Não basta remover as consequências, você precisa entender as causas. Eu já escrevi isso nós fomos hackeados e supostamente todos nós decidimos. No entanto, uma semana depois, a história se repetiu, outro script jquery foi alterado, além de arquivos .htaccess. E no .htaccess havia redirecionamentos para algum site esquerdo apenas para dispositivos móveis e tablets e, portanto, notei isso não imediatamente.
Em alguns dias, consegui encontrar todos os arquivos modificados pelo invasor, bem como aqueles criados por ele especificamente para a penetração (shell). E novamente, obrigado pela hospedagem por sua ajuda. Depois disso, decidi tomar todas as medidas descritas na Internet.
O conteúdo do artigo
- 1 Todas as partes do meu pequeno blogger FAQ:
- 2 Dicas de segurança do WordPress Blog
- 2.1 Atualizar códigos de contador e widget
- 2.2 Atualize todos os plugins e WordPress para as versões mais recentes e remova os não utilizados
- 2.3 Atualizar timthumb.php
- 2.4 Verifique as permissões em pastas e arquivos
- 2.5 Alterar nome de usuário do administrador
- 2.6 Alterar todas as senhas para mais complexas
- 2.7 Proteger os arquivos .htaccess e wp-config.php do acesso de todos
- 2.8 Proteger a pasta wp-includes com .htaccess
- 2.9 Proteger a pasta wp-admin com .htaccess e .htpasswd
- 2.10 Alterar prefixo do banco de dados
- 2.11 Instale o plug-in Belavir
- 2.12 Instale o plug-in de verificação de segurança do WP
- 2,13 Instale um plugin de segurança WP melhor
- 2,14 Monitorando alterações no seu ftp
- 2,15 Backups de bancos de dados e arquivos uma vez a cada poucos dias
Todas as partes do meu pequeno blogger FAQ:
Eu escrevi vários artigos relacionados a blogs. Eles não pretendem ser um manual completo, mas os iniciantes podem ser úteis. Você pode lê-lo, se estiver interessado.
0. Eu recomendo um curso «Como se tornar um blogueiro milionário e ganhar dinheiro»
1. Como começar um blog
2. Como promover um blog - uma lista das minhas ações
3. Como ganhar dinheiro em um blog e viajar
4. Um exemplo de ganho em nosso blog - Finstrip 2013, finstrip 2012, Finstrip 2011
cinco. Leitor e tráfego de pesquisa e por que os leitores não retornam
6. Um pouco de verdade sobre blogs de viagens
7. Dicas de Proteção para Blog WordPress
Dicas de segurança do WordPress Blog
É improvável que a lista esteja completa e, como se costuma dizer, quem precisar dela, a quebrará de qualquer maneira. Mas pelo menos quase todo blogueiro pode executar essas ações para se proteger pelo menos um pouco..
Atualizar códigos de contador e widget
Verifique os códigos de todos os contadores e widgets sociais em seu blog e no site, onde você os obteve.
Talvez eles tenham sido atualizados. Notei que o Facebook frequentemente altera o código dos widgets, aumenta a segurança aparentemente.
Atualize todos os plugins e WordPress para as versões mais recentes e remova os não utilizados
Aqui os comentários são supérfluos, todo mundo sabe como fazê-lo. As vulnerabilidades geralmente estão contidas em plugins e temas; portanto, pelo menos, todos os não utilizados devem ser removidos.
Atualizar timthumb.php
Se o seu tema usa o redimensionamento de miniaturas usando timthumb.php, você deve atualizar definitivamente esse arquivo para a versão mais recente, pois as versões mais antigas têm uma vulnerabilidade conhecida.
Verifique as permissões em pastas e arquivos
Todos os arquivos devem ter 644 permissões, 755 pastas, exceto .htaccess - 444 permissões e carrega pastas - 777 permissões.
Alterar nome de usuário do administrador
A opção mais rápida é entrar no phpadmin e, em seu banco de dados, executar esta consulta:
UPDATE wp_users SET user_login = ‘Seu novo login’ WHERE user_login = ‘admin’;
Ou você pode simplesmente criar um novo usuário através do painel de administração do blog, reatribuir todos os artigos a ele e excluir o usuário administrador antigo..
Alterar todas as senhas para mais complexas
Conselho banal, mas as senhas devem ser complexas, consistindo em números e letras de diferentes registros. Além disso, não esqueça que após a luta contra vírus, você precisará alterar todas as senhas de qualquer forma (administrador do blog, administrador de hospedagem, ftp, banco de dados sql) e também faz sentido alterar as chaves secretas no wp-config.php.
Proteger os arquivos .htaccess e wp-config.php do acesso de todos
Adicione ao seu .htaccess na raiz do blog, este código:
Pedido negado, permitir
negar a todos
ordem permitir, negar
negar a todos
Proteger a pasta wp-includes com .htaccess
Crie um arquivo de texto comum, chame-o de .htaccess e copie-o para a pasta wp-includes, depois de adicionar o código ao arquivo:
Ordem Permitir, Negar
Negar de todos
Permitir de todos
Proteger a pasta wp-admin com .htaccess e .htpasswd
Criamos o arquivo como um arquivo de texto sem formatação, denominamos .htaccess e o copiamos para a pasta wp-admin, após adicionar o código ao arquivo:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Nome automático “restrito”
Negar pedido, permitir
Negar de todos
Exigir usuário válido
Satisfazer qualquer
Onde, «/home/public/.htpasswd» É o caminho completo para o arquivo .htpasswd. É aconselhável que este arquivo esteja localizado acima do diretório do seu blog.
O arquivo .htpasswd contém a senha para acessar a zona wp-admin em formato criptografado. A maneira mais fácil de criar esse arquivo é inserir o nome de usuário e a senha da maneira usual. É melhor não repetir e indicar dados diferentes das contas existentes.
Há apenas um inconveniente nesse método - não é aplicável se você tiver um blog para vários usuários, pois a senha será solicitada a todos os usuários.
Alterar prefixo do banco de dados
Altere o prefixo do seu banco de dados sql do padrão «wp_» em alguns «wpsdjflk647_» Foi possível no início da criação do blog. Mas agora isso não é um problema. Eu criei um plugin, que será discutido abaixo. Embora você possa entrar no phpadmin, substitua todos os nomes de tabelas e altere o prefixo no arquivo wp-config.php
Instale o plug-in Belavir
Instale o plugin Belavir, que acompanhará as alterações em todos os arquivos php do seu blog. O plugin em si não monitora nada, mas inicia a verificação quando você acessa o painel de administração do blog na página Console, onde na verdade exibe as alterações. Ele não tem configurações.
Instale o plug-in de verificação de segurança do WP
Instale o plug-in WP Security Scan, com o qual você pode fazer algumas coisas, em particular:
- alterar prefixo do banco de dados
- verifique permissões em pastas e arquivos
- oculte a versão do WordPress
- conecte um antivírus a um blog e verifique
Instale um plugin de segurança WP melhor
Instale o plugin Better WP Security, é ainda mais necessário do que os dois anteriores. A lista de seus recursos é muito grande, vou listar uma parte:
- permite alterar o prefixo do banco de dados
- remove informações desnecessárias do código do blog por tipo de versão do wordpress
- monitora alterações em todos os arquivos
- proíbe o ip daqueles que inserem endereços estranhos no navegador após o nome do seu blog, recebendo um erro 404
- proíbe a seleção de uma senha para o painel de administração, ban ip
- altera os endereços de login padrão do administrador, excelente proteção contra ataques de força bruta
- e muito mais.
Monitorando alterações no seu ftp
Instale o programa ftpinfo no seu computador, que permite conectar-se ao servidor ftp e monitorar as alterações de todos os arquivos de conta quanto à aparência / exclusão / alteração. Coisa muito útil durante ataques de vírus. Você pode monitorar não apenas todos os arquivos, mas também criar máscaras para arquivos e pastas.
Backups de bancos de dados e arquivos uma vez a cada poucos dias
Uma coisa muito útil, pode ser útil para combater vírus. Os arquivos originais estarão sempre à mão e haverá uma oportunidade de reverter se não for possível limpar o site contra vírus. Estou usando o plugin BackWPup. Possui muitos recursos, incluindo a cópia de dados no Dropbox - um serviço conveniente que fornece 2 GB de espaço livre na Internet e sincronização com o seu computador.
Estas são as dicas para proteger um blog WordPress que eu apliquei ao nosso blog. Se houver alguma pergunta ou adição (talvez algo mais possa ser feito), escreva nos comentários 🙂