Помощь Взламывают сайт, как лучше защититься?

[djchange]

Статистика показывает что постоянно хотят взломать сайт:
Что пытаются сделать этим кодом? я так понимаю лезут в админку? что хотят сделать?

     22:40:38 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1
       22:40:49 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1+union+select+1
       22:40:58 ->[404] /wp-content/plugins/all-video-gallery/conf(...)vid=1&pid=11&pid=-1+union+select+1+from+wp_users
       22:43:15 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and 1=2]&type=html
       22:46:18 ->[404] /wp-content/plugins/wpSS/ss_handler.php?ss_id=-20 UNION ALL SELECT 1,2,3,4
       22:48:15 ->[404] /wp-content/plugins/fbgorilla/game_play.ph(...)user_login)*/),4,5,6,7,8,9,0,1,2,3+from+wp_users
       22:49:23 ->[404] /wp-content/plugins/contus-video-gallery/myextractXML.php
       22:49:52 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=0[ and 1=2]&type=html
       22:50:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=10000[ and 1=2]&type=html
       22:51:47 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and union+select+1+from+wp_users]&type=html
       22:51:56 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and union+select+1+from+wp_users]&type=html
       22:52:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and+union+select+1+from+wp_users]&type=html
       22:52:11 ->/wp-admin/admin-ajax.php?action=go_view_object&v(...)[and+union+select+login+from+wp_users]&type=html
       22:52:20 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=and+union+select+login+from+wp_users&type=html
       22:52:27 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=
       22:52:33 ->/wp-admin/admin-ajax.php
       22:52:39 ->/wp-admin/admin.php
       22:52:41 ->/wp-login.php?redirect_to=http://мой-сайт.com/wp-admin/admin.php&reauth=1
       22:52:43 ->/
       22:52:47 ->/detect/
       22:52:48 ->/wp-admin/admin-ajax.php
       22:54:55 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=18
       22:55:01 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=2
       22:55:06 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=3
       22:55:10 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=5
       22:55:16 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7
       22:55:22 ->/
       22:55:25 ->/detect/
       22:56:49 ->/
       22:57:05 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7

Чем защититься чтобы таким образом не ломали?

 

[Sergio022]

Для просмотра ссылки Войди или Зарегистрируйся, вроде бы неплохой плагин, но вся его суть в добавлении кода как раз в .htaccess. Минус - это наличие известных конфликтов с популярными шаблонами.

 

[Sergiop]

А как вам плагин iThemes Security?
Тоже вот, безопасностью озадачился..

 

[Sergio022]

А как вам плагин iThemes Security?
Тоже вот, безопасностью озадачился..

Много всяких перепробовал, в принципе они одно и то же делают все.
Мне проще для использования показался All In One Wp Security
Для просмотра ссылки Войди или Зарегистрируйся

 

[Sergiop]

Интересно, а почему бы изначально не встроить в WP возможность изменения страницы входа и устанавливать количество попыток входа? Хотя бы..

 

[Sergio022]

Интересно, а почему бы изначально не встроить в WP возможность изменения страницы входа и устанавливать количество попыток входа? Хотя бы..

Ну там много чего нет в коробке, WordPress развивается все-таки из блогов, и практически идеальная система для этого. Безопасностью никогда не славился. Поэтому даже плагинами защититься до приличного уровня не получится., к сожалению. В интернете много инструкций, как оптимизировать сайт на вордпроессе и как повысить безопасность, если интересно - почитайте.

 

[Vadim.sh]

Палю тему, использовать обратный прокси cloudflare. Настроить фильтрацию по нецелевой аудитории. Выкинуть всякий там Китай, Тайвань, Бахрейн, Нигерию, Бразилию, Мексику. Работает 2 месяца полет отличный. Ссылку на сайт давать нет смысла. Гугл знает.

 

[goshavis]

подскажите что сделать новичку? сайт пока не сильно песещаемый, какие-то простые плагины, чтобы не думать когда будет уже пожно

 

[Sergiop]

goshavis, поставить плагин iThemes Security, выполнить в нём все возможные фиксы, ну и можно добавить что Vadim.sh посоветовал..
Я пока так сделал..

 

[anananas]

Классические приёмы, чтобы минимизировать взлом

- устанавливать всегда последние версии ПО и поддерживать их в актуальном состоянии;
- хранить пароли в защищённом месте и менять периодически;
- установить антивирусное ПО на сайте (например Manul от яндекса).

 

[alejandro]

Классические приёмы, чтобы минимизировать взлом

- устанавливать всегда последние версии ПО и поддерживать их в актуальном состоянии;
- хранить пароли в защищённом месте и менять периодически;
- установить антивирусное ПО на сайте (например Manul от яндекса).

основные взломы идут из-за корявости установленных плагинов/редакторов, в частности основанных на tinymce.
спрячьте админку, на сервере настройте бан от брута.