Zabezpieczenie stron internetowych - wordpress

[marcin.lubianka 0]

Dobry wieczór wszystkim użytkownikom.

 

Przeniosłem się z joomli na wordpressa, ostatnio pojawiają się częste ataki na moje strony i ręce mi już opadają. Mam zabezpieczone katalogi wp-admin do tego dodatki typu wordfence czy WP Security, dbam o aktualizację wtyczek i wordpressa a ostatnio wszystkie moje posty zostały podmienione... Chciałbym rozwiązania, które jest bezpieczne i działa. Mam serdecznie dość ciągłego grzebania w tym wszystkim i analizowania...

 

Szukam osoby, która "siedzi w temacie" która pomogła by mi zabezpieczyć strony przed atakami.

Lub doradziła jakieś rozwiązanie.

 

Będę wdzięczny za jakąkolwiek informację, sugestię czy pomoc.

 

 

[Fizyda 34]

Masz najnowszą wersję Wordpressa? Ostatnio w 4.7.0 i 4.7.1 pojawiła się groźna luka umożliwiająca zdalne - bez uwierzytelnienia edytowanie stron i postów. Upewnij się że korzystasz z wersji 4.7.2.

 

Dodatkowo warto ukryć pewne informacje które da się wyciągnąć o cms oraz ograniczyć dostęp do niektórych plików, ale to już trochę wyższa szkoła jazdy i trzeba mieć pojęcie co się robi. Nie sądzę by to było w tej chwili powodem Twoich problemów.

Edytowano Luty 18, 2017 przez Fizyda (zobacz historię edycji)

[marcin.lubianka 0]

Miałem właśnie starą wersję 4.7.1 na jednej z stron i dopiero teraz zaktualizowałem do wersji 4.7.2 - niestety już po podmienieniu postów...

 

 

[Fizyda 34]

To teraz jesteś bezpieczny, spróbuj może uda się odzyskać zawartość starych postów dzięki historii zmian. Polecam nie wyłączać w wp-config automatycznych aktualizacji konkretnej wersji wordpressa, czyli z odnogi master. Z automatu w tedy będziesz dostawał wszystkie kolejne aktualizacje 4.7.X, ale np 4.8 będziesz musiał zainstalować sam.

U mnie strony same się zaktualizowały do 4.7.2 a potem 4.7.3 i nie miałem żadnych nieprzyjemności.

[marcin.lubianka 0]

Aktualizowałem godzinę temu do 4.7.2 i niestety znów podmienił się jeden post... Cofnąłem przez historię zmian ale minutę temu nowy wpis się pojawił... Mam w panelu direct Admin installatron poprzez, który instaluję wszystkie cms'y i w nim staram się mieć ustawienie automatycznej aktualizacji i backup'u.

[Fizyda 34]

Niewykluczone, że masz jakieś pliki zainfekowane. Ja bym wyeksportował wszystkie wpisy i strony, zainstalował od nowa wordpressa i zaimportował ponownie dane.

Chyba że chcesz się bawić w poszukiwacza obcego kodu.

[marcin.lubianka 0]

Dzięki, tak zrobię bo raczej nie mam ochoty grzebać linijkę po linijce kodu. Czekam jeszcze na odzyskanie z backup'u użytkownika ale support gdzie mam hosting teraz nie pracuje...

[Fizyda 34]

Jeśli backup zawiera pliki ftp to może nie musisz przeinstalowywać niczego.

[marcin.lubianka 0]

Pełna kopia pliki, baza danych. Ale muszę poczekać jak będzie ktoś osiągalny w firmie. Dziękuję za wszelką pomoc.

[dawidryba11 4]

Napisz jeszcze z jakich pluginow korzystasz? Najczesciej do WP mozna sie dostac przez niezabezpieczone pluginy.

 

Wysłane z mojego E2105 przy użyciu Tapatalka

[knockknock 0]

Dzięki, tak zrobię bo raczej nie mam ochoty grzebać linijkę po linijce kodu. Czekam jeszcze na odzyskanie z backup'u użytkownika ale support gdzie mam hosting teraz nie pracuje...

Nie musisz grzebać linijka po linijce Jest świeże narzędzie do monitorowania zmian plikach i w zasadzie jedyne działające z tego co testowałem. Dostajesz powiadomienia o każdej zmianie (wyłączając przy tym wyjątki, które wcześniej dodałeś).Tu masz strone www.ispectio.com .Mi w zupełności wystarcza, bo uzyskuje informacje gdzie jest luka i wiem jak szybko wyeliminować problem. Nie ma co się bawić w jakieś pseudo antywirusy, bo hackerzy zawsze są o ten krok do przodu. Przecież nie da się zabezpieczyć przed wirusem, który jeszcze nie był w obiegu.

Edytowano Luty 20, 2017 przez knockknock (zobacz historię edycji)

[marcin.lubianka 0]

Główne pluginy to woocomerce, re-captcha google, wordfence / wp security, contact form 7 i tyle. Staram się naprawdę ograniczać do minimum wtyczki.

Nie musisz grzebać linijka po linijce Jest świeże narzędzie do monitorowania zmian plikach i w zasadzie jedyne działające z tego co testowałem. Dostajesz powiadomienia o każdej zmianie (wyłączając przy tym wyjątki, które wcześniej dodałeś).Tu masz strone www.ispectio.com .Mi w zupełności wystarcza, bo uzyskuje informacje gdzie jest luka i wiem jak szybko wyeliminować problem. Nie ma co się bawić w jakieś pseudo antywirusy, bo hackerzy zawsze są o ten krok do przodu. Przecież nie da się zabezpieczyć przed wirusem, który jeszcze nie był w obiegu.

 

Ok założenie bardzo dobre ale z tego co widzę jest to projekt beta. Nigdzie też nie ma cennika podanego na stronie a w regulaminie wyraźnie jest napisane że trzeba zapłacić.

[knockknock 0]

Główne pluginy to woocomerce, re-captcha google, wordfence / wp security, contact form 7 i tyle. Staram się naprawdę ograniczać do minimum wtyczki.

 

Ok założenie bardzo dobre ale z tego co widzę jest to projekt beta. Nigdzie też nie ma cennika podanego na stronie a w regulaminie wyraźnie jest napisane że trzeba zapłacić.

Napisałem do nich na chat i dostałem odpowiedź, że regulamin jest już przygotowany pod finalną wersje oraz zapewnili mnie, że sama funkcjonalność działa w 100%. Więc wychodzi na to, że można cieszyć się pełną wersja produktu za darmo jeszcze przez pewien okres.

[Gość Rafiki]

podstawowa zasada to korzystanie tylko z sprawdzonych wtyczek / tematów, często aktualizowanych i jak już pisano wyżej pluginy należy ograniczyć do minimum.

Wiele ataków na wordpressa (jak nie większość) dokonywana jest przez xmlrpc.php - warto zablokować ten plik chociaż przez htaccess.:

 <files xmlrpc.php>
  order deny,allow
  deny from all
 </files>

Gdy jest taka potrzeba można go udostępnić tylko dla wybranych IP.

 

Jeżeli możesz sobie na to pozwolić warto zablokować ruch z azjatyckich i innych podejrzanych krajów - ryzyko jakiegokolwiek ataku spada drastycznie

 

Jeszcze co do pluginów typu wordfence czy WP Security, często takie pluginy same w sobie zawierają masę bugów. Ja radze się ich pozbyć. Kilka miesięcy temu WPSecurity (swoją drogą jest dość popularny) miał krytyczny bug i strona bez problemów była hackowana właśnie przez niego.
Wszystkie zabezpieczenia jakie oferują te "magiczne" wtyczki można zrobić samemu i "ręcznie".

Edytowano Luty 20, 2017 przez Rafiki (zobacz historię edycji)

[adamuss 0]

Piszesz o "stronach" - jeśli to konto współdzielone przez kilka domen/serwisów to prawdopodobnie do sprawdzenia/oczyszczenia są pozostałe.

 

Przejrzyj logi - dosyć łatwo wyłapiesz POSTy - powinno to ułatwić znalezienie podejrzanych plików.

 

@Rafiki - zgoda co do "magicznych" wtyczek ale trudno samemu ręcznie zrobić jakiś WAF

wg mnie WordFence + AllInOne WP Security skonfigurowane żeby się uzupełniały to optymalne połączenie (ps. podrzucisz link do luki w AllInOne? ja ostatnią kojarzę w połowie 2015, dzięki)

 

A.

 

[infolotnicze 5]

Zawsze można uderzyć do Sucuri. Jak masz luźną stówkę to wyczyszczą stronę i zakładam powiedzą jak się dziadostwo dostało.

[andrzuk 0]

Może spróbuj postawić swoje strony na innej platformie, skoro Wordpress jest taki zawodny i wymaga mnóstwa zabiegów administracyjnych. Ja napisałem swego CMS-a i postawiłem na nim parę stron, które działają już ładnych kilka lat i nie mam żadnych problemów z włamaniami. Nie muszę dbać o żadne aktualizacje ani zabezpieczenia. Mówiąc obrazowo: "instaluję i zapominam, mam święty spokój". W moim CMS-ie nie stosuję żadnych wtyczek ani pluginów - system jest jednorodny i spójny. Gdy chcę do niego dodać jakiś ficzer, siadam i piszę natywny kod - ostatnie przykłady to dodanie statystyki wejść wzbogaconej o wykresy, albo system komentarzy.

CMS jest darmowy - można go pobrać, zainstalować u siebie, a nawet zmodyfikować według własnego uznania.

Tu piszę szerzej o powodach, dla których napisałem swojego CMS-a.

Tu jest strona poświęcona projektowi. Znajdziesz na niej link do pobrania kodu z GitHuba.