Hakerski napad

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mislim da je ovo pravi topik za ovu temu. Ako nije izvinjavam se.

Imam sajt na WP i od juce popodne trpim hakerske napade na isti, doduse, za sada nisu imali uspeha u tome. Znam to jer sma instalirao dodatak koji sprecava logovanje, ako 2x pogresi on automatski banuje IP adresu, e probelm je sto se IP lako menja.

Nije sve jedan te isti lik, mnogi napadaju, ima IP adresa iz Irana, Perua, Kolumbije.. i tako tih zemalaja, ne znam sta je to jer sajt je na Srpskom jeziku, Srpska tematika i slicno, ne znam kome bi od tamo bilo zanimljivo da ga hakuje.

Ne znam vise sta da radim, promenio sam sifru i stavio bas dugacku sa brojevima i slovima, mislim da nju nikad nece provaliti. Vidim sta pokusavaju da upisu i obicno su to gluposti neke tipa:

Citat:log => Administrator
pwd => drjynfrnt

log => Administrator
pwd => asdfghjkl;'

log => Administrator
pwd => myspace1

log => Administrator
pwd => kristina


A od sinoc do jutros je bilo 140 napada, od juce ukupno 270.. Postoji li jos neki nacin da se zastitim?

• 2Ovo se svidja korisnicima: TwinHeadedEagle, greskac
  
  Registruj se da bi pohvalio/la poruku!

1 - update WP-a, ako već nije poslednja verzija
2 - izmeni tajne ključeve u wp-config.php, takođe možeš da zaključaš wp-config.php u .htaccess fajlu
3 - promeni prefix baze podataka
4 - sakrij WP verziju, da niko ne vidi da li je tvoj sajt slab, ako nije updateovan
5 - možeš instalirati dodatak --> Security Scan Plugin
6 - Apache Password Protect --> takođe dobar dodatak
7 - bekap obavezno...

Eto par solucija....

P.S. Imaš li problema sa sajtom iz potpisa?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Da, to je taj sajt, iz potpisa. Nesto ne znam uraditi od ovoga ali ono sto znam cu svakako da odradim sad odmah. Jbg, nisam bas toliko vican u svemu tome, sve ovo sa sajtovima (imao sam i pre neke) sam poceo iz ciste razonode, mada, privlaci me web programiranje ali mnogo toga sam propustio da bih sad poceo od nule da ucim.

Hvala na sugestijama

• 1Ovo se svidja korisniku: greskac
  
  Registruj se da bi pohvalio/la poruku!

Ovako bi trebalo da izgleda

2.


A zaključaš ga jednostavnim kodom:
<Files wp-config.php>     order allow,deny     deny from all  </Files>

3.

• 1Ovo se svidja korisniku: greskac
  
  Registruj se da bi pohvalio/la poruku!

Ma nema sanse od da menja ip svaki minut. Blokiraj ti prijatelju sve ip adrese koje se kace npr vise puta u jednom minutu. Meni jednom isto komp zabagovao tako da sam samom sebi na sajt tokom jedne posete slao 750 zahteva i provajder mi banovao IP...

Samo stavi sto duzu MD5 sifru ako stavis 9 karaktera u sifri trabace mu 9 milijona kommbinacija da bi provalio a ako stavis 14-17 trebace mu 8 bilijona. Heheheh

http://nsfsecurity.pr.erau.edu/crypto/md5.html

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Zakljucao sam, valjda I dodao tajne kljuceve, nije bilo nikakvih.. Svasta.

Samo mi ovo sa perfixom baze podataka nije jasno. Mozes li navesti primer kako bi trebalo da izgleda to, tj, sta da upisem.

Ovako je sad to kod mene:

* Префикс табеле Вордпресове базе података.
*
* Можете имати више инсталација у једној бази уколико свакој дате јединствени
* префикс. Само бројеви, слова и доње цртице!
*/
$table_prefix = 'wp_';

PS: Stavio sam ja sifru od preko 17 slova i 4 broja

• 1Ovo se svidja korisniku: greskac
  
  Registruj se da bi pohvalio/la poruku!

Prefix je 'wp_' --> ti možeš da ga zameniš svojim. Ali ovo ako radiš, obavezno bekap DB i celog sajta.

Ne moraš ti sada sve da setuješ, ja sam ti predložio par solucija. Odradi osnovne stvari pa vidi da li još imaš problema. Sretno.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala ti, mnogo si pomogao i sa ovim predlozima. Nego, onaj dodatak Apache Password Protect nije mogao da se instalira, uspeo sam ga instalirati ali kad ga pokrenem nisam uspeo, pise da je izazvao neku kobnu gresku. Ali dobro, jel postoji neki dodatak koji ce naprimer na stranicu /wp-admin, tj gde se loguje,da postavi neko box prozor da se prvo upise neka sifra da bi se doslo do forme za logovanje?

Ako si razumeo sta zelim. Znaci, kad ode na /wp-admin da ne vidi odma formu za logovanje vec prvo mora da unese neki kljuc koji znam samo ja naprimer?

EDIT:

Nasao sam dodatak koji odlicno radi posao. Lockdown WP, standardnu wp-admin stranicu redirektuje na 404 stranu a ti sam kreiras ime stranice kako zelis da se zove, kod mene je to sada imesajta.com/login

Odlicno, ne znam dal ima nekih nuspojava, saznacemo kad pocnem da kukam na forumu

A sve to da mi ne bi stizala glupa obavestenja o pokusaju upada na wp admin panel.