Сайт на Wordpress няколко въпроса

tipto

Active Member
Здравейте ;)
Направих си информационен сайт на Wordpress 5.4.1 с около 25 статии.
Използвах една от 3 теми които идват с Wordpress.
Нямам нито един качен plugin.
Смених admin името с друго и сложих много сложна парола която дори аз не я помня :D

Въпроса ми е, трябва ли да променя нещо или кача за да защитя сайта си от пробив?

Четох доста в нета за различни неща, но тъй като нямам нито допълнителен plugin или външна тема качени, смяната на името и хубава парола достатъчни ли са за защита на сайта.
 
Последно редактирано:
Ако сте на суперхостинг си настройте защитата от там.Може и да зададете от кои IP адреси да се отваря админ панела.
 
Само да допълня не говоря за 100% защита, какви големи сайтове ги събарят. Става на въпрос за една нормална защита дали стига това, че промених името и добавих сложна парола или да почвам с All In One WP Security Firewall и подобни.
 
Здрасти ;)
Значи първо да ти кажа, че няма кой да ти пробива сайта. Успех.

Хаха да сайта сигурно не струва и две стотинки дето се вика :D
но не искам някоя сутрин да се събудя и да са инжектирали или пренасочили или направили някоя друга мизерия ;)
 
2020 година и още има хора говорещи за "секюрити плъгини"
 
Права на папките, къстъм префикс на таблиците в базата, и да внимаваш какви плъгини/теми слагаш.

Е и някой друг бекъп да си запазваш като решиш че се е насъбрал ценен матриал.
 
Хаха да сайта сигурно не струва и две стотинки дето се вика :D
но не искам някоя сутрин да се събудя и да са инжектирали или пренасочили или направили някоя друга мизерия ;)
Не съм казал, че не струва! Значи казваш, че нямаш никакъв plugin и ползваш тема, която идва с Wordpress. Така. На практика говорим за Wordpress. Без никакво външно разширение няма как да ти пренасочат или инжектират каквото и да било. Wp е достатъчно защитен. Ако след време почнат да ти спамят wp-login-а в wp-admin има трикчета за спиране.
 
Не съм казал, че не струва!

@helf_php И да беше казал нямаше да сгрешиш ;)

@Noke preфикса съм го сменил още при инстала НО права на папки не съм пипал?

@Sky за разлика от теб аз съм доста бос в тия неща и е нормално да говоря и задавам по тъпи въпросчета ;)

Просто искам да е малко защитен ядвали някой по сериозен ще се занимава с моето творение но не искам разни келешчета които видяли нещо в Интернет да правят мизерии :D
 
Вепето го хакват с автоматични скриптове търсейки определени уязвимости в системата /плъгин/тема.
Плъгини щом нямаш и ползваш дефолт темите остава уязвимост в системата и пак си уязвим.
 
Вепето го хакват с автоматични скриптове търсейки определени уязвимости в системата /плъгин/тема.
Плъгини щом нямаш и ползваш дефолт темите остава уязвимост в системата и пак си уязвим.
Да живеят нулнатите теми и плъгини. Основно, проблема идва от тях.
 
2020 година и още има хора говорещи за "секюрити плъгини"
Ти заеби плъгините, ами виж след това какви съвети му дава господина с компаньонките
 
Този мит със "защита" не съществува. Все пак можеш да позлваш някой плъгин да ограничи по-нататък опитите за влизане в сайта. Задължително изключи стандартната опция за коментиране или сложи плъгин който не позволява линкове в коментарите, както решиш. Ако искаш коментари може и фейсбук плъгин или Disqus например. Ако сайта ти е български, рядко ще ти се налага като цяло, докато не се развие. Ако е английски ще те скъсат след 2-3 месеца, като се индексира.

Аз правя следното: Админ с име дето няма кой да го познае, некъв рандом, даже не гледам какво натискам по клавиатурата, така или иначе си позлвам браузъра и запазени пароли, и от телефона със синхронизация на браузъра после мога да влезна в сайта и т.н. Ето пример за админ име, колкото и да е смешно, до сега ми е вършел работа този метод: jH3@jlg5rk .....Примерно.... Главния админ акаунт със плъгин му задаваш да не се индексира и да е скрит от списъка с потребители и му слагаш публично име някакво, можеи и името на сайта да е, все тая. Правиш си втори акаунт с инджикитайски пак символи, който ще позлваш за статиите и направа на страниците, задължително да е АВТОР, а не админ, може да му сложиш публично име някакво което да ти се представя в статиите. Ако си собственик на сайта и не са ти толкова нужни известия за регистрирани потребители и коментари сложи несъществуващ имейл, например jankfhbjkhbyjgujgvkutv@abv. bg. Споко, дори и да забравиш паролата, отиваш в phpMyadmin и я сменаш за минутка, има бол информация в интернет как става, два клика на мишка ,нова парола и сейв. Паролата на втория акаунт не ти трябва да я ползваш. Просто като пускаш статия или правиш страница избираш от секцията кой да е автор и избираш съответно акаунта с ранг автор и приключваш въпроса. Паролите на WP препоръдвам да са минимум 15 символа, смесени, големи и малки букви, цифри и символи, разира се рандом без да има смисъл или логика в паролата... Тези малки съвети ще ти спестят лапетата или начинаевщи хакери и там разни ботове до някъде. ако се развие сайта има плъгини за смяна на линка за вход например ( но са малко страшнички, ако нещо сгъне при обновяване или стане проблем с друг плъгин и мазалото няма да можеш да го оправиш сам ).

Това са в общи линии основните неща, другото е като се поразвие сайта ти и започне да добива популярност. Не съм имал проблем с нито една WP инсталация от години по този метод. Но все пак не разчитай и на това, такова чудо като защита не съществува. Ако някой реши да направи нещо и може да го направи, ще го направи...... За това тук идва и най-важния съвет: редовен бекъп на целия сайт ( файлове и база данни ). Така и да стане нещо си имаш резервно копие, слагаш го и само сменяш паролите и потребителските имена, ако са били компрометирани ).
 
Този мит със "защита" не съществува. Все пак можеш да позлваш някой плъгин да ограничи по-нататък опитите за влизане в сайта. Задължително изключи стандартната опция за коментиране или сложи плъгин който не позволява линкове в коментарите, както решиш. Ако искаш коментари може и фейсбук плъгин или Disqus например. Ако сайта ти е български, рядко ще ти се налага като цяло, докато не се развие. Ако е английски ще те скъсат след 2-3 месеца, като се индексира.
...
Абе какъв плъгин - това е стандартна опция?!

Вероятността да ти влязат през логин формата е една от най-малките тъй че тия гимнастики с извратените пароли са една от последните грижи.

Най-лесно е да те издумкат през ТемеФорест темата или плъгина. Може и да са си вдигнали нивото напоследък, ама леко не ми се вярва. Проверяващите грам идея си нямаха едно време и приемаха всякакви боклуци дето не са обезопасени срещу елементарни SQL инжекцийки, скриптчета през формичките и т.н. Няма нужда да е нулната.
 
По добре да кажа какво съм направил а Вие може да ме посъветвате нещо допълнително :)
1. При инстал промених името admin i допавих много дълга без смислена парола.
2. Промених префикс на таблиците в базата при инстал.
3. Използвам темата Twenty Twenty която идва с пакета на WP.
4. Нямам нито един плугин качен допълнително.
5. Ограничех и махнах коментарите не ми трябват.
6. Забраних възможността да се регистрират потребители.
7. Добавих нов потребител като автор, който се вижда при добавяне на статии.
 
бла бла бла

Аз правя следното: Админ с име дето няма кой да го познае, некъв рандом, даже не гледам какво натискам по клавиатурата

бла бла бла
след като не сме компетентни по темата защо коментират въобще?
Screenshot from 2020-05-06 14-40-42.png
 
Здравейте ;)
Направих си информационен сайт на Wordpress 5.4.1 с около 25 статии.
Използвах една от 3 теми които идват с Wordpress.
Нямам нито един качен plugin.
Смених admin името с друго и сложих много сложна парола която дори аз не я помня :D

Въпроса ми е, трябва ли да променя нещо или кача за да защитя сайта си от пробив?

Четох доста в нета за различни неща, но тъй като нямам нито допълнителен plugin или външна тема качени, смяната на името и хубава парола достатъчни ли са за защита на сайта.
Няма какво да се притесняваш. С гол wordpress 5+ няма да имаш проблеми с пробиви, инжекции и т.н.
Щом и коментари и регистрации си спрял съвсем няма какво да му се случи.
При wordpress проблемите идват от калпаво написани plugin-и и теми.

Ако ти се занимава, ето по изчерпателен guide: https://www.wpbeginner.com/wordpress-security/
 
Ок, ама отде му виде домейна?

Мисля, че го дава като пример защото това не е домейна на моя сайт.

Иначе доста се чудих защо не го направих на Blogger, че там няма разбиване ;)
 

Горе