Блокировка доступа к xmlrpc.php для предотвращения DoS атаки

Monday, 08 Aug 2016

В продолжение темы DoS атаки на xmlrpc.php входящего в состав CMS WordPress, столкнулся с тем, что удаление этого файла не помогает, т.к дятлы все равно долбят  в него и, как следствие, WordPress отрабатывает 404 апшыпку, расходуя ресурсы машины.
Что в конечном итоге приводит в падению мускуля из-за недостатка виртуальной памяти.

(more…)

VN:F [1.9.21_1169]
Rating: 3.3/10 (81 votes cast)
VN:F [1.9.21_1169]
Rating: +7 (from 11 votes)

Доступ к БД через уязвимость плагина WordPress

Tuesday, 30 Sep 2014

На одном из сайтов клиентов обнаружились следы циничного взлома движка WordPress: в текстовых полях появились вкрапления анкоров казиношной тематики, которые вели на аналогичные ключу url внутренних страниц, куда, видимо, по замыслу взломщика предполагалось залить дор, но по каким то причинам не получилось.

(more…)

VN:F [1.9.21_1169]
Rating: 3.1/10 (21 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Пляски с фотогалереей NextGEN Gallery

Saturday, 27 Jul 2013

Захотелось мне тут на один из своих блогов под WordPress прикрутить фотогалеру, ну и после долгих поисков выбор пал на плагин NextGEN Gallery. Точнее я отыскал попутно и Thumbnail Gallery (WP NextGEN Gallery Template), но сначала решил затестить младшего брата.

Поставил плагин и пошел в его опции, где надо было настроить инструмент для нарезки тумб. На выбор предлагалось два варианта: GD Library и  ImageMagick.

(more…)

VN:F [1.9.21_1169]
Rating: 3.6/10 (25 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Оптимизируем базу WordPress

Saturday, 27 Jul 2013

Никак не мог понять, почему на моих основных сайтах под  WordPress бэкап весит по полтора гига, при этом базы тянули по 700-800 метров, то есть фактически столько же сколько и здоровые архивы фотографий.

(more…)

VN:F [1.9.21_1169]
Rating: 3.5/10 (58 votes cast)
VN:F [1.9.21_1169]
Rating: +4 (from 10 votes)

Защита WordPress от брутфорс атаки

Saturday, 06 Jul 2013

Уже как то писал о волне брут-форс атак, прошедших несколько месяцев назад по сайтам под управлением CMS WordPress. Смысл был в получении доступа к админской части сайта, с последующим заливом на него вредоносных кодов, основанных на редиректе пользователя на зараженные и фишинговые сайты.

В этой связи как никогда встал вопрос защиты веб-сайта wp от атаки перебора пароля. Наиболее простым видом защиты является смена дефолтного администратора сайта admin на рандомное имя и задание ему отдельного ник-нейма, чтобы реальное имя пользователя нигде не светилось. И создание для этого пользователя сложного пароля, включающего как заглавные буквы, так и цифры со спец.символами.

(more…)

VN:F [1.9.21_1169]
Rating: 3.5/10 (15 votes cast)
VN:F [1.9.21_1169]
Rating: -1 (from 7 votes)

Проблема импорта xml в WordPress

Thursday, 16 May 2013

Вывешивал тут, купленный с оказией, сателлит на своем хостинге, причем вместо выгрузки базы, продавец мне предоставил xml файл импорта для WordPress, что с какой то стороны удобнее, так как ты можешь поставить ту версию движка что надо, настроить все как хочешь, и не сложным движением мышки, отправить все тексты в новосозданный блог.

(more…)

VN:F [1.9.21_1169]
Rating: 4.0/10 (26 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 5 votes)

Уязвимость систем кэширования WordPress

Thursday, 09 May 2013

Если вы являетесь владельцем высоконагруженного сайта на CMS WordPress или же пользуете слабенький хостинг, то вы однозначно используете систему кэширования, которая в случае WP предлагается в виде плагинов.

Пару недель назад была выявлена уязвимость у двух наиболее популярных систем кэширования W3 Total Cache и WP Super Cache, позволяющая запустить любой сторонний код на сервере, путем постинг специально сконфигурированных выражений в комментарии сайта под управлением WordPress.

(more…)

VN:F [1.9.21_1169]
Rating: 2.9/10 (16 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 7 votes)