Брутфорсят админку WordPress

Судя по логам сервера, да и по новостям, бушует очередная эпидемия заражения сайтов на WordPress — причём, в этот раз брутфорсят админки. Что делать?

  • Всегда обновляйтесь. И движок и плагины, особенно кэширующие. Самые замечательные дыры обнаружены как раз во всех популярных кеширующих плагинах.
  • Перенесите wp-config.php на уровень выше из папки блога. WordPress его найдёт.
  • Установите плагин с капчей для входа в админку.
  • Если ваш хостинг поддерживает SSL (ну или у вас свой сервер) в файле wp-config.php определите константу «DEFINE (‘FORCE_SSL_ADMIN’, true);», таким образом, вход в админку будет защищён.
  • Если совсем включить параною, можно вынести все скрипты WordPress за пределы видимости из инета.
  • Избавьтесь от ненужных плагинов.

Добавить комментарий