Wordpress защита

helf_php

Active Member
Последно време постоянно някви IP-та над 10 съм блокнал вече за към 2 месеца се пробват да си върнат паролата или да улучат админската парола в Wordpress имам плъгин Wordfence който ги блокира след 20 опита ама пред нямах подобен проблем от къде може да идват?
 
От: Wordpress защита

еми от интернет идват. То и апартамента ти 20 години може никой да не го закачи, но накрая да го опоскат. От къде идват апашите, с парашут от небето ли? Това че известно време нямаш проблем не означава, че никога няма да го имаш. Обяснявам го по 1500000 пъти на потребители всеки Божи ден и на никой не му влиза в твърдата кратуна.

Ако сайта ти не изисква други потребители освен администратора да се логват, мани тая лайнария Wordfence и използвай по-лесно решение, защита на wp-login.php файла с htpasswd или по IP адрес.
 
От: Wordpress защита

Ами реши си проблема като набиеш в един .htaccess файл
deny from all
allow from x.x.x.x твоя ип-адрес и там от където го ползваш

Може и да редиректваш ако някой друг се опита да зареди админ да го мета към някой китаец и така, начините за защита са хиляди.Само въображението ти може да те спре.
 
От: Wordpress защита

...или за най-лесно си влез в цпанела и задай допълнителна защита:
8504046g.png

Слагаш някакво потребителско име и сложна парола на папката wp-admin и така си имаш двойна защита. Пък нека се опитват да гадаят тогава, сложи си го за твое спокойствие и ако някой налучка паролата за тази защита, което е на практика невъзможно ако ползваш този инструмент, то тогава имаш проблеми. За мен другото вече е излишно, а относно това:
Ами реши си проблема като набиеш в един .htaccess файл
deny from all
- ами ако се опитвам да вляза през друго, непознато IP? Например отивам някъде и искам да напиша някоя статия и трябва да звъня в хотела, например да питам какво им е IP-то да го разреша? :D Налагат се такива неща и това е малко крайна мярка, както описваш ситуацията.
 
От: Wordpress защита

- ами ако се опитвам да вляза през друго, непознато IP? Например отивам някъде и искам да напиша някоя статия и трябва да звъня в хотела, например да питам какво им е IP-то да го разреша? Налагат се такива неща и това е малко крайна мярка, както описваш ситуацията.

Колко е трудно да напишеш в Гошо "my ip" и си ти.Принципно може да се измисли нещо много интелигентно но вероятно човека не желае да става IТ Guru и да прави защити Firewall и разни други такива.Иначе добре си му показал в Cpanel как стават нещата. :)
 
От: Wordpress защита

Мерси добавих си защита на wp-admin ама нещо като влезна в wp-admin адреса и въобще не влиза вече :p
 
От: Wordpress защита

В смисъл? Как така не влиза? Ти ли не можеш да влезеш :)?

Ми webstite12390.com/wp-admin
Не иска да влиза въобще дава нещо че отнело много време да зареди сайта :D като махна паролата си влиза :D
За сега ще го оставя така :D :D :D мерси на всички за отговорите.
 
От: Wordpress защита

Сигурността на уеб сайта ти зависи от много неща като хостинга, темата, модулите а дори домейна.

Но иначе да предположим че хостинг компанията е от надеждните и в нея работят хора а не маймуни и са си конфигурирали правилно сървърите и нямаш други сайтове които са разположени на този акаунт и са с кофти написан код или просто думите "сигурност" не са понятни на програмиста ти.

Нека преминем към няколко стъпки които биха ти били повече от полезни.

1. Блокирай една част от вредните ботове (Не можеш всички защото всеки ден и като чели всяка минута излиза нов по-гаден бот)
https://perishablepress.com/ultimate-htaccess-blacklist/ -- копирай всичко и го постави в .htaccess файла и го качи в главната директория на Wordpress но ако не ти се занимава използвай този линк създадох го вместо теб.

2. Изключи PHP Error Reporting-а
2.1. Отваряш файла wp-config.php и добавяш следния код
PHP:
// ERROR REPORTING

error_reporting(0);
@ini_set(‘display_errors’, 0);

След корекцията би трябвало да изглежда така //снимка

3. htaccess + htpasswd което ще рече че първо се прави проверка дали IP адреса съвпада с този в файла и ако съвпада след това изкарва прозорец в който трябва да се въведат потребителско име и парола и ако те са въведени правилно ще бъдете прехвърлен към официалният вход на административния панел.
3.1. Създаваш нов файл с наименование .htaccess
Код:
order deny,allow
deny from all
allow from 192.0.0.1 <- tuka vuvejdash tvoq ip

AuthUserFile /home/potrebistelskoime/public_html/saita.com/wp-admin/.htpasswd <- ako si s kontrolen panel "cpanel" putq do papkata wp-admin bi trqbvalo da izglejda taka
AuthType Basic
AuthName "Security Center"
Require valid-user

Запазваш .htaccess файла и го качваш в директорията wp-admin

4. Създаваш нов файл с наименование .htpasswd
4.1. Влизаш в този уеб сайт и пишеш потребителско име и парола различни от тези за на акаунта ти за вход.
4.2. След като вече си въвел потребителско име и парола ще ти се генерира код който го копираш и поставяш в файла и след това качваш в директорията wp-admin

5. Смяна на наименованието на директорията wp-admin
5.1. Инсталираш този плъгин и проблема е решен без никакъв код.

Това са 5 прости стъпки останалото вече зависи от теб какви плъгини и теми инсталираш и най-вече колко често ги надграждаш (ъпдейтваш)

При въпроси винаги може да ми пишеш лично съобщение и във възможно най-кратък срок когато имам възможност ще ти отговоря.
 
От: От: Wordpress защита

2. Изключи PHP Error Reporting-а
2.1. Отваряш файла wp-config.php и добавяш следния код
PHP:
// ERROR REPORTING

error_reporting(0);
@ini_set(‘display_errors’, 0);

След корекцията би трябвало да изглежда така //снимка

Код:
define('WP_DEBUG', false);
:?:
 
От: От: От: Wordpress защита

Код:
define('WP_DEBUG', false);
:?:

Моя грешка! Не съм видял че в конфигурационния файл има такава дефиниция за display_errors.
Но вместо да се съсредоточаваш върху моите пропуски би могъл да се съсредоточиш върху това как да допълним темата с полезна информация която би могла да е полезна на всеки.
 
От: От: От: Wordpress защита

Моя грешка! Не съм видял че в конфигурационния файл има такава дефиниция за display_errors.
Но вместо да се съсредоточаваш върху моите пропуски би могъл да се съсредоточиш върху това как да допълним темата с полезна информация която би могла да е полезна на всеки.

А след като не си запознат защо даваш съвети?
И смяната на името на админ папката с какво ще ни помогне?
 
От: От: От: Wordpress защита

А след като не си запознат защо даваш съвети?
И смяната на името на админ папката с какво ще ни помогне?

Моите съвети за теб може и да не са полезни но за човек който за първи път работи с WordPress и има проблеми с ботовете и разни хора които се опитват да се доберат до административния панел биха му били доста полезни.

Смяна на името на директорията би помогнала в много случаи и също така ще смекчи заявките и трафика към съответната директория. Когато даден злонамерен потребител / бот попадне на сайта първата цел е wp-admin и ако директорията не с друго име ще попадне на грешка 403 но дори и трудно .htaccess и .htpasswd могат да се счупят. Което ме навежда на мисълта че дори да успее да прескочи защитата от .htaccess и .htpasswd първо ще трябва да намери административния панел.

Претрупахме темата с излишен спам вместо да я допълним с полезна информация и след което тя да бъде закачена.
 
От: От: От: От: Wordpress защита

Моите съвети за теб може и да не са полезни но за човек който за първи път работи с WordPress и има проблеми с ботовете и разни хора които се опитват да се доберат до административния панел биха му били доста полезни.

Смяна на името на директорията би помогнала в много случаи и също така ще смекчи заявките и трафика към съответната директория. Когато даден злонамерен потребител / бот попадне на сайта първата цел е wp-admin и ако директорията не с друго име ще попадне на грешка 403 но дори и трудно .htaccess и .htpasswd могат да се счупят. Което ме навежда на мисълта че дори да успее да прескочи защитата от .htaccess и .htpasswd първо ще трябва да намери административния панел.

Претрупахме темата с излишен спам вместо да я допълним с полезна информация и след което тя да бъде закачена.

И какво следва след като го намери?
 
От: От: От: От: Wordpress защита

Смяна на името на директорията би помогнала в много случаи и също така ще смекчи заявките и трафика към съответната директория. Когато даден злонамерен потребител / бот попадне на сайта първата цел е wp-admin и ако директорията не с друго име ще попадне на грешка 403 но дори и трудно .htaccess и .htpasswd могат да се счупят. Което ме навежда на мисълта че дори да успее да прескочи защитата от .htaccess и .htpasswd първо ще трябва да намери административния панел.

Има голям брой плъгини и widgets, които по незнайна и необяснима причина зареждат неща от wp-admin . Достатъчно е един по-обстоен поглед на home page-а на сайта, css-и и някой статични файлове и лесно можеш да откриеш пътя до директорията. Има и доста по-интелигентни начини за "прикриване" на директорията и извеждането и извън public_html но там вече се изискват доста задълбочени познания, които рядко виждам сред родните "разбирачи" на WP.
 

Горе