Блог о технологиях, технократии и методиках борьбы с граблями
В продолжение темы DoS атаки на xmlrpc.php входящего в состав CMS WordPress, столкнулся с тем, что удаление этого файла не помогает, т.к дятлы все равно долбят в него и, как следствие, WordPress отрабатывает 404 апшыпку, расходуя ресурсы машины.
Что в конечном итоге приводит в падению мускуля из-за недостатка виртуальной памяти.
На одном из сайтов клиентов обнаружились следы циничного взлома движка WordPress: в текстовых полях появились вкрапления анкоров казиношной тематики, которые вели на аналогичные ключу url внутренних страниц, куда, видимо, по замыслу взломщика предполагалось залить дор, но по каким то причинам не получилось.
Захотелось мне тут на один из своих блогов под WordPress прикрутить фотогалеру, ну и после долгих поисков выбор пал на плагин NextGEN Gallery. Точнее я отыскал попутно и Thumbnail Gallery (WP NextGEN Gallery Template), но сначала решил затестить младшего брата.
Поставил плагин и пошел в его опции, где надо было настроить инструмент для нарезки тумб. На выбор предлагалось два варианта: GD Library и ImageMagick.
Никак не мог понять, почему на моих основных сайтах под WordPress бэкап весит по полтора гига, при этом базы тянули по 700-800 метров, то есть фактически столько же сколько и здоровые архивы фотографий.
Уже как то писал о волне брут-форс атак, прошедших несколько месяцев назад по сайтам под управлением CMS WordPress. Смысл был в получении доступа к админской части сайта, с последующим заливом на него вредоносных кодов, основанных на редиректе пользователя на зараженные и фишинговые сайты.
В этой связи как никогда встал вопрос защиты веб-сайта wp от атаки перебора пароля. Наиболее простым видом защиты является смена дефолтного администратора сайта admin на рандомное имя и задание ему отдельного ник-нейма, чтобы реальное имя пользователя нигде не светилось. И создание для этого пользователя сложного пароля, включающего как заглавные буквы, так и цифры со спец.символами.
Вывешивал тут, купленный с оказией, сателлит на своем хостинге, причем вместо выгрузки базы, продавец мне предоставил xml файл импорта для WordPress, что с какой то стороны удобнее, так как ты можешь поставить ту версию движка что надо, настроить все как хочешь, и не сложным движением мышки, отправить все тексты в новосозданный блог.
Если вы являетесь владельцем высоконагруженного сайта на CMS WordPress или же пользуете слабенький хостинг, то вы однозначно используете систему кэширования, которая в случае WP предлагается в виде плагинов.
Пару недель назад была выявлена уязвимость у двух наиболее популярных систем кэширования W3 Total Cache и WP Super Cache, позволяющая запустить любой сторонний код на сервере, путем постинг специально сконфигурированных выражений в комментарии сайта под управлением WordPress.
