Cum sa securizezi Wordpress - pluginuri

Shtrumphu

SEO Expert
Registered
Full Member
Freelancer
SEO Expert
Descopera metode prin care iti poti securiza site-urile ce folosesc platforma Wordpress, pluginuri de securitate si sfaturi utile.
Pana anul acesta nu am luat prea mult in serios toata treaba cu securitatea pe Wordpress. Am mai instalat in trecut plugin-uri de securitate, dar nu pe toate site-urile, si nici nu am facut update asa cum ar fi trebuit. In decembrie-ianuarie insa am realizat cat este de important, dupa ce am avut mai multe site-uri sparte, unde au fost inserate coduri malitioase ce trimiteau spam si phishing. Hostul era pregatit sa imi inchida contul, si urma sa pierd majoritatea site-urilor ce imi genereaza castiguri.

De preferat este ca atunci cand creati un site, si alegeti Wordpress, sa folositi instalarea manuala. Asta a fost prima mea greseala, care insa se poate corecta. Urmatorul pas este alegerea setarilor corecte, si a unei parole greu de ghicit, precum si evitarea folosirii unui username generic gen "admin".

Daca ati folosit instalarea prin Softaculous, folositi modulele de Wordpress de mai jos:

1) Sucuri Security - Auditing, Malware Scanner and Security Hardening - acest plugin scaneaza fisierele si detecteaza ce este suspect. Pe mine m-a ajutat sa gasesc cateva fisiere malware ascunse adanc in folderele din host. E posibil sa vedeti si fisiere precum .ftpquota sau anumite imagini, pe care este indicat sa nu le stergeti. Va anunta pe mail si cand cineva a incercat sa se logheze pe site, sau ce fisiere/articole au fost adaugate/publicate etc.
2) iThemes Security - fostul Better WP Security, este probabil cel mai bun. Iti permite sa ascunzi/redenumesti link-ul pentru logare in Wordpress, sa banezi IP-uri, scaneaza fisierele, desi nu pot spune ca e 100% bun la asta, iti permite sa faci backup, si are multe alte setari de securitate. Nu recomand totusi sa le activati pe toate, deoarece anumite setari pot consuma multe resurse.

Alte sfaturi ar fi sa tineti versiunea de Wordpress la zi, sa faceti upgrade la pluginuri des. Eventual puteti folosi si alte pluginuri de captcha de exemplu, insa aceste 2 ar trebui sa fie de ajuns. Desigur, daca aveti alte sfaturi, postati in continuare.
 
Sucuri este foarte bun. Iti spune exact ce code malicios ai si unde este.
As mai recomanda si TimThumb Vulnerability Scanner.

Alte metode:
1. nu folositi ca user 'admin'
2. redenumiti fisierul wp-login.php in orice doriti. Iar cand vreti sa va logati accesati blog.com/nume_nou_logare.php
3. nu instalati toate tampeniile de pluginuri.
4. parola sa nu fie una usoara. gen: '12346' 'piscamea'.
Cautati pe google password generator sau accesati acest link: https://strongpasswordgenerator.com/
 
acum o zi am descoperit ca nu pot schimba parola la blog (wordpress) din contul meu -> editeaza profil, introduceam parola noua -> actualizeaza profil se facea refresh si nimic, tot parola veche, am reusit prin parola pierduta, totusi mi sa aprins un beculet, intrebarea mea este cum scanez fisierele din blog ?, mentionez ca am instalat Sucuri Security si Wordfence si nimic, o seara buna !
 
Cand nu ai acces la wp-admin poti merge in cpanel (site.com/cpanel). te loghezi si apoi mergi la myphpadmin.
Alegi db de la blog si apoi mergi.
Click brows la tabelul useri/utlizatori.
Admin are id 1. Vezi daca adresa de e-mail corespunde cu cea care ai setat tu cand ai facut blogul. Daca nu este, atunci poti schimba cu una noua.
Dupa salvare mergi pe blog la recuperare parola. Wordpress nu salveaza parolele in plaintext, de asta trebuie sa dai recuperare.
Cu noua parola te loghezi in wp-admin si apoi mergi la utilizatori si vezi ce useri au drepturi de admini. Daca este altcineva in afara de tine, atunci sterge acele conturi.

Cu sucuri poti scana online sau din plugin Mallware scan.
 
acum o zi am descoperit ca nu pot schimba parola la blog (wordpress) din contul meu -> editeaza profil, introduceam parola noua -> actualizeaza profil se facea refresh si nimic, tot parola veche, am reusit prin parola pierduta, totusi mi sa aprins un beculet, intrebarea mea este cum scanez fisierele din blog ?, mentionez ca am instalat Sucuri Security si Wordfence si nimic, o seara buna !

Voi face eu tutorial cand am timp la fiecare plugin. Daca ai alte pluginuri in afara de cele de mai sus si vrei sa fac tutorial sa lasi aici un coment.
 
nu stiu daca este intamplare, dar dupa ce am schimbat parola am primit un mesaj pe email User authentication failed: admin

PS cu ip din Ukraina
 
e normal. sunt programe care scaneaza site-urile pe wordpress si atuomat incerca sa se logheze cu admin.

schimba userul din admin in altceva.

Daca nu ai plugin de care sa baneze aceste incercari, poti bana cu ajutorul htaccess.
1. bannare ip
Cod:
order allow,deny
deny from 192.168.44.201
deny from 224.39.163.12
deny from 172.16.7.92
allow from all
2. banare range ip
Cod:
order allow,deny
deny from 192.168.
deny from 10.0.0.
allow from all
3. Banare site/url
Cod:
order allow,deny
deny from some-evil-isp.com
deny from subdomain.another-evil-isp.com
allow from all
 
Pentru a securiza WordPress sau alte platforme as recomanda urmatoare lucruri:
In primul rand instaleaza fail2ban care sa foloseasca iptables per server si schimba setarile de la fail2ban pentru a bloca userii care incearca atacuri sau alte "prostii"
Astfel de securizare include SSH si apache2 login, astfel este inclus si dictionary attack pe pagina de wp-admin.
Iar in al 2lea rand IThemesSecurity nu a foarte bun, ma refer la faptul ca are prea multe vulnerabilitati cu toate ca ofera chiar foarte multe optiuni de securitate.

Daca aveti cunostinte de linux sau aveti instalat ubuntu pe PC, atunci va recomand WPScan . WPScan, scaneaza orice website WordPress pentru ai cauta vulnerabilitati.
 
Tocmai m-am intors de la un eveniment despre online si unul dintre subiecte a fost securitatea cms-urilor.
Toate cms-urile prezinta vulnerabilitati de securitate datorate pluginurilor, mai ales a celor gratuite, iar pe primul loc se afla Wordpress.
 
@coraddo77 Intradevar, asa este! Dar gresala cea mai mare a majoritatea developerilor este ca nu evalueaza problema ce incearca sa o rezolve, cat merg pe idea... "asta stiu, asta fac" chiar daca nu e cea mai buna solutie.
 
Asa se intampla cand se lucreaza moca, developerii fac ce pot/stiu si nu poate nimeni sa-i traga la raspundere.
De asta e bine sa utilizam pluginuri cunoscute :)
Spre exemplu cele create de Yoast nu am auzit sa aiba probleme vreodata.
 
Intrun fel sau altul, fiecare plugin are cate ceva gresit. Trebuie tinut cont ca majoritatea sunt gratuite, ceea ce inseamna ca comunitatea contribuie, iar in comunitate deobicei sunt doar 15-20% programatori, restul citesc pe internet despre CMS X sau MVC Y, se pun sa faca si daca le reuseste, atunci se autodenumesc "developers"iar atunci incep si ei sa faca "plugins" sau "module" pentru frameworks.

Personal eu am lucrez doar cu Drupal/Symphony si e ceea ce si recomand.
 
Loading...
Back
Sus