Jak zabezpieczyć WP przed atakami?

[strobet]

Witam...

Moje stronki WP są ciągle atakowane. Umieszczany jest na FTP jakiś plik Redirect.php zawartość

<html

<head>

<META HTTP-EQUIV="refresh" CONTENT="2;URL=https://blog.ivansolbes.com//wp-includes/js/tinymce/langs/cahootcustomers.htm"> Poleć znajomym

</head>

</html>

Proszę o pomoc

[AbuDabi]

a jaka wersja WP, może hasla do FTP Ci wyciekly?

[kuba1110001]

Zmień hasło do WP i na FTP najlepiej 24 znaków

[blake]

Najlepiej to zmień szablon, bo jak masz jakiś nulled to jest to normalka.

[hekko]

Możesz też zmienić hosting na taki, który posiada dodatkowe zabezpieczenia przeciwko takim akcjom.

[Diego]

Możesz też zmienić hosting na taki, który posiada dodatkowe zabezpieczenia przeciwko takim akcjom.

Wy macie?

[eclipse]

domyślny WP (zakładając że nie masz konta admin z hasłem 123456) jest całkiem bezpieczny i mało podatny na ataki. w związku z tym pierwsze pytanie jakie trzeba tu zadać to właśnie czy masz templatki oryginalne, czy też piracone - te drugie prawie ZAWSZE mają backdoory, i w ciągu miesiąca-dwóch od instalacji możesz być pewny skutecznego ataku. i nie wiem o co chodzi z tymi "dodatkowymi zabezpieczeniami", ale mając backdoory w template raczej nic Ci nie pomoże, także fajny marketingowy bełkot, ale prawdziwy problem jest najpewniej w innym miejscu (zrobiliśmy ponad 100 wdrożeń na WP, także jakieś doświadczenie w temacie jest)

Edytowane 28 Października 2012 przez eclipse

[hekko]

eclipse, owszem pomoże. Posiadając ochronę uploadowanych plików (FTP oraz formularze przez WWW), w której znajduje się bardzo dużo sygnatur plików, można uniknąć 90% tego typu sytuacji. My to mamy.

Ciągle pozostaje 10% ze względu na coraz to nowe pomysły i rodzaje popluranych shelli, jednak każdy wykryty od razu znajduje się w naszej bazie sygnatur.

Obsługujemy kilka tysięcy Wordpressów albo i więcej, wiemy jak to wyglądało przed wdrożeniem ochrony i jak wygląda po jej wdrożeniu.

Edytowane 28 Października 2012 przez hekko

[euPe]

Polecam wtyczkę WP-better security - darmowa

[Nexus_Media]

Tak jak euPe wyżej napisał - WP better security powinno pomóc z atakami. Wymagane jest skonfigurowanie jej po instalacji tak aby większość opcji była oznaczona na zielono. Im więcej tym lepiej.

[flasza.pl]

Tutaj ewidentnie wyciekły hasła

[Dark]

Tak jak euPe wyżej napisał - WP better security powinno pomóc z atakami. Wymagane jest skonfigurowanie jej po instalacji tak aby większość opcji była oznaczona na zielono. Im więcej tym lepiej.

Testuje trochę tą wtyczkę i nie polecam. Wyprawia naprawdę cuda - potrafi wyłączyć wordpressa totalnie, później go odblokować, wyświetlać jakieś errory, blank page. Pewnie różnie bywa na różnych konfiguracjach serwerowych, ale coś co pomagać, u mnie szkodzi.

[FerdynandAlojzy]

Dark, nie znam lepszej wtyczki niż WP better security, po prostu trzeba wiedzieć jak ją dostosować do warunków.

Strobet, zmiana hasel, potem spróbuj tego: https://wordpress.org/extend/plugins/gotmls/ i na końcu wp better security.