Да стегнем малко горкия, беззащитен Wordpress :)

[accent]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Да, прави сте че няма нищо общо със сигурността. Просто реших да го споделя ако някой има подобен проблем. Аз лично тези дни се сблъсках с тази нередност и мисля, че може да е от полза на някого

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Добавям още нещо.
Който не ползва пингбак и тракбак функционалностите може да ги спре от настройките (в дискусия първите две отметки да се махнат дето пише нещо от сорта на да опитва да известява и да получава известия). След като ги спрете добавете тези редове във functions.php файла на темата ви:

function removeHeadLinks() {
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
}
add_action('init', 'removeHeadLinks');

Така в head секцията на сайта ви няма да се виждат адресите на файловете през които се правят тези работи. И на края може директно да изтриете файла xmlrpc.php, който е в главната директория (като ъпдейтнете WP сигурно пак ще трябва да го изтриете).

Източник на кода и повече за самия файл тук: The xmlrpc.php File and Site Security | Digging into WordPress

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Имам един въпрос. Ако не ползвам default темата на WP, как може от време на време да ми се появява нов запис в error_log файла в нейната папка. Нещо си за get_header фукнцията. Това не значи ли, че някакъв бот прави заявки там и се опитва да ме хакне?

 

[s1yf0x]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Това, че не я ползваш, не означава че файловете и не са налични на сървъра и не може да бъде достъпена.

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Това, че не я ползваш, не означава че файловете и не са налични на сървъра и не може да бъде достъпена.

От бот/вирус нали?

 

[s1yf0x]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

От бот/вирус нали?

Това може да се определи само ако засечеш error_log-а с access_log-а.

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Това може да се определи само ако засечеш error_log-а с access_log-а.

Аха. Ами като гледам този access лог пази много малко информация и не мога да видя дори за 1 ден назад.
Другия вариант освен бот е човек да въведе ръчно адреса ли?

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Добавям още нещо.
Който не ползва пингбак и тракбак функционалностите може да ги спре от настройките (в дискусия първите две отметки да се махнат дето пише нещо от сорта на да опитва да известява и да получава известия). След като ги спрете добавете тези редове във functions.php файла на темата ви:

function removeHeadLinks() {
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
}
add_action('init', 'removeHeadLinks');

Така в head секцията на сайта ви няма да се виждат адресите на файловете през които се правят тези работи. И на края може директно да изтриете файла xmlrpc.php, който е в главната директория (като ъпдейтнете WP сигурно пак ще трябва да го изтриете).

Източник на кода и повече за самия файл тук: The xmlrpc.php File and Site Security | Digging into WordPress

Само да вметна, че може да се наложи сами да махнете от header.php файла на темата си някои редове. Зависи от темата. На моята примерно изчезнаха само първите два с този код, но другия ръчно го махнах.
Става дума за редове подобни на тези:

<link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://xxxxxxxx.com/xmlrpc.php?rsd" />
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://xxxxxxxxxx.com/wp-includes/wlwmanifest.xml" /> 
<link rel="pingback" href="http://xxxxxxxxxxxxxx.com/xmlrpc.php" />

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

О, забравил съм да кажа още в първото мнение на темата в първата стъпка, трябва да се добави в началото на кода следния ред иначе дава 404 грешка на wp-admin папката:
ErrorDocument 401 default
Ще е супер ако някой модератор го добави в първото мнение в края на първата стъпка някъде.

 

[s1yf0x]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Ще е супер ако някой модератор го добави в първото мнение в края на първата стъпка някъде.

Fixed!

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Fixed!

Мерси, но по начина по който е сега, не е правилно защото аз реално не казвам там какъв код да се добави, а да се заобиколи един ред ако искам да е само за post заявката . Тоест трябва в отделно изречение да се напише, че трябва в началото на файла да се добави реда .
Благодаря.

 

[s1yf0x]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Драсни ми на лично какво точно трябва да се получи, че се омотах съвсем.

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Благодаря на s1yf0x, който направи всички корекции и обновления по първото мнение, които му казах. Сега всички съвети са събрани там и не е нужно да се рови в темата .

 

[scoobydoo]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Можете да получавате известие при промяна на вашия Norton Rating. Първо трябва да отидете тук и под Getting started with Norton Safe Web има един линк Signup. След като се регистрирате и се логнете имаше един линк Site Dispute и след това Add site ако не се лъжа и от там се добавя сайт. След това се верифицира с html файл или таг и като го верифицирате се показват срещу него линкове, като единия е да ви известява при промяна на рейтинга.

 

[s1yf0x]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Две допълнения към wp-config.php могат да спестят проблеми:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Предупреждавам, че не е добра идея за хора, които ползват вградения редактор на файлове и теми в Dashbord-а

 

[scoobydoo]

Re: За: Да стегнем малко горкия, беззащитен Wordpress

Re: За: Да стегнем малко горкия, беззащитен Wordpress

Предупреждавам, че не е добра идея за хора, които ползват вградения редактор на файлове и теми в Dashbord-а

Няма да работят редакторите ли? Ако е така, ще пропусна тогава . Но мога да го ползвам на едни изоставени блогове.

 

[s1yf0x]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Да, няма да работят редакторите на темите и php кода от Dashbord-а

 

[scoobydoo]

Re: Да стегнем малко горкия, беззащитен Wordpress

Време е за още защити . Хехе. Редактирах първия пост на първа страница. Вече е още по-дълъг .

Новостите са на следните места:
- В точка 2 последните два кода (всеки код се разделя от празен ред)
- В точка 4 - код номер 2, 3, 4, 5 и 6, както и текста след кодовете в същата точка
- Точка 11 е променена изцяло с нови права за файлове и папки
- Добавена е точка 13

Бих добавил и кода на s1yf0x, но според мен забранява важни части от системата. Него можете да ползвате ако не смятате да се занимавате с плъгини и теми през админ панела в скоро време и вече сте настроили всичко. Аз примерно си го сложих на едни блогове, които ми трябва само да стоят, но няма да правя нищо по тях и са изоставени.

 

[TheCrazyBastard]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Не пускам нова тема. Реших да добавя една позната сигурно на много от вас дупка в сигурността от един плъгин за wp. Днес имах посещение от бот или човек, представяш се за googlebot, който се опита да стигне до път на плъгин с име spotlightyour и да качи шел, но аз такъв плъгин нямам и затова ме усъмни работата. Проверих и се оказа следната пролука. Затова, който го ползва това нещо, може да го маха, че не се знае как ще я фтаса.

 

[diabolic.bg]

За: Да стегнем малко горкия, беззащитен Wordpress

За: Да стегнем малко горкия, беззащитен Wordpress

Странно ми звучи, че ZB Block го е пропуснал... Аз не се занимавам с Wordpress и не следя за неговите дефиниции, но сега ще го предложа за включване в новите дефиниции, а ти следи развитието им. Не знам колко време не си ъпдейтвал... Сигурен ли си, че го няма в killed_log-a?

ЕДИТ - вече го добавих като ново предложение.