Napadení WORDPRESSu – jak zabezpečit web?

1. 4. 2019 14:33:41

Zdravim,

mám poslední dobou dost problemy s napadením Wordpressu na několika webech. Mám nainstalovaný security plugin Wordfence, na webu je moje vytvořená šablona (ne tedy pochybne free tamplate) a stále řešim nové infikované soubory. (hlavně background-image-cropper), pak hodně taky v adresáři Uploads.

Používám multihosting u TELE3 - jedná se tedy u ruzne servery. Zabezpečení SSL certifikatem, DNSSEC.

Jak se proti tomu mohu bránit? Jak zabezpečujete WP vy?

1. 4. 2019 14:33:41

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395271

Miroslav Foltyn

(3 hodnocení)

1. 4. 2019 15:07:16

WordPressu se nevěnuji vůbec, pokud to není vyloženě nutné.

Kdybych ovšem řešil to co řešíte vy, obzvláště pokud se jedná o weby které jsou "vaše" (jste jejich vlastníkem), tak bych si svoje instance nechal projet pomocí utility wpscan (dostupné z https://wpscan.org/), která je volně k využití pro nekomerční účely. Rovnou vám to vyplyvne všechny známé bezpečnostní díry (tedy ty které už mají někde v databázi), které to najde a dál bych dle tohoto výstupu jednal.

1. 4. 2019 15:07:16

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395270

BENQ

1. 4. 2019 15:16:32

Diky za tip - já tedy používám ještě plugin Securi Security, který ihned informuje, jak se na server něco nečekaného nahraje. Ale věčně něco mažu a za pár dní je to tam znovu. Dal jsem teď zákaz zápisu do adresáře, tak snad bude na chvíli klid.

1. 4. 2019 15:16:32

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395269

tomve

(22 hodnocení)

1. 4. 2019 15:53:52

Jaké tam máš pluginy? Některé starší, bez aktualizaci, mají někdy díru.

1. 4. 2019 15:53:52

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395268

Vladimír Pilný

(62 hodnocení)

1. 4. 2019 16:20:51

Zabezpečení redakčního systému Wordpress - BLOG GIGASERVER.CZ

1. 4. 2019 16:20:51

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395267

BENQ

1. 4. 2019 17:21:00

Napsal Tomve;1519954
Jaké tam máš pluginy? Některé starší, bez aktualizaci, mají někdy díru.

klasika - Contact form, Jetpack, Yoast Seo, Google Sitemap - pravidelně aktualizované, vč. aktualizace celého WP

1. 4. 2019 17:21:00

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395266

Vladimír Smitka

(4 hodnocení)

1. 4. 2019 20:08:32

Pokud byl web jednou napadený, tak je potřeba především poctivě provést kroky, které se mají po infekci dělat, jinak se nákaza bude pořád dokolečka vracet: https://www.slideshare.net/vsmitka/wordcamp-praha-2016-bezpenost-wordpress/55

Mnoho o nákaze mohou prozradit access logy a u multihostingů bývá běžné, že nákaza přijde z jiného webu - záleží, jak dobře jsou od sebe izolované (jak to má Tele3 nevím...).

1. 4. 2019 20:08:32

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395265

BENQ

2. 4. 2019 08:26:31

Napsal smitka;1520027
Pokud byl web jednou napadený, tak je potřeba především poctivě provést kroky, které se mají po infekci dělat, jinak se nákaza bude pořád dokolečka vracet: https://www.slideshare.net/vsmitka/wordcamp-praha-2016-bezpenost-wordpress/55
Mnoho o nákaze mohou prozradit access logy a u multihostingů bývá běžné, že nákaza přijde z jiného webu - záleží, jak dobře jsou od sebe izolované (jak to má Tele3 nevím...).

Právě, že mi od Tele3 přijde info ve stejný čas, že byly napadany třeba 4 weby na ruzných servrech infikovaný stejným souborem - což mi připadá divný

Pro přenos používám FTP klienta FilleZilla - otázka je , na kolik ten je bezpečný.

2. 4. 2019 08:26:31

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395264

tomve

(22 hodnocení)

2. 4. 2019 08:59:54

FilezIlla je v pohodě, lepší než ftp protokol je sftp protokol (většinou port 22).

Pak zbývá hosting, někdy (jak u wedosu s aliasy) má jeden web přístup k dalším webům na stejném (podle nastavení serveru), pak stačí díra jinde a je to.

Poptal bych se u Tele 3 (správoval jsem tam jen weby u seo tarifu - x webů na x serverů), jak to mají nastavené - jestli 1 web = 1 user nebo ne.

2. 4. 2019 08:59:54

https://webtrh.cz/diskuse/napadeni-wordpressu-jak-zabezpecit-web#reply1395263

Pro odpověď se přihlašte.

Přihlásit