Рубрики
защита wordpress

Кто ломает и как защищать ваш WordPress, безопасность вашего сайта часть (1/4)

Добрый день, дорогие читатели. Сегодня мы рассмотрим тему взлом вордпресс сайта. Мы рассмотрим реальный пример, проведем анализ действий, покажем пример возможных последствий и сделаем правильные выводы.

Для начала небольшая предыстория, летом 2018 года группой junior веб разработчиков, составили небольшой план работ для изучения архитектуры вордпресс, результатом работы было одна страница с выводом постов различной комбинации, в том числе разных кастомных типов, не только базовый Post тип данных вордпресс, функционал был создан на базе плагина ACF pro.

В октябре месяце, фаервол сервера заметил странную активность, было принято решение, изучить взлом поведение и данные, сделать выводы обновить защиту на рабочих сайтах и сделать описание данных процессов о безопасности вордпресс сайта в уходящем декабре месяце 2018 года.

Итак, рассмотрим, что же произошло с сайтом за каких то пару месяцев, и определим далее шаги для защита сайтов.

  1. Увеличения трафика на сайт, данный трафик не несет полезности, это действия бота, что получил возможность публиковать посты, через дырку в ядре WordPress (рисунок № 1).

    Рис №1 Взлом вордпресс, плохой трафик для вашего сайта
    Рис №1 Взлом вордпресс, плохой трафик для вашего сайта
  2. Заполнение базой данных, разных статей не общего характера (рисунок №2)

    Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс
    Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс
  3. Обратим внимание, что количество постов около 10 тис. записей (рисунок № 3), размер базы данных составляет 125 мегабайт, при этом, взлом происходил через один из плагинов, в plugins директории, мы нашли много лишних резервных копий нашей бд.
Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс
Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс

 

Рис. № 4 Базы данных и время, атаки на Вордпресс
Рис. № 4 Базы данных и время, атаки на Вордпресс
Рис. № 5 Как производится внесение информации в базу данных и время, атаки на Вордпресс
Рис. № 5 Как производится внесение информации в базу данных и время, атаки на Вордпресс
Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 7 Лог файлы. сервера на который была атака.
Рис. № 7 Лог файлы. сервера на который была атака.

 

Итак, с чего начинается защита сайтов, вывод : после изучения учебного материала. В заключении мы опишем эффективные пути решения в нашем случае.

  1. 1. Первое, что необходимо делать, закрыть доступ через ФТП и представлять возможность подключения только по выделенному ip-адресу, запрещать запись новых сценариев, если не вы автор файлов. В нашем случае, так как проект находится на стадии разработки, атака прошла успешно, причиной стала открытость системы вордпресс, ее уязвимое ядро старой версии, потому первое действие было это обновить Вордпресс до последней версии, в нашем случае это версия 5.0.2, после этого и изменить права файлов CHMOD 755. И закрыть доступ через ftp.

    Запрет на подключение по ftp и ssh к сайтв на wordpress
    Запрет на подключение по ftp и ssh к сайтв на wordpress
  2. 2. Нельзя использовать плагины, что могут сделать уязвимость в работе WordPress, часто бесплатные, плагины просто не нужны в использовании в том виде в котором они поставляются, каждая такая установка не опытным пользователем засоряет вашу базу данных делая ее уязвимой, в случае нахождения бага сервисами, что целенаправленно DDos-сят сайты на вордпресс. Базу нужно очищать, от остатков мусорных данных плагинов и прочих загрязнений.
    взлом был через плагин all-in-one-wp-migration он запустил backupwordpress откуда был получен пароль и весь код системы, далее иньекции постов под видом админа.
    взлом был через плагин all-in-one-wp-migration он запустил backupwordpress откуда был получен пароль и весь код системы, далее иньекции постов под видом админа.

    взлом через выкачку backup wordpress данных, именно здесь была уязвимость.
    взлом через выкачку backup wordpress данных, именно здесь была уязвимость.
  3. 3. Блокировать попытки входа на рабочий адрес ххх.com/wp-admin или ххх.com/wp-login, путем настройки .htaccess скрыть дефолтные URL для авторизации в систему вордпресс.
  4. 4. Контроль версии ваших фалов, сервис репозиторий GitHub для безопасной публикации файлов на сервер, закрывать порты 80 FTP и SSH на сервере после публикации обновлений через контроль версии.
  5. 5. Настроить резервное копирование базы данных, с интервалом в 2-3 дня.
  6. 6. Чаще обращать внимание на важные письма, информирование от сервера на базе фаервола, сработало успешно, подозрительные угрозы были видно и как правило Ваш вебмастер, знает что нужно делать, важно время чем быстрее вы будете в курсе тем меньше вреда задаст робот при взломе. В данном случае, сайт находился в разработке, по тому мы смогли зафиксировать все стадии, что происходили с нашим веб сайтом, для создания уникального материала для этой статьи.
  7. 7. Скрыть для мошенников, возможность получения информации о текущей версии вашего вордпресс.

Продолжение во второй части о Защита вордпресс 

Рубрики
seo

Домен, выбор домена и зависимости для seo…

Выбрать домен можно использую панель подбора доменных имен, (/registracija-domena)
В этой статье мы поделимся опытом, и покажем вам что мы запустили. И в каких доменах мы заложили ключевой посыл клиентам.

В основе любого проекта, и в половине случаев адрес сайта можно придумать быстро. Так как большое количество людей, выбирают доменное имя на основе примера какого то посыла, названия имени, то что хочет человек создать уже имеет название. Когда в бизнес процессы начинают входить капиталы денежные, время специалистов то в связи  с этим происходит процесс автоматизация процесса, должна быть на должном уровне, слава богу выбор домена будет полу автоматическим и не часто затребованным процессом.

Создавая доменное имя, можно за 15 минут ограничить вашу локацию, действий, в половине случаев местный бизнес вообще слабо развит для поиска в интернете, к примеру в Киево Святошинской области, что 20 минут от метро вы не закажите UBER, вас не найдут, тот же эффект проблемы мы наблюдает с предпринимателями в Украине и Киевской области в том числе.

Определим несколько важных зависимостей, регион действия.
Зона, мир — com , ua,ru — страна Украина,Россия net,org — организации и сообщества

Для украинского потребителя, есть более точные региональные настройки как kiev.ua, lviv.ua odessa.ua.

Если это тестовый запуск mvp продукта или не сложного сайта, Вам по сути все равно какой адрес сайта у вашего тестового проекта, самый простой и уникальный адрес будет стоить от 5 долларов в год. Нормальный рабочий вариант домена может быть заменен после  правок, специалиста по продвижению проекта в сети.

Теперь немного о поисковой оптимизации seo. Золотое правило № 1. это правильная семантика и подключение нужных служб для подготовки проекта для работы в сети.

Всегда полезно, читать что написано на официальном сайте google.com
гуглим слова далее, webmasters, analytics, adwords, trends, gmail/drive, api google, organic, insights google.

 

Рассмотрим как услуга подбора доменного имени Нейминг, работала и сделала результат, регистрация доменного имени, дизайн сайта и сам сайт собран.

Первая ступенька к формированию вашей торговой марки для бренда пройдена.
Вот что действительно хорошо, так это то что большинство медиа метариалов в других источниках кроме как Google, начинают писать и говорят о правильных инструментах и действий. Читайте google чаще. Будет факт того, доменное имя это правильное формулирование переведенной информации с официальных источников трендов.  Гуглить это смысл бытия современного человека. Далее смотрим примеры, рабочих проектов :

 

Чем проще ваш Бренд в начале, тем лучше он будет функционировать.

https://advokaty-kiev.com/ http://www.shina-rezina.com.ua http://artemida-tour.com.ua www.vash-sadovnik.com.ua www.agrovostok.com www.euro-shina.kiev.ua

Прототипы, возможно закрытых сайтов проектов. www.wm-obmen.com www.vash-poliv.com www.elk-on.service www.firework.kiev.ua

В условиях ограниченности, старайтесь создавать имя для сайта как будущий бренд, если это необходимо: UA домены требуют торговой марки.

www.bazarchik.ua — интернет магазин — чего угодно и детских шапочек

www.lampa.ua — интернет магазин света но не шапок !? или magazin-sveta.com \ mir-sveta.com

www.imena.ua — хороший пример для сервиса для продажи доменных имен.

www.moy-noviy-adres.com / www.m-n-a.com/www.mna-service.com for API

Вы получите, нужный вариант обращайтесь за Брифом для подбора доменного имени.

При подаче заявки на регистрацию доменного имени указывайте только актуальную информацию.

Если Вы придумали Ваше имя, проверьте его, если оно свободно сохраните заявку в панеле поиска доменных имен.

 

Рубрики
prestashop

Удалить пустые категории Prestashop 1.7, 1.x

Сегодня день был посвящен изучению CSV загрузки категорий, во время тестирования, образовались лишние категории, что не удобно удалять в админ панели.  Категорий около 40 и они все пустые, то есть нет товаров.

Как удалить пустые категории престашоп, ответ прост:

phpmyadmin откроем нашу базу:

И запустим этот код.

DELETE FROM`ps_category` WHERE `id_category` != 1 and id_category not in (SELECT cp.id_category from ps_category_product cp ) ;
DELETE FROM `ps_category_lang` where id_category not in (select id_category from ps_category);
DELETE FROM `ps_category_group` where id_category not in (select id_category from ps_category);
DELETE FROM `ps_category_shop` where id_category not in (select id_category from ps_category);

Что бы очистить вашу бз, от пустых категорий на prestashop.
Вам достаточно, провести запрос выше, в phpmyadmin

Рубрики
общее

Получить хостинг в подарок на 1 месяц

Что бы получить подарок на 1 месяц и более. Нужно купить доменное имя,  перед тем как покупать имя, необходимо потратить немного времени для правильного подбора доменного имени

Подарок может быть предоставлен, каждому новому домену, более подробно уточняйте у наших менеджеров.

Коллективный хостинг у лучшего хостинг провайдера Украины,  это экономия вашего бюджета от 5-25% в год.

Хостинг — важный элемент системы для сложных веб проектов, сложность может быть определена компонентами для запуска приложения, но для простых веб сайтов и магазинов.  Коллективный хостинг, это лучший вариант хостинга.

Облачный хостинг это некий аналог привычного для нас хостинга, разница состоит в том, что место хранения ваших данных может быть где угодно, в отличии от привычного для нас, стандартного хостинг-сервера. Облачная технология, помогает не только решить ряд проблем по безопасности, а также повышает область и зону работы вашего бизнеса в сети.

Рубрики
общее

Контроль версии GIT, что такое Git hub

Для правильного управления ходом событий, и как минимум фиксирования удачных этапов. Мы хостим сохранить наш прогресс, так как в разработке любой взаимосвязи этот процесс имеет место иметь баг.

Контроль версии. Помогает устранять баги в системе, делая систему более гибкой в архитектуре и тп.

Если вы к примеру, хотите сделать ребилд версии, обновление. магазина, если что то пойдет не так, благодаря контролю версии вы сможете сделать откаты или использовать старые удаленные элементы или модули заново.


git init
git status
git add .
git commit -m' first init commit'

далее следует обращение для отправки вашего коммита для хранения в  https://github.com/ гит хаб, это библиотека публичных репозиториев. Если вам нужен не публичный репозиторий, эти услуги платные.

один из вариантов платного хранения, можем рекомендовать https://bitbucket.org/

Рубрики
wordpress

Установка wordpress, как установить вордпресс самостоятельно на localhost

Быстрая установка wordpress без консоли :

1) Скачаем архив WordPress с официального источника.
2) Распаковываем его на вашем localhost и запускаем Apache, как настроить Apache openserver.
3) Создаем пустую базу данных и пользователя (пользователь подходит базовый по желанию можно создать еще одного).
4) Резервируем домен на localhost и запускаем WordPress из Вашей папки, как это показано в примере пункт 2.
5) После открытия окна, проходим 2 минутную инсталляцию, вводим данные базы данных, Готово.

 


А теперь более подробно :

Если у вас нет Apache сервер на localhost читайте далее:

Установка WordPress при условии наличия любого сервера Apache с поддержкой PhP базово версии(5.6,7.0)

Краткий туториал на тему #wordpress быстрая установка.
Быстрая установка на вашем компьютере возможна, если у вас есть сервер Apache. Скачать можно тут OpenServer , пожалуй лучшее для локального использования в разработке сайтов под Windows. Лучше OpenServer, пожалуй только реальный сервер, аналоги Apache XAMPP или MAMP для OS Mac.

В нашей практике используется все и чуть более. https://ospanel.io/download/ бесплатна раздача есть но долго, быстро скачать( обращайтесь ).

Рубрики
портфолио

Дизайн сайта, глазами нашей компании

Дизайн сайта можно считать успешным, когда он не мешает пользователям использовать сайт. В большинстве случаев, мы используем современные технологии, что позволяют делать наш код очень гибким. Очень часто мы сталкиваемся с тем, что определенные наработки предоставлены нам для изучения, остро необходимо привести к стандарту того вида, тип которого мы хотим отобразить. В конце 2018 года, поисковые системы повысили рейтинг тем сайтам, чьей дизайн сайта собран на базе принципе Mobile First. Такой подход не только увеличивает ранжирование клиентского сайта, но и позволяет избежать в большинстве случаев необходимости создания мобильных версий, то есть мы можем создать сайт и приложение, что будет работать абсолютно на все устройствах где есть Браузерная поддержка, и последние в свою очередь поддерживают необходимые современные стандарты атрибутов и свойств елементов интерфейса.

В основе любого дизайна, лежит сервер, то как будет запрограмирован внешний вид не влияет на работу сервера, по началу. Но в будущем, если ваш сайт будет набирать обороты, вы почуствуете увеличение нагрузки, именно в этом этапе, остро становится понятие UI UX опыт и понимание движения человека по системе взаимосвязей.

Рассмотрим пример сайта по путешествиям. В нашем случае мы получили 100% понимание нашей структура, далее мы можем менять цветовую гамму, как нам это хочется. А для маленького экрана, необходимо разработать правильные изменения меню в шапке сайта.

Вот вариант полноценного сайта в одном цветовом исполнении.
красный дизайн сайта о путешествиях
И еще один вариант цветового исполнения
зеленый дизайн сайта о путешествиях

Процесс создания дизайна, в каждом случае может быть уникален, хотя при этом использовать шаблоны общих технологий.  В нашем случае мы используем большое количество брифов и других технических материалов, в том числе живое общение, для формирования нужного интерфейса и создания правильного дизайна для сайта.

Рубрики
портфолио

Веб студия, что и как только полезная информация

Веб студия, это дюжина кодеров без учета менеджерского персонала.

Продукт студии это ресурс, или сайт — если говорить понятным языком, сайт от студии — это как минимум качественный продукт, что был создан в нужной среде при условии что у студии есть собственный штат сотрудников. Существует большое количество веб студий посредников, это так сказать старые рекламные или как пишут по современному digital агентства, но даже в такой комбинации у digital агентства может быть буквально парочку разработчиков. И им достаточно, но согласитесь любой современный большой проект с точки зрения безопасности может и вовсе не пройти до допустимого уровня качества, что бы работа была загружена на PRODUCT сервер.

Сайт это файлы, составляющие элементы модулей и систем где прописаны условия выполнения и отображения информации. Свое начало эти файлы берут на компьютере разработчика, это localhost, далее следует зона тестирование DEVELOPMENT сервер, и если все окей происходит отгрузка продукта на PRODUCT сервер.

Файлы — это определенная система может быть сложной системой, собрана на базе более мелких систем используют сервер (хостинг) для работы с данными любого типа.

Для упорядоченного отображения информации для клиента от сервера, служит монитор. А жесткий диск где эта информация храниться и доступна для вывода и чтения простым пользователям, а для редактирования или удаления информации на сервере, данные функции предоставляются администраторам или модераторам сайтов.

Таким образом, можно определить несколько следующих понятий, открытая часть сайта и закрытая часть. Открытую условно назовем Фронт (frond end), закрытая часть Бек (back end).

Создание сайтов — это процесс разработки веб продукта на базе
среды разработки при помощи разных совокупных систем на бековой части, с выводом ее на фронт. В более простых сайтах, как одностраничный, landing page может отсутствовать back endчасть, управления фронтальным выводом данного сайта и не важно что он одностраничный.

Для создания к примеру самой простой админ панели, можно использовать ряд готовых решений, из которых я бы хотел выделить самую доступную систему управления вашим содержимым.

Знакомьтесь это Вордпресс, CMSWordPress.

 

Рубрики
общее

Добро пожаловать в мир WordPress и страну приложений

Это наша ваша первая запись.

Добро пожаловать на еще один сайт на WordPress.

ПП «Сиерра груп» более 10 лет, оказывает поддержку национальному сегменту малого и среднего бизнеса а также международным проектам, в сфере разработки комплексов по предоставлению информационных услуг в сети интернет.

Данный ресурс. создан для людей от команды разработчиков, за все время нашего существования! Мы собрали огромное портфолио как публичных так и не публичных сообщений.

Для тех кому интересно. это WP типа блок как сайт собран для рекламных целей и хорошей подготовкой для мобильных устройств на одной из лучших тем Colangine 2013.

У нас есть около 125 разных модификаций, данной темы, что по сей день успешно работают как блог, в России и стран Азии.

Внутри нашего сайта, Вы сможете найти приложения на Heroku & REACT JS — registraciya imena domena