SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

Да стегнем малко горкия, беззащитен Wordpress :)

accent

New member
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Да, прави сте че няма нищо общо със сигурността. Просто реших да го споделя ако някой има подобен проблем. Аз лично тези дни се сблъсках с тази нередност и мисля, че може да е от полза на някого :)
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Добавям още нещо.
Който не ползва пингбак и тракбак функционалностите може да ги спре от настройките (в дискусия първите две отметки да се махнат дето пише нещо от сорта на да опитва да известява и да получава известия). След като ги спрете добавете тези редове във functions.php файла на темата ви:

function removeHeadLinks() {
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
}
add_action('init', 'removeHeadLinks');

Така в head секцията на сайта ви няма да се виждат адресите на файловете през които се правят тези работи. И на края може директно да изтриете файла xmlrpc.php, който е в главната директория (като ъпдейтнете WP сигурно пак ще трябва да го изтриете).

Източник на кода и повече за самия файл тук: The xmlrpc.php File and Site Security | Digging into WordPress
 
Последно редактирано:

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Имам един въпрос. Ако не ползвам default темата на WP, как може от време на време да ми се появява нов запис в error_log файла в нейната папка. Нещо си за get_header фукнцията. Това не значи ли, че някакъв бот прави заявки там и се опитва да ме хакне?
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Това, че не я ползваш, не означава че файловете и не са налични на сървъра и не може да бъде достъпена.
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Това, че не я ползваш, не означава че файловете и не са налични на сървъра и не може да бъде достъпена.

От бот/вирус нали?
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

От бот/вирус нали?

Това може да се определи само ако засечеш error_log-а с access_log-а.
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Това може да се определи само ако засечеш error_log-а с access_log-а.

Аха. Ами като гледам този access лог пази много малко информация и не мога да видя дори за 1 ден назад.
Другия вариант освен бот е човек да въведе ръчно адреса ли?
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Добавям още нещо.
Който не ползва пингбак и тракбак функционалностите може да ги спре от настройките (в дискусия първите две отметки да се махнат дето пише нещо от сорта на да опитва да известява и да получава известия). След като ги спрете добавете тези редове във functions.php файла на темата ви:

function removeHeadLinks() {
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
}
add_action('init', 'removeHeadLinks');

Така в head секцията на сайта ви няма да се виждат адресите на файловете през които се правят тези работи. И на края може директно да изтриете файла xmlrpc.php, който е в главната директория (като ъпдейтнете WP сигурно пак ще трябва да го изтриете).

Източник на кода и повече за самия файл тук: The xmlrpc.php File and Site Security | Digging into WordPress

Само да вметна, че може да се наложи сами да махнете от header.php файла на темата си някои редове. Зависи от темата. На моята примерно изчезнаха само първите два с този код, но другия ръчно го махнах.
Става дума за редове подобни на тези:
Код:
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://xxxxxxxx.com/xmlrpc.php?rsd" />
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://xxxxxxxxxx.com/wp-includes/wlwmanifest.xml" /> 
<link rel="pingback" href="http://xxxxxxxxxxxxxx.com/xmlrpc.php" />
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

О, забравил съм да кажа още в първото мнение на темата в първата стъпка, трябва да се добави в началото на кода следния ред иначе дава 404 грешка на wp-admin папката:
ErrorDocument 401 default
Ще е супер ако някой модератор го добави в първото мнение в края на първата стъпка някъде.
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Ще е супер ако някой модератор го добави в първото мнение в края на първата стъпка някъде.

Fixed!
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)


Мерси, но по начина по който е сега, не е правилно защото аз реално не казвам там какъв код да се добави, а да се заобиколи един ред ако искам да е само за post заявката :). Тоест трябва в отделно изречение да се напише, че трябва в началото на файла да се добави реда :).
Благодаря.
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Драсни ми на лично какво точно трябва да се получи, че се омотах съвсем.
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Благодаря на s1yf0x, който направи всички корекции и обновления по първото мнение, които му казах. Сега всички съвети са събрани там и не е нужно да се рови в темата :).
 

scoobydoo

Know you can!
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Можете да получавате известие при промяна на вашия Norton Rating. Първо трябва да отидете тук и под Getting started with Norton Safe Web има един линк Signup. След като се регистрирате и се логнете имаше един линк Site Dispute и след това Add site ако не се лъжа и от там се добавя сайт. След това се верифицира с html файл или таг и като го верифицирате се показват срещу него линкове, като единия е да ви известява при промяна на рейтинга.
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Две допълнения към wp-config.php могат да спестят проблеми:

PHP:
define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Предупреждавам, че не е добра идея за хора, които ползват вградения редактор на файлове и теми в Dashbord-а
 

scoobydoo

Know you can!
Re: За: Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Да стегнем малко горкия, беззащитен Wordpress :)

Предупреждавам, че не е добра идея за хора, които ползват вградения редактор на файлове и теми в Dashbord-а
Няма да работят редакторите ли? Ако е така, ще пропусна тогава :). Но мога да го ползвам на едни изоставени блогове.
 

s1yf0x

banned
Екип
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Да, няма да работят редакторите на темите и php кода от Dashbord-а
 

scoobydoo

Know you can!
Re: Да стегнем малко горкия, беззащитен Wordpress :)

Време е за още защити :). Хехе. Редактирах първия пост на първа страница. Вече е още по-дълъг :D.

Новостите са на следните места:
- В точка 2 последните два кода (всеки код се разделя от празен ред)
- В точка 4 - код номер 2, 3, 4, 5 и 6, както и текста след кодовете в същата точка
- Точка 11 е променена изцяло с нови права за файлове и папки
- Добавена е точка 13

Бих добавил и кода на s1yf0x, но според мен забранява важни части от системата. Него можете да ползвате ако не смятате да се занимавате с плъгини и теми през админ панела в скоро време и вече сте настроили всичко. Аз примерно си го сложих на едни блогове, които ми трябва само да стоят, но няма да правя нищо по тях и са изоставени.
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Не пускам нова тема. Реших да добавя една позната сигурно на много от вас дупка в сигурността от един плъгин за wp. Днес имах посещение от бот или човек, представяш се за googlebot, който се опита да стигне до път на плъгин с име spotlightyour и да качи шел, но аз такъв плъгин нямам и затова ме усъмни работата. Проверих и се оказа следната пролука. Затова, който го ползва това нещо, може да го маха, че не се знае как ще я фтаса.
 

diabolic.bg

The Old Wastelander
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Странно ми звучи, че ZB Block го е пропуснал... Аз не се занимавам с Wordpress и не следя за неговите дефиниции, но сега ще го предложа за включване в новите дефиниции, а ти следи развитието им. Не знам колко време не си ъпдейтвал... :) Сигурен ли си, че го няма в killed_log-a?

ЕДИТ - вече го добавих като ново предложение. :)
 
Последно редактирано:

Горе