Автор: OSonich * Декабрь 30, 2018

Важная теза, зачем мы все это делаем.
Вступление к оптимизации сайта для обеспечения эффективного seo продвижения, требует подготовленного уровня безопасности, уточним какие есть нововведения от компании Google в конце 2018 года. Эти нововведения, подтверждают нашу практику по следующим уровням защита вашего сайта. Почему произошли обновления, это вообще произошло иза за необходимого урегулирования спама что поступает в почтовые ящики. в Европейском Союзе вступил в действие закон GDPR от 25 мая 2018 года, далее по ссылке более подробно сам закон в оригинале. Нововведения коснутся всех алгоритмов при работе с персональными данными, в первую очередь с гражданами ЕС(европейского союза), во вторую очередь граждан США, и в последнюю всех тех, кто тем или иным родом обслуживает граждан ЕС на своих серверах.

Следует выделить несколько моментов из большого перечня обновлений:
а) Если ваш сайт или страница, просит личную (персональную) информацию, такую как паспортные данные, номера банковских счетов, номера других документов что подтверждают личность и т. д., страницы дающие советы по юридической или финансовой стороне;
б) Ресурсы где есть денежные транзакций, пользователи могут передать персональную информацию о своей банковской тайне или счете; Например, любая страница, что позволяет вам что-то купить в интернете;
И другая информация, мед страховки и т.п. информация о здоровье, которая может повлиять на ваше физическое состояние;
в) Ресурсы где дают советы по важным жизненным вопросам.

Все это косвенно будет влиять на ваше будущее и финансовое состояние как факты влияния.
Google сделал следующие — большое внимание на показатель скорости загрузки и расширению функционала для вебмастеров:

г) Фактор ранжирование является скорость загрузки;
д) Запуск и обновление Lighthouse и Pagespeed Insights, далее по ссылке пример тестирования нашего сайта на вордпресс.

у) Запуск Mobile first Index и массовый перевод сайтов с уведомлением в Google Webmaster, еще лет 6 назад мы говорили о том, что Mobile first сборка макетов интерфейса — это приоритет номер один в рейтинге.

ф) Еще одно изменение, с улучшением сканирование сайтов на AJAX, особенно касается wp infinite scroll.

г) Сервис поддержка Google Assistant увеличивает штат сотрудников, с помощью быстрых ответов, разметки и дополнительных возможностей информируют пользователей достаточно эффективно.
з) И последнее еще один фактор это внедрения HTTPS протокола, скоро введут значки в браузере «небезопасный сайт», шутка индикаторы уже есть что сайт небезопасный, поднимут уровень безопасности.

HTTPS требует SSl сертификат безопасности, он необходим для защищенного режима работы между клиентом во время его работы с сервером.
Далее мы рассмотрим уровни защиты без плагинов, и с плагинами.

После того как мы отключили доступ спам боту для подключения к нашему Вордпресс, сервер регистрирует 11 попыток авторизации, и все без успешны.

атака-1го-числа-8-утра ошибка-авторизации
атака-1го-числа-8-утра ошибка-авторизации
атака-1го-числа-поиск-htaccess в руте wp-content
атака-1го-числа-поиск-htaccess в руте wp-content
атака-1го-числа-поиск-htaccess в руте wp-content files-are-executable
атака-1го-числа-поиск-htaccess в руте wp-content files-are-executable

После прочтения ошибок в логинации, видим 10 попыток, входа через 188.213.49.138 и одну через 191.254.249.146

107.150.117.67
123.59.170.207
128.14.224.112
144.76.104.67
150.60.158.162
153.92.0.2
153.92.0.23
153.92.0.24
153.92.0.6
157.55.39.48
164.132.102.125
174.138.52.118
174.138.59.146
181.214.180.182
188.213.49.138
188.226.161.183
191.254.249.146
193.201.224.210
216.244.66.247
34.196.97.47
34.217.77.182
46.4.96.196
5.9.155.226
54.161.157.7
54.36.65.80
69.46.36.20
73.92.140.229
74.208.58.70
77.222.57.247
77.87.198.39
82.165.85.6
89.111.177.210
91.134.248.245
91.240.109.1

Далее авторизация, точнее ее попытки закончились, так как скрипт получил подтверждение, что авторизация по другому адресу, также не доступна.
Проверка адресов, указала 2 страны, Румуния и Бразилия — следовательно можно сделать выводи, что блокирование ip не поможет. Далее изучим файл htaccess что искал наш злоумышленный бот.

[Tue Jan 01 12:00:32.386283 2019] [core:crit] [pid 6329] (13)Permission denied: [client 191.254.249.146:20040] AH00529: /var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/' is executable

.htaccess — один из основных файлов, дописать текст

У нас есть архив сайта, от 24 декабря, попробуем найти этот файл

Далее мы можем выбрать один из плагинов.

iThemes Security (ранее Better WP Security)

Продолжение в третей части о Защита вордпресс часть 3 

Оставить комментарий

30.12.2018

68 просм.

0