Сайт на Wordpress няколко въпроса

[tipto]

Здравейте
Направих си информационен сайт на Wordpress 5.4.1 с около 25 статии.
Използвах една от 3 теми които идват с Wordpress.
Нямам нито един качен plugin.
Смених admin името с друго и сложих много сложна парола която дори аз не я помня

Въпроса ми е, трябва ли да променя нещо или кача за да защитя сайта си от пробив?

Четох доста в нета за различни неща, но тъй като нямам нито допълнителен plugin или външна тема качени, смяната на името и хубава парола достатъчни ли са за защита на сайта.

 

[eINFO.BG]

Ако сте на суперхостинг си настройте защитата от там.Може и да зададете от кои IP адреси да се отваря админ панела.

 

[tipto]

Само да допълня не говоря за 100% защита, какви големи сайтове ги събарят. Става на въпрос за една нормална защита дали стига това, че промених името и добавих сложна парола или да почвам с All In One WP Security Firewall и подобни.

 

[helf_php]

Здрасти
Значи първо да ти кажа, че няма кой да ти пробива сайта. Успех.

 

[tipto]

Здрасти
Значи първо да ти кажа, че няма кой да ти пробива сайта. Успех.

Хаха да сайта сигурно не струва и две стотинки дето се вика
но не искам някоя сутрин да се събудя и да са инжектирали или пренасочили или направили някоя друга мизерия

 

[Sky]

2020 година и още има хора говорещи за "секюрити плъгини"

 

[contra]

Права на папките, къстъм префикс на таблиците в базата, и да внимаваш какви плъгини/теми слагаш.

Е и някой друг бекъп да си запазваш като решиш че се е насъбрал ценен матриал.

 

[helf_php]

Хаха да сайта сигурно не струва и две стотинки дето се вика
но не искам някоя сутрин да се събудя и да са инжектирали или пренасочили или направили някоя друга мизерия

Не съм казал, че не струва! Значи казваш, че нямаш никакъв plugin и ползваш тема, която идва с Wordpress. Така. На практика говорим за Wordpress. Без никакво външно разширение няма как да ти пренасочат или инжектират каквото и да било. Wp е достатъчно защитен. Ако след време почнат да ти спамят wp-login-а в wp-admin има трикчета за спиране.

 

[tipto]

Не съм казал, че не струва!

@helf_php И да беше казал нямаше да сгрешиш

@Noke preфикса съм го сменил още при инстала НО права на папки не съм пипал?

@Sky за разлика от теб аз съм доста бос в тия неща и е нормално да говоря и задавам по тъпи въпросчета

Просто искам да е малко защитен ядвали някой по сериозен ще се занимава с моето творение но не искам разни келешчета които видяли нещо в Интернет да правят мизерии

 

[Sky]

Вепето го хакват с автоматични скриптове търсейки определени уязвимости в системата /плъгин/тема.
Плъгини щом нямаш и ползваш дефолт темите остава уязвимост в системата и пак си уязвим.

 

[CryptoInvest]

Вепето го хакват с автоматични скриптове търсейки определени уязвимости в системата /плъгин/тема.
Плъгини щом нямаш и ползваш дефолт темите остава уязвимост в системата и пак си уязвим.

Да живеят нулнатите теми и плъгини. Основно, проблема идва от тях.

 

[s1yf0x]

2020 година и още има хора говорещи за "секюрити плъгини"

Ти заеби плъгините, ами виж след това какви съвети му дава господина с компаньонките

 

[СЕО БГ]

Този мит със "защита" не съществува. Все пак можеш да позлваш някой плъгин да ограничи по-нататък опитите за влизане в сайта. Задължително изключи стандартната опция за коментиране или сложи плъгин който не позволява линкове в коментарите, както решиш. Ако искаш коментари може и фейсбук плъгин или Disqus например. Ако сайта ти е български, рядко ще ти се налага като цяло, докато не се развие. Ако е английски ще те скъсат след 2-3 месеца, като се индексира.

Аз правя следното: Админ с име дето няма кой да го познае, некъв рандом, даже не гледам какво натискам по клавиатурата, така или иначе си позлвам браузъра и запазени пароли, и от телефона със синхронизация на браузъра после мога да влезна в сайта и т.н. Ето пример за админ име, колкото и да е смешно, до сега ми е вършел работа този метод: jH3@jlg5rk .....Примерно.... Главния админ акаунт със плъгин му задаваш да не се индексира и да е скрит от списъка с потребители и му слагаш публично име някакво, можеи и името на сайта да е, все тая. Правиш си втори акаунт с инджикитайски пак символи, който ще позлваш за статиите и направа на страниците, задължително да е АВТОР, а не админ, може да му сложиш публично име някакво което да ти се представя в статиите. Ако си собственик на сайта и не са ти толкова нужни известия за регистрирани потребители и коментари сложи несъществуващ имейл, например jankfhbjkhbyjgujgvkutv@abv. bg. Споко, дори и да забравиш паролата, отиваш в phpMyadmin и я сменаш за минутка, има бол информация в интернет как става, два клика на мишка ,нова парола и сейв. Паролата на втория акаунт не ти трябва да я ползваш. Просто като пускаш статия или правиш страница избираш от секцията кой да е автор и избираш съответно акаунта с ранг автор и приключваш въпроса. Паролите на WP препоръдвам да са минимум 15 символа, смесени, големи и малки букви, цифри и символи, разира се рандом без да има смисъл или логика в паролата... Тези малки съвети ще ти спестят лапетата или начинаевщи хакери и там разни ботове до някъде. ако се развие сайта има плъгини за смяна на линка за вход например ( но са малко страшнички, ако нещо сгъне при обновяване или стане проблем с друг плъгин и мазалото няма да можеш да го оправиш сам ).

Това са в общи линии основните неща, другото е като се поразвие сайта ти и започне да добива популярност. Не съм имал проблем с нито една WP инсталация от години по този метод. Но все пак не разчитай и на това, такова чудо като защита не съществува. Ако някой реши да направи нещо и може да го направи, ще го направи...... За това тук идва и най-важния съвет: редовен бекъп на целия сайт ( файлове и база данни ). Така и да стане нещо си имаш резервно копие, слагаш го и само сменяш паролите и потребителските имена, ако са били компрометирани ).

 

[contra]

Този мит със "защита" не съществува. Все пак можеш да позлваш някой плъгин да ограничи по-нататък опитите за влизане в сайта. Задължително изключи стандартната опция за коментиране или сложи плъгин който не позволява линкове в коментарите, както решиш. Ако искаш коментари може и фейсбук плъгин или Disqus например. Ако сайта ти е български, рядко ще ти се налага като цяло, докато не се развие. Ако е английски ще те скъсат след 2-3 месеца, като се индексира.
...

Абе какъв плъгин - това е стандартна опция?!

Вероятността да ти влязат през логин формата е една от най-малките тъй че тия гимнастики с извратените пароли са една от последните грижи.

Най-лесно е да те издумкат през ТемеФорест темата или плъгина. Може и да са си вдигнали нивото напоследък, ама леко не ми се вярва. Проверяващите грам идея си нямаха едно време и приемаха всякакви боклуци дето не са обезопасени срещу елементарни SQL инжекцийки, скриптчета през формичките и т.н. Няма нужда да е нулната.

 

[tipto]

По добре да кажа какво съм направил а Вие може да ме посъветвате нещо допълнително
1. При инстал промених името admin i допавих много дълга без смислена парола.
2. Промених префикс на таблиците в базата при инстал.
3. Използвам темата Twenty Twenty която идва с пакета на WP.
4. Нямам нито един плугин качен допълнително.
5. Ограничех и махнах коментарите не ми трябват.
6. Забраних възможността да се регистрират потребители.
7. Добавих нов потребител като автор, който се вижда при добавяне на статии.

 

[Sky]

бла бла бла

Аз правя следното: Админ с име дето няма кой да го познае, некъв рандом, даже не гледам какво натискам по клавиатурата

бла бла бла

https://olix.top/wp-json/wp/v2/users/1

след като не сме компетентни по темата защо коментират въобще?

 

[contra]

Ок, ама отде му виде домейна?

 

[СЕО БГ]

Остава и бекъп да си направиш И после редовни бекъпи и да си ги сваляш някъде при теб и на още поне едно място за резерва

 

[alexkuzmov]

Здравейте
Направих си информационен сайт на Wordpress 5.4.1 с около 25 статии.
Използвах една от 3 теми които идват с Wordpress.
Нямам нито един качен plugin.
Смених admin името с друго и сложих много сложна парола която дори аз не я помня

Въпроса ми е, трябва ли да променя нещо или кача за да защитя сайта си от пробив?

Четох доста в нета за различни неща, но тъй като нямам нито допълнителен plugin или външна тема качени, смяната на името и хубава парола достатъчни ли са за защита на сайта.

Няма какво да се притесняваш. С гол wordpress 5+ няма да имаш проблеми с пробиви, инжекции и т.н.
Щом и коментари и регистрации си спрял съвсем няма какво да му се случи.
При wordpress проблемите идват от калпаво написани plugin-и и теми.

Ако ти се занимава, ето по изчерпателен guide: https://www.wpbeginner.com/wordpress-security/

 

[tipto]

Ок, ама отде му виде домейна?

Мисля, че го дава като пример защото това не е домейна на моя сайт.

Иначе доста се чудих защо не го направих на Blogger, че там няма разбиване