[Ищу] Какой-нибудь плагин для повышения безопасности

Тема в разделе "Wordpress", создана пользователем dexterFan, 28 ноя 2012.

  1. dexterFan

    dexterFan

    Регистрация:
    25 ноя 2012
    Сообщения:
    17
    Симпатии:
    1
    Wordpress 3.4
    на сайтах клиентов периодически появляется всякая нечисть ) Обфусцированные куски кода. Обычно удалить все не составляет проблем, но не понятно откуда она берется. Посоветуете что-нибудь?
    Пробовал Exploit Scanner, но толку от него мало.
     
  2. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    • WordPress Firewall 2 - блокирует попытки доступа к локальным файлам и sql-инъекции.
    • WP-Sentinel - проверяет безопасность http запросов, блокирует ip источников различных атак (брутфорс, инъекции, xss и др.)
    • Login LockDown - блокирует по ip при неправильном вводе пароля после определенного количества попыток.
    • Anti-XSS attack - предупреждение и защита от XSS-атак
    • Bulletproof Security - Борется с XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL Injection hacking.
    Еще есть пачка таких:
     
    Apathetic, musicfront и dexterFan нравится это.
  3. Rossen

    Rossen

    Регистрация:
    25 ноя 2012
    Сообщения:
    1
    Симпатии:
    0
    Better WP Security

    http://bit51.com/software/better-wp-security/


    • Scan your site to instantly tell where vulnerabilities are and fix them in seconds
    • Remove the meta “Generator” tag
    • Removes login error messages
    • Change the urls for backend functions including login, admin, and more
    • Create and email database backups on a customizable schedule
    • Ban troublesome bots and other hosts
    • Ban bad user agents
    • Completely turn off the ability to login for a given time period (away mode)
    • Prevent brute force attacks by banning hosts and users with too many invalid login attempts
    • Display a random version number to non administrative users anywhere version is used (often attached to plugin resources such as scripts and style sheets)
    • Remove theme, plugin, and core update notifications from users who do not have permission to update them (useful on multisite installations)
    • Remove Windows Live Write header information
    • Remove RSD header information
    • Strengthen server settings
    • Enforce strong passwords for all accounts of a configurable minimum role
    • Detect attempts to attack your site
    • Monitor filesystem for unauthorized changes
    • Rename “admin” account
    • Change the ID for user with ID 1
    • Security checker scans for vulnerabilities and tells you how to fix them
    • Change the WordPress database table prefix
    • Force SSL for admin pages (on supporting servers)
    • Force SSL for any page or post (on supporting servers)
    • Change wp-content path
    • Turn off file editing from within WordPress admin area
    • Works on multi-site (network) and single site installations
    • Works with Apache, LiteSpeed, or NGINX
    • Detects and stops numerous attacks on your database and filesystem
     
  4. mforex

    mforex

    Регистрация:
    20 дек 2012
    Сообщения:
    13
    Симпатии:
    1
    Вот эти 3 норм. Тестил полгода назад, хорошо себя зарекомендовали.
     
  5. alexsofdev

    alexsofdev

    Регистрация:
    13 янв 2013
    Сообщения:
    239
    Симпатии:
    46
    Даже если вы обвешаетесь всеми возможными защитными модулями для вашего сайта, то навесить смогут через соседний :Smile: Так что а) бежать с бесплатных и дешовых хостингов и б) нанять проф админа - час работы и ваш сервер будет защищен как крепость.
     
  6. Банановый

    Банановый

    Регистрация:
    15 янв 2013
    Сообщения:
    32
    Симпатии:
    0
    а что-нибудь автоматически проверяющее сайтик на подобную нечисть ? или же если хостинг нормальный, то и проблем быть не должно ?
     
  7. seadon

    seadon

    Регистрация:
    12 янв 2013
    Сообщения:
    26
    Симпатии:
    4
    Это довольно ресурсоемкий процесс, у большинства крупных антивирусов есть свои сервисы проверки сайта на наличие вирусов
    И яндекс, конечно, проверит, но тогда будет уже поздно
     
  8. adilok

    adilok

    Регистрация:
    20 янв 2013
    Сообщения:
    1
    Симпатии:
    0
    akismet его за глаза
     
  9. Volsky

    Volsky

    Регистрация:
    22 ноя 2012
    Сообщения:
    192
    Симпатии:
    10
    Именно им и пользуюсь кстати для повышения безопасности советую поработать с .htacess В помощь гугл поможет.
     
  10. MeroVingeR

    MeroVingeR

    Регистрация:
    20 янв 2013
    Сообщения:
    88
    Симпатии:
    14
    Немного не в тему, но этот плагин сильно поможет, если сайт уже взломали.
    WordPress Database Backup
     
  11. Volsky

    Volsky

    Регистрация:
    22 ноя 2012
    Сообщения:
    192
    Симпатии:
    10
    Да, а как скажи мне ты сможешь откатить базу данных если она была уже взломана?
     
  12. MeroVingeR

    MeroVingeR

    Регистрация:
    20 янв 2013
    Сообщения:
    88
    Симпатии:
    14
    Вы после взлома собираетесь сайт восстанавливать?
    Этот плагин шлет дампы базы вам на почту.
     
  13. yakutze

    yakutze

    Регистрация:
    29 янв 2013
    Сообщения:
    10
    Симпатии:
    2
    Скрипт AI-Bolit умеет делать следующее:

    • искать вирусы, вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, шеллы на основе несложной эвристики
    • искать редиректы в .htaccess на вредоносные сайты
    • искать код sape/trustlink/linkfeed в .php файлах
    • определять дорвеи
    • показывать директории, открытые на запись
    • искать пустые ссылки (невидимые ссылки) в шаблонах
    • отсылать отчет по email или сохранять в файл
    http://www.revisium.com/ai/
     
  14. Alexx88

    Alexx88

    Регистрация:
    31 янв 2013
    Сообщения:
    51
    Симпатии:
    5
    Берется скорее всего от паролей, хранимых в FTP-клиенте. Не встречал случаев, чтобы в актуальный WP вставляли куски кода каким-нибудь XSS и прочим, от чего обычно защищают все эти плагины. Базовых мер безопасности WP, которые можно найти на любом форуме, должно быть достаточно.
    Единственное, может быть уязвимость в каком-то из плагинов.
    В общем, читайте ссылки
    http://maxsite.org/bezopasnost-wordpress-kratkoe-rukovodstvo
    http://wp-guard.com/
     
  15. yakutze

    yakutze

    Регистрация:
    29 янв 2013
    Сообщения:
    10
    Симпатии:
    2
    Ну засада, на то и засада!
    Ты ее не ждешь, а она тут!
    Это как "ты видишь сурка, нет! и я нет! а он есть "
    --- добавлено: 1 фев 2013 в 15:34 ---
    Да!
    Был у меня где то скрипт который тестит сайт на возможность всяких атак.
    Если найду, выложу. Если нет, то извиняйте :byebye:
     
  16. lorio

    lorio

    Регистрация:
    29 янв 2013
    Сообщения:
    26
    Симпатии:
    6
    Очень помогает плагин Timthumb Scanner(во многих темах эта тука используется, и меня через её взломали), который ищет скрипты Timthumb, обновляет их и сообщает, если они уже взломаны.
     
  17. moneymc

    moneymc

    Регистрация:
    22 янв 2013
    Сообщения:
    200
    Симпатии:
    36
    Timthumb Scanner поставь обязательно. У меня через эту уязвимость весь сервак заразился. Скрипт не проверяет формат загружаемых файлов и грузит все подряд. А на Timthumb сделано большинство тем.
     
  18. IvanCat

    IvanCat

    Регистрация:
    10 дек 2012
    Сообщения:
    11
    Симпатии:
    0
  19. Chopik

    Chopik

    Регистрация:
    31 янв 2013
    Сообщения:
    38
    Симпатии:
    13
    Timthumb в первую очередь. если не хочеш беды... ато нахватаешся
     
  20. DionisCR

    DionisCR

    Регистрация:
    17 фев 2013
    Сообщения:
    108
    Симпатии:
    57
    Better WP Security - основной, акисмет мне как-то не пошёл.

    TAC (Theme Authenticity Checker)+ Timthumb + Anti-XSS attack сюда же.

    По поводу ТАС - не всегда видит "грязь" в шаблонаъ, особенно когда зловредный код в функциях, так что руками исходный код просмотреть на наличие посторонних ссылок следует тоже.