Безопасность WordPress

[WMmagnat]

Всем привет.
Совсем недавно столкнулся с проблемой безопасности в системе WP.
Сломали то ли хостинг, то ли сайты и началось самое интересное.
На сайтах начала появляться реклама, хакерские заглушки, и отправляться спам с моего хостинга.
За спам у меня заблокировали аккаунт на хостинге.
Скачав все архивом и проверив на вирусы я удивился там было полно вирусов из 17 сайтов вылечил только 15 и 2 снес
Теперь каждый день меняю пароли на фтп и сайтах, ломают каждый день! Добавляют код в файлы сайтов и просто появляются новые файлы.
Сейчас удалил все коды и все плагины.
2 дня затишье )

Давайте в этой ветке обсудим самые эффективные способы и плагины для безопасности своих сайтов на WP.

[Servent-of-Inos]

WMmagnat,
1. Закройте доступ к фтп всем айпи кроме своего. Не поленитесь приобрести белый айпишник у своего провайдера, если у вас динамика.
2. Поменяйте путь к файлу админки.
3. Поменяйте номер поля с паролем и логином в админа сайта в базе данных.
4. Поставьте капчу на админку во избежание брута.
5. Делайте слепок файлов, если что то поменяется то вы легко сможете понять что что то было модифицировано.
6. Зарегьте новую почту и на нее перерегайте акаунт на хостинге, может она ломаная.

[seodima]

Купите шаблоны и модули, а не используйте ворованное. Уверен на 98%, что проблема в них.
Закройте админку по ip.

[ChicagoBulls]

Гугл в помощь, много статей на эту тему.

Есть разные методы защиты. Например, не более 3 точных вводов паролей в админ панели. Или просто плагины, для защиты от спама и вирусов.

Почитайте статьи, например у Шакина, если не ошибаюсь, было много подобных статей с плагинами о защите.

[brig]

WMmagnat, из плагинов ithemes security или all in one security - решают многие проблемы. А также примените рекомендации Servent-of-Inos и seodima, если не помогает, то как вариант сменить хостинг и проделать все рекомендации сразу же.

[WMmagnat]

Спасибо всем ответившим, по IP не могу блокировать, так как мой IP постоянно разный и я сам не смогу попасть к себе на фтп или сайт.
Остальные стоящие советы, огромное всем спасибо!

[Ems]

Купите шаблоны и модули, а не используйте ворованное.

Совет неплохой, но это не гарант безопасности. Шаблоны говнокодят только в путь, а плагины и подавно.

[Feanor184]

Вордпресс вообще очень сильно уязвим по многим причинам. Кроме плагинов, у него есть несколько уязвимых мест в движке, используя которые злоумышленники могут получить о вас много инфы.
Тут каждый закручивает гайки, как считает нужным. Было одно время, когда пароль от моего блога пытались подобрать брутом по 50-60 раз в день. ХЗ кому это было надо, но мне буквально каждые полчаса спамило о попытках авторизации от моего имени с разных айпишников.
Написал потом 2 статейки ( первая, вторая), как закрутил гайки. Мне этого вполне хватило чтобы сейчасжить спокойно и не париться) Плюс к этому, закрыл от особо назойливых спамеров по ip сайт через htaccess. Сейчас тоже иногда пытаются ломиться, но вижу что даже логин уже теперь не могут подобрать)

[brig]

Вордпресс вообще очень сильно уязвим по многим причинам.

Назовиет CMS у которой решены все проблемы с безопасностью. Большая часть вопросов снимается указанными выше рекомендациями.

Было одно время, когда пароль от моего блога пытались подобрать брутом по 50-60 раз в день.

О чем и речь, нужно хотя бы минимум действий делать для защиты, чтобы не писать потом что вордпресс какаха :) выше привел два плагина которые полностью решают проблему.

---------- Сообщение добавлено 10:36 ---------- Предыдущее 10:31 ----------

Совет неплохой, но это не гарант безопасности. Шаблоны говнокодят только в путь, а плагины и подавно.

100% гарантий никто не даст, если кому-то сильно будет нужно, то способы найдутся.

[sly04]

Люди тут уже начали писать, что все дело в движке и тд и тп. Ребят, если бы wordpress был настолько уязвим, насколько вы говорите, сейчас бы вообще на нем сайтов никто не делал - все были бы взломаны и испорчены!

По поводу темы - защиту обеспечьте базовую. Не нужны эти баны по айпи и тд. Что Вам действительно надо сделать? Создайте новую почту, хостинг перепишите на нее, если это возможно в настройках. Если нет - обращайтесь к саппорту, либо создайте новый аккаунт на эту же новую почту. Пароли только новые поставьте :)

Только после этого смените почту на новую на всех сайтах, а после - смените везде пароль. Желательно, чтобы логин не был admin. И все, готов поспорить, что Ваши сайты никто не брутил, доступ был либо к почте, либо, скорей всего, к хостингу.

Смените пароли так же на ftp. В идеале, создайте там нового юзера. ВСЕ! Не нужно запрещать айпи, ставить кучу плагинов, и заниматься прочим бредом.

Главное, проверьте темы на вредоностный код. Заплатите программисту, он поможет, не жалейте денег. Если дырка в темах, то так и придется каждый раз менять хостинги с почтами. Сначала уделите внимание шаблонам!