Nenehni vdori na Wordpress strani

17 naročnikov

Pozdravljeni.

Imam veliko težav z vdori na Wordpress strani, ki gostujejo tukaj v Sloveniji. Po najboljših močeh skrbim za varnost, a očitno nekaj ne štima:

• na računalniku imam Avast in Superantispyware in ju redno uporabljam,
• takoj po vsaki inštalaciji WP najprej naredim novega admin uporabnika (nikoli ne uporabljam "admin") in pobrišem ID # 1,
• vedno takoj zamenjam salt keys v config.php,
• za gesla uporabljam cPanel generator nastavljen na 18 znakov, za vsa druga gesla pa generator nastavljen na 30 znakov!
• na Filezilla nimam shranjenih gesel, res pa je, da uporabljam navadni ftp in ne sftp
• prvi vtičniki, ki jih inštaliram, so Limit Login Attempts in iThemes Security (pred časom tudi nekajkrat Wordfence ali All in one Security), "navit" skoraj do konca,
• Wordpress, teme in vsi vtičniki so redno posodabljani.

A, kot rečeno, vse to nič ne pomaga. Pred slabim mesecem sem eno stran, ki je imela težave z vdori, naredil popolnoma na novo - zbrisal sem račun, naredil novega, nova inštalacija WP, vse narejeno od začetka na novo, niti delčka kode nisem uporabil iz stare strani, uporabil sem vse varnostne postopke - in zdaj je stran ponovno okužena.

Vesel bom še kakšnega konkretnega predloga za izboljšanje varnosti. Mislim, da nisem edini s podobnimi težavami.

Lp

Od pluginov za zaščito uporabljamo predvsem (za WP) BPS in Wordfence. Oba brezplačna, ker tudi uporabniki ponavadi niso pripravljeni plačati stroška licenc.

Po mojih izkušnjah je to čez glavo, ker je razlog za vdor itak v večini primerov trivialen:
- šibka gesla v slogu "1" ali "admin" in podobne cvetke
- 777 dovoljenja
- neposodobljene komponente ali jedro aplikacije

Smo pa že večkrat potrebovali sodelovanje s strani avtorjev tem in vtičnikov v zvezi z drugimi zadevami in ponavadi so zelo odzivni.