Войти

Авторизация

Логин:
Пароль:
Забыли пароль?
Регистрация
Сайт пользователей Artisteer и Themler. Официальный торговый представитель.

[РЕШЕНО] Безопасность сайта wordpress

защита блога, защита данных,
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
Доброго дня, уважаемые! Последнее время, лично у меня, возникло много проблем с wordpress... .Поясню, несколько сайтов работают (частично) на этом движке. Дело в том, что соблюдая некоторые правила по безопасности, я спрятал все входы выходы, скажим так от "дураков", и все равно, большое количество попыток влезть на сайты,причем с одними и теми же IP, короче не нахожу лучшего выхода, как через ntaccess, просто их заблокировать. Поделитесь, может это у всех нонче так? Я кстати отследил IP, в основном они используются в Украине... . (Вообщем для Украины сайты теперь отсутствуют)
Посетитель
carbon
Сообщений: 17
1232 дня назад
Есть плагин для WP называется Better WP Security очень много возможностей и полезностей. Есть еще плагин WP-Sentinel.
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
Да-да, конечно, но вот проблема, некоторые плагины сами становятся объектами взлома. Я не сторонник лишних плагинов, для меня проще порой перелопатить движок, чем устанавливать доп. плагины, вообще функциональность wordpress обширна...Можно ВСЕ!только вот проблемы возникают при обновлении. Вот основной набор:
Скрытый текст виден только зарегистрированным пользователям
а остальное, то как закрытие путей, запрет лишних запросов - это простите ручками.
Редактировалось: 2 раза (Последний: 17 декабря 2012 в 19:05)
Постоянный участник
alavira
Медаль
Сообщений: 168
30 дней назад
artnikov:
большое количество попыток влезть на сайты,причем с одними и теми же IP, короче не нахожу лучшего выхода, как через ntaccess, просто их заблокировать.

Не понятно их ломают или просто тролли замучили? Если ломают то надо искать через что именно спросить у хостера access-logs запросы обработанные сервером, посмотреть какие запросы делаются, если сами не поймете спросить у знающих людей, обычно на специализированных форумах по движку, ребята могут помочь.
Если же тролли то тут, обычными средствами, начиная от прав и до применения спец. плагинов.

artnikov:
Поделитесь, может это у всех нонче так?

Говнюков везде хватает. Борюсь по разному. Но как правило получается из за одного дауна страдает 100 нормальных людей. Хотя смотря что за сайты у Вас. А то вычислить в реале пару придурков не особая проблема как правило, это они только думают, что если меняют IP то спрятались. А на самом деле, как в анекдоте про Джо неуловимого laugh
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
alavira:

artnikov:
большое количество попыток влезть на сайты,причем с одними и теми же IP, короче не нахожу лучшего выхода, как через ntaccess, просто их заблокировать.

Не понятно их ломают или просто тролли замучили? Если ломают то надо искать через что именно спросить у хостера access-logs запросы обработанные сервером, посмотреть какие запросы делаются, если сами не поймете спросить у знающих людей, обычно на специализированных форумах по движку, ребята могут помочь.
Если же тролли то тут, обычными средствами, начиная от прав и до применения спец. плагинов.

artnikov:
Поделитесь, может это у всех нонче так?

Говнюков везде хватает. Борюсь по разному. Но как правило получается из за одного дауна страдает 100 нормальных людей. Хотя смотря что за сайты у Вас. А то вычислить в реале пару придурков не особая проблема как правило, это они только думают, что если меняют IP то спрятались. А на самом деле, как в анекдоте про Джо неуловимого laugh

Я их вычислил, дети, ломятся куда не надо, вот один IP:176.98.29.126 , я их ранее блокировал диапазонном, потом бросил, только когда начинают по 10-15 раз ломиться в панель ... . А сайтs вот:
Скрытый текст виден только зарегистрированным пользователям
Редактировалось: 1 раз (Последний: 17 декабря 2012 в 19:05)
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
alavira:

artnikov:
большое количество попыток влезть на сайты,причем с одними и теми же IP, короче не нахожу лучшего выхода, как через ntaccess, просто их заблокировать.

Не понятно их ломают или просто тролли замучили? Если ломают то надо искать через что именно спросить у хостера access-logs запросы обработанные сервером, посмотреть какие запросы делаются, если сами не поймете спросить у знающих людей, обычно на специализированных форумах по движку, ребята могут помочь.
Если же тролли то тут, обычными средствами, начиная от прав и до применения спец. плагинов.
По-разному и "троли" тоже. access я обработал, просто столько "дырок", не успеваю затыкать...

artnikov:
Поделитесь, может это у всех нонче так?

Говнюков везде хватает. Борюсь по разному. Но как правило получается из за одного дауна страдает 100 нормальных людей. Хотя смотря что за сайты у Вас. А то вычислить в реале пару придурков не особая проблема как правило, это они только думают, что если меняют IP то спрятались. А на самом деле, как в анекдоте про Джо неуловимого laugh
Модератор Постоянный участник
samson
Медаль За активное участие в жизни сайта.
Сообщений: 924
1 день назад
artnikov, Начните с банального, права на папки. Свяжитесь с хостером и спросите у него какие есть возможности по защите сайта, здесь могут быть разные варианты, но как правило у нормального хостера что то есть. Начиная от доступа только с определенного IP к определенным папкам и до паролей на нужные директории, например можно попробовать поставить на папку админки. Как писали выше если есть возможность посмотреть логи апача то хорошо будет узнать, через что именно ломают, и оттуда принимать решения. Я не говорю уж о самых элементарных вещах, проверка на вирусы компа, не хранить пароли в FTP. И ещё если есть сайты, то очень придирчиво относитесь к программам которые ставите на комп. Оставьте только все самое нужное. Все не лицензионные игры сразу однозначно в топку.

Может я про элементарное и лишне для Вас написал, но другим полезно будет. К тому же точно доказано, что 80%-90% взломов именно из за таких нарушений или не использования дополнительных средств защиты от хостера.
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
samson:

artnikov, Начните с банального, права на папки. Свяжитесь с хостером и спросите у него какие есть возможности по защите сайта, здесь могут быть разные варианты, но как правило у нормального хостера что то есть. Начиная от доступа только с определенного IP к определенным папкам и до паролей на нужные директории, например можно попробовать поставить на папку админки. Как писали выше если есть возможность посмотреть логи апача то хорошо будет узнать, через что именно ломают, и оттуда принимать решения. Я не говорю уж о самых элементарных вещах, проверка на вирусы компа, не хранить пароли в FTP. И ещё если есть сайты, то очень придирчиво относитесь к программам которые ставите на комп. Оставьте только все самое нужное. Все не лицензионные игры сразу однозначно в топку.

Может я про элементарное и лишне для Вас написал, но другим полезно будет. К тому же точно доказано, что 80%-90% взломов именно из за таких нарушений или не использования дополнительных средств защиты от хостера.

С хостером, славу богу, все в норме, в смысле ОН делает ВСЕ, что от него зависит.Статический IP не могу поставить, большая потеря скорости, а на динамике, переподключил и "летаешь"... .
Вот простой пример: Удаляем(переименовываем) файл wp-login.php, то есть убираем с глаз панель входа, но есть еще и admin.php, набрав который, легко влетаешь на панель входа, как ее не прячь. И таких "парадоксов" всего не "заткнешь"
Захожу иногда
arkors
Сообщений: 34
1038 дней назад
artnikov:
И таких "парадоксов" всего не "заткнешь"
Тогда тут надо вопрос по другому ставить, стоит ли вообще использовать WP?
И ответ скорее всего однозначный, раз движок столь популярный то стоит (другой вопрос какие сайты стоит, а какие нет).
А следовательно надо поднять все что известно относительно обеспечения безопасности именно этого движка. Тут еще есть другая сторона многие просто не скажут в паблике обо всех нюансах защиты. Потому что это безопасность и их сайта в том числе.
Общие рекомендации на то они и общие, и те кто ломает сайты их знают не хуже других. Но все таки пренебрегать ими не стоит.

Вот там плагин посоветовали Better WP Security так очень хорошие возможности, кстати если я не ошибаюсь там и адрес админки можно скрывать.
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
arkors:

artnikov:
И таких "парадоксов" всего не "заткнешь"
Тогда тут надо вопрос по другому ставить, стоит ли вообще использовать WP?
И ответ скорее всего однозначный, раз движок столь популярный то стоит (другой вопрос какие сайты стоит, а какие нет).
А следовательно надо поднять все что известно относительно обеспечения безопасности именно этого движка. Тут еще есть другая сторона многие просто не скажут в паблике обо всех нюансах защиты. Потому что это безопасность и их сайта в том числе.
Общие рекомендации на то они и общие, и те кто ломает сайты их знают не хуже других. Но все таки пренебрегать ими не стоит.

Вот там плагин посоветовали Better WP Security так очень хорошие возможности, кстати если я не ошибаюсь там и адрес админки можно скрывать.
arkors:
Тогда тут надо вопрос по другому ставить, стоит ли вообще использовать WP?

Понимаете, дело в том, что я намеренно закрыл функционал WP на 75%, то есть он вроде и WP, а вроде и самописанный. только вот все "ягодки" от WP, к сожалению остаются.
От WP остается только способ формирования папок, все остальное правлено, переправлено.К несчастьюя думаю придется постепенно отсоединять WP движек от сайтов... .
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
Вот постепенно мы и подошли к основному: Пора Aristeer присоединять панель управления, не думаю что возникнут у них какие-то проблемы, редактор Tiny MCE - бесплатен, я думаю они договорятся и по поводу загрузчиков.А остальной функционал у Artisteer уже почти готов!!!
Модератор Постоянный участник
samson
Медаль За активное участие в жизни сайта.
Сообщений: 924
1 день назад
artnikov:
Пора Aristeer присоединять панель управления
Эк, куда хватили... Вы мягкое с теплым не путайте crazy без обид. Artisteer делает только шкурки для сайтов, а делать так что бы он делал готовые CMS из него занятие не благодарное. Да и проще подобрать из того что есть, Люди годами занимаются разработкой того же WP например, и то сами говорите такие проблемы.


artnikov:
Понимаете, дело в том, что я намеренно закрыл функционал WP на 75%, то есть он вроде и WP, а вроде и самописанный. только вот все "ягодки" от WP, к сожалению остаются.
От WP остается только способ формирования папок, все остальное правлено, переправлено.К несчастьюя думаю придется постепенно отсоединять WP движек от сайтов... .

Я вот подумал, а не в этом ли причина взломов? Не зря абсолютно для любых CMS рекомендации от разработчиков однозначные по этому поводу. Как можно меньше трогать и править сами движки. Хотелок много, но зачастую они наносят вред безопасности. И дополнения то же ставить рекомендовано от проверенных разработчиков.
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
samson:
Как можно меньше трогать и править сами движки
А зачем "трогать"? (можно просто отключить)-закрыть функционал-это закрыть дыры.Просто некоторые возможности wordpress, невозможно залатать.Вот пож. пример движек "Багира"-"правильно" переписанный движек WP.Получилось нечто среднее между WP и беатрикс... . Я сам пишу основные скрипты(расширения), они ни как не отражаются на безопасности, если только jquery "не дрявое". А о взломах речи, пока слава богу нет, речь идет о попытках...Но все равно спасибо, усилю безопасность, но к сожалению то что сегодня надежно, завтра ломается на раз.
Постоянный участник
artnikov
Медаль За активное участие в жизни сайта.
Сообщений: 479
29 дней назад
samson:
Эк, куда хватили... Вы мягкое с теплым не путайте crazy без обид. Artisteer делает только шкурки для сайтов, а делать так что бы он делал готовые CMS из него занятие не благодарное
Да вот как-то тоже так думал, пока не влез в функционал. Панель управления не обязательно движек, движком на самом деле оказывается часто визуальный редактор, через который проходит и верстка и выдача html, а Tiny mce, как раз и есть то что нужно, а вот связь с PHP и проработка основных функций, это уже дело за движком.На самом деле создать базы и связать их с сайтом не так уж и сложно.Вообще динамический сайт не обязательно имеет базы PHP, у меня часть сайтов великолепно работают без баз. И знаете, на оформление и функциональности это не сказывается.
А у Artisteer, уже почти готово решение просто откройте основные файлы php в теме, которая создана с помощью программы, там почти все основные "заточки". Я почему задался этим вопросом, просто видно уже куда ветер дует.С точки зрения построения бизнеса - это дело верное.
Постоянный участник
alavira
Медаль
Сообщений: 168
30 дней назад
artnikov:
А о взломах речи, пока слава богу нет, речь идет о попытках...
Так не путайте народ, а то я подумала, что Вас периодически ломают. shock Сижу и думаю как так может быть.
На самом деле я согласна:
samson:
что 80%-90% взломов именно из за таких нарушений

Даже больше процентов можно дать.
artnikov, попытки это НЕ РАВНО взлому. Беспокоиться о безопасности надо всегда, но и не стоит забывать, что если бы на WP сайты так уж просто было взломать то на нем бы вообще сайтов никто не делал. Главное соблюдать изначально рекомендации, а остальное это уже другой разговор.
|
Перейти на форум: