• DONATE to NULLED!
    Вы можете помочь Форуму и команде, поддержать финансово.
    starwanderer - модератор этого раздела будет Вам благодарен!

Помощь Взламывают сайт, как лучше защититься?

djchange

Постоялец
Регистрация
6 Окт 2010
Сообщения
123
Реакции
14
Статистика показывает что постоянно хотят взломать сайт:
Что пытаются сделать этим кодом? я так понимаю лезут в админку? что хотят сделать?

Код:
     22:40:38 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1
       22:40:49 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1+union+select+1
       22:40:58 ->[404] /wp-content/plugins/all-video-gallery/conf(...)vid=1&pid=11&pid=-1+union+select+1+from+wp_users
       22:43:15 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and 1=2]&type=html
       22:46:18 ->[404] /wp-content/plugins/wpSS/ss_handler.php?ss_id=-20 UNION ALL SELECT 1,2,3,4
       22:48:15 ->[404] /wp-content/plugins/fbgorilla/game_play.ph(...)user_login)*/),4,5,6,7,8,9,0,1,2,3+from+wp_users
       22:49:23 ->[404] /wp-content/plugins/contus-video-gallery/myextractXML.php
       22:49:52 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=0[ and 1=2]&type=html
       22:50:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=10000[ and 1=2]&type=html
       22:51:47 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and union+select+1+from+wp_users]&type=html
       22:51:56 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and union+select+1+from+wp_users]&type=html
       22:52:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and+union+select+1+from+wp_users]&type=html
       22:52:11 ->/wp-admin/admin-ajax.php?action=go_view_object&v(...)[and+union+select+login+from+wp_users]&type=html
       22:52:20 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=and+union+select+login+from+wp_users&type=html
       22:52:27 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=
       22:52:33 ->/wp-admin/admin-ajax.php
       22:52:39 ->/wp-admin/admin.php
       22:52:41 ->/wp-login.php?redirect_to=http://мой-сайт.com/wp-admin/admin.php&reauth=1
       22:52:43 ->/
       22:52:47 ->/detect/
       22:52:48 ->/wp-admin/admin-ajax.php
       22:54:55 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=18
       22:55:01 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=2
       22:55:06 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=3
       22:55:10 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=5
       22:55:16 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7
       22:55:22 ->/
       22:55:25 ->/detect/
       22:56:49 ->/
       22:57:05 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7

Чем защититься чтобы таким образом не ломали?
 
Всегда при установке использую такую связку:
Скрываю версию Вп в коде
Защита от хотлинкинга, от ботов, от прямого спама в адрес формы и защиту фаервола прописываю в .htacess
Сменяю префиксы к таблицам ВП
Меняю стандартный адрес админки и логин
Запрет на просмотр каталогов и прочее настраиваю в "iThemes Security"
Естественно всегда нужно иметь три последние версии бд, а лучше полного бекапа и заходить на хостинг через SFTP
Такая схема меня еще ни разу, ни на одном сайте не подводила
 
  • Нравится
Реакции: WP30
Я заблокировал доступ через htaccess по ip и все :) Я норм или не?
Не тешьте себя. До норм еще нужно быть уверенным, что кто-то прямо в базу не запишет, то что ему нужно.
 
Всегда при установке использую такую связку:
Скрываю версию Вп в коде
Защита от хотлинкинга, от ботов, от прямого спама в адрес формы и защиту фаервола прописываю в .htacess
Сменяю префиксы к таблицам ВП
Меняю стандартный адрес админки и логин
Запрет на просмотр каталогов и прочее настраиваю в "iThemes Security"
Естественно всегда нужно иметь три последние версии бд, а лучше полного бекапа и заходить на хостинг через SFTP
Такая схема меня еще ни разу, ни на одном сайте не подводила
а SFTP любой хостинг поддерживает или нет? все остальное полностью поддерживаю, а вот про SFTP хотелось бы поподробней, если можно...
 
а SFTP любой хостинг поддерживает или нет? все остальное полностью поддерживаю, а вот про SFTP хотелось бы поподробней, если можно...
SFTP - это SSH, так что не любой. Но, довольно много хостингов поддерживают.
 
  • Нравится
Реакции: WP30
а SFTP любой хостинг поддерживает или нет? все остальное полностью поддерживаю, а вот про SFTP хотелось бы поподробней, если можно...
Любой хостинг на VDS поддерживает SFTP, только настроить его вы должны сами (в случае VDS). Стоимость отличного VDS начинается с 5 у.е./мес, 20Гбайт SSD диск и 512Мбайт ОЗУ 2299.998 MHz processor Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.41-2+deb7u2 x86_64 GNU/Linux PHP Version 5.4.41-0+deb7u1 например у меня такой.
 
  • Нравится
Реакции: WP30
мы пока маленькие.. сидим на обычном хостинге ((( есть опасения, что могу не потянуть самостоятельно сервер настраивать и обслуживать ((( так что пока этот пункт оставим... а все остальное - да... тоже давно использую.. + постоянные мониторинги 404 и прочего + минимальная защита от ддоса
 
Кроме того я использую связку nginx + php-fcgi. Nginx умеет устанавливать отличные ограничения на количество обращений к зоне в промежуток времени. Отлично кэширует статический контент. Я рекомендую Вам начать именно с поиска хостинга на котором возможно настроить эту связку. К сожалению не знаю насколько wp зависим от apache.
 
мы пока маленькие.. сидим на обычном хостинге ((( есть опасения, что могу не потянуть самостоятельно сервер настраивать и обслуживать ((( так что пока этот пункт оставим... а все остальное - да... тоже давно использую.. + постоянные мониторинги 404 и прочего + минимальная защита от ддоса

Не знаю как для вас, а мы нашли VPS с поддержкой админов. Т е в стоимость входит администрирование серверов. Поэтому моя задача сводится к проверке всего, а дальше необходимо сообщить админам, которые все исправляют и настраивают. Стоимость получается 1000 р в месяц.
 
мы пока маленькие.. сидим на обычном хостинге ((( есть опасения, что могу не потянуть самостоятельно сервер настраивать и обслуживать ((( так что пока этот пункт оставим... а все остальное - да... тоже давно использую.. + постоянные мониторинги 404 и прочего + минимальная защита от ддоса
Не хотите знать основы администрирования (кстати, не так страшен черт, как его малюют...) - возьмите VPS с панелью, входящую в стоимость. Есть такие... И админы не нужны будут.
 
Не хотите знать основы администрирования (кстати, не так страшен черт, как его малюют...) - возьмите VPS с панелью, входящую в стоимость. Есть такие... И админы не нужны будут.
Ага, и пусть их сломают глобально, через дырявую панель.

Панели - адское зло!
 
Назад
Сверху