База данных на сервере хостинга - основное место, где хранятся "детальки" (текстовые данные в основном) от Вашего сайта. Если туда что-либо записать лишнего - то движок WordPress это и покажет = и это уже будет не Ваш сайт :(

Прямая атака на базу MySql

По умолчанию, при установке WordPress создает в базе таблицы с префиксом wp_. Злоумышленники об этом знают. Необходимо либо при установке выбрать другой префикс вида mysite_ (WordPress спросит при установке, не более 6-ти латинских букв), либо поменять его у готового сайта.

Зачем это нужно? Ну вот пример - мы при установке указали другой префикс вида xxx_ (вместо wp_), сайт нормально работает. И вот заходим в phpMyAdmin и видим следующий ужас



Мы видим таблицы вида xxx_, где хранится наш сайт, а также какие-то левые таблицы с префиксами wp_ и даже joomla_.

Что это, откуда это? 

А это боты напихали в наш сайт свои хакерские страницы. Вытащили пароль от базы. Так как боты автоматические - они тупо добавляют таблиц со стандартными префиксами, и от WopdPress и от Joomla.
Если бы мы префикс не сменили на xxx_, то движок от Wordpress стал бы использовать чужие таблицы с префиксом wp_и на сайте появились бы чужие страницы.


У готового сайта префикс таблиц в базе можно сменить с помощью плагина Brozzme DB PREFIX

ВАЖНО: перед сменой префикса в базе MySql на уже работающем сайте обязательно сделайте себе копию (файлы движка, картинки, база) на локальный ПК. Это позволит восстановить сайт при возможном сбое.

Устанавливаем плагин, активируем.



До запуска плагина необходимо дать разрешение на запись в файл wp-config.php, указать на хостинге CHMOD 755 или 777.

Базовые права (после установки) у файла wp-config.php - 660 (читать ниже), скан с клиента FTP на сервере.



С правами 660 никакие внешние пользователи ничего не могут.

Права CHMOD 755 или 777 означают следующее (да, можно командами Lunix, но проще галочками через FTP/Свойства)





Потом вводим свой вариант для префикса (поле New Prefix) и запускаем плагин. После сделанных изменений убираем разрешение на запись для файла wp-config.php (или перемещаем на уровень вверх - см. ниже) и удаляем этот плагин, т.к. он свою задачу уже выполнил.


Взлом файла конфигурации wp-config.php, получение доступа к базе MySql и перехват управлением сайта

В данном файле хранится логин/пароль (в открытом виде) для базы MySql и другая полезная служебная информация. Сам файл находится в  корневой директории Вашего сайта.



Внутри файла все наши тайны - название базы MySql, юзер, пароль к базе, префикс, "соль" для файлов куки - все в открытом виде.



По умолчанию при установке стоит запрет на просмотр этого файла из браузера, т.е. вариант вида
www.mysite.ru/wp-config.php не откроет данный файл.

На лучше подстраховаться - мы можем совсем спрятать этот файл. Для CMS WordPress есть простой способ - перетащить его на один уровень вверх. 

Его можно перенести из папки www (на сервере хостинга) на уровень выше. Сам движок WP его там найдет (сайт продолжит работу как и раньше), но из браузера на этот уровень зайти невозможно - HTTP server отдает браузеру только данные из папки www

  • Как скрыть логин пользователя WordPress (6706)

    Посмотрим статистику.Для начала устанавливаем плагин Activity Log (логгирование действий пользователей), активируемИ видим следующие картинуКто все эти люди и откуда они знают мой логин? Это не люди мучают клавиатуру с ручным подбором паролей, это боты (зараженные компьютеры). Точнее даже не компьютеры, а...

  • Защита WordPress (1128)

    CMS WordPress является достаточно популярной платформой для ведения блогов и создания сайтов. Это же автоматически подразумевает большое количество желающих использовать Ваш сайт для своих целей:- перехват и перепродажа трафика- размещение ссылок- создание бота на Вашем сервере/сайте- отправка...

  • Защита базы данных сайта MySql (325)

    База данных на сервере хостинга - основное место, где хранятся "детальки" (текстовые данные в основном) от Вашего сайта. Если туда что-либо записать лишнего - то движок WordPress это и покажет = и это уже будет не Ваш сайт :( Прямая атака на базу MySql По умолчанию, при установке WordPress создает в базе...