Защита WordPress, стабильная работа вашего сайта зависит от Вас

Добрый день., уважаемые читатели с радостью хочу сказать, что уже более чем пол года, мои сайты стабильно продолжают работать, не смотря не очередные попытки, взломать или найти дырки в WordPress, не получается у хакеров произвести инъекцию. На данный момент, базовый этап защиты WordPress оправдан., можно с уверенностью сказать, что сайт стабильно работает более чем пол года, подвергается, повторным не успешным попыткам взлома.

Подведем итоги :

1 Взлом WordPress как атаковали мой блог, и засунули более 10 тысяч постов.

2 Защита WordPress и сервера., с чего начать защиту сайтов.

3 Плагин для защиты WordPress и тем для ВордПресс,  обзор плагина.

4 Дополнительные методы защиты WordPress и его файловой системы.

Защита WP от Ddos через XMLRPC

XMLRPC обзор дорогие почитатели прекрасной системы управления wordpress.
Хочу подметить, что последнее время, участились случаи ddos атак на wordpress, в не зависимости от вашей деятельности.
Увеличение количества Ddos атак, имеет определенную корреляцию

XMLRPC важно :
1) HTTP это средство общения, транспортировка и кодирование данных в XML.
2) Свойства XML-RPC это старый аналог API для WordPress.
3) Как и зачем отключают Xmlrpc.php
4) XML-RPC Validator
5) Просто удалите файл xmlrpc.php, нет файла, нет проблем.

Если ваш WordPress взломан, то через xmlrpc боты или сторонний администратор, может сделать публикацию на вашем сайте с даже с мобильного телефона. Именно это позволяет делать удалённый доступ предоставляемый xmlrpc.php.

XML-RPC это метод, составлять свой контент, затем подключаться к блогу с дальнейшей публикацией записи.

XML-RPC & WordPress сегодня
Начиная от версии 2.6 WordPress, 2008 год, WordPress дает возможность включения и выключения XML-RPC. Но, релиз WordPress для приложения под iPhone, поддержка XML-RPC была включена по умолчанию и не было возможности для отключения. Так осталось и поныне. Функциональность поставляемая уменьшилась файл что весил примерно 85kb теперь занимает до 3kb, актуальность XML сводится на нет.

Свойства XML-RPC это старый аналог API для WordPress
Новый (API) для WordPress позволит не использовать XML-RPC.

Хотя вы можете ожидать, что API будет включён непосредственно в ядро WordPress в будущем, что полностью исключит необходимость использования xmlrpc.php.

Новый API не идеален, но он обеспечивает более высокий уровень защиты чем xmlrpc.php.

Итак, почему и зачем отключать Xmlrpc.php?

Вопрос по проблема безопасности. Проблема не напрямую связана с XML-RPC, его часто используют для включения атаки на ваш сайт. Варианты защиты, Двух факторная авторизация и очень надёжный пароль, и в добавок можно использовать плагины защиты для WordPress, обеспечивающими безопасность в online режиме. Но лучшим выходом есть, просто отключить Xmlrpc.

Есть два основных слабых места XML-RPC, которые использовали в прошлом.

отключение xml-rpc

отключение xml-rpc
отключение xml-rpc

Вариант первый – прямой подбор пароля (brute force attacks) для получения доступа к админ панели вашего сайту. Атакующий бот, хочет получить доступ к вашему сайту, используя xmlrpc.php. Происходит подбор различных комбинации как имён пользователей так и их паролей. Такие боты, эффективны в использовании одной команды для тестирования сотен различных паролей. Такой вариант, на 100% позволяет ботам обходить инструменты безопасности, которые заточены на обнаружение и блокировки атак для прямого подбора.

Первый подход, внести правки в .htaccess

# Block WordPress any requests to xmlrpc.php

order deny,allow
deny from all
allow from 192.168.0.1

 

Вариант второй – из за DDoS атаки, сайт будет переведен в оффлайн и злоумышленники могут видить обратное уведомление для отправки его тысячам веб сайтам одновременно. Этот функционал xmlrpc.php даёт хакерам почти бесконечное количество IP-адресов для распространения атаки DDoS.

Проверка XML-RPC на работоспособность, используйте плагин Remove & Desable XML-RPC Pingback.
Запустите его как инструмент, если вы получите сообщение об ошибке, значит, у вас нет поддержки XML-RPC это хорошо.

Можно остановить выполнение скрипта xmlrpc.php, одним из двух подходов ниже.

Второй подход, установить плагин и отключить XML-RPC.

отключение xml-rpc

На данном этапе все, если у вас возникли вопросы. оставляйте их в комментариях.

WordPress добрий вибір для потужної демонстрації MVP.

Процес розробки веб-сайту

Дизайн має значення для веб-сайтів! Коли ви публікуєте сайт, його присутність робить заяву про смак, дизайн і особистість вашого бренду. Будучи дизайнером WordPress, я граю в обох ролях як художник з розвитку теми WordPress і технік. Як професійний дизайнер веб-сайтів, я поєдную художні навички з логікою програмування, щоб виразити свій бренд і повідомити ваше повідомлення.

Захист програмного забезпечення та даних

Інформація є одним з ваших найцінніших активів. Якщо ви збираєте та зберігаєте персональну інформацію ваших відвідувачів, ви несете відповідальність за її безпеку. Робота з професійним розробником бізнес-сайту є життєво необхідною, якщо ви обробляєте дані клієнтів. Я допоможу вам уникнути пасток і скористатися всіма інструментами, які зберігають ваші дані в безпеці.

Швидке завантаження сайтів

Відвідувачі вашого сайту не допускатимуть уповільнення завантаження вмісту. WordPress пропонує плагіни для збільшення швидкості завантаження сторінок, але, будучи розробником WordPress, я буду знати, як розробити свій веб-сайт для завантаження вмісту екранів вашої аудиторії в мить.

Вибір плагінів

WordPress настільки потужний і популярний, тому що він нескінченно розширюється. У WordPress є бібліотека з більш ніж 50 000 плагінів, якими розробники поділилися. Якщо правий модуль недоступний, я можу створити спеціальний плагін для вас або створити рішення, використовуючи спеціальний код.

Спеціальні кодовані функції

WordPress дозволяє керувати виглядом і функціональністю, вставляючи спеціальний код на свої сторінки. Розробник WordPress може полегшити роботу з технічними аспектами написання коду, будь то для поліпшення зовнішнього вигляду вашого сайту, його швидшого запуску або використання API для підключення до програми.

SEO для органічного трафіку

Пошукова оптимізація або SEO полегшує для людей, які зацікавлені в тому, що ви пропонуєте, щоб знайти ваш сайт. Чи знаєте ви, що ваш веб-сайт має дві різні аудиторії? Ви хочете, звичайно, звернутися до читачів людини, однак, ви повинні створити свій сайт і його зміст, щоб звернутися до машин теж. Люди знайдуть вас легше, якщо машини знайдуть вас першими.

Пошукові системи, такі як Google і Bing, постійно перебирають веб-сайти та рейтингові сторінки порівняно з ключовими фразами, які шукають відвідувачі. Застосування принципів SEO до вашого сайту підвищить ваші шанси на перемогу в цьому цінному органічному трафіку.

Аудиторія, яка перетворюється

Залучення трафіку на ваш сайт — це перший крок. Аудиторія, яку відвідують, корисна лише вам, якщо вони натискають посилання, які підтримують ваші бізнес-цілі. Незалежно від того, чи привертаєте ви трафік органічно або від об’яв, ваш веб-сайт повинен діяти як послідовність, яка спрямовує відвідувачів до дій і перетворює їх у платні клієнти для вашого бізнесу.

WordPress настільки універсальний, що ви можете відчути себе перевантаженим вибором і можливостями під час підготовки до запуску веб-сайту. Робота з досвідченим і сертифікованим розробником WordPress гарантує, що результат буде красивою, добре продуманою, швидкою завантаженням і безпечною платформою в кінці процесу розробки бізнес-сайту.

Старт легкого режима препроцессорной сборки ваших файлов стилей и скриптов

Более 5 лет назад когда обьемы фалов стали мешать сайтам, наша студия перешла на препроцессор Sass на базе спборщика пакетов grunt.
Последние пару лет, для сравнения взят на использование Gulp. Также имеется опыт работы с webpack.
Сегодня рассмотрим вариант использование, нашего репозитория для создания идеального примера.

За основу будет взята наша хот старт тема из репозитория

Что такое Gulp — на самом деле это 1 файл вашего репозитория, а он в свою очередь подвязан под репозиторий уже npm пакетов.
Выглядет это таким образом


// =================================
// ========= Config of File Gulpfile ================
// =================================

// config gulp and dependencies.
var gulp = require (‘gulp’),
watch = require (‘gulp-watch’),
browserSync = require (‘browser-sync’),
sass = require (‘gulp-sass’), // scss compilator
concat = require (‘gulp-concat’), // create one big js-file dist.js and vendor.js
uglify = require (‘gulp-uglify’),// minificator
imagemin = require (‘gulp-imagemin’), //minify-any-image
plumber = require (‘gulp-plumber’), // looking mistake in Gulp
notify = require (‘gulp-notify’), //
autoprefixer = require (‘gulp-autoprefixer’),// weblit
sourcemaps = require (‘gulp-sourcemaps’),
cleanCSS = require (‘gulp-clean-css’),
del = require (‘del’);

 

Каждый плагин к примеру gulp-watch gulp-autoprefixer после его установки будет иметь в руте папку node_modules/gulp....

как работает современная сборка стилей во время верстки темы для wordpress
как работает современная сборка стилей во время верстки темы для wordpress

Ниже пример, результат мы получили в и директорию APP откуда мы подключаем скрипты, уже к WordPress
При этом, основной файл Style.css тоже присутствует, он играет роль для найтройки темы.

Оригинал кода для файта Style.css , далее по ссылке

/*
Theme Name: Sierra group p.e.
Author : Platinum Trade
Description : Blog theme for Web dedelopers
Version : 1.1
Text Domain: web-master
*/

/*@import ‘/app/css/style.css’ screen;*/
/*Мы информируем не подключаем других разработчиков, где находятся стили */

Далее, пример подключения новых стилей, укороченный вариант.


function sierra_group_register_all_scripts_and_styles() {
// ======== CSS
wp_register_style( 'vendor', get_template_directory_uri() . '/app/css/vendor.css', false, '', 'all' );
wp_register_style ('style', get_template_directory_uri() .'/app/css/style.css', false,'', 'all');

// ======== JS
wp_register_script(‘vendor’, get_template_directory_uri() . ‘/app/js/vendor.js’, array(‘jquery’), true);
wp_register_script(‘dist’, get_template_directory_uri() . ‘/app/js/dist.js’, array(‘jquery’), true);
}

Далее следует указать их инициализацию, но не в этом суть.

Зачем нужно тестировать свои сайты, ответ прост

Рейтинг нашего блога 100 из 100 возможных оценок.
Рейтинг нашего блога 100 из 100 возможных оценок.

Елси ты начинающий Junior developer, или просто верстальщик сайтов и ты мечтаешь освоить WordPress. Если Ты сильно хочешь, что бы твой сайт попал в топ google, попасть в топ возможно, делай это так как говорят в современности на easy.
easy, как npm start easyстарт легкого режима препроцесорной сборки ваших файлов стилей и скриптов. Стили несут в себе дизайн визуальный вид, если сайт имеет хороший мобильный интерфейс, вы уже на милю в переди, надеюсь тем, что читает этот материал, это понятно.
Препроцессор сборка как gulp и его плагины, Вы решаете вопросы сборки валидного кода, к примеру авто дописывания префиксов для -moz- -webkit-, и минификация файлов на выходе с компилятора.
Суть тестирования состоит в том, что бы получить результаты сборки и поднять их до 100 баллов. Основная часть зависит именно от дизайнерской работы, второвтесенный фактор ваше сервер, вид хранения и какое по обрабатывает ваш сайт, наличие кеширование сервером нужных фалов, что буду использовать посетители.

Вы можете проверить самостоятальено как работает Наш сайт и после этого проверить свой

Вот ссылочка на сервис проверка оптимизации для мобильных

 

Восстановление WordPress из git repo repositories

git clone my-url for github or bitbucket ./

Ранее в статье реальная ситуация, где сайт подвергался атаке и манипуляции злоумышленниками, что используют учетные записи самого сервиса John041521@wordpress.com.

Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 6 Подставной пользователь в вашей базе данных и время.

Нашей задачей стояло изучить поведение сломанного сайта, и отключить перед новым годом доступ к базе данных и убрать все ссылки постов. По нашему мнению, наш ресурс использовался для не качественного продвижения запрещенных материалов в Азии.

После того как мы убедились в том, что наша база данных стабильна от 28-29 декабря, но файлы сайта по прежнему не стабильны. Принято решение полностью удалить все файлы, что могут быть заражены и делаем инициализацию нашего репозитория с самого начала. Это необходимо для обновления сервера из репозитория, сервиса хранения разработок.

Восстановление сайта из репозитория после взлома wordpress
Восстановление сайта из репозитория после взлома wordpress

Для обновлени репозитория мы используем comand line putty cli, через ssh подключение.

Но для начала, установлю простую версию WordPress с оригинальной темой, что идет в коробке в Декабре 2018 года от вордпресс официального сайта, и если завтра утром файлы сайта будут стабилен круто, нет удалим оригинальную тему и загрузим нашу подготовленную тему для WordPress. Еще вариант перейти на хостинг типа Cloud.

Технические обновления безопасности WordPress 5.0.2
Технические обновления безопасности WordPress 5.0.2

Защита WordPress сайта, безопасность вашего сайта часть (4/4)

Утро 3-го января, в 10 утра я продолжил изучение статистических данных после очередной атаки на сервер.

[Wed Jan 02 22:55:17.351083 2019] [core:crit] [pid 13303] (13)Permission denied: [client 51.75.196.34:18250] AH00529: /var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/' is executable

Вот что меня действительно удивило, так это то, что моя родная тема на WordPress отключилась, не ясно только как WordPress вышел из строя.

Мой тестовый пакет для разработки, получил массовую перегрузку.

хостинг пакет vsu-1 для тестирования
Хостинг пакет vsu-1 для тестирования.
точки входа wordpress - фото из фаервола
Точки входа wordpress — фото из фаервола.

Смотрим статистику, и видим что ВП сегодня ночью был подвержен другой атаке, мой ручной  запрет на инъекцию скриптов на uploads дает мне возможность протестоять взлому с того момента как мы запретили, это 24 декабрь +- дальше работать админ, бот не смог.

Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 6 Подставной пользователь в вашей базе данных и время.

Точки для инъекции постов после взлома системы:
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/xmlrpc.php
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/admin-ajax.php

Еще точки для возможных инъекций:

http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/load-scripts.php
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/load-styles.php

Хорошо видно на данном рисунке взлом WordPress происходит через директорию UPLOADS : 1 gif 1 css 1 js это и есть файлы скриптов для старта взлома, осталось найти эти файлы.
И как вариант закрыть в ручную страницы авторизации от доступа по default ссылке (url).

http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-login.php
http://создание-сайтов.укр/wp-admin

WordPress просит обновить себя до 5-й версии, но есть риск что это не поможет.

Тема для вордпресс сломана вирусом
Тема для WordPress сломана вирусом

Мы запустим обновление WordPress до версии 5.0, но это не помогло, возможно наша старая версия WordPress была с уязвимостью, и легко позволяла делать манипуляции.
Обновление показало что WordPress поврежден сильнее, чем ожидалось.
Решением станет полное удаление WordPress и установка чистой версии из оригинальных исходников репозитория ПП «Сиерра Груп».

Последний тест, что подтвердит что взлом wordpress состоялся успешно
Последний тест, что подтвердит что взлом wordpress состоялся успешно

На данном этапе мы полностью контролируем целостность базы и файлов, неодин сайт клиентов во время взлома не пострадал. Наш фаервол уведомлял нас о всех действиях, спасибо отдельно команде !

Далее : Продолжение восстановления  работы по восстановлению моей темы для WordPress из github. А вы кстати видел новые в папки style и webpack + wp-content + wp-includes+wp-admin.

на самом деле. мы испольщуем вебпак, только галп или грант уже много лет, внутри темы. Мне кажется вордпресс очень изменится в скором времени 🙂

Плагин для безопасности сайтов, защита WordPress

Мы подготовили краткий обзор существующих плагинов, и предоставим сое мнение о результатах их действия.

Что бы поднять низкий уровень безопасности WordPress, не важно, какое его целевое использование, будь это сайт или приложение. Да WordPress может быть приложением, хотя изначально это блог с лучшим функционалом для администрирования этого типа сайта.

По этому, если Вы действительно хотите усилить безопасность своего блога, почитайте эту информацию.

Плагин для WordPress по безопасности обзор ниже, плагин защищает Вашу систему администрирования WordPress и частично какие-то файлы системы ядра WordPress но не все, защищает плагин корректно файлы лишь в том случае, если Ваш реальный сетевой администратор, выполнил все базовые требования для защиты WordPress. WordPress может быть защищен используя еще ряд разных функции как Фаервол, защита FTP/SSH, и другие услуги, что поставляют Ваш хостинг провайдер, он же сервер хранения ваших данных, облачного типа и не простого типа как dedicated server. Администратор сайта WordPress может влиять на сайт, используя код для программирования через Админ панель WordPress по этому важно эту возможность убрать. Мы знаем всю необходимость быть уверенным в своей безопасности. Подберем вариант, чтобы позаботился о системе безопасности за Вас, то эта статья для вас.

Мы подготовили обзор инструментов, что есть в наличии на 2019 год.

Итак коротко, краткий обзор функций из двух лучших плагинов по безопасности:
Обзор плагина для защиты WordPress WordFence,
Вордфенс — сразу скажем, он платный для самых полезных функций, он тяжелый до безумия смотрите как устроена его база данных она по структуре очень схожа с WordPress. Ощущение, что плагин по безопасности равняется WordPress таблицам, уверен, что этому есть объяснение, от разработчиков плагина по безопасности, лично наше мнение отсутствует нормализация их таблиц. Много функций, много платных полезных функций, то что поставляется бесплатно, больше носит информационный характер. Конкурент Вордфенс это All in one wp security против из коллекции моего любимого all in one seo pack пак для SEO оптимизации. Просто отличный плагин для базовой SEO для WordPress, и бесплатна версия дает широкий функционал !

Оба плагина не смогли защитить сайт от DDOS-атаки, помогло отключение видимости сайта на сервере на период активной атаки, взлома файлов сервера не происходит, так как порядок налажен. Делаем выводы, что достаточно стандартного уровня защиты файлов и настройки директорий сетевым администратора. Плагины по защите WordPress , хороши тем, что там есть Двухфакторная автоматизация в Вордфенс. Защита админ панели от входа теми ip адресами, что производили взлом, главное обновлять этот список блокированных ip адресов.

Продолжение:
Была идея фиксирования взлома сайта, мой личный сайт, где я готовлю тему для WordPress. Был взломан WordPress инъекцией через папку UPLOADS файлов DB-1.php. Базой для фиксирования моего взлома стал сайт по адресу www.создание-сайтов.укр . Тема для WordPress несла в себе простую верстку главной страницы, ACF плагин под поля, Сайт был взломан в начале осени. Когда фаервол прислал уведомление, я решил посмотреть и изучить в научных целях, как работают плагины защиты, которые так сильно рекламируются для защиты и как на это будет реагировать наш сервер, после того как устраним доступы для злоумышленника. Наша версия взлома такова, отсутствие защиты на директориях, отсутствие htaccess и запрета на выполнения скриптов в нужной директории на момент взлома.

Начнем с того, что цель для проекта «создание сайтов» — это ранжирование по запросу «создание сайтов» что является средне-частотным запросом, информационного характера и в своем регионе дает большой трафик.
Для того, что бы эта модель заработала по направлению органики в выдаче трафика, понадобились годы подготовительных работ. Именно 7 лет создания сайтов разных тематик, сайты создаются и сегодня, но уже с более современным решение в сфере персональной безопасности сайтов, типа WordPress. Созданные сайты, несут в себе якорь на http://создание-сайтов.укр. Это работает, как на один из местных вариантов ранжирования лидера по созданию сайтов и современных приложений.
И самое прекрасное и интересное явление, как персональный WordPress трансформируется и превращается в веб-приложение. Представьте Этап — сайт блог о безопасности WordPress, при создании приложения API, используя обще известную логическую цепочку действий становится вкусным пирогом, лакомым куском данных для похитителя — взломщиков, что охотятся за персональными данными клиентов этих приложений. Собственные кейсы по безопасности для решения огромного пула задач, помогают делать решения не только для личных нужд, но и все клиентам, кому нужны услуги по безопасности WordPress на всех этапах разработки и поддержки.

 

Безпека сайту, залежить від умов її доступності, і певна міра її доступності це людський фактор

in.ua домен что значит, сколько стоит

Домен .in.ua — имеет отношение к доменной зоне Украины с целью общего его назначения. Домен .in.ua — может быть зарегистрирован любым частным лицом или организацией. Домен .in.ua — нашел распространение как указывающий «в Украине» (форум в Украине, блоги в Украине итд.).

Параметры доменного имени .in.ua

Средняя цена 240(+-30)грн/год
Минимальный срок регистрации 1 год
Максимальный срок регистрации 2 года
IDN — поддержка отличных от латинских сиволов в названии домена нет
Период приоритетного продления 20 дней после окончания срока делегирования домена
Время регистрации В течение 24 часов в случае отсутствия ошибок в предоставленных данных.
Минимум символов в названии домена 3
Максимум символов в названии домена 63
Допустимые символы в названии домена a-z, 0-9, —
Ограничения От 2 Nameservers (DNS).
Nameservers (DNS) должны быть корректно сконфигурированы перед подачей заявки.
Ссылка на правила доменной зоны http://www.in.ua/policy.php
Участие домена в акции «Домен в подарок» нет

При покупке домена на 2 года, можно получить хостинг в подарок на 2 месяца.
Хостинг в подарок как и другие подарки и постоянные акции и скидки на услуги студии, мыдарим все лучшие условия нашим старым и новым клиентам.