sitemap archive

І знову про захист сайту від зламу

в категорії wordpress фішки

теґи :

Останнім часом до мене все частіше почали звертатись клієнти з підозрами на взламані сайти на wordpress'i. Якщо ви також помітили щось підозріле в роботі свого сайту, то ця стаття для вас.

Помітити, що сайт взламаний не завжди вдається. Ось у мене був випадок, коли клієнт чисто випадково помітив, що на його сайті внизу були сторонні посилання на сайти з продажу ліків. В інтернеті це називається pharma hack. Але щоб виявити, що ваш сайт заражений цим "вірусом" потрібно його відвідати, але з певними умовами:
— це має бути захід через гугл по пошуковій фразі
— з цієї ip-адреси ви ще жодного разу не заходили на свій сайт
— з цього броузера ви ще жодного разу не заходили на свій сайт (або почистити кукі).
Саме через те, що "лєві" посилання показуються лише при цих умовах, власники сайтів навіть не здогадуються, що їх сайт був зламаний.

Але якщо ви так і не виявили сторонніх посилань на сайті, то не спішіть радіти, ваш сайт може бути взламаний іншим чином і може містити руткіт, або бути учасником бот-мережі. Ці проблеми не є новими, тож в якості протидії їм розробники різних мастей зробили купу плагінів, що покривають ті чи інші аспекти по підвищенню захищеності сайту. Я ж розповім про те, які плагіни обрав сам і рекомендую іншим.

1.Почну з банального - не використовуйте в якості адміністратора логін admin (а також його похідні: adminadmin, administrator, root). Якщо у вас уже є такий логін, то створіть новий акаунт з іншим нестандартним іменем, наприклад: direktor. Для цього нового акаунта дайте права адміністратора, а акаунт admin видаліть, або ж дайте йому роль "підписник". Ну і звісно, що потрібно обирати складні паролі - з цифрами, буквами в верхньому регістрі і достатньо довгим (мінімум 8 символів).

cracklogin

Спроби підібрати пароль ботами

2.Встановіть плагін Limit Login Attempts. По замовчуванню, він буде блокувати всіх, хто 5 разів неправильно введе логін-пароль на 20 хвилин. Якщо з цього айпі будуть нові спроби підбору паролю, то плагін заблокує доступ вже на 24 години. Це значно покращить захист вашого сайту. Бо зараз існують цілі мережі ботів, що тільки тим і займаються, що підбирають паролі до адмінки. Цілком можливо, що саме в цю секунду на ваш сайт здійснюється масована атака ботів, що підбирають пароль.

sentinells

Окрім цього, я використовую такий хитрий хід: для логіну admin, даю роль "підписник" і ставлю йому простий пароль: 123456. Боти дуже швидко підбирають пароль, входять в адмінку, але нічого більше зробити не можуть ;)

В одного мого клієнта була ситуація, що його сайт зламав бот якраз через слабкий пароль в адмінку і цей же бот модифікував файли, щоб показувати рекламу для всіх відвідувачів з мобільних телефонів. Я точно впевнений, що хакер, який володіє цим ботом, навіть не заходив на сайт, бо то на тому ж хостингу в сусідній папці був іще один сайт, який не зазнав жодних змін. Тобто, як бачите, зараз весь процес взлому сайту повністю автоматизований і не потребує людського втручання.

bwp

3. Встановіть плагін Better WP Security. Це дуже потужний плагін для продвинутих юзерів. Деякий функціонал в ньому потрібно включати з обережністю, бо він може вплинути на інші плагіни, які заглючать від цього. Під такими галочками, що включать конфліктний функціонал, є попередження, так що будьте уважні.
По суті він може замінити і плагін Limit Login Attempts, бо також має функцію блокування від підбору пароля. 

Я налаштовую його так: вмикаю 404 detection та File Change Detection та вмикаю надсилання емейлу про щоденні логи по цим пунктам. В Directory Check List вніс папку wp-content/cache, щоб зміни в ній не фіксувались. Більше я нічого не використовую з його функціоналу. І ще нюанс: листи з цього плагіну гугл вперто відправляє спам, тож майте це на увазі.

Ну і останній пункт — не забувайте робити бекапи. Якщо сайт взламають, а у вас буде свіжий бекап, то можна швидко повернути сайт до попереднього стану і заодно, порівнюючи файли з зараженого і незараженого бекапу, можна вияснити, яким чином хакер проникнув всередину. Зараз існує ряд різноманітних плагінів для вордпресу, що можуть робити бекапи і на емейли і на dropbox, і на інші онлайн-сервіси. Я ж користуюсь плагіном BackUpWordPress в якому можна окремо запланувати розклад бекапу для бази данних та окремо для файлів. А потім через фтп зливаю їх час від часу собі на копм.

На цьому все, якщо є якісь питання чи доповнення, пишіть.
Бажаю щоб ваші сайти ніколи не зламали.

Post to Twitter

10 коментарівrss-comments

[@] ]]>mr.psiho]]> 15 Травня 2013 12:35

Дякую за змістовний пост!

Хочу лише сказати, що деякі плагіни дають більше прав саме для адміна з ІD 1, тобто цього самого першого користувача у системі. Тому особисто я б не міняв його на іншого.

]]>lilumi]]> 15 Травня 2013 12:41

Дякую.
Цікаве зауваження. А маєш конкретний приклад плагіну, в якого функціонал залежить від ID 1 юзера ?

В принципі, якщо таке є, то юзера admin можна просто переіменувати.

[@] ]]>mr.psiho]]> 15 Травня 2013 12:43

Точно було обмеження у плагіні Jigoshop. Не знаю, може зараз пофіксили вже. Було ще у якомусь, тільки назви не згадаю. Явище ніби не надто поширене, та все ж.

 
 
 
]]>kostya]]> 19 Серпня 2013 10:31

Привіт,
юзаю Better WP Security на протязі довгого періоду часу. Єдине але, його бажано ставити останнім, коли вже все працює і подальших великих змін в налаштуванні не планується, оскільки цей плагін блокує доступ до .htaccess та файлів налаштування WP. Ну і не забути зробити бекап перед його установкою :)
Усім безпечного проживання в мережі!

 
[@] ]]>Иван]]> 25 Травня 2014 14:27

Здравствуйте.
Ну а если всё-таки я являюсь “счастливом” обладателем Pharma Hack на своём сайте wordpress, как от него избавится? Перебрали код строчку за строчкой, нашли заражённые файлы, всё удалили. Буквально через два дня ссылки на сторонний ресурс восстановились и так бесконечно.
Если вы в этом смыслите, помогите пожалуйста избавится от Pharma Hack, а то мы потеряли уже все надежды.

 
]]>Турист]]> 3 Вересня 2014 21:01

Дякую за поради. Мені ли одне інтересно потрібно вибрати між цими двома плагінами чи встановити обидва?

]]>lilumi]]> 3 Вересня 2014 21:16

Достатньо одного плагіну. Раніше він називався Better WP Security, а зараз називається iThemes Security

 
 
]]>Женіх]]> 13 Вересня 2014 19:48

Досить таки корисна стаття. Подякував!

 
]]>Бусинка]]> 15 Лютого 2015 14:32

“не використовуйте в якості адміністратора логін admin” ? Ну як, він же найпростіший, запмаятовується швидко.. ну так, його легко зламати, але він зручний. От я, для прикладу маю багато сайтів, і використовувати до кожного інший логін буде просто нереально! Це що записувати кожен тепер?

]]>lilumi]]> 16 Лютого 2015 14:21

саме так. Адже пароль ти ж десь собі записуєш? запиши і логін тоді.
Можна використовувати менеджери паролів, такі як lastpass, який допоможе в автозаповнені паролів.

 
 

Ваш коментар

LilumiМене звати LiluMi, а це мій блоґ. Тут про веб-розробку та лайфхаки. Рекомендую підписатись на RSS Інформацію про мене читайте на сторінці me LiluMi
UA TOP Bloggers
Рейтинг блогов Рейтинг блога lilumi.org.ua Рейтинг блогов



Тобі передають привіт 60 медвежаток. Це підняло тобі настрій на 1,917 а в Австралії живе колібрі у якої дзьобик довжиною на 29.06см.