X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Защита от взлома WordPress, Защита от подбора паролей к админке
tygrytsa
tygrytsa
Topic Starter сообщение 3.8.2013, 20:04; Ответить: tygrytsa
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 504
Регистрация: 30.3.2011
Из: Кишинев
Поблагодарили: 191 раз
Репутация:   63  


Доброго времени суток. Наверное, многие сталкивались с проблемой взлома сайтов, работающих на wp. Только что узнала, как защититься от этого - сделала на своих сайтах и теперь делюсь с вами.

[attachment=19508:wpsecure.zip]

Качаем архив(бесплатный smile.gif ), распаковываем в корень сайта на wp, запускаем файл.
Скрипт выполнит изменение адреса входа в администраторскую часть и укажет вам новый адрес для входа, который непременно нужно сохранить.
Подробнее:
Изменены файлы wp-login.php и wp-includes/general-template.php. Их резервные копии называются .wp-login.back.php и wp-includes/.general-template.back.php. Если захотите вернуть все, как было, то переминуйте их обратно.
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Brim
Brim
сообщение 3.8.2013, 20:18; Ответить: Brim
Сообщение #2


Участник
***

Группа: User
Сообщений: 182
Регистрация: 21.7.2013
Поблагодарили: 55 раз
Репутация:   8  


Теперь при запросе wp-login.php выдается 404 ошибка?
Если для нее не сделана специальная легкая страница (а сделать ее просто, создайте страницу 404.php в шаблоне и выкиньте оттуда весь PHP и запросе к базе), то нагрузка на сервер может быть очень даже приличной.

Я иначе сделал.

Просто в .htaccess добавил такую штуку:

AuthName "Protected area, need authorization"
AuthType Basic
AuthUserFile /home/t/test/.htpasswd #путь до файла с паролем, который должен лежать выше, чем папка с .htaccess
require valid-user

Сам пароль можно сгенерировать, например тут: htaccesstools.com/htpasswd-generator/

После этого сначала надо пройти авторизацию на уровне Апача, потом уже на уровне Вордпресса.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
webpavilion
webpavilion
сообщение 3.8.2013, 20:23; Ответить: webpavilion
Сообщение #3


сеошник на пенсии
*******

Группа: Active User
Сообщений: 2726
Регистрация: 28.4.2009
Из: МО
Поблагодарили: 1659 раз
Репутация:   171  


как вы бедненькие мучаетесь со своим WP, пора уже что то другое попробовать.


--------------------
Не ведитесь, cамопис это почти всегда плохо!

Делаю сайты на Drupal 7.x
(очень дорого)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
funkydance
funkydance
сообщение 3.8.2013, 20:33; Ответить: funkydance
Сообщение #4


Старожил
******


Группа: Banned
Сообщений: 1143
Регистрация: 9.10.2011
Поблагодарили: 282 раза
Репутация:   40  


webpavilion,

Хд))) Верно подмеченно ) Я бы уже бы плюнул на этот WP и на другой движок перескочил. Нервы мне дороже, чем ваш ВП
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
сообщение 3.8.2013, 20:35; Ответить: jack
Сообщение #5


----------------
*******

Группа: Super Moderator
Сообщений: 7862
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10733 раза
Репутация:   591  


webpavilion, funkydance, ребят, топик называется: "Защита от взлома WordPress, Защита от подбора паролей к админке", а не "Какая CMS лучше?"


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Ortero
Ortero
сообщение 3.8.2013, 20:36; Ответить: Ortero
Сообщение #6


\m/_ _\m/
******

Группа: Active User
Сообщений: 1890
Регистрация: 23.2.2012
Поблагодарили: 837 раз
Репутация:   99  


webpavilion, ну не доросли мы до вашего Друпала.


--------------------
Бегет - просто хороший хостинг, который еще и ssl-сертификат бесплатно дает.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
SpaceX
SpaceX
сообщение 3.8.2013, 20:43; Ответить: SpaceX
Сообщение #7


Участник
***

Группа: User
Сообщений: 205
Регистрация: 13.3.2011
Поблагодарили: 66 раз
Репутация:   18  


Brim, хорошая штука, но с модулем mod_rewrite не работает...

кто-то знает как заставить заработать? smile.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
artanik
artanik
сообщение 3.8.2013, 20:59; Ответить: artanik
Сообщение #8


Участник
***

Группа: User
Сообщений: 225
Регистрация: 3.5.2011
Из: Украина, Львов
Поблагодарили: 147 раз
Репутация:   47  


tygrytsa, подобное решение реализовано и в моём плагине, который подробно расписан в этой теме и у меня на блоге. Кстати, попробуйте войти в админку моего блога, он тоже на wp. smile.gif


--------------------
Мой промо-сайт

Нужна качественная вёрстка сайтов? Обращайтесь: ICQ 555-177-362 


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Brim
Brim
сообщение 3.8.2013, 21:05; Ответить: Brim
Сообщение #9


Участник
***

Группа: User
Сообщений: 182
Регистрация: 21.7.2013
Поблагодарили: 55 раз
Репутация:   8  


(webpavilion @ 3.8.2013, 20:23) *
как вы бедненькие мучаетесь со своим WP, пора уже что то другое попробовать.
Делаю сайты на Drupal 7.x (очень дорого)

Ага, ага, только вчера ко мне стучался человек и предлагал денег, чтобы я ему написал защиту от POST /edit к друпалу.
WP от этого защищался на раз. А вот идей для друпала у меня особо не нашлось. Там же все страницы редактируются через /edit. smile.gif

Что-то мне подсказывает, что и взлом перебором паролей в друпале вполне возможен. Только кому это надо?
Ведь на WP работает 19% сайтов (siliconrus.com/2013/08/wordpress-ispolzuetsya-na-19-vseh-saytov/), а вовсе не на чем-то еще. smile.gif


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Virus_07
Virus_07
сообщение 3.8.2013, 21:05; Ответить: Virus_07
Сообщение #10


Онлайн
******


Группа: Active User
Сообщений: 1364
Регистрация: 26.4.2010
Из: Наночастиц
Поблагодарили: 537 раз
Репутация:   80  


1. Не юзать логин admin.
2. Не юзать админа под ID 1.
3. Использовать пароль вида Gjkf27#$2h^Tf3gh3gfj!
4. Периодически смотреть логи сайтов. И если идет массовый коннект к wp-login.php с какогото левого ИПа, добавлять в блок на уровне .htaccess.

На всех сайтах придерживаюсь этого и сплю спокойно. Перебор бессилен.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Как включить автоматическое обновление для плагинов WordPress и самого движка?
0 Telnor 326 Вчера, 13:27
автор: Telnor
Открытая тема (нет новых ответов) Адаптация сайтов под мобильные устройства, качественная кроссбраузерная верстка, работа с Wordpress
PSD to HTML, натяжка макетов на Wordpress, адаптивная верстка
28 anton_ber 5135 6.12.2017, 13:39
автор: anton_ber
Открытая тема (нет новых ответов) Пропали блоки в продуктах Wordpress
6 mxxx 934 6.12.2017, 11:22
автор: mxxx
Горячая тема (нет новых ответов) Услуги по CMS Wordpress, DLE, Joomla!. Правки, ремонт, настройка.
Редактирование и правки. Низкие цены.
142 contex1 64941 5.12.2017, 12:13
автор: contex1
Открытая тема (нет новых ответов) Перенос сайта с DLE на WordPress
3 mdobyshev 853 30.11.2017, 7:29
автор: Nell


 



RSS Текстовая версия Сейчас: 11.12.2017, 6:33
Дизайн