W zwi膮zku z nasilaj膮cymi si臋 atakami na WordPress (opis m.in. na stronie niebezpiecznik.pl) generuj膮cymi bardzo du偶e obci膮偶enie dla serwera, wprowadzili艣my zabezpieczenie, kt贸re przed zalogowaniem do panelu administratora wymaga potwierdzenia, 偶e jest si臋 cz艂owiekiem (a nie botem). Zgodnie z pojawiaj膮cym si臋 komunikatem, nale偶y wpisa膰 jako login jestem, a has艂o czlowiekiem (bez polskiego znaku, tj. "l" zamiast "艂").


Zabezpieczenie obejmuje jedynie atakowane pliki wp-login.php, zatem je艣li z jakiego艣 powodu chcieliby Pa艅stwo pozosta膰 przy starej metodzie logowania, nale偶y skorzysta膰 z wtyczki zabezpieczaj膮cej panel administratora np. poprzez zmian臋 standardowej nazwy pliku na inn膮.

W sytuacji, w kt贸rej praktycznie ka偶da strona oparta o WordPress jest notorycznie atakowana (pr臋dzej lub p贸藕niej) nie widzimy mo偶liwo艣ci pozostawienia standardowej strony logowania bez odpowiednich zabezpiecze艅.

Aby wy艂膮czy膰 zabezpieczenie (zdecydowanie to odradzamy - w skrajnych wypadkach mo偶e doj艣膰 do blokady konta ze wzgl臋du na wygenerowane obci膮偶enie), nale偶y do pliku .htaccess wybranej domeny doda膰 kod:

<Files "wp-login.php">
Satisfy any
</Files>

Dodatkowo zabezpieczamy system dodawania komentarzy - jest on ograniczony do 2 komentarzy w ci膮gu 60 sekund. W przypadku przekroczenia tego limitu, adres IP jest blokowany na 5 minut. Zalecamy korzystanie z wtyczki disqus, kt贸ra u偶ywana jest przez najwi臋ksze serwisy oparte o WordPress i jest pozbawiona w/w ogranicze艅.

Ponadto skrypt xmlrpc.php, kt贸ry w 99,99% przypadkach wykorzystywany jest tylko do pr贸b przesy艂ania spamu, jest dodatkowo przez nas zabezpieczony. Aby umo偶liwi膰 dost臋p do skryptu dla wybranego adresu IP, nale偶y zalogowa膰 si臋 do panelu DirectAdmin i poda膰 ten adres w zak艂adce "Ochrona www".

Czy wiesz 偶e...?

WordPress, jako najpopularniejszy na 艣wiecie skrypt wykorzystywany do budowy stron www jest naturalnym celem wszelkiej ma艣ci internetowych "kombinator贸w". Z tego powodu wymaga on szczeg贸lnej troski ze strony zar贸wno administrator贸w serwer贸w, jak i samych u偶ytkownik贸w. Mimo posiadania przez skrypt takich funkcjonalno艣ci jak automatyczne aktualizacje, zaleca si臋 korzystanie tylko ze sprawdzonych motyw贸w i wtyczek (a tak偶e rezygnacj臋 z tych nieu偶ywanych) oraz wy艂膮czenie mo偶liwo艣膰i rejestrowania u偶ytkownik贸w i komentowania wpis贸w, o ile nie jest to potrzebne.
Czy odpowied藕 by艂a pomocna?
Przeczytaj r贸wnie偶
B艂膮d 404 na podstronach (wpisach / stronach) WordPress (Zobacz: 450)
Instalacja WordPress za pomoc膮 narz臋dzia Wordpress2Click (Zobacz: 5669)
Jak przyspieszy膰 WordPressa? (Zobacz: 414)
WordPress przesta艂 dzia艂a膰 (Zobacz: 686)
Tworzenie kopii bezpiecze艅stwa WordPressa (Zobacz: 80)

Powered by WHMCompleteSolution