WordPress защита

[Dumpty]

Привет всем,
подскажите кто как ВП защищает?
Проблема в том, что каким то хером заливают кучу файлов на вп, спамеры, хуямеры, шеллы, заебали ) уже из бэкапа пришлось восстанавливать, так как это школоло залило так - что вп тупо легли)))

Плагины везде разные, но везде стоит w3total cache, all in one wp security.
Стоит htaccess на админку (на вп-логин и вп-админ).

Только делаю овнером файлов www:www - в течении суток куча гавна появляется... Делаю root:wheel, все прекращается...
Но бля, без овнера www:www неработают автообноления, редактирование шаба и т.д. в админке... А руками обновлять = ёбнуться можно... + не работает заливка картинок к постам


Подскажите как правильно настроить или какой плагин заюзать чтобы "хакеры" не могли ниха сделать...

[somebody_]

Просто у тебя уже зараженный сайт(сетка) ... скорее всего где то в файлах, что-то сидит, и как только ты разрешает ему писать, он сразу начинает подтягивать своих грязные штучки

Для начала нужно найти источник заражения и исправить, очень хорошо помогает айболит, так же не хранить более 3 - 5 сайтов под одним юзером. У меня есть сайты 2007 - 2008 годов, там еще старый WP стоит, все ровно, никаких шелов, да админку бывает брутят, но это пустяки.

[yandexru]

хостинг может с вирусами

[themain2009]

Сканером AI-Bolit проверить сервер, удалить нечисть, закрыть дыры.
Потом поставить плагин Wordfence Security - уже год живут спокойно сайты с ним на борту.

[Skyworker]

Цитата:

Сообщение от themain2009

Сканером AI-Bolit проверить сервер, удалить нечисть, закрыть дыры. Потом поставить плагин Wordfence Security - уже год живут спокойно сайты с ним на борту.

Тоже так сделал. Пока не удалил шпионский файл в папке WP эта пизда продолжала ссылки мне в статьи ставить, всего одного файла php достаточно, чтобы взломать твой сайт и никакая защита не поможет. Все-таки АйБолит хорошая штука

[themain2009]

Цитата:

Сообщение от Skyworker

Тоже так сделал. Пока не удалил шпионский файл в папке WP эта пизда продолжала ссылки мне в статьи ставить, всего одного файла php достаточно, чтобы взломать твой сайт и никакая защита не поможет. Все-таки АйБолит хорошая штука

Для open-source это распространенная проблема, я в этом году в полной мере ощутила массовость этой заразы: где не стояла защита, там почти везде появлялись сюрпризы, сразу пришлось дисциплинироваться - по крайней мере любая подозрительная активность отслеживается и присылаются уведомления об изменениях, не приходится перелопачивать все файлы в поиске "вкусняшек", да и регулярные бекапы выручают, но надо знать, где была дыра - откат на версию "до изменений" ее не закроет.

С АйБолитом хостеры познакомили в процессе, душевные ребята, что тут скажешь

[_AXE_]

Если веб-сервер Apache, то дополнительно положи в каталог wp-content .htaccess со следующим содержимым:

Код:

<FilesMatch "\.(gif|jpg|png|css|js|woff)$">
Allow from all
</FilesMatch>
Deny from all

1. Обнови Ai-bolit и просканируй сайт снова. Он может также показать уязвимые скрипты.
2. Можно посмотреть на Манул от Яндекса: https://github.com/antimalware/manul/

Удачи!