Când trei oameni diferiți se plâng că le-a fost spart blogul începi să intri la idei. Și cercetezi. Pentru că, deși se poate repara în câteva minute, problema e gravă dacă se prinde google sau alte unități care se ocupă cu furnizarea de date către browsere. Da, știu, dar nepriceperea sau delăsarea nu sunt scuze.
Așadar…
Pluginuri
Aici avem mai multe categorii: pluginuri dubioase, pluginuri vechi și pluginuri scrise cu picioarele. E cel mai simplu mod de a sparge un blog.
Cum poate fi evitat: ștergeți prin ftp pluginurile pe care nu le folosiți, asigurați-vă că folosiți ultimele versiuni și încercați să folosiți cât mai puține pluginuri.
WordPress vechi
Da, știu, versiunea nouă nu se pupă cu un rahat de plugin pe care îl folosești aiurea sau nu îți place interfața de la versiunea nouă sau nu știi să faci update, dar e un risc mare să ai versiuni vechi.
Cum poate fi evitat: update la versiunea nouă. Oamenii de la WordPress lucrează intens pentru a astupa orice găuri apar.
Server compromis
Fie e Apache-ul, fie CPanel-ul, fie e altceva, serverele pot fi și ele sparte, mai ales dacă nu sunt administrate profesionist. Și odată sparte, cele două metode de mai sus sunt devin nule.
Cum poate fi evitat: cu profesioniști.
Bun topul!
Cateva chestii frecvente pe care le-am intalnit la bloguri ale caror proprietari sustineau ca le-au fost sparte desi era cu totul altceva:
-folosirea in acelasi timp a doua pluginuri de securitate (wordfence+better wps sau alta combinatie);
-folosirea in acelasi timp a doua pluginuri seo;
-folosirea de pluginuri ce intra in conflict cu template-ul;
In toate cazurile astea, blogul nu fusese spart, doar bloggerul fusese prea ”mester”!
Alte trei motive pentru care blogurile sunt sparte:
-blogul nu are plugin de securitate sau daca-l are nu e setat corect;
-bloggerul foloseste ca username ”admin” pentru dashboard;
-hostul nasol, in caz de flood serverul adoarme si blogul e usor de spart;
Ce ai scris tu sunt metode mai complicate daca nu sunt folosite scripturi automate. Cele mai simple si des intalnite de mine la anumiti clienti au fost: bruteforce si user admin default.
Isi pun parole de genul admin1234 si gata.
4. Temele virusate
Teme descarcate de pe site-uri de ciodituri, ca $40-$50 e prea mult pentru o tema calumea de wordpress.
*Nota. Ma amuza „clientii” care pub botu la baieti care fac site-uri cu 100 de euro si dupa urla ca pe „hopaigi” au stelute, ecrane negre sau porn la kil.
minima securizare ls WP:
1. adus tot timpul la zi, nu conteaza ca e WP core, pluginuri, teme, fie ele si nefolosite
2. instalare cateva pluginuri de securitate: Bulletproof Security, WordFence (amandoua e OK). SI trebuie si configurate si rulate, nu doar instalate.
Acunetix Secure WordPress e interesant, l-am folosit personal acum ceva timp.
3. un mic scanner pentru o buba veche a galeriilor de imagini: TimThumb Vulnerability Scanner
4. userul de admin sa nu fie „admin”.
5. parola de admin sa fie una complexaaaaaaa
Daca indeplinesti cele 5 de mai sus poti sta linistit in fata celor mai comunce atacuri.
Daca te ajuta si firma de hosting si are pe server puse ceva masuri de securitate atunci stai si mai bine:
– un brute force detector (vine default pe cpanel, trebuie doar activat)
– un suhosin pentru php hardening
– un firewall decent, chiar si software ( CSF de exemplu)
– o politica de monitorizare corecta
– ceva vulnerability scaner (cxs de la configserver.com – e pe bani dar face)
Si sunt vizate firmele de hosting renumite pentru lipsa de specialisti :-))
@Dan: nu, rușii scanează tot, și de obicei au două categorii: blogurile cu pr 1-3, la care se opresc la plugins și wordpress, și blogurile cu PR 4-5, unde insistă.
Multumesc.
Nu ai folosit si tu, in trecut, o vreme, WordPress vechi pe motiv ca nu iti place interfata de admin?
Normal ca trebuie sa faci update, sa nu iti pui parola la fel ca userul si sa folosesti plugin-uri netestate. Dar asta e valabil la orice, nu doar la blog.
@Darius: hai să zicem că eu mă pricep să scot versiunea din header și să nu am userul admin și cu o parolă de 12 caractere.
@vali petcu: Asa-i, e un pas bun ce zici tu, insa bug-urile de securitate sunt tot acolo, chiar daca-i scoti tu versiunea din sursa. E drept, esti mai greu de detectat, dar in continuare vulnerabil.
In alta ordine de idei, recomand: https://wordpress.org/plugins/better-wp-security/ Te ajuta sa-l pui la punct cam cu tot ce ai nevoie si baneaza incercarile repetate de logare. Noi avem cateva zeci in zilele bune.
As mai adauga o observatie statistica: userii se asteapta ca pentru 5 lei pe luna sa aiba parte si de asistenta de securitate de la hosting, daca se poate update si instalare gratis de pluginuri. Putini sunt cei care inteleg de ce costa in plus.
// advertising – zoso, daca e in plus, sterge-l //
Pe de alta parte, daca vrea careva sa-si scaneze gratis site-urile (pana la 6 site-uri, timp de un an) impotriva vulnerabilitatilor, va ajut cu cea mai mare placere.
Ma simt cu musca pe caciula
Le-am bifat pe toate 3, băieţii insistă. Cum probabil ai păţit şi tu.
Schimbat numele folderului „wp-admin” (optiune valabila la pluginul Better WP Security).
@Andrei si/sau protejat folderul respectiv cu .htaccess.
am vazut asa ceva la cineva destul de vizitat, cu atacuri destul de dese: mircea badea
as adauga si eu urmatoarele:
*) permisiuni 777 pe foldere si fisiere
*) instalat wordpress pe joomla peste magento, toate fisierele in acelasi folder. ca nu strica.
Login LockDown Retry Time Period Restriction / Lockout Length: 3600 min.
Indeajuns?
Sunt pluginuri care cer permisiuni 777 la unele foldere, si vezi ca tot nu merge pluginul si dai perm 7777 la toate, apoi merge sigur
E mai simplu pe blogspot, nici cea mai mica problema.