trj]

a si imel isto temo

Ne, uporabljam Genesis Framework in Dynamik Website Builder. Vse strani so narejene "na roke", brez tem.

Backdoor je posledica.

Poglej log file. Ponavadi se pojavi cel serija čudnih post zahtevkov

Error log?
Fatal error: Namespace declaration statement has to be the very first statement in the script in /home/wwwzavod/public_html/wp-content/plugins/background-manager/vendor/pf4wp/lib/vendor/Symfony/Component/ClassLoader/UniversalClassLoader.php on line 12

To je pisalo tudi na strani (white screen). Ko sem preko ftp preimenoval background manager vtičnik, sem se lahko logiral. Bil je dodan nov user, nov mail pri mojem admin userju, nato so bili deaktivirani vsi vtičniki.

Config.php ima na začčetku kup znakov, nima pa več gesel.

Verjetno si pa mislil kateri drug log?

Access log

Do tega pa nimam dostopa.

Ups, ni res.
Nisem pa našel not nič nenavadnega.

Če imaš cPanel potem imas dostop do access loga v samem cPanelu. Log je star 24 ur (če nima vklopljeno arhiviranje logov).

Sicer pa kontaktiraj svojega gostitelja in ti bo zagotovo zrihtal loge in povprašaj malo kako imajo urejene zaščite na serverju (mod_security, anti xploit, WAF itd.).