Notice: Undefined variable: pattern_callback in /var/www/html/travelbloggers.ru/public_html/include/parser.php on line 814

1 Отредактировано tan4eg (04.08.2014 16:11)

Тема: Безопасность блога

Всем привет.
Сегодня в ленте хабра промелькнула заметка "И опять атака на сайты Wordpress — перебор + XMLRPC".
Кто, как и зачем взламывает блог - это вопросы более филосовские.
А мне интересна практическая сторона вопроса. Итак, что можно сделать, дабы обезопасить свой блог.
Во-первых, нужно посмотреть, что предлагает хостер. Например, в админке хостинга, которым я пользуюсь, есть опция "Защита от подбора паролей, рекомендуем для Joomla, Wordpress"
Во-вторых, посмотрим, что предлагает автор статьи, чтобы остановить перебор паролей.
1) Ставим плагин Limit Login Attempts. Устанавливаем количество попыток логина до блокировки.
Обязательно поставить переключатель "За прокси"
http://travelbloggers.ru/misc.php?action=pun_attachment&item=271&download=0
2) Ставим плагин плагин Disable XML-RPC, чтобы отключить XML-RPC
3) Закрываем wp-login.php — если обращаться к сайту через ip, то плагин не срабатывает и подборщики продолжают долбить сайт. Чтобы этого избежать, в .htaccess добавляем:

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

Делитесь своим опытом и  способами защиты блога на вп в комментах.

Post's attachments

Capture.JPG 47.8 kb, file has never been downloaded. 

You don't have the permssions to download the attachments of this post.
http://life-thai.com - зима в ЮВА и крымское лето


Notice: Undefined variable: pattern_callback in /var/www/html/travelbloggers.ru/public_html/include/parser.php on line 814

2

Re: Безопасность блога

Что нужно сделать? Нужно просто поставить AIO WP Security (если WP), включить защиты по авторизациям, локауты и переименовать логин пейдж в что-то типа /ultrakoolsuperhatsker4loginpageprokotikov, файрволлы + все остальное и спать спокойно. Это вообще ПЕРВОЕ, что нужно ставить и настраивать после установки голого WP. Никого не интересует Ваш контент, ломать будут вне зависимости от этого, причем, естественно, в автоматическом режиме.

А XMLRPC ... им вообще кто-то пользуется? Спам-пингбэки не достают? Отключить. Ручками или тем же AIO WPS.

PS. Вместо того, чтобы ставить кучу отдельных костылей, AIO WPS делает все предложенное в статье и плюс еще в пять раз больше.

3

Re: Безопасность блога

poznamka пишет:

Что нужно сделать? Нужно просто поставить AIO WP Security (если WP), включить защиты по авторизациям, локауты и переименовать логин пейдж в что-то типа /ultrakoolsuperhatsker4loginpageprokotikov, файрволлы + все остальное и спать спокойно. Это вообще ПЕРВОЕ, что нужно ставить и настраивать после установки голого WP. Никого не интересует Ваш контент, ломать будут вне зависимости от этого, причем, естественно, в автоматическом режиме.

А XMLRPC ... им вообще кто-то пользуется? Спам-пингбэки не достают? Отключить. Ручками или тем же AIO WPS.

PS. Вместо того, чтобы ставить кучу отдельных костылей, AIO WPS делает все предложенное в статье и плюс еще в пять раз больше.

Спасибо за подробный ответ. Что-то не вижу в плагина вп AIO WP Security, можно ссылку?

http://life-thai.com - зима в ЮВА и крымское лето

4

Re: Безопасность блога

tan4eg пишет:

Спасибо за подробный ответ. Что-то не вижу в плагина вп AIO WP Security, можно ссылку?

Да собственно не за что, я думал это прописная истина для всех пользователей вордпресса. Плагин есть в официальном репозитории, ищется в админке в установщике плагинов по фразе "all in one wp security", оттуда же и устанавливается. Ссылка на web-репозиторий - https://wordpress.org/plugins/all-in-on … -firewall/


Notice: Undefined variable: pattern_callback in /var/www/html/travelbloggers.ru/public_html/include/parser.php on line 814

5

Re: Безопасность блога

Для атаки на пингатор XMLRPC взламывать пароль и логин хакерам не надо. Была на нас такая атака, целый день ронялся наш VPS, вылечил в итоге редиректом в .htaccess, о чем писал на своем техническом блоге - Защита блога на wordpress.

Семейный блог Жизнь с мечтой!

6 Отредактировано poznamka (04.08.2014 21:25)

Re: Безопасность блога

sunny_sasha пишет:

Для атаки на пингатор XMLRPC взламывать пароль и логин хакерам не надо. Была на нас такая атака, целый день ронялся наш VPS, вылечил в итоге редиректом в .htaccess, о чем писал на своем техническом блоге - Защита блога на wordpress.

Да я вроде и сказал что нужно убить xmlrpc, каким способом - дело вашей фантазии. А редиректить его зачем и куда? Если через .htaccess, то повесить на 403 и все. Редирект жрет ресурсы.

UPD. Я имел в виду вообще закрыть к нему доступ через Deny,All. Но это все делает озвученный мной плагин без копания в .htaccess.

7

Re: Безопасность блога

Благодарю!