No es suficiente para eliminar las consecuencias, debe comprender las causas. Ya escribi eso fuimos pirateados y supuestamente todos lo decidimos. Sin embargo, una semana después se repitió la historia, se cambió otro script jquery, así como archivos .htaccess. Y en .htaccess hubo redirecciones a algunos sitios de la izquierda solo para dispositivos móviles y tabletas, y por lo tanto noté esto no inmediatamente.
En un par de días, logré encontrar todos los archivos modificados por el atacante, así como los creados por él específicamente para la penetración (shell). Y nuevamente, gracias al hosting por su ayuda. Después de lo cual decidí tomar todas las medidas descritas en Internet.
El contenido del articulo
- 1 Todas las partes de mi pequeño blogger Preguntas frecuentes:
- 2 Consejos de seguridad del blog de WordPress
- 2.1 Actualizar códigos de contador y widget
- 2.2 2.2 Actualice todos los complementos y WordPress a las últimas versiones y elimine los no utilizados
- 2.3 Actualizar timthumb.php
- 2.4 Verificar permisos en carpetas y archivos
- 2.5 Cambiar nombre de usuario administrador
- 2.6 Cambie todas las contraseñas a otras más complejas.
- 2.7 Proteja los archivos .htaccess y wp-config.php del acceso para todos
- 2.8 Proteja la carpeta wp-includes con .htaccess
- 2.9 Proteja la carpeta wp-admin con .htaccess y .htpasswd
- 2.10 Cambiar el prefijo de la base de datos
- 2.11 Instalar el complemento Belavir
- 2.12 Instalar el complemento de escaneo de seguridad de WP
- 2,13 Instalar el mejor complemento de seguridad de WP
- 2,14 Monitoreo de cambios en su ftp
- 2,15 Copias de seguridad de bases de datos y archivos una vez cada pocos días.
Todas las partes de mi pequeño blogger Preguntas frecuentes:
He escrito varios artículos relacionados con blogs. No afirman ser un manual completo, pero los principiantes pueden ser útiles. Puedes leerlo, si te interesa.
0. Recomiendo un curso «Cómo convertirte en un blogger millonario y ganar dinero»
1. Como comenzar un blog
2. Cómo promocionar un blog: una lista de mis acciones
3. Cómo ganar dinero en un blog y viajar
4. Un ejemplo de ganancias en nuestro blog: Finstrip 2013, finstrip 2012, Finstrip 2011
5 5. Lector y tráfico de búsqueda, y por qué los lectores no regresan
6 6. Una pequeña verdad sobre los blogs de viajes
7. Consejos de protección de blogs de WordPress
Consejos de seguridad del blog de WordPress
Es poco probable que la lista esté completa y, como dicen, quién la necesita, la romperán de todos modos. Pero al menos casi cualquier blogger puede hacer estas acciones para protegerse un poco..
Actualizar códigos de contador y widget
Verifique los códigos de todos los contadores y widgets sociales en su blog y en el sitio, ¿dónde los obtuvo?.
Quizás han sido actualizados. Noté que Facebook a menudo cambia el código de los widgets, aparentemente mejora la seguridad.
Actualice todos los complementos y WordPress a las últimas versiones y elimine los no utilizados
Aquí los comentarios son superfluos, todos saben cómo hacerlo. Las vulnerabilidades generalmente están contenidas en complementos y temas, por lo tanto, al menos, todos los no utilizados deben eliminarse.
Actualizar timthumb.php
Si su tema utiliza miniaturas de cambio de tamaño usando timthumb.php, entonces definitivamente debe actualizar este archivo a la última versión, ya que las versiones anteriores tienen una vulnerabilidad conocida.
Verificar permisos en carpetas y archivos
Todos los archivos deben tener 644 permisos, 755 carpetas excepto .htaccess - 444 permisos y cargas de carpetas - 777 permisos.
Cambiar nombre de usuario administrador
La opción más rápida es ingresar a phpadmin y allí, en su base de datos, ejecutar esta consulta:
ACTUALIZACIÓN wp_users SET user_login = ‘Tu nuevo inicio de sesión’ DONDE user_login = ‘administración’;
O simplemente puede crear un nuevo usuario a través del panel de administración del blog, reasignarle todos los artículos y eliminar el antiguo usuario administrador..
Cambie todas las contraseñas a otras más complejas.
Consejos banales, pero las contraseñas deben ser complejas, consistentes en números y letras de diferentes registros. Además, no olvide que después de la lucha contra los virus, debe cambiar todas las contraseñas de cualquier manera (administrador de blog, administrador de alojamiento, base de datos ftp, sql), y también tiene sentido cambiar las claves secretas en el archivo wp-config.php.
Proteja los archivos .htaccess y wp-config.php del acceso para todos
Agregue a su .htaccess en la raíz del blog, este código:
Orden negar, permitir
Negar todo
orden permitir, negar
Negar todo
Proteja la carpeta wp-includes con .htaccess
Cree un archivo de texto sin formato, llámelo .htaccess y cópielo en la carpeta wp-includes, después de agregar el código al archivo:
Orden Permitir, Denegar
Negar todo
Permitir de todos
Proteja la carpeta wp-admin con .htaccess y .htpasswd
Cree un archivo de texto normal, llámelo .htaccess y cópielo en la carpeta wp-admin, después de agregar el código al archivo:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “restringido”
Orden denegar, permitir
Negar todo
Requerir usuario válido
Satisfacer cualquier
Dónde, «/home/public/.htpasswd» Es la ruta completa al archivo .htpasswd. Es recomendable que este archivo se encuentre sobre el directorio de su blog..
El archivo .htpasswd contiene la contraseña para acceder a la zona wp-admin en forma cifrada. La forma más fácil de crear este archivo es ingresar el nombre de usuario y la contraseña de la manera habitual. Es mejor no repetir e indicar datos que sean diferentes de las cuentas existentes..
Solo hay un inconveniente con este método: no es aplicable si tiene un blog multiusuario, ya que se solicitará la contraseña a todos los usuarios.
Cambiar el prefijo de la base de datos
Cambie el prefijo de su base de datos sql de estándar «wp_» en algunos «wpsdjflk647_» Fue posible al comienzo de la creación del blog. Pero ahora esto no es un problema. Lo hice un complemento, que se discutirá a continuación. Aunque podría ingresar a phpadmin, reemplace todos los nombres de las tablas allí y luego cambie el prefijo en el archivo wp-config.php
Instalar el complemento Belavir
Instale el complemento Belavir, que rastreará los cambios en todos los archivos php de su blog. El complemento en sí no supervisa nada, pero inicia el análisis cuando va al panel de administración del blog en la página Consola, donde realmente muestra los cambios. No tiene ajustes.
Instalar el complemento de escaneo de seguridad de WP
Instale el complemento WP Security Scan, con el que puede hacer algunas cosas, en particular:
- cambiar el prefijo de la base de datos
- Verificar permisos en carpetas y archivos
- ocultar la versión de WordPress
- conecta el antivirus para el blog y verifícalo
Instalar el mejor complemento de seguridad de WP
Instale el complemento Better WP Security, es aún más necesario que los dos anteriores. La lista de sus características es muy grande, enumeraré una parte:
- le permite cambiar el prefijo de la base de datos
- elimina información innecesaria del código del blog por tipo de versión de WordPress
- monitorea los cambios en todos los archivos
- prohíbe la dirección IP de aquellos que ingresan direcciones extrañas en el navegador después del nombre de su blog, recibiendo un error 404
- prohíbe la selección de una contraseña para el panel de administración, prohibir ip
- Cambia las direcciones de inicio de sesión de administrador predeterminadas, excelente protección contra ataques de fuerza bruta
- y mucho más.
Monitoreo de cambios en su ftp
Instale el programa ftpinfo en su computadora, que le permite conectarse a su servidor ftp y monitorear los cambios de todos los archivos de cuenta para su apariencia / eliminación / cambio. Algo muy útil durante los ataques de virus. Puede monitorear no solo todos los archivos, sino también crear máscaras para archivos y carpetas.
Copias de seguridad de bases de datos y archivos una vez cada pocos días.
Una cosa muy útil, puede ser útil para combatir virus. Los archivos originales siempre estarán a la mano y habrá una oportunidad de revertirlos si no es posible limpiar el sitio de virus. Estoy usando el complemento BackWPup. Tiene muchas características, incluida la copia de datos a Dropbox, un servicio conveniente que proporciona 2 GB de espacio libre en Internet y sincronización con su computadora.
Estos son los consejos para proteger un blog de WordPress que apliqué a nuestro blog. Si hay preguntas o adiciones (tal vez se pueda hacer algo más), escriba los comentarios 🙂