• DONATE to NULLED!
    Вы можете помочь Форуму и команде, поддержать финансово.
    starwanderer - модератор этого раздела будет Вам благодарен!

Помощь Защита от взлома WP

xsata

Постоялец
Регистрация
20 Ноя 2012
Сообщения
202
Реакции
117
Кто такие модули использует для защиты:
админки, скриптов, доступа?
 
Также ставлю на свои сайты Login LockDown, admin меняю на другое значение, пока полет нормальный

Для смены юзера через phpmyadmin делаем запрос к базе данных, прописывая следующий код
UPDATE wp_users SET user_login='admin', user_login='novyi_login';
Предварительно делаем бэкап, на случай если что-то пойдет не так.
 
Последнее редактирование модератором:
Народ может кто-нибудь знает как заблокировать доступ к wp-login.php какой-то китайский бот постоянно пытается брутфорсить админку через этот файл. Я поставил бан ip после 3 попыток. Но он никак не уймется и постоянно с новых IP пытается. Если закрывать с помощью .htaccess .htpasswd , то в разделах сайта где проверяется залогинен или нет пользователь (например в корзине вукомерс) - выскакивает окно с логином что жутко бесит пользователей. Как еще можно заблокировать ему доступ ?
 
2. убить meta name="generator" в заголовках;
в файлах вп есть строки, где указывается версия движка, особенно в скриптах и стилях, после каждого обновления приходится подчищать.

Может кому нужно будет:
PHP:
function rem_css_js( $src ) {
    if ( strpos($src, 'ver='))
        $src = remove_query_arg('ver', $src);
    return $src;
}
add_filter('style_loader_src', 'rem_css_js', 9999);
add_filter('script_loader_src', 'rem_css_js', 9999);


Народ может кто-нибудь знает как заблокировать доступ к wp-login.php какой-то китайский бот постоянно пытается брутфорсить админку через этот файл. Я поставил бан ip после 3 попыток. Но он никак не уймется и постоянно с новых IP пытается. Если закрывать с помощью .htaccess .htpasswd , то в разделах сайта где проверяется залогинен или нет пользователь (например в корзине вукомерс) - выскакивает окно с логином что жутко бесит пользователей. Как еще можно заблокировать ему доступ ?
Используйте при авторизации через wp-login.php плагин капчи, например Google Authenticator(он также дает количество попыток)
В таком случае брут не будет иметь смысла.

Раньше перебивал wp-login.php на свое название файла + нужно в других файлах править путь к нему.
Как вариант, чтобы отбить атаки - Hide My WP
 
Последнее редактирование:
Как вариант, чтобы отбить атаки - Hide My WP
Если и ставить плагины, и не заморачиваться, после каждого обновления о правках файлов, то лучшего чем iThemes Security (бесконфликтного) – пока не встречал.
 
Намучался я с iThemes Security, в итоге установил all in one wp secutity (он полностью на русском) в связке с hide my wp, в админку теперь вообще невозможно попасть кроме меня никому, плюс защитил нужные файлы и попрятал ненужные, а из исходного кода поудалялся весь лишний мусор, а также отключился лишний функционал вроде emoji и rest api с полдесятком другой ерунды, и главное без заморочек с function.php и сторонними плагинами. Приятным бонусом стало то, что скорость загрузки существенно возросла, советую абсолютно всем, притом что на ютубе есть подробные видео.
 
в файлах вп есть строки, где указывается версия движка, особенно в скриптах и стилях, после каждого обновления приходится подчищать.

Может кому нужно будет:
PHP:
function rem_css_js( $src ) {
    if ( strpos($src, 'ver='))
        $src = remove_query_arg('ver', $src);
    return $src;
}
add_filter('style_loader_src', 'rem_css_js', 9999);
add_filter('script_loader_src', 'rem_css_js', 9999);

Отпишитесь куда необходимо прописать эти строки, тк версия видна в коде.
 
Отпишитесь куда необходимо прописать эти строки, тк версия видна в коде.
Зачем изобретать велосипед и влазить в этот файл, если hide my wp подчистит все без этих танцев с бубнами) function.php ведь не резиновый)
 
Назад
Сверху