結果を取り除くだけでは不十分です。原因を理解する必要があります。私はすでにそれを書いた 私たちはハッキングされました そしておそらく私たちは皆決定した。ただし、その1週間後の話が繰り返され、別のjqueryスクリプトが変更され、.htaccessファイルも変更されました。 .htaccessには、モバイルデバイスとタブレット専用のいくつかの左側のサイトへのリダイレクトがあり、そのため、すぐには気付かなかった.
数日のうちに、攻撃者によって変更されたすべてのファイルと、特に侵入(シェル)のために攻撃者によって作成されたファイルを見つけることができました。そして再び、彼らの助けのためのホスティングに感謝します。その後、私はインターネットに記載されているすべての対策をとることに決めました.
記事の内容
- 1 私の小さなブロガーFAQのすべての部分:
- 2 WordPressブログのセキュリティのヒント
- 2.1 カウンターとウィジェットのコードを更新する
- 2.2 すべてのプラグインとWordPressを最新バージョンに更新し、未使用を削除します
- 2.3 timthumb.phpを更新する
- 2.4 フォルダーとファイルのアクセス許可を確認する
- 2.5 管理者のユーザー名を変更
- 2.6 すべてのパスワードをより複雑なものに変更します
- 2.7 .htaccessファイルとwp-config.phpファイルをすべてのユーザーのアクセスから保護する
- 2.8 wp-includesフォルダーを.htaccessで保護する
- 2.9 wp-adminフォルダーを.htaccessおよび.htpasswdで保護する
- 2.10 データベース接頭辞を変更
- 2.11 Belavirプラグインをインストールする
- 2.12 WP Security Scanプラグインをインストールする
- 2.13 より良いWPセキュリティプラグインをインストールする
- 2.14 FTPでの変更の監視
- 2.15 データベースとファイルのバックアップを数日に1回
私の小さなブロガーFAQのすべての部分:
私はブログ関連の記事を数多く書いています。彼らは本格的なマニュアルであると主張していませんが、初心者は役に立つかもしれません。興味があれば読めます.
0.私はコースをお勧めします «億万長者のブロガーになってお金を稼ぐ方法»
1. ブログを始める方法
2. ブログを宣伝する方法-私の行動のリスト
3. ブログでお金を稼ぎ旅行する方法
4.ブログでの収益の例- フィンストリップ2013, フィンストリップ2012, Finstrip 2011
五. 読者と検索トラフィック、および読者が戻ってこない理由
6. 旅行ブログについて少し真実
7. WordPressブログ保護のヒント
WordPressブログのセキュリティのヒント
リストが完全である可能性は低く、彼らが言うように、それを必要とする人はとにかく壊れます。しかし、少なくともほとんどすべてのブロガーは、少なくとも少しを守るためにこれらの行動をすることができます.
カウンターとウィジェットのコードを更新する
ブログとサイトのすべてのカウンターとソーシャルウィジェットのコードを確認し、どこで入手したか.
おそらく更新されています。 Facebookがウィジェットのコードを頻繁に変更することに気づきました、それは明らかにセキュリティを強化します.
すべてのプラグインとWordPressを最新バージョンに更新し、未使用を削除します
ここではコメントは不必要です、誰もがそれを行う方法を知っています。脆弱性は通常プラグインとテーマに含まれているため、少なくとも未使用のものはすべて削除する必要があります.
timthumb.phpを更新する
古いバージョンには既知の脆弱性があるため、テーマでtimthumb.phpを使用してサムネイルのサイズ変更を使用している場合は、必ずこのファイルを最新バージョンに更新する必要があります。.
フォルダーとファイルのアクセス許可を確認する
すべてのファイルには、644の権限、.htaccessを除く755のフォルダーが必要です-444の権限とアップロードフォルダー-777の権限.
管理者のユーザー名を変更
最速のオプションは、phpadminに移動して、データベースで次のクエリを実行することです。
UPDATE wp_users SET user_login = ‘新しいログイン’ WHERE user_login = ‘管理者’;
または、ブログの管理パネルから新しいユーザーを作成し、すべての記事を彼に再割り当てして、古い管理ユーザーを削除することもできます。.
すべてのパスワードをより複雑なものに変更します
禁止のアドバイスですが、パスワードは複雑で、異なるレジスタの数字と文字で構成されている必要があります。また、ウイルスとの戦いの後、すべてのパスワードを何らかの方法で変更する必要があることを忘れないでください(ブログ管理者、ホスティング管理者、ftp、sqlデータベース)。また、wp-config.phpファイルの秘密鍵を変更することも意味があります.
.htaccessファイルとwp-config.phpファイルをすべてのユーザーのアクセスから保護する
ブログのルートにある.htaccessに次のコードを追加します。
注文拒否、許可
すべてから否定する
注文を許可、拒否
すべてから否定する
wp-includesフォルダーを.htaccessで保護する
通常のテキストファイルを作成し、それを.htaccessと呼び、ファイルにコードを追加した後、それをwp-includesフォルダーにコピーします。
注文許可、拒否
すべてから拒否
すべてから許可
wp-adminフォルダーを.htaccessおよび.htpasswdで保護する
プレーンテキストファイルを作成し、それを.htaccessと呼び、ファイルにコードを追加した後、それをwp-adminフォルダーにコピーします。
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “制限された”
注文拒否、許可
すべてから拒否
有効なユーザーが必要
満足する
どこ, «/home/public/.htpasswd» .htpasswdファイルへの絶対パスです。このファイルはブログのディレクトリの上に配置することをお勧めします.
.htpasswdファイルには、wp-adminゾーンにアクセスするためのパスワードが暗号化された形式で含まれています。このファイルを作成する最も簡単な方法は、通常の方法でユーザー名とパスワードを入力することです。既存のアカウントとは異なるデータを繰り返し表示しないようにすることをお勧めします.
この方法には不便な点が1つだけあります。マルチユーザーブログを使用している場合は、すべてのユーザーからパスワードが要求されるため、該当しません。.
データベース接頭辞を変更
SQLデータベースのプレフィックスを標準から変更する «wp_» 一部の «wpsdjflk647_» ブログを作成した当初から可能でした。しかし、これは問題ではありません。私はそれをプラグインにしました。 phpadminにアクセスすることもできますが、そこですべてのテーブル名を置き換えてから、wp-config.phpファイルのプレフィックスを変更します。
Belavirプラグインをインストールする
ブログのすべてのphpファイルの変更を追跡するBelavirプラグインをインストールします。プラグイン自体は何も監視しませんが、コンソールページのブログ管理パネルに移動するとスキャンが開始され、実際に変更が表示されます。彼には設定がありません.
WP Security Scanプラグインをインストールする
WP Security Scanプラグインをインストールします。これにより、特に次のことが可能になります。
-データベース接頭辞を変更
-フォルダとファイルの権限を確認する
-WordPressのバージョンを非表示にする
-ブログのアンチウイルスを接続して確認する
より良いWPセキュリティプラグインをインストールする
Better WP Securityプラグインをインストールします。前の2つよりもさらに必要です。その機能のリストは非常に大きいので、一部をリストします。
-データベースの接頭辞を変更できます
-ワードプレスバージョンのタイプごとに、ブログコードから不要な情報を削除します
-すべてのファイルの変更を監視します
-ブログの名前の後にブラウザに奇妙なアドレスを入力した人のIPを禁止し、エラー404を受け取る
-管理パネルのパスワードの選択を禁止し、IPを禁止
-標準の管理者ログインアドレスを変更し、ブルートフォース攻撃に対する優れた保護
-その他.
FTPでの変更の監視
コンピューターにftpinfoプログラムをインストールします。これにより、ftpサーバーに接続し、すべてのアカウントファイルの外観/削除/変更を監視できます。ウイルス攻撃時に非常に便利なこと。すべてのファイルを監視できるだけでなく、ファイルやフォルダのマスクを作成することもできます.
データベースとファイルのバックアップを数日に1回
非常に便利なもので、ウイルスとの闘いに役立ちます。元のファイルは常に手元にあり、サイトをウイルスから駆除できない場合はロールバックする機会があります。 BackWPupプラグインを使用しています。 Dropboxにデータをコピーするなど、多くの機能があります。インターネット上に2GBの空き容量を提供し、コンピューターと同期する便利なサービスです。.
これらは私がブログに適用したWordPressブログを保護するためのヒントです。質問や追加がある場合(多分何か他のことができる)、コメントに書き込みます:)