Защита WP от взлома? - Форум успешных вебмастеров

Sundry · 28.08.2017, 19:56

Подскажите пожалуйста какими плагинами пользуетесь, настолько они эффективны и если не затруднит в 2х. словах их суть.
Также интересует какие способы кроме плагинов используете для защиты.
Пробовал через .htaccess поставить двойную авторизацию и блокировку по айпи, не получилось.
При двойной авторизации постоянно всплывает окно, хотя логин и пароль введены правильно, файл .htpasswd сгенерирован, в .htaccess все прописано.
Блокировка по айпи - выдает ошибку.
В общем ломают одни и те же сайты, замучился чистить, нужно как-то защитить.
Спасибо!

Somat · 28.08.2017, 21:23

rdot.or*

relay · 28.08.2017, 21:53

смени url админки по умолчанию
поставь плагины от
wordfence security
ithemes secirity
там и поддержка двухфакторной, и смена url админки и прочее

Somat · 28.08.2017, 21:55

и один хуй взломают

Фармаколог · 28.08.2017, 22:02

Смени адрес админки, xml-rpc, не ставь левые плагины, не ставь левые шаблоны, постоянно следи и обновляй как wp, так и плагины.

lol · 28.08.2017, 23:57

была уже подобная тема с 100500 советами ) ищи

precautions · 29.08.2017, 02:17

Цитата:

Сообщение от Фармаколог

Смени адрес админки, xml-rpc, не ставь левые плагины, не ставь левые шаблоны, постоянно следи и обновляй как wp, так и плагины.

Глянул в логи - особо упоротые сканирую так же файлы:

Цитата:

/wp-includes/wlwmanifest.xml
/blog/wp-includes/wlwmanifest.xml
/wordpress/wp-includes/wlwmanifest.xml
/wp/wp-includes/wlwmanifest.xml
/site/wp-includes/wlwmanifest.xml
/cms/wp-includes/wlwmanifest.xml

Да и вордпресс сразу видно по содержимому html-кода.

Если у тебя статический IP - в папке /wp-admin в файле .htaccess можно прописать:

Цитата:

Order Allow,Deny
Allow from localhost
Allow from Свой_статический_IP
Deny from all

Тогда в админку можно будет попасть только с этого IP. localhost нужен если вордпресс через крон запускает свои скрипты.
Но ломать могут и через плагины, от этого доступ по IP не спасёт.

PS: Если на сайт с ЧПУ и в url не используются ?param=... (нигде кроме админки), можно попробовать сделать универсальную защиту от взлома. В корневом index.php проверять $_SERVER['REQUEST_URI'] и если там есть ?param=... отрезать его нафиг всем, кроме админа сайта (админа придётся проверять по IP-адресу).
Или там же жестко фильтровать все ?param=... на допустимость.

Skyworker · 29.08.2017, 06:48

В файле .htaccess закрыть доступ в админку всем, кроме твоего IP - это первоочередная мера.

Matt Cutts · 29.08.2017, 12:38

fail2ban + wp-fail2ban = четко блокирует все ипы по правилам, и они больше никогда не будут сканить директории, админку и т.д.

Через апач - очень ресурсоемко, не рекомендую (в случае брутфорса)

Sundry · 15.10.2017, 21:45

Защита DLE и Joomla от взлома?
Подскажите пожалуйста какими плагинами пользуетесь, настолько они эффективны и если не затруднит в 2х. словах их суть.
Также интересует какие способы кроме плагинов используете для защиты.
Спасибо!