Похоже, новый вид атаки на WordPress. Очень советую напрячься всем блогерам

Привет, друзья IdeaFox!

В упор не понимаю блогеров, которые не спешат защищать свои сайты. Когда слышу, как новички  мурлыкают о том, что “мой бложик никому не нужен, о ЧЕМ ВЫ?”, то мне совсем не хочется погладить их по голове : )

Я вот, как только запустил свой второй проект, то сразу ощетинился со всех сторон.

И не зря, как оказалось.

Думаю, что после прочтения статьи многие бросятся смотреть статистку атак на свои блоги в плагине iThemes Security : )

А если без шуток, то настойчиво рекомендую прочитать эту заметку, так как этот вид атаки скоро будет очень популярен. Я раньше никогда не сталкивался с такой штукой за несколько лет блогофилии.

Итак

Вчера, когда создавал резервную копию второго блога, обратил внимание, что он потолстел до неприличных размеров. Вместо скромных 20 мб. он стал весить аж 50 мб.

Естественно, я сразу заинтересовался этим ожирением первой степени, и быстро обнаружил, что причиной стало резкое увеличение размера базы данных. А именно, таблицы с журналом атак плагина безопасности iThemes Security.

Я сразу пошел в админку и похудел от увиденного : )

За одну ночь было зарегистрировано 80 тыс (!!!) попыток найти путь к админке + полное сканирование блога на наличие плагинов с уязвимостями.

Чтобы было понятно, я покажу пару скриншотов:

image

Как видите, шел массовый перебор на наличие установленных плагинов. Таких строк я обнаружил 80 тысяч (напомню, что все произошло за одну ночь). У меня родилось в голове только два объяснения:

1. Какие-то добрые люди собирают статистику по плагинам WordPress. Я в это слабо верю : )

2. Какие-то вежливые люди имеют на руках список уязвимых/старых версий плагинов и сканируют всех подряд. И если попадается проблемное расширение на автомате ломают блоги.

Видимо, начались продажи новых злодейских скриптов. Обратите внимание, что ищут readme.txt, где всегда прописана версия плагина. Если версия старая, то немедленно начинается попытка взлома.

Атака происходила со множества IP-адресов и меня это все напрягло.

Как спасаться?

1. Обязательно установить iThemes Security (да и вообще блог не помешает защитить http://ideafox.ru/shkola-lemurov), если его нет. Он по умолчанию стоит на всех моих проектах.

2. Делаем тонкие настройки. Идем в настройки плагина “Settings” –>”404 Detection”

image

И выставляем жесткие правила для того, чтобы “на лету” банить любой перебор несуществующих URL:

image

Эта настройка означает, что если в течении 5 минут было 5 попыток перебрать несуществующие URL-адреса, то атакующий IP адрес будет заблокирован. На какое время блокировать?

3. Для этого нужно в “Global Settings” плагина сделать еще более жесткие настройки, чем есть по умолчанию:

image

То есть, у нас получается следующее: если с IP-адреса за 5 минут было набрано 5 неверных URL-адресов, то он будет забанен на 180 минут (можете больше прописать). Если такая ситуация повторится еще 2 раза, то IP-адрес отправляется в черный список на 7 дней (хоть на год).

Как правило, после того как скрипты злыдней получают отказ от сервера, переключаются на другие жертвы. На тех, которые мурлыкает, что “мой бложик никому не нужен” : )

4. И обязательно обновляем все плагины. Выбросьте из головы мысли навроде: “Зачем обновлять, если все работает? Обновления – это для параноиков!” Если вы видели скриншот выше, то все сомнения о том, нужно ли обновлять плагины должны улетучиться.

5. По возможности сделайте откат блога из резервной копии на момент, когда не было таких проблем, и повторите шаги 1-4. Я так и сделал, чтобы исключить малейшую вероятность взлома. Я просто переустановил быстренько пользователя ISP, и забыл всю эту ночную трагедию : )

Жаль, не додумался побольше скриншотов снять. Впрочем, было не до скриншотов.

Кстати, если база данных сильно разрастется, то не забудьте почистить журнал iThemes Security. И вообще, почаще туда заглядывайте, а не только на счетчики посещаемости любуйтесь : )

image

Почему у меня вообще получилась такая ситуация?

Вы резонно можете спросить как так получилось, что плагин iThemes Security не оповестил об атаке на почту?

Дело в том, что у меня там были проблемы с шаблоном (почему-то постоянно вылетали ошибки 404 “страница не найдена”), и я был вынужден поставить легкомысленные настройки безопасности, чтобы не забанить поисковые системы. Проблему с шаблоном решил, а вот настройки назад не вернул.

Вот и получил такой головняк : )

Кстати

Если ваш блог находится на дешевом хостинге, и попадет в такую переделку, то он у вас скорее всего упадет. Так как в некоторые моменты запросов бывает ОЧЕНЬ много, и “однобаксовые” хостинги будут блокироваться уже самим хостером из-за превышения нагрузок.

Мой же проект крутится на VPS-сервере и с достоинством выдержал это испытание. Вы не поверите, но у меня теперь аж три VPS-сервера, так как аппетиты растут вместе с трафиком : )

Какие могут быть трудности?

Во-первых:

Если вы навсегда оставите слишком жесткие настройки блокировок IP-адресов, то можете забанить поисковых роботов Яндекса и Гугла. Как следствие, получите ситуацию, когда Ваш блог не будет индексироваться поисковыми системами.

Это может очень легко получиться, если Вы удалите пару десятков комментариев и статей. Поисковый робот ткнется на блог несколько раз в удаленные статьи/комменты, и попадет в черный список. Понятно, что поисковых роботов много, но со временем все они могут попасть под Ваши фильтры безопасности.

Во-вторых:

Вы можете сами себя забанить : ) Такое бывает на “кривых” шаблонах, которые часто отдают ошибку 404 при загрузке картинок или мелких элементов дизайна. Зрительно не всегда видно, что не подгрузилось пару десятков пикселей, а вот iThemes Security методично все фиксирует и банит по IP вашего компьютера.

В-третьих:

Файл .htaccess может разрастись до гигантских размеров (напомню, что именно в нем происходит блокировка IP), и блог начнет тормозить. Поэтому, когда поймете, что от Вас отстали, возвращайте настройки по умолчанию. И забудьте про эти ужасы до следующего раза : )

У меня за два часа набралось порядка сотни IP в черном списке и .htaccess стал похож на графоманскую статью : )

Кстати:

Свой бесплатный курс по созданию защищенного блога я немного обновил + добавил туда видео по Ithemes Security.

Можете скачать курс, все настроить, и спать спокойно : http://ideafox.ru/shkola-lemurov

P.S. До нас еще не дошла эта волна, поэтому советую обеспокоиться заранее. Похоже, что я попал в эту историю из-за того, что мой третий ВПС находится в Германии.

Еще почитать:

  1. Уважаемые блогеры, все бежим ставить Яндекс.Метрику : ) Вариантов больше нет!
  2. Веб-Мастер Mail.Ru: просто добавьте свой блог, и не пожалеете. Я серьезно.
  3. Зачем блогеры делают кошмарные фавиконы для своих сайтов?

Только для блогеров и вебмастеров:

84 комментария к «Похоже, новый вид атаки на WordPress. Очень советую напрячься всем блогерам»

  1. А у меня только логин брутят, но не сильно. Может тебя намеренно кто-то ломануть хочет, популярный все-таки?

    • Так в том то и дело, что был атакован другой совсем молодой блог. Кому он нужен? : )
      Поэтому я настойчиво советую всем озаботиться заранее, так как уже не админки брутфорсят, а тупо ищут старые версии плагинов или уязвимости в них.
      И, конечно, обновляться.

      Недавно, например, нашли дыры в All In Seo Pack — были массовые взломы.

  2. Правда, любопытная страничка оказалась :) Не в таких количествах, конечно, но все равно… Надо удалить шаблоны, установленные по умолчанию — в них что-то ищут.

    Можно проверить свой сайт на _tools.pingdom.com на наличие файлов, которые не загружаются и отдают ошибку 404 (отсутствующие элементы в шаблоне и т.п.).

    Еще ошибку 404 дают записи, опубликованные как «личное» и черновики. Не знаю, правда, попадает ли на них поисковик во время индексации, но в гугл аналитикс отображаются собственные посещения этих типов статей.

    • О, Жанна, спасибо за tools.pingdom
      Лучше, чем рыться в файрбаге и разглядывать полотна строчек : )
      Безусловно, лучше весь хлам удалять.
      Слушай, так может быть Гугл Аналитикс фиксирует твои посещения черновиков? Перед публикацией я делаю предпросмотр статьи и ГА фиксирует этот факт.
      Посмотри в ГА откуда идут просмотры анализируемой точки входа нажав на кнопку «Дополнительные параметры» — «Пользователи» — «Город» (или другой параметр). И если это явно не ты, то это весьма странно.

      • Да, это мои посещения черновиков, но неизвестно будет ли тот же Гугл заходить на эти черновики без меня во время индексации. Насколько реальна ситуация, когда в черновиках несколько статей плюс личные, Гугл на них заходит, получает 404 и уходит, а в логе Ithemes Security записываются ошибки, которые могут привести к блокировке гугл бота — вот что я не знаю.

        • Эх я, можно же сделать личную запись и черновик и проследить по логам в том же Ithemes Security без блокировки — остается ли след в виде ошибки 404 после посещения поисковыми ботами.

          • Жанна, я тоже в свое время озадачился этим вопросом и могу сказать, что не индексируются такие страницы.
            Единственная ситуация, когда они могут попасть в поиск — это кривой плагин кеширования (видел такое на самопальной системе кеширования страниц). Если в этом виновато именно кеширование, то лучше ставить WP Super Cashe

    • Хм. Я думал, ты уже обезопасил все свои проекты : ) По статусу положено : )

  3. Плагин iThemes Security — необходимая вещь. Только очень капризный. Я уже приноровился решать возникшие проблемы, а первый раз испытал шок, когда не смог войти в админ-панель своего сайта.
    Сначала подумал, что сайт взломали и меня выкинули оттуда. А дело было в этом плагине.

    • Да, вчера вот помогал знакомому попасть в админку. Если забудете адрес админки, то он прописан в файле .htaccess

      • О! Записал! спасибо.
        А по поводу обновлять плагины… Я тут как-то обновился, плагин NextGen… Так у меня все галлереи отвалились. Не смертельно для молодого блога как у меня, но неприятно было — очень!

        • Обновил визуально и одно видео по iThemes добавил (оно уже было на блоге)
          Остальное ты видел)

  4. Недавно у меня был случай — за день сайт падал 5 раз…. Пришло предупреждение от службы поддержки о необходимости заблокировать рекомендованные IP-адреса. После этого — всё стало на свои места….
    Я на хостинге Джино. Обновления плагиновделаю всегда! Спасибо за статью — поставлю этот плагин iThemes Security — надеюсь, он лично меня не забанит… :)

    • Галина, только не забудьте резервную копию сделать )
      Бывают иногда случаи, что он криво встает.

      • Сделаю!
        А относительно дублей — я справилась благодаря статье Анжелики Александровой на её блоге. Теперь при нажатии на слово «Ответить», у меня вместо replytocom пишет #respond. А дубли я не удаляла — пока. Их Число уменьшается…

  5. Дмитрий, ты меня не понял, что не удивительно при моем корявом объяснении. Поисковики не индексируют эти страницы, потому что их нет — о чем и сообщает ошибка 404.

    Опасение было в том, что сначала поисковый бот все-таки зайдет на эти страницы, потом, естественно, получит 404 и спокойно уйдет, а плагин ithemes security зафиксирует это посещение в логе, и при большом количестве таких посещений плагин может заблокировать поисковый бот. Но, судя по всему, боты даже не заходят на подобные страницы.

    • А, вот, что имеешь в виду)
      Нет, я не сталкивался с такими ситуациями. Вообще, повторюсь, что если нет атаки, то не нужно зверствовать в настройках плагина: )

      Достаточно поставить 30 ошибок за 5 минут и временная блокировка на 15 минут. Как правило, этого достаточно. А вот если массово перебирают URL на то, какие плагины установлены, то как на скриншоте — быстро отстанут.

  6. Да уж, неприятная ситуация. 80к. Очевидно, что какой-то скрипт перебирает наличие уязвимостей. Сам вид атаки не новый, но вероятно у злоумышленников появился новый «пак» с уязвимостями. iThemes Security практически незаменим при таких атаках.

    Спасибо за оповещение о возможных проблемах =) Будем на чеку.

    • Пож-та)
      Я уверен,что появился скрипт, который на автомате ломает старые версии плагинов. Раньше таких массовых переборов не наблюдал, а сам принцип давно известен, конечно

  7. На одном из сайтов вчера брутфорсили жестко, так вроде спокойно.
    Спасибо что про логи напомнил — обнаружил у себя проблемы в CSS на блоге, путь к картинке был неверно указан =)

    • Кстати, одна из причин, когда блогеры сами себя банят — неверный путь к картинке и привет)

  8. «…если в течении 5 минут было 5 попыток перебрать несуществующие URL-адреса, то атакующий IP адрес будет заблокирован».

    Похоже, читателям/слушателям А.Борисова лучше не зверствовать в настройках (после зачистки блога и удаления дублей получается очень много страниц 404 => заблокируем ПС?)? Или связи нет?

    И привет, ага:)

    • Совершенно верно) Если удаляете дубли или массово чистите комменты или старые статьи, то лучше сделать настройки мягче. Или вообще отключить на какое-то время, чтобы быть уверенными, что не прекратится индексация блога.
      Например, 100 ошибок за 5 минут, временная блокировка на 5 минут, 20 раз повторения этой ситуации для попадания в бан. И поглядывать на журнал ошибок периодически.
      Когда дубли исчезнут, вернуться к настройкам по умолчанию.

    • Мне этот его совет (про 404 ошибку), что-то совсем не понравился.
      Ладно, робот не будет индексировать такие страницы, но он обнаружит на сайте сотни, если не тысячи страниц с ошибкой 404. Как мне кажется, за это последуют санкции от поисковой системы.

      • Василий, а какие варианты? Оставлять десятки, а то и сотни, тысяч дублей на блоге тем более не стоит.

        • Можно же сделать без ошибки 404, редиректом. Я так сделал у себя, дублей нет.
          Есть еще один код, при котором ссылки с replytocom больше не будут появляться. Я дополнил свою статью, добавил туда этот код.

      • Соглашусь со всеми вами. Сомнительное решение. Помимо всего прочего, при таком подходе может весьма значительно возрасти нагрузка на сервер. Борисов — отличный бизнесмен, но, к сожалению, не технарь по своей натуре.

        • бизнесу и маркетингу у него нужно поучиться)
          Не думаю, что так уж сильно возрастет нагрузка. Бывают случаи когда сайты падают, если приходит поисковый бот и массово получает 404 ответ от сервера. Но это бывает на самых дешевых хостингах.
          Лично я сталкивался с ситуацией, несколько лет назад когда резко сменил структуру URL на хостинге за 30 руб/мес : )
          Больше такого не видел (хотя беспощадно менял структуру URL по незнанию несколько раз в неделю, но уже на более-менее приличном американском хостинге).
          Да и поисковые роботы сами уходят получив пару десятков 404 страниц. Сами подумайте, зачем им тратить ресурсы? Как правило, поисковые роботы прекращают индексирование получив 20 ошибок (не могу привести ссылку, но читал об этом)
          VPS-в любом случае выдержит такую нагрузку, если массово избавляться от дублей, но точно ставьте щадящие настройки безопасности в iThemes

  9. Привет! Такой вопрос, если заходишь с разных IP (например, у меня инет такой, что IP динамические), то с такими настройками в админку никогда не попадешь. Плагин ее блокирует напрочь, даже ожидание не всегда помогает, что делать в таком случае?

    • Артем помогает скачивание плагина на компьютер, а затем замена файла htaccess на стандартный. После этого плагин можно будет опять загрузить на сайт.

    • Верно, Василий — это работает)

      Артем, а почему не попадешь то? Если вводишь верный URL для админки (если ты ее скрыл), то нет проблем. Вот если ты 5 раз за 5 минут введешь неверный URL, то да, будет временная блокировка на 180 мин. (если делать как на скриншоте).
      Другой вариант — заходишь в PHPmyAdmin И в таблице _itsec_lockout удаляешь строку со своим IP

      • Спасибо, Василий за совет. Что-то я до такого не догнал.

        Дмитрий, урл я верный ввожу, но вот допустим перед тем как мне войти в админку было несколько атак, а тут я весь такой хорошый, ну и плагин до кучи меня и банит. Было у меня такое пару раз, лечилось ожиданием в течении минут 20, потом все норм. Я потому и спросил, что если вдруг… (тьфу-тьфу-тьфу)

        • Артем, значит ты где-то засветил свой логин в админку ВордПресс. (я тебе на в скайп чиркну где искать) и скорее всего был перебор с твоим верным логином, но ошибочными паролями. В этом случае идет блокировка и по IP и по логину. Действительно, в этом случае не поможет даже смена Ip и удаление строчек из таблиц. Если период блокировки небольшой, то лучше подождать и сразу менять логин от входа в админку.

          Если же набирается неверный логин, то просто блокируется IP-адрес атакующего. Ты же заходишь с другого IP и тебя санкции не касаются.

          • Дим, а почему не поможет очистка таблица _itsec_lockout когда речь идет о правильном логине? В этой таблице ведь все блокировки. Так что, я думаю, очистка поможет. Надо будет проверить =)

          • Саш, я год назад так себя сам себя забанил и очистка itsec_lockout не помогла. Была следующая ситуация: я забыл ввести новый пароль в Windows Live Writer и несколько раз нажал Опубликовать : )
            И влетел в черный список на 14 лней : ) Так как логин был верный, то меня запретили и по IP и по имени пользователя не пускали.
            Пришлось делать откат, так как 14 дней я не готов был терпеть графоманские позывы : )

          • Ого, даже так =) А где он тогда эти настройки хранит, интересно.. Тут нужно экспериментировать. Разблочить по-любому можно. Знать бы как.
            Слушай, а смена логина, ID, пароля через БД (и IP-адреса на всякий случай) тоже не помогает? Не пробовал?

          • Слушай, не помню уже. Но смена логина в БД должна помочь по идее. Если сменить логин + ID + пароль, то точно поможет (больше вариантов нет, как понимаю)

      • А еще, насчет удаления строки в БД, у меня IP меняется с каждым подключением к инету и как я узнаю какой он у меня, не узнать-то можно, но скорее всего не актуально все это будет. Хотя…

        • Как правило, диапазоны IP у одного провайдера интернета совпадают и начинаются одинаково. Например, 95.12…. отличие лишь в последних цифрах, когда начинается новая сессия после перезагрузки модема.

  10. Уговорил, Дмитрий, установлю и я себе данный бестселлер по защите блога, броня лишней редко бывает :)
    Надо еще с данным защитником уметь себя вести, иначе и меня на блог не пустит :)

    • Под атаку попадете, сломя голову побежите ставить iThemes на все сайты : )

      Повторюсь, что эта история случилась с совсем молодым блогом. Обращаю внимание, что счетчики посещаемости никак не регистрируют подобные случаи.

  11. Как всегда спасибо, Дмитрий. Будем читать, изучать, и если уж хакеров надо будет мочить в сортире — то и в сортире замочим. С такими-то знаниями =)

  12. Скажите пожалуйста почему иногда у меня белый экран в админке вылетает при нажатии на любую кнопку будь то плагины или записи например? Я настройки по вашим советам сделала а белый экран меня пугает приходится назад возвращаться. А еще не могу новый плагин допустим добавить пишет 403ю вроде ошибку типа прав нет.

    • Мария, сделайте следующее. Пройдите в настройки плагина Security — Settings и в самом низу найдите настройку Filter Non-English Characters
      и снимите напротив нее галку. Нажмите кнопку Save All Changes

      С этой проблемой часто сталкиваются владельцы русскоязычных версий.

  13. Дмитрий, привет. Я тут позавчера поэкспериментировал на предмет того, о чем говорили выше (перманентный блок при неправильно набранном пароле от правильного логина). Эксперимент чистым назвать не могу, т.к. на тестовом полигоне стоял еще и BPS, а он при такого рода атаке тоже свои корректировки вносит (в т.ч. и делает принудительную смену пароля для «взламываемой» учетки). Короче, заблокировал я себя по полной =)) Не помогает НИЧЕГО! )) Менял в БД и ID пользователя, и логин, и пароль (только secret key не трогал), менял IP (вот только браузер не менял). Как-то хитро он блокирует, жестко (а может и BPS помог). В общем, на днях попробую эксперимент провести чище =)

    • Вот и я не справился в тот раз) Пришлось из рез. копии все поднимать.
      Но вообще, любопытно, по какому параметру он все-таки блокирует. Видимо, псевдоним какой-то создается или хитрый ID

  14. Был у меня как-то блог. Продвижение.Инфо ( ты его возможно даже помнишь наверное ) Так как блог удален и я занимаюсь совсем другими проектами, то решил я прикрутить его вторым доменом к сайту веб-студии, типа зачем пузомеркам пропадать. Как же я об этом пожалел. Атаки начались моментально ( значит база с адресами сайтов на вордпресс это не миф, а суровая реальность ) Лезли как тараканы, подбирали пароль к пользователю «admin» наивные люди. Я сразу полез настроки безопасности проверить, но минус в том, что чтобы продать что-то ненужное, нужно сперва …. не, это не отсюда по моему ))) Минус в том, что для того чтобы защитить нормально вордпресс нужно зайти в админку вордпресс, а у нас н аэто возможности нет, сайт в ауте

    Так как домен был прикручен вторым, то я пошел на сайт регистратора и поменял так DNS хостинга на DNS того хостинга откуда идут атаки, ибо на кляузы по идее отвечать принято, а им пофиг что от них атаки идут, домен от хостинга вообще отвязал и папку удалил. Полегчало сразу. надеюсь надолго. ну и время блокировки сразу увеличил, да и в CloudFlare настройки безопасности тоже сделал помощнее
    Самое паршивое в этой истории было то, что я по дурости с одним товарищем, который мне вовсе не товарищ оченб даже нескромно полаялся. Качественно так полаялся. И он вопил на весь интернет: ну покажи, покажи мне свои сайты, давай, что ты мне ссылки нерабочие даешь? А что я ему покажу когда все сайты лежат ( да, у меня сейчас обычный шаред-хостинг, а так как раньше атаки велись именно на сайты которые были на выделенных ресурсах, где и мой старый блог был, то именно так и я попал под раздачу и в базе злобных хакеров прописан я навечно )
    Вот такая история. Сейчас вроде всё работает нормально

    • Привет, Сергей.
      Конечно, помню. Ты его несколько раз перезапускал, но так и не понял, почему забросил. Вроде хорошо он у тебя развивался, насколько помню.

  15. Здравствуйте. Что то iThemes Security перестал блокировать хосты с которых перебирают пароль на мой сайт.В чем может быть причина?
    Спасибо.

    • Трудно сказать, что у вас. Смотрите внимательно настройки плагина — все должно работать.
      Проверьте параметры блокировки

  16. Он вообще ничего не блокирует…не перебор,не 404.вроде все настроена.это не может как то быть связана с правами к папкам и файлам?

      • Я извиняюсь за мою не грамотность:),все заработало.Оказалось дело было в смене владельца/группы.перемудрил…учимся,учимся…
        Спасибо за оперативные ответы.

  17. Здравствуйте, Дмитрий!
    извините за ламерский вопрос — где можно посмотреть в админке данные, кот. Вы указали на самом первом скриншоте (80 тыс.атак)

    и как вернуть назад дефолтные настройки плагина? — не нашла вообще.
    спасибо заранее!

    • : ) Нормальный вопрос, не ламерский)

      Можно посмотреть в логах сервера (но это сложно для новичков). Гораздо проще глянуть в плагине iThemes Security

      В админке блога слева находите пункт меню Security, наводите на Logs и смотрите кто куда ломится. Увлекательное занятие : )

      • перед тем как написать Вам сюда — именно так и сделала. вообще таких данных нет.
        На этой странице есть 3 блока — «секьюрити лог инфомейшен / донт лок ёрселф/серьюрити лог дата.
        При чем если выбрать в поле какой нибудь фильтр — ничего не происходит. Плагин криво как то работает или у меня кривые глазки и ручки)

        я понимаю, Вы в чужой блог не залезете и не телепат. и вобще спасибо за обратную связь. но может хоть какие то мысли?
        Вы правда не ответили, как вернуть дефолтные настройки плагина) а то я сделала, как Вы посоветовали, но хотелось вернуть всё назад).
        спасибо)

  18. увидела на странице logs:
    Fatal error: Allowed memory size of 268435456 bytes exhausted (tried to allocate 71 bytes) in /home/virtwww/b5325637/http/wp-includes/wp-db.php on line 1565

    наверно поэтому и не отображается — не подскажете вектор?

    • Проблемы с лимитом памяти. Почистите место на хостинге, попробуйте очистить журнал ithemes security
      Это можно сделать кнопкой «Clear Logs» или очисткой таблицы _itsec_log
      Естественно, необходимо сначала сделать резервную копию всего сайта.

  19. У меня установлен Wordfence. Его будет достаточно для защиты моего блога?

    Предлагаемого вами iThemes Security опасаюсь. Боюсь, что он меня забанит. :-)

    • WordFence тоже имеет проактивную защиту, но она не столь могучая, как iThemes : )

      Да, ВордФенсе защищает от перебора паролей, и еще что-то, но этого мало. Я рекомендую ставить оба плагина, но ВордФенсе придется немного настроить, чтобы не было конфликта. Писал об этом здесь:

      http://ideafox.ru/pro-blog/wordfence-security.html

      Естественно, предварительно делайте резервную копию, чтобы потом можно было восстановиться, если что.

  20. Приветы!
    Поставил плагин безопасности, теперь на почту идут такие письма
    A file (or files) on your site at blog-slim.ru have been changed. Please review the report below to verify changes are not the result of a compromise.

    Scan Time: Sunday, August 10th 5:10 pm UTC
    Files Added: 20
    Files Deleted: 6
    Files Modified: 216

    В это время не заходил в блог.
    Вот в статье не увидел, а что же делать с этим))

    • Это нормально. Если стоит плагин кеширования, то он постоянно создает и удаляет новые файлы для кеша.
      Или такая простыня может прийти после обновления движка ВордПресс.

      Но если кеширование отключено и нет обновлений, то нужно смотреть что за файлы были изменены и что именно поменялось

      • cпасибо за ответ)
        Так понимаю нужно волноваться только если кто то пароли подбирает.

  21. У меня какая-то *** началась. Второй день брутфорсят админку на перебор пароля. «Админ», «Администратор» и «доменное имя»… И все с каких-то разношерстных адресов. WordFence пока оборону держит, но что-то «ссыкотно мне, Славик» (с) А сегодня утром смотрел гугл-аналитику, там за вчерашний день в графике провал почти до нуля… Причем по двум разным сайтам одинаково… Ваще непонятки.

    • Проверяй на вирусы при. Если трафик резко падает, вполне вероятно, что занес что-то.
      При помощи WordFence Security

      • я извиняюсь, я наверное не так выразился. Трафика у меня и так на две копейки. А график который «Структурированные данные»… Не для публикации — если ссылка пройдет через фильтры, посмотри плиз…

        • Андрей, лучше в поддержку скрины пришли. В разделе «Контакты» есть ссылка

  22. Вот как раз недавно у меня случилась беда с Яндексом — плагин iThemes Security занес IP робота в бан… Только через месяц меня надоумило написать Платону с вопросом: почему мой блог вылетел из индекса, когда с с моей стороны все нормально?
    Дмитрий, что можно сделать, чтобы это предотвратить? Занести всех роботов в белый список? Так это надо их адреса знать… Есть у Вас списочек? ;)

    • Надежда, отключите настройку «Enable HackRepair.com’s blacklist feature»
      Она банит роботов Яндекса. И заодно почистите таблицу в базе данных, которая содержит заблокированные IP
      вот инструкция на английском ithemes.com/security/fixing-ithemes-security-lockouts/

      • Спасибо, Дмитрий. А не эта ли настройка отвечает за блокировку злоумышленников? Ничего не потеряем, если ее отключить? Я правильно понимаю, что эта настройка предотвращает внесение в бан кого-то автоматически, а нижеследующая галочка оставляет возможность вносить в список кого-то вручную?
        И еще таблицу обязательно прямо в базе данных чистить или можно просто список подтереть в настройках плагина? Робота Яши-то я оттуда убрала и внесла в «белый список» для верности. Платон отписался, что все порядке. Но вот если то же произойдет с Гуглом… Даже страшно подумать :)

        • Да, именно она. Но я не рекомендую ее включать, так как она банит поисковые системы из России. : )
          Нет, не потеряете.
          Нижеследующая галочка позволяет банить товарищей, которые слишком часто пытаются подобрать пароль или сканируют на наличие плагинов (тем самым давая ошибку 404 слишком часто)
          Они банятся на-лету и появляются в этом списке.
          Роботов Яндекса можно внести в white-list, но они постоянно меняют свои IP.
          Нет, данные из таблицы lockout только ручками… (но она сама очищается в зависимости от длительности времени бана)

  23. Добрый день, Дмитрий. Сейчас как раз подбирают пароли к админке. В этот раз интереснее. До этого было гораздо активнее и после сканирования. Хостер аж ножками топал. Сейчас не сразу и заметил. IP адреса совершенно разные, подбор пароля по 3 никам, один подбор в 2-3 минуты. Как настроить бан при вводе определённого ника?

    • Антон, добрый день.

      Там можно настроить так, что будет блокировать логин, например за 5 ошибок на сутки.
      А еще лучше советую изменить путь к админке ВордПресс в настройках ithemes Security (Settings-Hide Login Area)
      Только обязательно предварительно сделайте резервную копию =)

  24. Здравствуйте! IThemes Security на моем сайте сайте поставил 403 Forbidden на xmlrpc.php. Вследствие чего в яндекс вебмастере у меня стояла ошибка со стороны сервера или сайта. Яндекс очень долго не индексировал мои новые статьи, хотя посещал его, я так поняла из-за этой ошибки? В настройках вебмастера я изменила на «запрещено к индексированию». И, кстати говоря, яндекс начал индексировать мои статьи, а робот посещает сайт аж каждый день! Ну и немножко подправила настройки IThemes Security. И даже посещаемость повысилась, но это наверно от того, что я на различных блогах интересовалась этой 403 ошибкой. Еще у меня такой вопрос, почему разные сервисы показывают разный ответ сервера? То 200 ок, то 403, и это со включенным IThemes Security. Когда он отключен, то везде 200 ок. Быть может мои настройки защитника-плагина неправильны? И еще вопрос, а где настроить журнал, чтобы я могла его просматривать?

Оставить комментарий