Skocz do zawartości

Zmień kolory
Primary: Sky Slate Blackcurrant Watermelon Strawberry Orange Banana Apple Emerald Chocolate Marble
Secondary: Sky Slate Blackcurrant Watermelon Strawberry Orange Banana Apple Emerald Chocolate Marble
Pattern: Blank Waves Squares Notes Sharp Wood Rockface Leather Honey Vertical Triangles
Welcome to Uploaduj.com - Forum Zarabianie przez Internet - Zarabianie na Uploadzie / Uploadingu
Register now to gain access to all of our features. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile and so much more. This message will be removed once you have signed in.
Login to Account Create an Account

Nawet 10 PLN za pobranie jednego pliku w Polsce? Sprawdź narzędzia w Lead.Network

Zdjęcie

[Poradnik][WP] Zabezpiecz się przez shackowaniem bloga!


  • Zaloguj się, aby dodać odpowiedź
1 odpowiedź w tym temacie

#1
Karczu

Karczu

    Administrator

  • Administrator
  • 5471 postów


Poradnik przeredagowany przez Termika z BHW, posiadam zgodę na jego umieszczenie tutaj



1. Wybierz dobrego dostawcę hostingu - czyli nie kieruj się ceną!
Pierwszy błąd wielu z Was popełnia już w przygotowaniach do zabawy w zarabianie. Niestety na forum panuje trend, aby wybierać najtańszy hosting (albo i darmowy), a nie ten, który nikogo jeszcze nie zawiódł.
W czym problem? Otóż wiele współdzielonych hostingów (bo takie kupujemy, jeśli nie jest to osobna maszyna - dedyk) ma źle ustawione CHMODY. Powoduje to powstanie wielkiej furtki przez którą można przejść i dostać się na FTP ofiary używając chociażby pewnych skryptów shellowych. Autor podaje, że minimum 30-40% blogów pada ofiarą shackowania przez to zaniedbanie. Jaka więc z tego płynie nauka? Aby nie kierować się ceną, i czasem dopłacić te kilka dolarów, które może nam oszczędzić później setki dolarów. GoDaddy, Hostgator, OVH - firmy w miarę sprawdzone i znane ze swoich solidnych zabezpieczeń "wokoło serwerowych".


2. Domyślna instalacja Wordpressa - nie zawsze domyślnie znaczy dobrze!
Jestem pewien, że zdecydowana ilość osób instaluje Wordpressa z domyślnymi ustawieniami loginów (admin), haseł i prefixów (wp_) bazy danych. Hackerzy używają teraz GPU zamiast CPU, co jest szybsze do crackowania haseł do Waszych stron. Jak utrudnić im ten proceder? Wystarczy wymyślić trudny do odgadnięcia login admina, ciąg losowych znaków+specjalne (min. 8) jako hasło i wpisać inny prefix bazy danych. Gwarantuję, że większość tego typu crackerów da sobie spokój, po kilku próbach.


3. Usuń wszystkie nieużywane pluginy, ostrożnie wybieraj szablony!
Przez okres pracowania na Wordpressie, po instalacji mam zakodowane, żeby usunąć wszystko co mi nie będzie potrzebne. Nie tylko, żeby strona chodziła szybciej ale właśnie też żeby hackerzy mieli utrudnione zadanie. Co usunąć? Domyślne szablony: Twenty Ten, Twenty Eleven i pluginy - Hello Dolly (Akismeta zostaw!). Ponadto wrzucenie szablonu z zaufanego źródła też jest bardzo ważne! Po co instalować piracki szablon z blachatów, torrentów czy warezów jak w 90% siedzi tam złośliwy kod? Praca pójdzie na marne, a jeśli wybierzesz szablon z wordpress.org to szybko zarobisz na upragniony, legalny już szablon!


4. Zainstaluj "Login LockDown"
Ten plugin zabezpiecza nawet w tajemniczy sposób stronę, przez co jest ona trudniejsza do zhackowania metodą brutusową (wpisywanie po kolei ciągów znaków). Ponadto, jeśli nasz hacker używa skanerów do WP typu "Wp-scan" to automatycznie pojawi mu się info, że korzystamy z Login LockDowna i jeśli zna się na rzeczy to prawdopodobnie odpuści sobie.


5. Ukryj wszystkie błędy
Niektórzy hackerzy używają wady PHP nazywanej FPD (Full Path Disclosure). Jest to po prostu wyświetlanie pełnej ścieżki serwera przy błędzie PHP.
Np.:
Warning: opendir(Array): failed to open dir: No such file or directory in /var/www/index.php on line 84
Luka ta może służy zwykle do zapoznania się z celem przez hackera i często używa on innej metody po wykryciu, że serwer wyświetla mu pełne ścieżki.
Zaradzić temu można na dwa sposoby:
1) Wystarczy dopisać do pliku konfiguracyjnego PHP: php.ini ten kod:
error_reporting = E_ALL & ~E_NOTICE
display_errors = Off
log_errors = On
error_log = /var/log/php/php.log
2) Jeśli mamy współdzielony hosting, i korzysta on z Apache to dopisujemy do pliku .htaccess:
php_flag  display_errors  off


6. Zabezpiecz hasłem katalog wp-admin!
Jest to jakby dodatkowa warstwa ochrony do sekcji admina. Autor oznajmia, że widział jak wiele blogów o właśnie bezpieczeństwie w sieci używa tego tricku.
1) Na początku potrzebujemy plik .htpasswd. Jest masa generatorów takich plików jak np.: http://www.htaccesst...sswd-generator/
2) Wpisz swoje hasło i login (pamiętaj o wskazówkach danych wcześniej) i skopiuj wygenerowany szyfr do pliku .htpasswd. Umieść go poza folderem public_html aby był trudniej dostępny.
3) Utwórz nowy plik .htaccess w katalogu wp-admin i dodaj tam kod:
AuthUserFile /pełna/ścieżka/do/Twojego/katalogu/z plikiem htpasswd/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic

require valid-user


7. Rób częste backupy!
Wygodne backupy umożliwia wtyczka backwpup: http://wordpress.org...ugins/backwpup/
  • 2

Interesują Cię płatności mobilne, przykładowo przyjmowanie wpłat za pośrednictwem SMS Premium bądź Direct Billing? Sprawdź ofertę HotPay.pl

 

Masz stronę internetową, bazę mailingową, fanpage na facebooku lub inne źródło dobrego ruchu? Sieć afiliacyjna Lead.Network dostarczy Ci najlepsze Programy partnerskie do zarobienia na Twoim zapleczu!


#2
jarix666666

jarix666666

    Świeżo zarejestrowany

  • Użytkownik
  • 44 postów
Posiadam równie fajny poradnik wejdź i poczytaj....
http://adf.ly/1eOLEg
  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych

Potrzebna Ci naprawdę dobra sieć afiliacyjna do monetyzowania ruchu bądź pozyskiwania klientów? Na Lead.Network znajdziesz tylko najlepsze programy partnerskie z sieci!
A może chciałbyś uruchomić płatności sms premium na swojej stronie internetowej? Do obsługi płatności sms premium rate, jedynym słusznym wyborem jest HotPay.pl!