wp-config.php being deleted
I am helping someone sort out a site, it suddenly wanted to be installed instead of showing the site itself. I found that the wp-config.php file was missing. Fortunately there was a backup and I restored the wp-config, about a week later it was deleted again. This time I extracted the backup zip file to a directory so it would be easily available, copied the wp-config and got the site working. Today the wp-config has disappeared again. But a ‘smoking gun’ is that the wp-config file in the backup directory has also gone. (yes, I still have the zip). I suspect there is a plugin on the rampage targetting that file name. I have suggested a fresh install and reinstall all the plugins, it might come to that. But before doing that, short of disabling them all, any suggestions on how to work out which one plugin it might be? Or what might be doing this?
asked Jul 20, 2015 at 11:16
277 1 1 gold badge 4 4 silver badges 14 14 bronze badges
Normally you would disable plugins one by one. On this one, it can be tedious though. Have you considered a hack maybe? Check your server logs, you might get something there. Apart from that, your problem is very localized
Jul 20, 2015 at 11:21
. as a quick fix, you could try to make your wp-config.php file read-only. But you need of course to find the real cause why it’s being deleted.
Jul 20, 2015 at 11:24
Is your website functional even after deleted wp-config.php ? If that’s the case then a security plugin might have been moving your wp-config.php to parent folder.
Jul 20, 2015 at 11:25
@PieterGoosen yes, that’s why I asked here. I was hoping maybe someone had seen this before 😛
Jul 20, 2015 at 11:30
I think you should also make a copy of wp-config.php to one folder down, to make sure your website is never down. Because if there is no wp-config.php in root folder, WordPress automatically check for config php file in one folder down.
Полная инструкция по удалению вредоносного кода из WordPress
Убрать вредоносный код со своего сайта на WordPress задача не из самых легких. Именно по этой причине подобные услуги порой могут доходить до ста евро за сайт. И даже в этих случаях не всегда можно быть уверенными на все сто, что поставщик таких услуг справился со своей задачей на все сто. Последние исследования показывают, что аж целых 84% процента сайтов содержат в себе уязвимые места. Это значит, что любой из них может быть заражен в любой момент. На протяжении всего этого исчерпывающего руководства вы узнаете как убрать вредоносный код со своего сайта на WordPress, как устранить уязвимости, как убрать сайт из черных списков и как предотвратить подобные напасти в будущем.
Дисклеймер
Много зависит и от хостинга. Например, если у вас есть еще один сайт, установленный в подпапку или поддомен и они оба расположены на одном и том же хосте, то, пожалуйста, изолируйте их. Если у вас несколько сайтов лежат на одном хостинге, то не забывайте, что вам нужно будет проделать подобную операцию с каждым из них. Если у вас есть еще сайты, то убедитесь, что вы их изолировали друг от друга, потому что вредоносный код может перескакивать с одного сайта на другой.
1. Закройте доступ к сайтам прежде чем приступать к процессу устранения вредных программ
Очень важно, чтобы в процессе устранения вредоносного кода, никто кроме вас не мог получить доступ к сайту. Некоторые хостинги позволяют отправить ваши сайты в ремонтный режим. Однако, если у вашего хоста нет такой услуги, то вы можете закрыть доступ к сайтам следующим образом:
1.1. Apache
Откройте свой файл .htaccess (в некоторых случаях htaccess.txt) и вставьте туда следующий код в самую его шапку (только не забудьте поменять айпишник на свой):
order deny,allow
# Deny access from all IPs deny from all
# Allow access from specific IP
allow from 127.0.0.1
1.2 Nginx
Откройте файл nginx.conf и впишите туда следующие строки:
location / # allow your IP below
allow 127.0.0.1;
# drop rest of the world
deny all;
>
2. Установите антивирусы на все компьютеры, с которых у вас есть доступ к сайтам
Очень распространенное дело, когда доступ по FTP, а также пароль и имя пользователя для админки вашего хостинга оказываются украденными при помощи различных кейлогеров или прочих компьютерных вирусов. Поэтому очень важно, чтобы на тех компьютерах, с которых вы получаете доступ к админпанели или ФТП, стояли какие-нибудь антивирусы. Например, можете для профилактики проверить свой компьютер на наличие вирусов при помощи программного обеспечения от Malwarebytes. Также не забудьте проверить настройки своего Windows и убедиться, что у вас включен файрвол. Ну, и в целом, не забывайте регулярно обновлять свою ОС, браузеры и соответствующие расширения.
3. Поменяйте все коды доступа (Hosting, SSH, FTP, MySQL, WP Users)
После того, как вы закрыли публичный доступ к своему сайту и просканировали ПК на предмет вредоносного программного обеспечения, поменяйте все пароли. Начните с пароля для админки хостинга, затем уберите все профили FTP и создайте новые с помощью прегенерированных паролей (некоторые хостинги сами предлагают подобную услугу, однако в случае чего всегда можно воспользоваться Keepass2, Dashlane, LastPass и любым другим инструментом для управления паролями).
3.1. Измените данные БД
Как только соберетесь поменять пароль к MySQL или MariaDB (или любой другой БД), вам нужно будет обновить соответствующую информацию в файле wp-config.php
3.2. Поменяйте Salt
Salt используются для надежного хранения паролей. Изначально пароли хранились в виде обычного текста внутри системы, однако позже были выдуманы дополнительные меры безопасности. Одним из них и является salt. Поскольку новые salt генерируются случайным образом для каждого пароля, очень важно их поменять на новые в файле wp-config.php
3.3. Измените доступ к админпанели WordPress
Залогиньтесь на своем сайте WordPress, откройте раздел Users и удалите все неактивные аккаунты. Затем нажмите по Edit на активных аккаунтах один за другим под Account Management, заморозьте все сессии и нажмите Generate, чтобы сгенерировать пароли для всех пользователей. Только предварительно убедитесь в том, что у вас нет аккаунта с именем пользователя Admin или Administrator.
4. Сделайте полноценную резервную копию вашего сайта
Если ваш хостинг не предоставляет вам никаких бэкапов, то обязательно загрузите весь контент с вашего сервера и базу данных на локальное хранилище.
4.1 SSH
Некоторые сервера предоставляют вам доступ по SSH, что может заметно упростить вашу жизнь при устранении вредоносного кода WordPress. Процесс в зависимости от хостингов может разниться. Как только вы успешно зашли на сайт при помощи SSH, выполните следующую команду: zip -r backup-pre-cleanup.zip .
Это может занять некоторое время, но в итоге будет сгенерирован архив со всеми файлами с вашего хостинга. Вы можете потом скачать этот файл напрямую при помощи SFTP.
4.2. SFTP
SFTP это защищенная версия FTP-протокола. Его используют для передачи файлов с одного компьютера на другой. Вы можете получить свои коды SFTP там же, где вы получали доступ FTP. Только не забудьте, что порт SFTP 22, а не 21 как у FTP. Вы можете получить доступ к серверу по SFTP/FTP через специальные программы-клиенты вроде FileZilla. Затем вы можете сделать локальную папку у себя на компьютере – например, назвав ее backup-pre-cleanup – и просто перекинуть туда весь контент вашего сервера. Только учтите, что это потребует больше времени, чем архивация файлов по SSH.
4.3. База данных
На многих хостингах есть панель PhpMyAdmin, позволяющая управлять вашей базой данных. Вы можете с легкостью экспортировать всю базу данных с помощью соответствующей опции в PhpMyAdmin. Сохраните все это дело в ту же папку, что и ранее: “backup-pre-cleanup”.
Также можно сделать экспорт базы данных и по SSH, воспользовавшись следующей командой:
mysqldump -p -h hostname -u username database > backup-pre-cleanup.sql
Только не забудьте поменять имя хостинга, имя пользователя и базу данных на свои (всю эту информацию вы можете получить из файла wp-config.php). После экспорта по SSH обязательно загрузите все это на локальное хранилище и удалите с сервера.
5. Анализ логов и последних изменений
Именно по логам можно понять, что было изменено или добавлено на сервер. Скачайте логи доступа (если не можете их найти, то затребуйте их у своего хостинга). Откройте логи с помощью программы вроде Sublime и нажмите ctrl + а чтобы найти POST. Взгляните на даты и определите – были ли добавлены какие-то лишние PHP-файлы на сервер.
Вы также можете проверить какие PHP-файлы были изменены за последнее время. Для этого воспользуйтесь командой SSH:
find . -type f -name ‘*.php’ -ctime -7
То же самое касается и файлов JavaScript – посмотрите какие из них за последнее время были изменены или добавлены:
find . -type f -name ‘*.js’ -ctime -7
-ctime -7 покажет вам все измененные файлы (а также измененные разрешения и атрибуты) за последние семь дней. Вы можете менять число дней в зависимости от ваших нужд:
-7 = изменены менее чем за последние семь дней
+7 =изменены более чем неделю назад
Только делайте это все до того, как измените или обновите большое количество файлов у себя в WordPress.
6. Обновите свой WordPress
Одной из самых частых причин почему ваш сайт может оказаться зараженным, являются устаревший код, плагины или шаблоны. Еще одна причина это перегрузка сайта плагинами или слабые пароли и имена пользователей.
6.1. Избавьтесь от всех редко используемых плагинов и шаблонов
Даже если вы деактивировали плагин или шаблон, они все равно остались у вас на сервере и в некоторых случаях могут быть теми самыми уязвимостями, через которые к вам подберутся хакеры. Поэтому всегда лучше перестраховаться и убрать подобные вещи с сервера, дабы не оставить никаких уязвимостей в нем.
7. Обновите свою версию PHP
PHP 7 делает ваш сайт вдвое быстрее (по сравнению с PHP 5) и у него на половину более экономный расход памяти. Также седьмая версия языка намного более надежная. Поэтому, если у вас стоит PHP 5.6 или даже ниже, то вы должны обновиться как можно быстрее. Некоторые разработчики сегодня вовсе перестали поддерживать старые версии PHP, что означает, что вы можете оказаться не в состоянии обновить некоторые из установленных у вас плагинов.
8. Уберите Symlinks (символьные ссылки)
Многие злоумышленники пользуются так называемыми символьными ссылками, чтобы получить доступ к корневым и вышестоящим папкам у вас на сервере. Иногда символьные ссылки проходят незамеченными и, когда вы будете пытаться удалить связанную папку, то можете удалить все, что есть на сервере. Поэтому убедитесь, что нет никаких символьных ссылок перед тем, как менять права доступа к файлам и папкам.
Чтобы такого не случилось, воспользуйтесь следующей командой SSH (или везде, где видите подозрительную папку)
find . -type l -exec unlink <> \;
9. Установите нужные права доступа
Смотрите, чтобы ни один файл или папка на вашем сервере не имели прав доступа 777. По умолчанию все папки в WordPress должны иметь права доступа 750, в то время как все файлы (кроме wp-config.php, у которого может быть значение аж 400) должны иметь значение 640. Вы можете поменять права доступа всех папок по SSH на 750 всего лишь одной командой:
find /path/to/your/WordPress/install/ -type d -exec chmod 750 <> \;
А для того, чтобы поменять все права доступа к файлам на 640, то опять-таки через тот же SSH воспользуйтесь командой:
find /path/to/your/WordPress/install/ -type f -exec chmod 640 <> \;
По SSH вы можете поменять права доступа wp-config.php на 400 с помощью следующей команды (только сперва убедитесь в том, что это работает и – если надо – поменяйте права доступа на 440; если же не работает, то придерживайтесь варианта по умолчанию):
chmod 400 /path/to/your/WordPress/install/wp-config.php
Есть возможности сделать все еще более строгим, однако тут уже зависит от самого хостинга. Вы можете подробнее почитать о разрешениях файлов из WordPress Codex.
10. Убираем вредоносный код WordPress (файлы)
В этом разделе мы рассмотрим различные инструменты открытого доступа по обнаружению вредоносных файлов как в автоматическом, так и в ручном режимах. Мы всегда предпочитаем ручной вариант, поскольку только так можно наилучшим образом понять как все это работает и быть более спокойным, зная, что ты все сделал для того, чтобы очистить сайт как следует.
10.1. Замените новый WordPress инфицированным
Создайте новую установку WordPress и установите точно те же плагины и шаблоны, что на старом. Создайте папку Compare и киньте туда две папки – Clean и Infected. При помощи SFTP скачайте новый WordPress и закиньте его в папку Clean, затем откройте бэкап старого WordPress и скопируйте его в папку Infected. Скачайте программу Beyond Compare и сравните две папки. Основное внимание должно быть на PHP и файлах Javascript. Если программа скажет, что файлы вроде index.php и wp-mail.php отличаются, то перекиньте файлы с папки Clean на свой сайт по SFTP и посмотрите стало ли все работать по-другому после того, как вы это сделали. Если сайт в процессе навернется, то просто отмените все, загрузив обратно файл с папки Infected. Этот способ позволяет вам вручную восстановить зараженный WordPress и вернуть шаблоны и плагины к их изначальному виду. Также, если вы разбираетесь, то можете использовать команды SSH по типу: diff -r WordPress-clean/ WordPress-infected/ -x wp-content
Учитывайте еще и тот факт, что файл wp-config.php будет отличаться в зависимости от сайтов. Используйте этот способ только для того, чтобы определить были ли изменены оригинальные файлы или были ли добавлены какие-то дополнительные в основные папки системы (учтите, что /wp-content/uploads/ не является системной папкой).
10.2. Уберите все PHP-файлы с папки uploads
Файлы PHP никогда не должны располагаться в папке uploads, однако зачастую злоумышленники используют эту уязвимость – в итоге многие backdoors и droppers оказываются именно здесь. Откройте свою консоль SSH и отправьтесь в /wp-content/uploads/ (можете использовать команды cd для более удобной навигации – например, cd /wp-content/ а затем cd /uploads/) и запустите следующую команду:
10.3. Обнаруживаем бэкдоры и вредоносный код (вручную)
Зачастую бэкдоры и вредоносный код бывают очень хорошо спрятаны (иногда их также добавляют в шапки оригинальных системных скриптов), чтобы их не нашли соответствующие антивирусы. Одной из самых популярных функций в этом смысле является eval(), base64_decode(), gzinflate(), str_rot13() Для того, чтобы обнаружить подобные файлы, откройте консоль SSH и запустите следующую команду: find . -type f -name ‘*.php’ | xargs egrep -i «(mail|fsockopen|pfsockopen|stream\_socket\_client|exec|system|passthru|eval|base64_decode) *(»
Также сделайте поиск на предмет забэкдоренных изображений с помощью команд вроде:
find wp-content/uploads -type f -iname ‘*.jpg’ | xargs grep -i php
find . -type f -name ‘*.php’ | grep -i ‘
10.4. Находите/убирайте бэкдоры и malware (автоматически)
Существуют различные инструменты и сканеры с помощью которых можно найти вредоносный код в автоматическом режиме. Здесь мы перечислим лишь инструменты с открытым исходным кодом, заслужившие себе неплохую репутацию. Но всегда помните о том, что большинство malware и бэкдоров устроены таким образом, чтобы оставаться незамеченными подобными инструментами, поэтому ручной аудит никогда не будет лишним.
10.4.1 Ai-Bolit malware scanner
Неплохой инструмент для вычисления вредоносного кода. Также сканирует яваскриптовый код и имеет разные уровни обнаружения. Работает в качестве PHP-скрипта, которые вы загружаете себе на сайт и он начинает его сканировать, как только вы его запустите. Использует как паттерны, так и эвристический анализ. Находит много, иногда даже слишком (бывают ложные срабатывания).
10.4.2 PHP malware scanner
Этот инструмент ищет PHP-расширения и проверят файл на наличие текстовых правил, а также regexp. Правила основаны как на собственных образцах, так и на публично доступных материалах о malware и webshells.
10.5. Повторите шаг 9.1 и убедитесь, что не осталось ни одного подозрительного файла
При работе сканеров вредоносного кода удаляйте файлы один за одним и всегда проверяйте продолжает ли сайт работать после удаления того или иного файла. Когда же вы полностью почистите свой сайт от подозрительных файлов, скачайте подчищенную папку WordPress в папку Infected и заново сравните ее с папкой Clean при помощи приложения Beyond Compare. Также держите в голове такой момент, что структура файлов (кроме /wp-content/) должна быть идентичной. Ищите зашифрованные и очевидные имена файлов вроде N73He.php и hax0r.php Иногда злоумышленники добавляют свои файлы в каждую из папок в качестве сообщения пользователю. Например, такое сообщение может содержать в себе что-нибудь в духе «взломано командой Team_CC».
Вы можете убрать эти файлы при помощи SSH:
find . -type f -name «filename.php» -exec rm -f <> \;
11. Убираем вредоносный код из WordPress через базу данных
Очень частым случаем бывает, что вредоносным кодом заражены базы данных и он будет загружаться вместе с постами, страницами и комментариями пользователей, а также прочим контентом сайта. Мы уже с вами экспортировали бэкап базы данных .SQL WordPress. Есть разные способы как убрать вредоносный код из базы данных WordPress.
11.1. Ищем подозрительный контент прямо в забэкапленной базе данных
Вы можете напрямую открыть базу данных SQL с помощью Sublime. Затем воспользуйтесь ctrl + f для того, чтобы найти подозрительное содержимое.
Ищите iFrame: Ищите base64: base64_decode
Ищите eval():eval()
Ищите скрипты:
Найдите все подозрительное и попробуйте понять где что расположено. Не удаляйте их напрямую из бэкапа своей базы данных – вместо этого перейдите к шагу 11.3.
11.2. Ищем подозрительный контент через PhpMyAdmin
Если у вас есть доступ к PhpMyAdmin, то вы можете напрямую искать с помощью опции поиска. Если вы уверены, что наткнулись на подозрительный код, то попытайтесь понять откуда он взят и переходите к шагу 11.3.
11.3. Вручную разбираем Pages, Posts, Comments и Revisions
Загляните в посты, страницы и их ревизии. Найдите подозрительные посты с помощью шагов 10.1 и 10.2 и откройте их один за одним в редакторе в текстовом режиме. Удалите весь подозрительный код и переформатируйте контент. Не забудьте при этом зайти в раздел Revisions и обратите внимание на комментарии, чтобы удалить возможный спам.
12. Проверьте сайт вручную и с точки зрения поисковых систем
Взгляните на свой сайт с точки зрения посетителя. Посмотрите не творится ли на нем чего подозрительного. Загуглите свой сайт. Затем вбейте в Google запрос следующего характера: site:mywebsite.com Если вы увидите кучу китайских иероглифов или подозрительные фармацевтические предложения в результатах выдачи, то скорее всего, ваш сайт был заражен СЕОшным вредоносным кодом. Подобный вредоносный код можно найти лишь через поисковики вроде Гугла, так как для посетителей и владельца сайта это остается незаметным. Установите расширение User-Agent Switcher для Google Chrome, которое позволит вам взглянуть на свой сайт с точки зрения поисковых систем. Также вы можете настроить кастомного агента через настройки расширения. Наиболее популярным агентом, используемым Гуглом, является бот:
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Если вы перейдете теперь по ссылкам с помощью Google-бота и пользовательского агента, и не увидите никакого иного контента, то считайте, что вы успешно удалили СЕОшный вредоносный код. Если все же странный контент не исчез, то вернитесь на пару шагов назад и посмотрите что вы упустили из внимания.
13. Восстановите публичный доступ к сайту
Если вы прошли через все шаги, все перепроверили и теперь уверены, что сайт чист, то уберите ограничения со своего веб-сайта (но только с того сайта, который вы только что почистили – если у вас на этом хостинге расположены еще какие-либо сайты, то лучше не открывайте их пока не повторите тот же процесс и с ними). Если ваш хостинг заблокировал доступ, то попросите их пересканировать сайт, скажите, что вы выполнили инструкцию по удалению вредоносного кода со своего сайта и попросите у него открыть публичный доступ к вашему проекту.
14. Попросите убрать вас из черных списков
Лучший способ проверить наличие вашего сайта в чьих-либо черных списках (например, в поисковиках), это использовать VirusTotal. Например, если вы были занесены в ЧС Google, то вы можете просто зайти в Google Webmaster Tools и запросить повторное сканирование. На это может потребоваться несколько дней, но если Google не обнаружит на вашем сайте вредоносный код, то он удалит его из своего черного списка. Если же вы оказались в черных списках других поисковых систем, то зайдите к ним на сайт и также запросите повторное сканирование. В большинстве случаев вам потребуется вручную заполнить форму, чтобы запросить повторное сканирование и процесс может разниться в зависимости от разных черных списков.
15. Дополнительная шлифовка WordPress
Есть несколько вещей, которые вам стоит сделать в дополнение ко всему перечисленному выше. Есть несколько простеньких твиков, которые позволят вам с легкостью предотвратить самые распространенные заражения.
15.1. Отключите выполнение PHP в папках /uploads/ и /cache/
Вы запросто можете добавить несколько строк кода в свою конфигурацию Apache или Nginx, которые предотвратят использование PHP внутри папок upload и cache. Во многих сценариях это может вырубить бэкдор, поскольку вредоносный код попросту не сможет запуститься.
Nginx:
# Deny access to PHP files in any /uploads/ or /cache/ directories
location ~ /uploads/(.+)\.php$ < access_log off; log_not_found off; deny all; >
location ~ /cache/(.+)\.php$
Создайте файл .htaccess в папках upload и cache и запишите туда следующие строки кода:
# Kill PHP Execution
15.2. Уберите правку файлов из админпанели
Неплохой мыслью будет отключить возможность редактирования файлов напрямую из админки WordPress. Для этого просто добавьте следующую строку в файл wp-config.php:
## Disable Editing in Dashboard
define(‘DISALLOW_FILE_EDIT’, true);
15.3. Скройте админпанель по умолчанию
Сайты на WordPress нередко брутфорсятся за счет ботнетов и хакерских скриптов. Одной из причин этого является то, что большинство сайтов используют в качестве расположения админки /wp-admin/ и тот факт, что многие владельцы сайтов используют стандартные имя пользователя администратора и слабый пароль. Таким образом для злоумышленников не составит никакого труда получить доступ к множеству сайтов на WordPress и заразить их желаемым вредоносным кодом, установить бэкдоры, заняться рассылкой спама и перенаправлением трафика. Вручную может быть сложно поменять расположение папки wp-admin, чтобы все работало как надо. Поэтому для этой цели лучше использовать сторонние плагины по типу WebARX.
15.4. Фаерволл для веб-приложений, мониторинг аптайма и оповещения об уязвимостях
Неплохо было бы обзавестись фаерволлом веб-приложений, который постоянно обновлен. Фаерволл для сайтов сейчас мастхэв, как и антивирусы для компьютеров. Есть множество плагинов, которые позволят вам упростить жизнь и избежать добавления скриптов вручную. Например, WordFence, iThemes Security и SecuPress. Если вы хотите позаботиться о безопасности и быть полностью уверенными, то я советую вам подписаться на WebARX Free Trial. WebARX позволяет вам настроить все на полный автомат и позволяет управлять сразу несколькими сайтами с одной админки. Также вы получите мониторинг аптайма и сможете автоматически обновлять устаревшие приложения через соответствующую админпанель.
15.5. Используйте безопасный хостинг и своевременно обновляйте приложения
Ваш хостинг должен обновляться (удостоверьтесь, что он вообще поддерживает PHP 7.2), должно настроенным и безопасным. Если вы экономите деньги, выбирая дешевый хостинг от непроверенной компании, то возникновение проблем лишь вопрос времени. Вы можете обезопасить свой сайт как только можете, однако если взломают хостинг, то все ваши старания пойдут в трубу. Ищите сервисы, которые предназначены именно для WordPress. У них как правило, есть встроенные WP CLI, чтобы все ваши сайты и меры предосторожности на них были постоянно обновленными. Одной из самых популярных является WP Engine.
Выводы
Никогда не жалейте денег на обнаружение, предотвращение и защиту сайтов. На рынке есть множество решений, позволяющих вам избавиться от вредоносного кода у себя на сайте. Однако без должных мер предосторожностей ваш сайт будут заражать снова и снова. Устранение вредоносного кода с сайта может быть не самым легким процессом и чем сложнее устроен ваш сайт (например, это какой-то коммерческий проект), то тем сложнее может быть и сам процесс. Будьте благоразумными и всегда думайте на несколько шагов вперед. Заплатить 80 евро за полноценное решение безопасности вашего сайта намного-намного дешевле, чем тратить уйму времени на восстановление и чистку сайтов и уж тем более платить профессионалам за устранение вредоносного кода с ваших проектов.
Берегите себя и свои сайты!
Наша специальность — разработка и поддержка сайтов на WordPress. Контакты для бесплатной консультации — [email protected] , +371 29394520
Поделиться записью
- Поделиться Facebook
- Поделиться Twitter
- Share on Twitter
- Share on WhatsApp
- Поделиться LinkedIn
- Поделиться Reddit
- Поделиться по почте
https://coma.lv/wp-content/uploads/2018/09/malware-wordpress-main.png 636 1024 Vadim Pavlovich https://coma.lv/wp-content/uploads/2022/12/coma-logo.svg Vadim Pavlovich 2018-09-02 02:40:18 2020-07-29 14:34:36 Полная инструкция по удалению вредоносного кода из WordPress
Ответить
Хотите присоединиться к обсуждению?
Не стесняйтесь вносить свой вклад!
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.
О нас
Мы разрабатываем сайты на WordPress. Для нас очень важны красота, скорость, удобство использования и качественный код созданных нами проектов.
Каждый проект планируется, оценивается, разрабатывается и поддерживается индивидуально.
Контакты
Мы полностью удалённая команда. Своей базой мы считаем Ригу и можем при необходимости встретиться с вами.
SIA YUVA
Reģ. Nr.: 42403034996
PVN reģ. Nr.: LV42403034996
Банк: A/S Swedbank
Счёт: LV16HABA0551038070386
WordPress.com forums
Get help with WordPress.com, the free blogging platform, and the WordPress.com apps.
Change wp-config.php
- Copy link
- Add topic to favorites
Is there any way to modify my wp-config.php? I need to disable cron jobs and add my own custom jobs.
Thanks in advance.
The blog I need help with is: (visible only to logged in users)
Hi there, no, PHP files cannot be modified on WordPress.com.
Any workarounds with plugins? Or can a WP admin change it for me?
Probably not with plugins, as they’re likely incompatible with WordPress.com, regardless of what plan you have: https://en.support.wordpress.com/incompatible-plugins/
However, I’m not too sure if WordPress.com can do something on their side. I’ve tagged them to see if they can offer any solutions. 🙂
@rikjacobs there’s no way to change wp-config on our servers, even with a business plan. But you may be be able to accomplish what you’re after with a plugin. If you’ll open a chat and send more details, we’ll assess your needs and help you find the best option:
http://wordpress.com/help/contact
- The topic ‘Change wp-config.php’ is closed to new replies.
Tags
About this topic
- In: Support
- 3 participants
- 4 replies
- Last activity 5 years
- Latest reply from rikjacobs

WordPress.com
Products
- WordPress Hosting
- Domain Names
- Website Builder
- Create a Blog
- Professional Email
- P2: WordPress for Teams
- Enterprise Solutions
- Built By WordPress.com
Features
- Overview
- WordPress Themes
- WordPress Plugins
- Google Apps
Resources
- WordPress.com Support
- WordPress Forums
- WordPress News
- Website Building Tips
- Business Name Generator
- Logo Maker
- Popular Topics
- Daily Webinars
- Learn WordPress
- Developer Resources
Company
- About
- Partners
- Press
- Terms of Service
- Privacy Policy
- Do Not Sell or Share My Personal Information
- Privacy Notice for California Users
Безопасный WordPress – как обеспечить безопасность вашего сайта

Прошли те времена, когда лучшими веб-сайтами были те, которые имели только лучший дизайн и выглядели более привлекательными для глаз. Повествование меняется, и теперь люди начинают учитывать безопасность как один из важнейших параметров при создании веб-сайта.
Пробуждение к веб-сайту, на который только что зашли небезызвестные хакеры, ни для кого не является приятным опытом и, конечно же, зрелищем, которое никто не хочет видеть. Становится еще хуже, если на сайт электронной коммерции напали, потому что вы можете потерять своих клиентов, на некоторое время закрыть свои операции и даже потерять при этом хорошую сумму денег – все это будет равняться незаслуженному победа хакерам! Ни один разумный и ответственный владелец сайта не хотел бы, чтобы это произошло.
Это довольно серьезный вопрос для всех, кто владеет веб-сайтом, потому что, если вы не сделаете правильных действий в отношении безопасности веб-сайта, вы будете винить себя только в случае любой катастрофы поражает.
Насколько защищен WordPress?
Знание того, является ли wordpress защищенной платформой для создания веб-сайтов, является отличным местом для начала нашей кампании. У людей просто почему-то складывается впечатление, что WordPress не является безопасной платформой для создания сайтов. Причина, по которой это впечатление так широко распространено, очень проста – многие из них не приняли передовой опыт, когда дело доходит до безопасность веб-сайта features ; другие все еще стремятся использовать старомодное и почти неиспользуемое программное обеспечение WordPress; пара других все еще кажется, что nulled и неэффективные плагины – единственные инструменты, доступные для оснащения их сайтов; другая группа людей не имеет ни малейшего представления о том, что такое веб-безопасность в сочетании с тем фактом, что их системы плохо администрируются. Распространенный, давайте посмотрим правде в глаза, это все заслуживающие доверия и веские причины разрушить любые существующие веб-сайты.
Для простого ответа на поставленный выше вопрос WordPress является безопасной платформой для создания веб-сайтов.
Есть еще одна группа людей, о которой нам нужно беспокоиться, и это люди, которые скептически относятся к использованию WordPress для чего-либо, потому что считают, что это не на 100% эффективно с точки зрения безопасность. Ни одна платформа для создания сайтов не защищена на 100%! На самом деле, если вы стремитесь найти программное обеспечение для создания веб-сайтов, которое на 100% защищено, то вас можно сравнить с человеком, который посвятил погоню за тенями всего целую жизнь!
Тем не менее, можно сказать, что WordPress имеет отличные функции безопасности, а также элементы управления, которые помогут вам минимизировать и снизить риски стать жертвой тех, кто населяет темный мир Интернета. ,
Более 34% веб-сайтов в мире работают на WordPress, и это хорошая причина, по которой он должен быть направлен на хакеров. Вот почему вы не можете позволить себе сэкономить любые имеющиеся лазейки безопасности, потому что если вы это сделаете, вы будете делать это на свой страх и риск.
В WordPress есть несколько уязвимостей, на которые приходится большинство нарушений безопасности, о которых вы, наверное, слышали в прошлом и на сегодняшний день, особенно от тех, кто до сих пор не замечает о том, какие меры могут быть приняты для обуздания такой угрозы. Некоторые из этих уязвимостей включают в себя использование «черных дверей», злонамеренное перенаправление, хакерские действия в фармацевтике, DOS (отказ в обслуживании), межсайтовый скриптинг и использование грубой силы для входа в систему. Это были некоторые уязвимости безопасности, которые были созданы хакерами в прошлое, чтобы посеять хаос на некоторых серверах WordPress. Тем не менее, хорошо, что вы должны знать, что существуют различные меры безопасности, которые вы можете принять, чтобы защитить вас от таких атак.
Разработчики используют тысячи плагинов и тем для поддержки многочисленных пользователей WordPress с различными целями, и некоторые из этих инструментов случайно создали пространство для определенных уязвимостей и нарушений безопасности в конечном итоге. Но это не то, о чем вам следует беспокоиться, поскольку есть специальная команда WordPress, которая посвятила свое время тому, чтобы убедиться, что эти ошибки безопасности должным образом устранены и исправлены в кратчайшие сроки. Некоторым из этих специалистов платят за выполнение таких задач, поэтому вы можете почти представить, насколько далеко они готовы пойти, чтобы оставаться в курсе всех ситуаций в области безопасности.
Согласно опросу, проведенному исследовательской группой, которая занимается проверкой безопасности веб-сайтов, более 100 000 сайтов ежедневно подвергаются атакам со стороны цифровых воров. Таким образом, существует миллион вещей, которые вы могли бы сделать в защищенном веб-сайт wordpress , который может избежать любых таких атак и предотвратить ненужные финансовые потери в зависимости от обстоятельств. Вот некоторые из шагов, которые вы можете предпринять:
Защищенная хостинговая компания WordPress лучше
Никогда не допускайте ошибок, думая, что защита вашего WordPress-сайта целиком и полностью зависит только от вас. У вашей хостинговой компании есть свои обязанности, и если они не соответствуют ей, ваш сайт может быть взломан независимо от того, что вы делаете. Доверьтесь только своему бизнесу хостинговым компаниям, которые доказали свою ценность в отрасли. Как мы уже говорили, в момент, когда их функции безопасности скомпрометированы, вы можете сделать очень мало; поверь мне, ты никогда не захочешь оказаться в таком положении!
Лучшие хостинговые компании используют защиту серверов в качестве средства обеспечения безопасной среды для веб-сайтов WordPress. Он использует несколько уровней, которые включают аппаратное и программное обеспечение, чтобы убедиться, что их ИТ-инфраструктура достаточно хороша, чтобы противостоять любым угрозам безопасности, какими бы изощренными они ни были.
Они также гарантируют, что их серверы будут должным образом обновлены с использованием самой последней ОС в сочетании с тщательными тестами и сканированиями, которые регулярно проводятся для выявления любых потенциальных вредоносных программ и возможностей.
Попытка запустить службу хостинга без необходимых брандмауэров и систем для обнаружения любого возможного вторжения – это просто катастрофа, ожидающая своего происшествия. Эти вещи должны быть на месте, прежде чем перейти к любой установке WordPress. Эти компании также гарантируют, что они не ставят под угрозу производительность вашего сайта, устанавливая инструменты безопасности, которые не полностью поддерживают платформу.
Использовать учетные данные для смарт-входа
Вы можете сделать свой сайт WordPress недоступным для хакеров, просто потворствуя использованию великолепных паролей и имен пользователей. Некоторые администраторы сайтов по тем или иным причинам предпочитают использовать тупые пароли для входа на свои сайты, и когда это происходит, вы можете почти догадаться о последствиях. Согласно опросу, проведенному техническим журналом пару лет назад, наиболее часто используемыми паролями администраторов сайтов являются 1234567, за которыми следует множество других легко угадываемых паролей. Вот как это плохо.
Вы задаетесь вопросом, почему продвинутые веб-сайты принудительно используют надежность паролей для измерения сложности ваших паролей. Если вы надеетесь создать защищенный WordPress-сайт, вам нужно будет начать с принятия хороших паролей, которые не могут быть угаданы потенциальными хакерами!
К счастью, в сети есть множество инструментов, которые помогут вам выбрать пароли. Добавьте несколько запросов в Google, и я уверен, что вы найдете подходящие ответы.
Установка WordPress поставляется с именем пользователя по умолчанию, известным как Admin, никогда не пытайтесь использовать эту учетную запись. Придумайте свое уникальное имя пользователя для администратора, назначьте ему роль администратора. А затем удалите имя пользователя администратора по умолчанию, когда вы закончите создание своей учетной записи администратора. Другой способ добиться этого – перейти в phyMyAdmin и выполнить команду ниже. Конечно, после резервного копирования ваших таблиц.
ОБНОВЛЕНИЕ wp_users SET user_login = ‘customadminuser’ ГДЕ user_login = ‘admin’;
Ничто не сравнится с последней версией PHP
WordPress в том виде, в каком мы его знаем, в значительной степени опирается на PHP для выполнения задач. Таким образом, вряд ли легко узнать, что на сервере вашего хоста должна быть установлена самая последняя версия PHP, чтобы ваш сайт оставался в безопасности.
Каждая выпущенная версия PHP получает необходимую поддержку только в течение следующих двух лет. После этого периода пользователи будут использовать его на свой страх и риск. И, к сожалению, многие пользователи, до 56%, все еще используют версию 5.6 или более низкую версию PHP для своих веб-усилий.
Это существенно неадекватно и неуместно и приведет только к дополнительным проблемам для владельцев веб-сайтов. Вам не обязательно быть в этой категории, если вы не хотите испытывать душевную боль, управляющую вашим сайтом WordPress.
Помимо того, что пожертвование секретных данных хакерам на блюде с золотом, использование старой версии PHP может очень сильно повлиять на производительность вашего WordPress-сайта, и такой фактор не тот, который кто-то хочет шутить с этими днями.
Узнайте версию PHP, с которой вы в данный момент работаете на своем хосте wordpress. Вы можете сделать это несколькими способами. Один из способов сделать это – запустить ваш сайт на pingdom. И если она окажется ниже допустимой текущей и безопасной версии PHP, то вы можете использовать свою CPanel для переключения своей версии.
Заблокируйте администратора WordPress
Правильно заблокированный раздел администратора WordPress – это хороший способ защитить ваш сайт. Это сделает почти невозможным для хакеров поиск каких-либо бэкдоров на вашем веб-сайте, потому что именно с этого хотели бы начать некоторые из них. Теперь вы можете сделать это двумя способами. Во-первых, вы можете расстроить ваших злоумышленников, изменив URL-адрес вашего входа в WordPress.
URL-адрес по умолчанию для администратора WordPress находится в этом формате domain_name.com/wp-admin. Если вы можете изменить это, вы будете делать для себя целый мир добра, потому что все (включая и плохое, и хорошее) знают это как URL по умолчанию и могут решить попытать счастья.
Чтобы успешно изменить этот URL, есть несколько бесплатных плагинов, которые вы можете использовать, например, логин WPS Hide.
Второй способ – ограничить количество попыток входа в систему. Этот метод доказал свою исключительную эффективность в борьбе с хакерами. Изучите доступные инструменты, которые могут помочь вам определить длительность блокировки, количество входов в систему, а также черные и белые списки IP-адресов.
Все, что вы используете, должно быть последней версии
В соответствии с тем, что мы упоминали ранее, слишком много пользователей WordPress оказываются запутанными в устаревших компонентах для создания своих веб-сайтов. Эти пользователи с трудом понимают, что это создание защищенного веб-сайта для WordPress . – убедитесь, что все, что вы используете для этого проекта, должно быть последней версии. Все, начиная от программного обеспечения WordPress и заканчивая выбранными вами темами и плагинами, которые вы используете, должно быть последней копией. Эти обновленные версии обычно поставляются с улучшенной безопасностью, а также с многочисленными исправлениями ошибок.
Сегодня отлучитесь от бизнеса, который считает, что ему не нужно обновлять то, что он использует. Это бизнес-стратегия, которая в дальнейшем приведет к гибели. Вы, вероятно, столкнетесь с ошибками или даже получите неработающий сайт просто потому, что используете устаревшую версию плагина для запуска своего WordPress сайта.

Другая интересная статистика для владельцев веб-сайтов заключается в том, что более 50% уязвимостей в WordPress, используемых хакерами, являются следствием устаревших плагинов. Сохраните душевную боль, изучив любой из лучших плагинов для безопасности веб-сайтов WordPress . Кроме того, эксперты часто рекомендуют вам не просто брать какие-либо плагины в Интернете и начать их использовать. Если у вас есть доступ к плагинам, которым доверяют, это будет намного лучше. Следовательно, выработайте привычку получать плагины из репозитория разработчиков или используйте инструменты онлайн-сканирования, чтобы проверить все, что вы загружаете, прежде чем применять их для своего использования.
Обновление WordPress Core
Большинство хостинговых компаний предлагают решения для одного клика для обновления ядра WordPress. Это гораздо более простой вариант, поскольку он просто позаботится об обновлении автоматически.
Чтобы сделать это, перейдите на панель управления WordPress и нажмите «Обновить сейчас».
Вы также можете достичь этой цели, загрузив вручную последнюю версию WordPress. С этим методом единственное, что вам нужно быть предельно осторожным, чтобы не перезаписывать неправильные каталоги. Таким образом, вам рекомендуется проконсультироваться с разработчиком, прежде чем идти дальше с этой опцией.
Соблюдайте эти шаги при обновлении до последней версии :
- Удалить старые каталоги wp-include, а также wp-admin.
- Загрузить последние каталоги wp-include и wp-admin.
- Загружайте файлы отдельно из нового каталога в папку wp-content. Убедитесь, что вы НЕ удаляете какие-либо папки или файлы внутри вашего wp-контента, за исключением тех, которые вы собираетесь перезаписать.
- Загрузите каждый новый файл из корневого каталога новой версии в корневой каталог вашего wordpress.
Обновление плагина WordPress
Вы также можете обновить свой плагин wordpress автоматически или вручную. Автоматический процесс обновления почти аналогичен тому, как это делается выше.
Для этого перейдите на панель управления WordPress и нажмите «Обновления», выберите плагин, который вы хотите обновить, и нажмите «Обновить плагины». Это так просто!
Для обновления вручную приобретите плагин из репозитория разработчика или перейдите в репозиторий WordPress и загрузите его и загрузите его через FTP, чтобы перезаписать плагин, который был ранее в этот каталог: / wp-content / plugins.
HTTPS лучше для зашифрованных соединений
Одно из основных заблуждений среди владельцев сайтов заключается в том, что многие полагают, что SSL подходит только для людей, которые управляют сайтами, которые имеют дело с финансовыми транзакциями с использованием кредитных карт и тому подобного. HTTPS, который является Hyper Text Transfer Protocol Secure, является лишь мерой, которая обеспечивает безопасное соединение вашего веб-приложения или веб-браузера с веб-сайтом.
Поэтому, если вы хотите оставаться в безопасности в онлайн-сообществе, вам следует убедиться, что вы всегда используете HTTPS для всех ваших зашифрованных соединений. И к вашему сведению, есть много очевидных причин, почему HTTPS рекомендуется для всех, даже если вы не используете сайт электронной коммерции. Некоторые из этих причин включают в себя: шифрование веб-содержимого; увеличивает ваши шансы с помощью поисковых систем; гарантирует посетителям сайта, что вам можно доверять; сайт не будет помечен как незащищенный; повысить производительность вашего сайта в разумных пределах.
Принятие двухэтапных аутентификаций
Иногда вы не можете полагаться только на проверку пароля для защиты своих сайтов WordPress. На самом деле, вы не можете быть слишком уверены в надежности своего пароля. Эти хакеры могут просто наткнуться на ваш пароль, и вы не хотите рассказывать остальную часть истории!
Двухэтапная аутентификация стала приоритетной в наши дни, потому что она использует другой метод в дополнение к вашему паролю перед утверждением входа в систему. Во многих случаях обсуждаемым дополнительным методом может быть телефонный звонок, простое текстовое сообщение или OTP (одноразовый пароль).
Атаки методом “грубой силы” в большинстве случаев не приносят успеха на веб-сайтах, в которых используется двухэтапная аутентификация. Следовательно, двухэтапная аутентификация – это одна из тех WordPress функций безопасности веб-сайта , которые вам не нужны принимать как должное!
Версия WordPress должна быть скрыта
Надежный способ защитить ваш сайт WordPress от несанкционированного доступа – сделать вашу версию WordPress неизвестной для тех, кто хочет знать. Ничто не сделает злоумышленника счастливее, чем знать, что вы используете устаревший WordPress. Чем больше информации они имеют о конфигурации вашего сайта WordPress, тем выше их шансы на атаку такого сайта.
Обычно версия вашего WordPress-сайта всегда пишется в заголовке исходного кода вашего сайта. Однако, если вы внедряете последнюю версию WordPress, вам не понадобится это как дополнительная мера безопасности.
Сказав, что, если вы используете старую версию WordPress, вы можете удалить версию, введя следующий код в ваш файл functions.php:
add_filter (‘the_generator’, ‘wp_version_remove_version’);
Или, предпочтительно, вы можете принять решение в один клик для выполнения работы. Жизнеспособное решение – Perfmatters.

edit wordpress code
Улучшите wp-config.php
Ключевой функцией при организации любой установки WordPress является wp-config.php. Он содержит очень ценную информацию о вашей установке, такую как логин вашей базы данных, шифрование безопасности и другую связанную информацию. Вы можете улучшить внешний вид этого файла, выполнив некоторые действия, которые будут выделены ниже:
- Убедитесь, что вы обновили свои ключи безопасности wordpress – эти ключи представляют собой не что иное, как группу информации о безопасности, относящейся к расширению шифрования информации, содержащейся в куки пользователя. Появление WordPress 2.7 привело к появлению AUTH_KEY, LOGGED_IN_KEY, SECURE_AUTH_KEY и NONCE_KEY. После успешной установки эти ключи обычно генерируются автоматически для вас. Однако, если вы, кажется, наследуете сайт от кого-то другого, это может быть хорошей причиной, чтобы нуждаться в каком-то новом наборе ключей WordPress.
- Измените расположение вашего файла wp-config.php – у вас могут возникнуть проблемы при использовании общедоступная папка HTML по умолчанию для хранения вашего файла wp-config.php. Этого можно избежать, переместив такой чувствительный файл в каталог, недоступный для www. Чтобы изменить местоположение вашего файла wp-config.php, скопируйте все его содержимое и вставьте их в новый файл. Когда вы закончите, вернитесь в файл wp-config.php и опубликуйте этот код:
include (‘/ home / your_unique_name / wp-config.php’); Обратите внимание, что ваш собственный путь к каталогу будет зависеть от вашего веб-хостинга, а также от настроек.
- Изменить разрешения – обычно для файлов в корневом каталоге веб-сайта WordPress обычно устанавливается значение 644. Это просто означает, что файл будет доступен для чтения, а также записи для владельца файла, для чтения владельцем группы и всеми остальными. В соответствии с документацией для WordPress, разрешение файла wp-config.php должно быть 4wp-config.php, разрешение файла должно быть 400 или 440, так как это помешает другим пользователям на сервере иметь к нему доступ. Используйте свой собственный FTP-клиент для внесения изменений.
Вам не нужен XML-RPC
Записи показали, что XML-RPC становится популярным для хакеры для проведения мер грубой силы на сайтах WordPress. Как заявил веб-эксперт, одним из недостатков XML-RPC является то, что он позволяет пользователям совершать несколько вызовов по одному запросу с помощью метода system.multicall. Это, несомненно, хорошо, когда оно используется по правильным причинам. Единственная проблема заключается в том, что его могут использовать не те люди, чтобы помочь своему злому и эгоистичному курсу.
Поэтому вам, безусловно, не нужен XML-RPC; Похоже, что это скорее обязательство по обеспечению безопасности, чем актив для защиты. При этом очень маловероятно, что ваш WordPress-сайт работает с этой функцией в данный момент. Но если вы абсолютно уверены в этом, вы можете попробовать использовать любой из доступных онлайн-инструментов для проверки его статуса. И если случится, что он включен, пожалуйста, сделайте все возможное, чтобы отключить его, прежде чем начать работу с вашим сайтом WordPress.
Использование подключаемых модулей безопасности для WordPress
Если вы думали, что плагины безопасности для WordPress просто для удовольствия, то я думаю, что вы можете быть прощены. Плагины безопасности WordPress остаются важной частью обеспечения безопасности вашего сайта WordPress.
От создания надежных паролей, когда пользователи создают свои профили, до сканирования на наличие вредоносных программ и отслеживания изменений DNS, использование этих подключаемых модулей безопасности просто многочисленно и слишком важно для быть подорванным. Некоторые из известных плагинов в мире безопасности WordPress включают WordFence Security, SecuPress, iThemes Security и WP fail2ban. Это лучший плагин безопасности для веб-сайтов WordPress убедитесь, что время от времени они проверяют ваш сайт, и убедитесь, что основные файлы не были скомпрометированы.
Используйте самые последние заголовки безопасности HTTP
Удобный способ улучшения функций безопасности веб-сайта вашего веб-сайта WordPress с помощью заголовков безопасности. Их конфигурация обычно находится на уровне веб-сервера, инструктируя браузер, что делать, когда он имеет дело с содержимым вашего сайта. Многие заголовки HTTP доступны для вашего удовольствия; тем не менее, эта статья просто перечислит некоторые из наиболее важных здесь: Public-Key-Pins, X-XSS-Protection, Strict-Transport-Security, Content-Security Policy, X-Frame-Options и X-Content -Тип.
Если вы, однако, не уверены в типе заголовков безопасности HTTP, вы можете проверить это, открыв инструменты разработчика chrome и внимательно изучив заголовок, содержащийся в первый ответ.
Опять же, если вы не можете справиться с этим самостоятельно, вы можете обратиться за помощью к разработчику.
Проверка файла, а также разрешений сервера
В процессе установки, а также для веб-сервера крайне важно, чтобы вы знали кое-что о ваших правах доступа к файлам. Если у вас нет достаточно жестких разрешений, чтобы предотвратить преступные тенденции, вы могли бы многое отбросить, даже не осознавая этого.
Вы должны знать, как назначать нужные права доступа к файлам и каталогам соответствующим пользователям. Если вы не знаете, разрешения на чтение подходят для пользователей, которым разрешено читать файлы, разрешения на запись предназначены для тех пользователей, у которых есть права на изменение содержимого указанного файла, тогда как разрешение на выполнение строго для тех пользователей, которым разрешено запускать скрипты.
Что касается каталогов, разрешение на чтение может быть назначено тому, кто имеет право на доступ и просмотр содержимого указанного каталога; Права на запись подходят для пользователей, которые могут добавлять или удалять файлы из указанного каталога; Разрешение на выполнение имеет право доступа к указанному каталогу и запуска команд, а также функций на них.
Старайтесь не смешивать их, назначив неправильному пользователю другое разрешение. Как более прямое руководство, вы можете использовать эти основные моменты ниже для назначения разрешений на вашем WordPress сайте:
- Файлы лучше с разрешениями 640 или 644. Единственный файл, который следует исключить из этого, – это файл wp-config.php, который должен быть 400 или 440, чтобы другие неавторизованные пользователи, которые оказались на этом же сервере, не могли иметь к нему доступ.
- Каталоги лучше с разрешениями 750 или 755.
- Воздержание от назначения любых каталогов с разрешениями 777, включая каталоги для загрузки.
Всегда обеспечивать резервное копирование
Проповедь резервных копий является бесконечной, но, что настораживает, пользователи не делают достаточно для резервного копирования своих материалов. Абсолютно правильно, что вы можете отбить своих злоумышленников, применив некоторые из самых современных мер безопасности, которые есть в вашем распоряжении.
Однако в мире компьютеров все обязательно случится. Таким образом, вы можете быть уверены в своем содержании только в том случае, если время от времени будете выполнять операции резервного копирования. К счастью, многие хостинговые компании сейчас предлагают услуги резервного копирования в различных форматах. Некоторые настолько просты, что все, что от вас ожидают, это просто нажать кнопку, и ваш сайт WordPress будет создан для резервного копирования.
Тем не менее, если вы покровительствуете хостинговой компании, в которой отсутствуют такие функции, вы не одиноки. Есть несколько плагинов для автоматизации резервного копирования и, в конечном итоге, для удобного процесса. Плагины позволяют вам иметь копию вашей резервной копии через FTP или интегрированы с внешним хранилищем, таким как Google Drive, Dropbox или Amazon S3. Некоторые из таких плагинов включают WP Time Capsule, UpdraftPlus, BackWPup, Duplicator и т. Д.
Примечание. Большинство веб-экспертов рекомендуют использовать пошаговые решения в качестве альтернативы. Такие плагины требуют меньше ресурсов и не снижают производительность.
Кроме того, вы можете решить проблемы с резервным копированием, подписавшись на службы резервного копирования. Эти сервисы помогают ежемесячно хранить ваш контент в облаке за небольшую плату. Они включают CodeGuard, VaultPress и BlogVault.
Защита DDOS
Если вы думаете, что взломать ваш сайт может быть забавным опытом, подождите, пока вы не столкнетесь с DoS или атакой отказа в обслуживании. Эта атака использует различные системы для атаки на один сайт. Их мотив? Часто целью таких атак является просто сбить ваш сайт на короткий период времени.
Существуют службы, которые могут помочь вам отбить эту форму атаки на вашем WordPress-сайте. Одним из таких сервисов является Cloudfare . На то, что они предлагают против атак DDOS, можно положиться на любого, кто действительно хочет держать этих кровососов подальше от своих мест. Он работает таинственным образом, одним из которых является защита вашего IP-адреса с помощью прокси-сервера, чтобы хакеры не знали точно, как вас получить.
Безопасный хостинг
Безопасный хостинг может быть хорошим способом избежать всех этих проблем. Если вам не хватает опыта или технических ноу-хау для реализации всех вариантов, которые были рекомендованы выше, ваша хостинговая компания будет рада помочь вам, поскольку это один из способов помочь своим клиентам в достижении их бизнес-целей. Таким образом, вы можете сэкономить энергию, подключив его сегодня!
Резюме
Вам не нужно запускать свой WordPress-сайт без принятия необходимых мер безопасности, потому что именно так все это делают. И со всем, что вы узнали из этого поста, вы были бы виновны в том, чтобы оправдать свою удачную хакерскую атаку тем, что не знаете, что вы должны были сделать. Почему бы не сделать этот смелый шаг в обеспечении безопасности вашего веб-сайта, создав контрольный список безопасности веб-сайта wordpress и используйте убедитесь, что все функции безопасности на месте, прежде чем что-либо делать. Самое смешное, что некоторые из этих мер безопасности стоят не так дорого, как многие опасаются. Вы можете развернуть лучшие функции безопасности веб-сайта , не сделав дыру в кармане. Все вышеперечисленные меры являются недорогими по сравнению с затратами, которые вам придется понести, когда вашему сайту WordPress разрешено некоторое время простоя из-за нарушений безопасности, которые были спровоцированы хакерами. Поэтому оставайтесь в безопасности сегодня, не пренебрегая всеми советами, которые были изложены в ходе этой публикации, поскольку это самый надежный способ гарантировать, что ваш бизнес никогда не прерывается.
reklama
copyright ©. All right reserved.
