Il ne suffit pas de supprimer les conséquences, vous devez comprendre les causes. J'ai déjà écrit ça nous avons été piratés et soi-disant nous avons tous décidé. Cependant, une semaine plus tard, l'histoire s'est répétée, un autre script jquery a été modifié, ainsi que des fichiers .htaccess. Et dans .htaccess, il y avait des redirections vers certains sites laissés uniquement pour les appareils mobiles et les tablettes, et donc je ne l'ai pas remarqué immédiatement.
En quelques jours, j'ai réussi à retrouver tous les fichiers modifiés par l'attaquant, ainsi que ceux créés par lui spécifiquement pour la pénétration (shell). Et encore une fois, merci à l'hébergement pour leur aide. Après quoi j'ai décidé de prendre toutes les mesures décrites sur Internet.
Le contenu de l'article
- 1 Toutes les parties de mon petit blogueur FAQ:
- 2 Conseils de sécurité pour le blog WordPress
- 2.1 Mettre à jour les codes de compteur et de widget
- 2.2 Mettez à jour tous les plugins et WordPress vers les dernières versions et supprimez les inutilisés
- 2.3 Mettre à jour timthumb.php
- 2.4 Vérifier les autorisations sur les dossiers et les fichiers
- 2,5 Changer le nom d'utilisateur de l'administrateur
- 2.6 Changez tous les mots de passe en mots plus complexes
- 2.7 Protégez tous les fichiers .htaccess et wp-config.php de l'accès
- 2.8 Protéger le dossier wp-includes avec .htaccess
- 2.9 Protégez le dossier wp-admin avec .htaccess et .htpasswd
- 2.10 Changer le préfixe de la base de données
- 2.11 Installer le plugin Belavir
- 2.12 Installer WP Security Scan Plugin
- 2.13 Installer le meilleur plugin de sécurité WP
- 2.14 Suivi des changements sur votre ftp
- 2.15 Sauvegardes des bases de données et des fichiers une fois tous les quelques jours
Toutes les parties de mon petit blogueur FAQ:
J'ai écrit un certain nombre d'articles liés aux blogs. Ils ne prétendent pas être un manuel à part entière, mais les débutants peuvent être utiles. Vous pouvez le lire, si vous êtes intéressé.
0. Je recommande un cours «Comment devenir un blogueur millionnaire et gagner de l'argent»
1. Comment démarrer un blog
2. Comment promouvoir un blog - une liste de mes actions
3. Comment gagner de l'argent sur un blog et voyager
4. Un exemple de gagner sur notre blog - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Lecteur et trafic de recherche, et pourquoi les lecteurs ne reviennent pas
6. Un peu de vérité sur les blogs de voyage
7. Conseils de protection pour le blog WordPress
Conseils de sécurité pour le blog WordPress
Conseils de sécurité pour le blog WordPress
Il est peu probable que la liste soit complète et, comme on dit, qui en a besoin, ils la briseront de toute façon. Mais au moins presque n'importe quel blogueur peut faire ces actions afin au moins de se protéger un peu..
Mettre à jour les codes de compteur et de widget
Vérifiez les codes de tous les compteurs et widgets sociaux sur votre blog et sur le site, où les avez-vous obtenus.
Ils ont peut-être été mis à jour. J'ai remarqué que Facebook change souvent le code des widgets, cela améliore apparemment la sécurité.
Mettez à jour tous les plugins et WordPress vers les dernières versions et supprimez les inutilisés
Ici, les commentaires sont superflus, tout le monde sait comment le faire. Les vulnérabilités sont généralement contenues dans les plugins et les thèmes, par conséquent, au moins, tous ceux qui ne sont pas utilisés doivent être supprimés.
Mettre à jour timthumb.php
Si votre thème utilise des vignettes de redimensionnement à l'aide de timthumb.php, vous devez définitivement mettre à jour ce fichier vers la dernière version, car les anciennes versions ont une vulnérabilité connue.
Vérifier les autorisations sur les dossiers et les fichiers
Tous les fichiers doivent avoir 644 autorisations, 755 dossiers sauf .htaccess - 444 autorisations et téléchargements de dossiers - 777 autorisations.
Changer le nom d'utilisateur de l'administrateur
L'option la plus rapide est d'aller dans phpadmin et là, dans votre base de données, exécutez cette requête:
MISE À JOUR wp_users SET user_login = ‘Votre nouvelle connexion’ OERE user_login = ‘administrateur’;
Ou vous pouvez simplement créer un nouvel utilisateur via le panneau d'administration du blog, lui réaffecter tous les articles et supprimer l'ancien utilisateur administrateur..
Changez tous les mots de passe en mots plus complexes
Des conseils banaux, mais les mots de passe doivent être complexes, composés de chiffres et de lettres de registres différents. N'oubliez pas non plus qu'après la lutte contre les virus, vous devez modifier tous les mots de passe de quelque manière que ce soit (administrateur de blog, administrateur d'hébergement, ftp, base de données SQL), et il est également logique de modifier les clés secrètes dans le fichier wp-config.php.
Protégez tous les fichiers .htaccess et wp-config.php de l'accès
Ajoutez à votre .htaccess à la racine du blog, ce code:
Ordonner refuser, autoriser
nier de tout
autoriser, refuser
nier de tout
Protéger le dossier wp-includes avec .htaccess
Créez un fichier texte brut, appelez-le .htaccess et copiez-le dans le dossier wp-includes, après avoir ajouté le code au fichier:
Ordre Autoriser, Refuser
Refuser de tout
Autoriser de tous
Protégez le dossier wp-admin avec .htaccess et .htpasswd
Créez un fichier texte normal, appelez-le .htaccess et copiez-le dans le dossier wp-admin, après avoir ajouté le code au fichier:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “limité”
Ordre Refuser, Autoriser
Refuser de tout
Exiger un utilisateur valide
Satisfaire à tout
Où, «/home/public/.htpasswd» Correspond au chemin d'accès complet au fichier .htpasswd. Il est conseillé que ce fichier soit situé au dessus du répertoire de votre blog.
Le fichier .htpasswd contient le mot de passe pour accéder à la zone wp-admin sous forme cryptée. La façon la plus simple de créer ce fichier est de saisir le nom d'utilisateur et le mot de passe de la manière habituelle. Il est préférable de ne pas répéter et d'indiquer des données différentes des comptes existants.
Il n'y a qu'un seul inconvénient avec cette méthode - elle n'est pas applicable si vous avez un blog multi-utilisateurs, car le mot de passe sera demandé à tous les utilisateurs.
Changer le préfixe de la base de données
Changer le préfixe de votre base de données SQL de standard «wp_» sur quelques «wpsdjflk647_» C'était possible au tout début de la création du blog. Mais maintenant, ce n'est pas un problème. J'en ai fait un plugin, qui sera discuté ci-dessous. Bien que vous puissiez entrer dans phpadmin, remplacez-y tous les noms de table, puis modifiez le préfixe dans le fichier wp-config.php
Installer le plugin Belavir
Installez le plugin Belavir, qui suivra les changements dans tous les fichiers php de votre blog. Le plug-in lui-même ne surveille rien, mais démarre l'analyse lorsque vous accédez au panneau d'administration du blog sur la page Console, où il affiche réellement les modifications. Il n'a pas de paramètres.
Installer WP Security Scan Plugin
Installez le plugin WP Security Scan, avec lequel vous pouvez faire certaines choses, en particulier:
- changer le préfixe de la base de données
- vérifier les autorisations sur les dossiers et fichiers
- masquer la version de WordPress
- connectez l'antivirus pour le blog et vérifiez-le
Installer le meilleur plugin de sécurité WP
Installez le plugin Better WP Security, il est encore plus nécessaire que les deux précédents. La liste de ses fonctionnalités est très longue, j'en énumérerai une partie:
- vous permet de changer le préfixe de la base de données
- supprime les informations inutiles du code du blog par type de version wordpress
- surveille les changements dans tous les fichiers
- interdit l'ip de ceux qui entrent des adresses étranges dans le navigateur après le nom de votre blog, recevant une erreur 404
- interdit la sélection d'un mot de passe pour le panneau d'administration, bannit ip
- Modifie les adresses de connexion administrateur par défaut, excellente protection contre les attaques par force brute
- et beaucoup plus.
Suivi des changements sur votre ftp
Installez le programme ftpinfo sur votre ordinateur, qui vous permet de vous connecter à votre serveur ftp et de surveiller les modifications de tous les fichiers de compte pour leur apparence / suppression / modification. Chose très pratique lors des attaques de virus. Vous pouvez surveiller non seulement tous les fichiers, mais également créer des masques pour les fichiers et les dossiers.
Sauvegardes des bases de données et des fichiers une fois tous les quelques jours
Une chose très utile, elle peut être utile pour lutter contre les virus. Les fichiers d'origine seront toujours à portée de main et il sera possible de revenir en arrière s'il n'est pas possible de nettoyer le site des virus. J'utilise le plugin BackWPup. Il possède de nombreuses fonctionnalités, y compris la copie de données vers Dropbox - un service pratique qui fournit 2 Go d'espace libre sur Internet et la synchronisation avec votre ordinateur.
Ce sont les conseils pour protéger un blog WordPress que j'ai appliqués à notre blog. S'il y a des questions ou des ajouts (peut-être que quelque chose d'autre peut être fait), écrivez dans les commentaires 🙂
