Помощь Защита от взлома WP

[xsata]

Кто такие модули использует для защиты:
админки, скриптов, доступа?

 

[iFormer]

Я использую ithemes security всё в одном и пять минут настройки. Действенная защита.

 

[Ronard]

Большенство взломов сейчас через плагины , так что ставьте либо от офицыалов либо проверяйте по 10 раз )

качаю прям из админки и часто с вирусами идут тоже

 

[Igor791]

Также ставлю на свои сайты Login LockDown, admin меняю на другое значение, пока полет нормальный

Для смены юзера через phpmyadmin делаем запрос к базе данных, прописывая следующий код
UPDATE wp_users SET user_login='admin', user_login='novyi_login';
Предварительно делаем бэкап, на случай если что-то пойдет не так.

 

[nearb1rd]

Народ может кто-нибудь знает как заблокировать доступ к wp-login.php какой-то китайский бот постоянно пытается брутфорсить админку через этот файл. Я поставил бан ip после 3 попыток. Но он никак не уймется и постоянно с новых IP пытается. Если закрывать с помощью .htaccess .htpasswd , то в разделах сайта где проверяется залогинен или нет пользователь (например в корзине вукомерс) - выскакивает окно с логином что жутко бесит пользователей. Как еще можно заблокировать ему доступ ?

 

[Teceract]

2. убить meta name="generator" в заголовках;

в файлах вп есть строки, где указывается версия движка, особенно в скриптах и стилях, после каждого обновления приходится подчищать.

Может кому нужно будет:

function rem_css_js( $src ) {
    if ( strpos($src, 'ver='))
        $src = remove_query_arg('ver', $src);
    return $src;
}
add_filter('style_loader_src', 'rem_css_js', 9999);
add_filter('script_loader_src', 'rem_css_js', 9999);

Народ может кто-нибудь знает как заблокировать доступ к wp-login.php какой-то китайский бот постоянно пытается брутфорсить админку через этот файл. Я поставил бан ip после 3 попыток. Но он никак не уймется и постоянно с новых IP пытается. Если закрывать с помощью .htaccess .htpasswd , то в разделах сайта где проверяется залогинен или нет пользователь (например в корзине вукомерс) - выскакивает окно с логином что жутко бесит пользователей. Как еще можно заблокировать ему доступ ?

Используйте при авторизации через wp-login.php плагин капчи, например Google Authenticator(он также дает количество попыток)
В таком случае брут не будет иметь смысла.

Раньше перебивал wp-login.php на свое название файла + нужно в других файлах править путь к нему.
Как вариант, чтобы отбить атаки - Hide My WP

 

[нарада]

Как вариант, чтобы отбить атаки - Hide My WP

Если и ставить плагины, и не заморачиваться, после каждого обновления о правках файлов, то лучшего чем iThemes Security (бесконфликтного) – пока не встречал.

 

[free321]

Намучался я с iThemes Security, в итоге установил all in one wp secutity (он полностью на русском) в связке с hide my wp, в админку теперь вообще невозможно попасть кроме меня никому, плюс защитил нужные файлы и попрятал ненужные, а из исходного кода поудалялся весь лишний мусор, а также отключился лишний функционал вроде emoji и rest api с полдесятком другой ерунды, и главное без заморочек с function.php и сторонними плагинами. Приятным бонусом стало то, что скорость загрузки существенно возросла, советую абсолютно всем, притом что на ютубе есть подробные видео.

 

[Igor791]

в файлах вп есть строки, где указывается версия движка, особенно в скриптах и стилях, после каждого обновления приходится подчищать.

Может кому нужно будет:

function rem_css_js( $src ) {
    if ( strpos($src, 'ver='))
        $src = remove_query_arg('ver', $src);
    return $src;
}
add_filter('style_loader_src', 'rem_css_js', 9999);
add_filter('script_loader_src', 'rem_css_js', 9999);

Отпишитесь куда необходимо прописать эти строки, тк версия видна в коде.

 

[free321]

Отпишитесь куда необходимо прописать эти строки, тк версия видна в коде.

Зачем изобретать велосипед и влазить в этот файл, если hide my wp подчистит все без этих танцев с бубнами) function.php ведь не резиновый)

 

[Svictor]

Ставлю Для просмотра ссылки Войди или Зарегистрируйся