Jak zabezpečit WordPress?

20. 9. 2018 09:12:36

Zdravím,

provozuji větší část svých webů u Tele3. Mám téměř všechny weby pod CMS Wordpress, ale řeším poslední dobou velmi častý bezpečnostní problemy.

Do adresáře ../uploads/ se mi od někud soubory search.php a header-cache.php, které jsou infikované, a to i potom, co nastavim na adresář zákaz přepisu.

FTP klienta používám FileZilu.

Používám bezpečnostní plugin Wordfence Security - ale nepomáhá.

WP šablonou ani pluginama to nebude.

Nevíte někdo, kde je problem?

Máte nějaké typ na zabezpečení?

20. 9. 2018 09:12:36

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366266

tomve

(22 hodnocení)

20. 9. 2018 09:40:17

Co se týče složky "uploads/", tak wordfence umožňuje zakázat volání / fungování php souborů ve složce "uploads/" (někde tam je zaškrtavátko v nastavení u pluginu). Nevýhoda je, že jak nějaký plugin používá "uploads/" pro své skripty, tak je s tím konec.

Jinak aktualizovat WP a pluginy (extra staré, tzn že nevyšla už nová verze cca 1+ rok) buď ručně prozkoumat na chyby nebo vyměnit.

Taky omrkni usery, jestli tam nemáš cizí admin účty - nedávnoú jsem objevil skript, který je tvořil - https://pastebin.com/VxZuFHvy

Můžeš zkusit ještě sucuri, jiné se mi, kromě sucuri a wordfence , neosvědčily.

---------- Post added 20.09.2018 at 09:51 ----------

uppdate: pokud to nepomůže, tak tam bude někde zakopaný skript, takže komplet stáhnout a projet to v konzoli s příkazem grep - tady je seznam nej funkcí https://sucuri.net/guides/how-to-clean-hacked-wordpress#rhb

20. 9. 2018 09:40:17

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366265

Mirek

(61 hodnocení)

20. 9. 2018 09:54:41

Napsal BENQ;1485933
Zdravím,
provozuji větší část svých webů u Tele3. Mám téměř všechny weby pod CMS Wordpress, ale řeším poslední dobou velmi častý bezpečnostní problemy.
Do adresáře ../uploads/ se mi od někud soubory search.php a header-cache.php, které jsou infikované, a to i potom, co nastavim na adresář zákaz přepisu.
FTP klienta používám FileZilu.
Používám bezpečnostní plugin Wordfence Security - ale nepomáhá.
WP šablonou ani pluginama to nebude.
Nevíte někdo, kde je problem?
Máte nějaké typ na zabezpečení?

Tím, že omezíš zápis do Uploads tak si sice můžeš častečně pomoci, ale nese to v sobě riziko které popsal výše Tomve. Spousty toolsu co třeba minifikuji JS a CSS si ukládají lecos práve do Uploads. Nehledě na to, že takto zastavíš jen "hloupé" scripty. Ty chytřejší když zjistí že mají někde zakázán přístup tak se umístí jinam, třeba do rootu.

Wordfence bych nezatracoval, ale dá ho práci správně nastavit. Rozhodně nestačí jen pouze v defautu. Pak je schopen odchytit drtivou většinu zranitelností. Co ti neodchytí je samozřejmě chybný navrh pluginu. Tam tu penetraci nezastaví, ale aspoň tě na ní upozorní. Samozřejmě je nutné mít nastavené věci jako je sledování změn v souborech pluginu, zvláště oproti referenčním souborům. Mít vychytané false positiv a spousty dalšího.

20. 9. 2018 09:54:41

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366264

Miroslav Foltyn

(3 hodnocení)

20. 9. 2018 10:00:28

Pro zjištění známých bezpečnostních děr dané WordPress instance můžete použít WPScan (https://wpscan.org/) - pokud jsou weby opravdu vaše, jinak pro komerční využití potřebujete licenci. Nutno podotknout, že pokud již používáte nějaké pluginy pro zabezpečení, budete si muset projít argumenty WPScan a korektně scan inicializovat, abyste obešel svá vlastní "zabezpečení".

20. 9. 2018 10:00:28

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366263

Rudolf Procházka

(18 hodnocení)

20. 9. 2018 12:03:41

Používám Shield placené verze

20. 9. 2018 12:03:41

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366262

xoixi

20. 9. 2018 16:38:08

No, pouzit iny redakcny system je top riesenie. Nepouzivat pluginy stiahnute z netu tiez pomaha.

20. 9. 2018 16:38:08

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366261

Luděk Kvapil

20. 9. 2018 16:38:37

Ideální způsob, jak zabezpečit WP, je smazat to. WP je přespříliš děravý: https://www.exploit-db.com/browse/

20. 9. 2018 16:38:37

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366260

BENQ

20. 9. 2018 21:03:17

Mám několik desítek webů a platit si plnou lilcenci na každý web se mi moc nechce.

Pluginy jsou aktualizovány a i přesto se mi opakovaně do Uploads složky dostávají soubory, které jsem vymazal. Template jsem si vytvořil sám.

20. 9. 2018 21:03:17

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366259

Vladimír Smitka

(4 hodnocení)

20. 9. 2018 22:09:46

Soubory se do té složky nedostávají jen tak. Pravděpodobně je na webu schovaný nějaký backdoor, nebo se jedná o nákazu z jiného webu ve stejném webovém prostoru, když od sebe nejsou izolované (to se často stává při snaze o "multihosting", kdy na sebe jednotlivé weby vidí). Pokud jednou dojde k nákaze, tak je potřeba důsledně provést dezinfekční postupy, jinak je to pak marný boj - https://www.slideshare.net/vsmitka/wordcamp-praha-2016-bezpenost-wordpress/55

Krok smazání všeho a následná obnova z čisté zálohy (případně nainstalování všeho znova) může být velmi důležitý, protože backdoor si často vytvoří nějaký nenápadný soubor navíc, který se nepřepíše při obnovách. Najít příčinu také může pomoci analýza access logů. Malware také s oblibou infikuje soubor 404.php ze šablony, aby oddálil infekci - dojde k ní až někdo za čas pošle požadavek na neexistující stránku.

Je dobré nevšímat si trollů, kteří WP nerozumí a tak proto hned radí vyměnit CMS. WordPress samotný je na tom s bezpečnostní velmi dobře, naprostá většina problémů je v rozšířeních třetích stran. Bezpečnostní problémy v jádře se vyskytují podobně jako u jiných systémů, jednou za čas se něco objeví, to se děje u každého softwaru. Žádný jiný systém není tak intenzivně testován jako WP. Díky tomu se ve WP občas nalezne nějaký problém jako první a pak se ukáže, že stejný problém se vyskytuje i v mnoha dalších systémech.

Pokud je dezinfekce technicky nad vaše síly, tak je dobré si najmout profesionála.

20. 9. 2018 22:09:46

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366258

BENQ

21. 9. 2018 12:00:45

to smitka: Používám na TELE3 multihosting a SSL encrypt. Problem je i na webech, které jsem přinstalovával - instalace pouze Wordpressu a běžných pluginu. Šablonu jsem přepsal ručně ve WP.

Zaráži mě, že se jedná u všech webů o stejne php soubory ve složce uploads.

21. 9. 2018 12:00:45

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366257

xoixi

21. 9. 2018 12:44:39

A tvoje ftp udaje jsou bezpecni? Koukal si logy? Pripadne cekni pristupovy logy k nejakym podozrivym souborem... vlastne jestly mas seo friendly URLs tak si pozri .php v access logu a mozna sa ti podari ziskat ip adresu utocnika.

"sudo chmod -x /uploads" tiez nieje vec na zahodenie.

Ono vsoubecne mat nejaky includovany soubory mimo autoloaderu je ... takovy wordpresacky humus.

Jestli totiz v uploads nemozeme soubory spustit a kazdej jinej soubor je zabezpecen ze strany servru proti zapisovani a muze to jen uzivatel z ftp trebars tak vam asi nikto neuploadne soubor ktorej jse muze zapnout.

Projel by jsem celej project na "`...`", proc_open, popen, call_user_function(), fwrite, exec, kazde mysql/i querry ktore neco dela taky, a jestli je problem ze je toho moc, tak je na vine architektura wordpressu, kde moduli ( aspon kdyz jsem s tym delal naposled ) primo volali na databazu, bez nejakych bezpecnostnich opatreni, a taky tam nebylo automaticke osetreni MySQL a musel to kazdy vyvojer pluginu resit sam. Taky byl nejaky problem z PHP mailerem, takze sa dalo ziskat pristup cez kontaktni formular.

Taky jsou jina opatreni, ale nemuzu vam povedat vse, by jste si to udelali sami a to prece nici pracovni prilezitosti pro vzdelane a take nici hodnotu jejich vzdelani...

21. 9. 2018 12:44:39

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366256

BENQ

21. 9. 2018 12:54:21

to xoixi: to mě napadlo taky. jestli FTP klient neni problem - používam FileZillu

21. 9. 2018 12:54:21

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366255

tomve

(22 hodnocení)

21. 9. 2018 13:20:35

Napsal xoixi;1486191
A tvoje ftp udaje jsou bezpecni? Koukal si logy? Pripadne cekni pristupovy logy k nejakym podozrivym souborem... vlastne jestly mas seo friendly URLs tak si pozri .php v access logu a mozna sa ti podari ziskat ip adresu utocnika.
"sudo chmod -x /uploads" tiez nieje vec na zahodenie.
Ono vsoubecne mat nejaky includovany soubory mimo autoloaderu je ... takovy wordpresacky humus.
Jestli totiz v uploads nemozeme soubory spustit a kazdej jinej soubor je zabezpecen ze strany servru proti zapisovani a muze to jen uzivatel z ftp trebars tak vam asi nikto neuploadne soubor ktorej jse muze zapnout.
Projel by jsem celej project na "`...`", proc_open, popen, call_user_function(), fwrite, exec, kazde mysql/i querry ktore neco dela taky, a jestli je problem ze je toho moc, tak je na vine architektura wordpressu, kde moduli ( aspon kdyz jsem s tym delal naposled ) primo volali na databazu, bez nejakych bezpecnostnich opatreni, a taky tam nebylo automaticke osetreni MySQL a musel to kazdy vyvojer pluginu resit sam. Taky byl nejaky problem z PHP mailerem, takze sa dalo ziskat pristup cez kontaktni formular.
Taky jsou jina opatreni, ale nemuzu vam povedat vse, by jste si to udelali sami a to prece nici pracovni prilezitosti pro vzdelane a take nici hodnotu jejich vzdelani...

lol

21. 9. 2018 13:20:35

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366254

4WebMaster.cz

(3 hodnocení)

21. 9. 2018 14:00:48

Nepoužívat nulled šablony/pluginy, pokud už nějaký ten null máš tak si soubory proscanuj nějakým pluginem (líbí se mi WP Cerber) a nebo použij externí řešení např. https://revisium.com/aibo/. Mám taky jeden web infikovaný, cerber akorát zablokuje veškerý traffic z venku, který by mohl využít exploitu, ale škodlivý kód se mi nepodařilo najít, moc souborů a málo času :D

21. 9. 2018 14:00:48

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366253

Oleg

(53 hodnocení)

21. 9. 2018 15:40:45

Nejlepsi je si procist 100500 manualu "TOP100500" Best Security Plugins For WP In 2018 na zabezpeceni a mit pocit, ze web je nyni neprustrelny.

Ano, pluginy resi LAMA chyby administratoru, ale nikoliv derave samotne pluginy a nespravne nastaveni prav zapisu a tak dale, namatkove vycisteni napadenych souboru sice pomuze, ale obcas se napadeni vrati zpet. Preinstalace WP je obcas pakarna - jen si pomyslete to mnozstvi pluginu, vzhledu a vseho co se ma opet nastavit...

Najdete si profika, ktery WP vycisti od napadeni a da ho do kupy, nebudte lakomi.

21. 9. 2018 15:40:45

https://webtrh.cz/diskuse/jak-zabezpecit-wordpress/#reply1366252