Nenehni vdori na Wordpress strani

17 naročnikov

Pozdravljeni.

Imam veliko težav z vdori na Wordpress strani, ki gostujejo tukaj v Sloveniji. Po najboljših močeh skrbim za varnost, a očitno nekaj ne štima:

• na računalniku imam Avast in Superantispyware in ju redno uporabljam,
• takoj po vsaki inštalaciji WP najprej naredim novega admin uporabnika (nikoli ne uporabljam "admin") in pobrišem ID # 1,
• vedno takoj zamenjam salt keys v config.php,
• za gesla uporabljam cPanel generator nastavljen na 18 znakov, za vsa druga gesla pa generator nastavljen na 30 znakov!
• na Filezilla nimam shranjenih gesel, res pa je, da uporabljam navadni ftp in ne sftp
• prvi vtičniki, ki jih inštaliram, so Limit Login Attempts in iThemes Security (pred časom tudi nekajkrat Wordfence ali All in one Security), "navit" skoraj do konca,
• Wordpress, teme in vsi vtičniki so redno posodabljani.

A, kot rečeno, vse to nič ne pomaga. Pred slabim mesecem sem eno stran, ki je imela težave z vdori, naredil popolnoma na novo - zbrisal sem račun, naredil novega, nova inštalacija WP, vse narejeno od začetka na novo, niti delčka kode nisem uporabil iz stare strani, uporabil sem vse varnostne postopke - in zdaj je stran ponovno okužena.

Vesel bom še kakšnega konkretnega predloga za izboljšanje varnosti. Mislim, da nisem edini s podobnimi težavami.

Lp

Hvala za komentar. Ja, je zelo nizka cena, glede na to da gre za celoletno storitev.

Vključuje naslednje:
1. odstranjevanje zlonamerne kode, če jo že imaš na strani,
2. namesitev in konfiguracija varnostnih vtičnikov,
3. rekonfiguracija aplikacije za čim boljšo varnost (če je to možno in še ni urejeno),
4. proaktivno mesečno/tedensko preverjanje, ali je vse OK,
5. vsa nadaljnja morebitna odstranjevanja, v primeru da pride do okužbe oz. vdora.

Torej, pod točko (5) vidiš tudi, da nudimo garancijo na ponujeno storitev.

Ni pa nujno, da bo cena ostala taka, saj to storitev nudimo šele prvo leto in se bo šele sedaj pokazalo, ali je to realna cena za taka dela.

Vsekakor dobra cena za uporabnika. Jaz za to ceno ne bi dajal garancije ali odklanjal posledic vdora.
Je pa tu podobno kot pri zavarovalnicah. Če imate srečo in ni vdorov, je to lahko čisto lep zaslužek.

Ne gre se toliko za zaslužek, ki pri taki ceni ne more biti ne vem kaj.

Gre se za to, da večina uporabnikov, ki ne znajo posodobiti Wordpressa, ostane na "suhem", ko je treba zadevo očistiti in zavarovati. Takim moramo pomagati, ampak ne moremo pa tega delati zastonj, ker to niti pod razno ni naša odgovornost.

Večini se sicer še 5 EUR zdi preveč za pomoč, ampak nekaterim je pa fino, če jim nekdo garantira, da ne bo več problemov.

Kaj si mislil z "odklanjal posledic vdora"?

odklanjal posledic vdora=odstranjevanje zlonamerne kode

Hja, verjamem. Za ta denar marsikdo okuženega WP niti pogleda ne, kaj šele da bi ga čistil in potem vzdržuje celo leto :)

Ampak tukaj je tudi cilj imeti strežnike, ki niso polni nesnage, zato poizkušamo ceno držati na neki (razumni?) ravni.

Težko sodim za druge primere, a iz mojih izkušenj je tako, da se je treba s stranko najprej natančno dogovoriti kaj tehnična podpora zajema. Prepogosto se je namreč dogajalo, da je stranka (npr) plačevala 25€, potem pa pričakovala tedensko kontrolo, backup na brezplačen medij, neomejeno število telefonskih klicev ki so lahko trajali tudi preko meja razumnosti in podobno. Govorim o straneh, ki jih uporabnik NE ureja - v kolikor pa jih, se pa lahko zgodi da počne neumnosti in naredi cel kaos, ki ga je potem potrebno reševati... Cena?

Če je spletna stran bolj kot ne preprosta, nima nekih pluginov, nima neke zahtevnosti, je cena cca 25€ za 1x na mesec pogledat in posodobit po mojem mnenju čisto primerna (ajde, še backup na FTP za povrh). Popolne zaščite pač ne moreš zagotavljati, kar je treba stranki tudi pojasniti jasno in glasno. V nasprotnem primeru te bodo za rokav vlekli v nedogled, plačali pa le 25€...

Če pa gre za (npr) trgovino, spletno stran ki uporablja https, spletno stran kjer se lahko logirajo uporabniki in tako dalje, se pa jest za 55€ ne grem ker se mi enostavno ne izplača. Preveč dela za premalo plačila. Pač cenim svoje delo.

@spurpp - razumem pa, da imate morda neko enotno politiko in ste postavili neko povprečje. Gre pač za stvar posameznika ali pozamezne firme ki to obračuna tako da (upam) nima izgube.

Okužen WP? To je draga storitev. Zelo.

@Gusar: absolutno.

Mi to sicer nudimo za strani, ki so na naših strežnikih, tako da imamo določene stvari že rešene (kot so npr. backupi).

Pa tudi za ceno bomo šele videli, ali je kolikor toliko realna ali pa ne. Nekje je treba začeti.

Se pa absolutno strinjam s teboj, da je tudi 25€ na mesec absolutno nizka cena - odvisno od ponujenega / garantiranega.

Za ceno smo že večkrat (po nekaj straneh prepucavanja) ugotovili, da lahko predstavlja različno (kvaliteto in kvantiteto) storitev.
Sicer pozdravljam (suprpp-ov) pristop, da se za stranko poskrbi "dolgoročno", niso mi pa všeč te javne objave cenikov, ker se to prepogosto narobe razume. Včasih pa gre pri teh objavah cen zgolj za subtilno dumping-ško oglaševanje in šele to branži in mojstrom ne pomaga absolutno nič :)

To je jasno da delajo samo na svojih strežniki, suprpp nikoli ne bo šel pucat za 50 eur na leto strežnikov od žabcev, četudi bi ga stranke prosile. To je konec koncev butasto. Zato tukaj ne moreš govoriti o dumpingu. Imaš pa ameriška gostovanja ki ti to delajo za 2 eura oz pač nek security check kjer pošljejo robote poiskat nesnago. Vsake toliko jih vrjetno updejtajo. V tem pogledu so pa slovenski ponudniki dragi ;)

on topic - se pri izdelavi spletnih strani poslužujete free verzij pluginov za zaščito, ali kupite pro, premium... verzije?

Če da, kakšen je support z njihove strani? Ima kdo kaj izkušenj pri tem?