Wordpress varnost
16 naročnikov
16 naročnikov
Na začetku aprila so mi pohackali par strani. Organic mobile promet je bil redirectan na hackerjev CPA offer in izgubljal sem 50% prometa. Prej nisem dal nič na varnost. Če pa koga zanima, to so ugotovitve in uporabni plugini:
Sucuri security: Preveri malware in beleži login attempte. Prav na vseh straneh, pa naj imajo 500 ali pa 5 UV na dan, me bruteforcajo dnevno. Verjetno je to razširjeno po celem spletu.
Remove author pages: Na najpomembnejši strani sem po čistki opazil, da se poskušajo logirat z mojim pravim unikatnim admin uporabniškim imenom. Spremenil sem ga v Phpmyadmin in ugotovil, da so takoj prešaltali na novonastali admin username. Nekatere WP teme imajo to slabost, da URL domena.com/?author=1 preusmeri na adminove objave in na URL v katerem piše username. Remove author pages plugin reši ta problem, redirect v htaccessu ga pa ne, ker se zlahka ugotovi "vmesna postaja" redirecta preko redirect-checker.org recimo.
Limit login attempts: 3je napačni logini = ban IPja za določen čas. Problemu se hackerji izognejo s proxiji, ampak ponavadi jih nimajo dovolj. Vsaj tisti ne, ki se jim je vredno ukvarjat s stranmi, ki ne nesejo nekega ogromnega denarja.
Še boljša opcija se mi zdi nekako premakniti/preimenovati wp-admin in wp-login strani in zadeva je rešena.
26 odgovorov
All in One WP Security & Firewall ima isto - login page narediš na svoj IP in le preko svojega IP-ja lahko dostopaš do administracije.
aaaccc:
za omejevanje login page-a lahko uporabite tudi preprosti htaccess, niso potrebni nobeni plugini
Pa še bolj varno je ;)
aaaccc:
za omejevanje login page-a lahko uporabite tudi preprosti htaccess, niso potrebni nobeni plugini
Lahko pa ta preprost .htaccess deliš z nami, da nam ni potrebno googlat :)
Hvala in lp,
Rok