[kpy4ok]

Feanor184, спасибо! Не знал про http://мой-сайт/?author=1...

[xexe]

Стоит начать со сложного пароля, я использую генерацию паролей, к примеру - https://www.random.org/passwords/ , ставлю 16 символьные пароли. Слишком сложные, чтобы взломать...
Если Вас уже взломали, то воспользуйтесь специалистом, чтобы он сказал через, что Вас взломали и закройте дырку.

[Pacific]

Согласен с мнением, что винить во всем WP не верно, при его распространенности уязвимость превратилась бы в мировую эпидемию.
Из моих наблюдений на одних хостингах ломают постоянно, на других никогда, делаем выводы раз.
Подобрать пароль не так и просто, быстрее их находят в почте, ловят вирусом или клавиатурным шпионом - это два.
И как уже сказали, темы и плагины могут иметь уязвимости это три.
Итого:
1. правильный хостинг
2. надежная не взломанная почта
3. минимум плагинов, тема из коробки или проверяем код внимательно
4. для параноиков базовая авторизация ко всему связанному с админ/логин

[gyroscope]

WMmagnat,Защита wordpress

1. Ну, наверное, самое важное, что я могу вам посоветовать, делайте чаще резервные копии своего сайта! Лично я, взял себе за правило делать бэкап (резервную копию) базы данных каждый день, а бэкап всех системных файлов и папок ресурса, раз в месяц! Это от взлома не спасет, но, если не дай бог это случится, всегда можно будет восстановить большую часть файлов и не потерять все в одно мгновенье!
Можно поручить делать бэкапы своему хостеру, задав определенную периодичность на хостинге. Также существует множество плагинов для wordpress, которые смогут сделать это за вас. Но плюс ко всему, я вам все-таки рекомендую, для надежности, делать ручное резервное копирование. Это не займет много времени, все происходит на автомате! Но решать конечно же вам, я лишь даю вам свои рекомендации. Если вы решите воспользоваться плагинами, вот некоторые из них, которые мне известны:
— wordpress database backup — плагин, предназначенный для бэкапов базы данных;
— wp-dbmanager — плагин, аналогичен предыдущему, но его главное отличие и преимущество, в том, что он имеет возможность восстановления базы данных прямо из административной панели вашего ресурса.
Более подробно заострять внимание на этих плагинах мы не будем.
2. Проверяйте время от времени свой сайт на наличие обновлений, как самого движка, так и установленных на нем плагинов! В систему управления содержимым сайта (CMS) wordpress встроен автоматический поиск обновлений, так же как и в большинство плагинов. Поэтому, веб мастера часто используют на своих ресурсах плагин Disable WordPress Updates или ему подобные, запрещающий автоматический поиск обновлений, с целью избежать излишней нагрузки на ресурс. Но многие используют для этих целей простой код.
К чему все это я? А к тому, что некоторые ребята, к примеру, установили плагин и забыли про него. И не движок не плагины на блоге не обновляются долгое время! А вы думаете, для чего все это делается? Разработчики постоянно усовершенствуют движки и плагины с целью безопасности! Они постоянно ищут «дыры» и затыкают их выпуском новых версий.
Получается, как круговорот. Одни (разработчики) постоянно усовершенствуют своих детищ, вторые (хакеры) ищут новые пути взлома, дабы еще раз подтвердить свою квалификацию! Поэтому обновления просто необходимы и ими не следует пренебрегать. Я советую вам с периодичностью, хотя бы раз в два месяца отключать плагин (или убирать код), проверять наличие обновлений и обновляться, если таковые имеются!
3. Позаботьтесь о защите админки wordpress. Многие ребята оставляют в административной панели, имя пользователя по умолчанию — admin. Это не есть хорошо и способствует ухудшению защиты wordpress, тем, что злоумышленникам для взлома останется подобрать лишь один пароль!
Если вы увидели у себя эту ошибку, то я вам настоятельно рекомендую ее исправить. Делается это в панели управления хостингом, выбрав раздел базы данных/phpMyAdmin/Таблица/wp_users:

Жмем на карандашик «Изменить»:

И теперь в поле user_login и user_nicename изменяем admin на заранее придуманное имя и жмем «ОК»:

Кстати, если вам необходимо будет сменить пароль для входа в административную панель на более сложный, что я вам тоже рекомендую, делается это здесь же. Удалите в поле user_pass все иероглифы и впишите свой пароль. Только перед тем, как нажать кнопку «ОК», в выпадающем меню установите «MD5», во избежание ошибок при входе в админ панель:

После сохранения данных пароль автоматически будет зашифрован в новый набор иероглифов!
4. Если при создании блога вы не меняли секретные ключи в файле wp-config.php, то сделайте это! Файл wp-config.php находится в корневом каталоге вашего ресурса. Откройте его, найдите вот такие строчки:

и измените все символы на свои без упорядоченные. Запоминать их не нужно, просто поменяйте, клацая по клавишам клавиатуры. Пере сохраните файл и залейте его обратно в корень блога.
5. Теперь нужно защитить файл wp-config.php. Делается это в файле .htaccess, который также должен присутствовать в корневой папке вашего блога. Откройте его и вставьте в самом конце вот эти строки:

<Files wp-config.php> order deny,allow deny from all </Files>

6. Ну, а теперь давайте защитим и сам файл .htaccess. Делается это также в самом файле .htaccess, прописав в него вот такие строчки:

<Files .htaccess> order deny,allow deny from all </Files>

7. Давайте еще усложним задачу «нехорошим ребятам», спрятав версию wordpress, т.к. зная версию, они будут знать, какие инструменты следует применить для взлома. Для этого вам понадобятся два файла. Первый файл находится в папке с темой вашего блога и называется header.php. Советую вам для удобства работы с файлами .
Откройте, с помощью notepad ++ файл header.php и удалите следующую строку:

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

И второй файл, который мы сейчас будем редактировать, находится в папке wp-includes/version.php. Также откройте этот файл и в самом его начале найдите вот такую строку:

$wp_version = '3.5';

и измените в ней версию wordpress, что бы она отличалась от вашей существующей! Теперь при просмотре вашей версии, «вредители» будут видеть версию отличную от нее!
И еще два файла, указывающие на версию вашего движка, readme.html и license.txt. Они находятся в корне вашего блога. Их просто нужно удалить и все!
8. Не устали? Ну, тогда идем дальше. Наберите в поле браузера после доменного имени вашего блога wp-content и wp-content/plugins. После открытия каждого из них браузер должен отображать пустую белую страницу. Если вместо этого у вас отображается содержимое папок, создайте в обеих папках пустой файл с именем index.php.
9. Откройте файл в папке с темой вашего блога functions.php и в самом конце, после закрывающегося тега ?>, вставьте вот эту строчку:

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

10. Ну и последнее, вот вам два плагина, которые часто используют для защиты wordpress, Anti-XSS attack и Login LockDown.

[brig]

Ну и последнее, вот вам два плагина, которые часто используют для защиты wordpress, Anti-XSS attack и Login LockDown.

Рекомендации из серии "все пишут и я тоже напишу", по факту ithemes security или all in one security (на выбор) - решают большую часть проблем и совмещают в себе сразу кучу более простых плагинов

[Spiker01]

Здравствуйте интересная тема. Вам следует действия систематизировать я считаю. Составить план действий.

Третье лицо получает доступ каким либо образом к вашему сайту. Тут два пути "проверки" от хостинга к компьютеру, и от вашего компьютера к хостингу.

1) От компьютера к хостингу. Самый обычный метод получения доступа к важным данным это использовать вредоносное ПО на вашем ПК. Современное вредоносное ПО (Вирусы, троянские кони, Malware и тд) используют очень мало процессорных ресурсов особенно на 64 разрядных и многоядерных процессорах. Заражение может произойти на любом этапе жизнедеятельности ПК от установки самой ОС от Microsoft.

а1.) Например: Пользователь решил установить не лицензионную копию ОС от Майкрософт, а сборку сторонней группы, шанс вшитого вредоносного ПО в таких сборках, крайне велик, а обнаружить его практически невозможно, так как данное ПО работает на уровне системных служб. Распространять платное ПО, бесплатно, да ещё и модифицированное, тратить на это своё время, без каких либо "вторых" целей мало кто будет.
а2) Тоже самое можно сказать и про кряки. Во времена распространения "Вареза" куча сборок кряков имела вшитое вредоносное ПО.
а3) Вредоносный код может быть в шит в закрытое ПО. Например, если не ошибаюсь в своё время в Orbit Downloader были найдены "не документированные" возможности. Чем ПО резко понизило себе рейтинг.
а4) При отключении обновления Windows критические уязвимости не могут быть закрыты автоматически. Таким образом в некоторых случаях остаётся возможность "эксплоита" из сети. Для этого третьими лицами используются сетевые сканеры и автоматизированный софт.

Для того чтобы противостоять этим угрозам, лучше всего использовать свободное ПО с открытым исходным кодом, например ОС Linux, либо лицензионные ОС от Apple или Microsoft. Не использовать устаревшие коммерческие ОС и вовремя обновляться. Иметь доступ только с одного ПК, который держать в чистоте, не устанавливать ничего лишнего.

[aeneas]

.htpasswd на админку и помоему достаточно )