Ответы в темах

Просмотр 15 ответов — с 1 по 15 (всего 23)
  • Спасибо, вы такая добрая! Попробую, будут вопросы, отпишусь в этой теме.

    Никита, попробовал поковыряться на сайте mif.cc, но так и не смог найти идентификаторов авторов сайта.

    Зато я сумел попасть на страницу входа (авторизации), хотя при этом она была закрыта через wp-admin и wp-login.php. А вы сможете открыть ее? Или угадать, как я ее открыл?

    Также узнал версию WP 4.3.1, используют тему truenews, название плагинов и т.д.

    Удаляем админа — по причине возможности подбора пароля к нему, как к юзеру «по умолчанию»

    А не лучше оставить «живым» пользователя «admin», но ограничить его до прав подписчика, но с очень стойким паролем. Например вот такой 30-значный поставить: jdHUrR-!%y+G-RY3yXmG3?S4fu-2zd — и пусть себе ломают на здоровье. Даже если подберут пароль, то там только права подписчика будут.

    А вот насчет того, чтобы «повысить безопасность» засчет удаления логина «admin» — что от этого толку, если могут подобрать по именам других пользователей WP, выявленных по идентификаторам.

    Вы не правильно меня поняли в моем вопросе изначально, совсем не идет речь о какой-то «дикой атаке» со стороны тупых ботов. Здесь речь идет о возможном целенаправленном заказе у хакера (ламмера, шмакера — как вам угодно). То есть если какой-либо сайт на WP закажут, то возьмутся за это профи. А ботнеты свои будут использовать для брута целенаправленно по выявленному списку логинов (имен) пользователей.

    Вот у вас такой большой стаж работы в WordPress и не только, но хочу с вами поспорить насчет ваших слов:

    надо зайти на сайт чтобы посмотреть какие логины пробовать

    Вот, например, возьмем абсолютно любой сайт на вордпрессе (на бум). Например, берем сайт http://www.novostiit.net.

    Теперь я делаю ручной перебор прямых ссылок на возможные идентификаторы, причем не заходя на сайт, и вот что в итоге получаю:

    http://www.novostiit.net/?author=1
    http://www.novostiit.net/author/admin

    http://www.novostiit.net/?author=4
    http://www.novostiit.net/author/valeriy

    http://www.novostiit.net/?author=8
    http://www.novostiit.net/author/danya

    http://www.novostiit.net/?author=9
    http://www.novostiit.net/author/vitaliy

    http://www.novostiit.net/?author=10
    http://www.novostiit.net/author/artem

    http://www.novostiit.net/?author=11
    http://www.novostiit.net/author/slava

    http://www.novostiit.net/?author=2, 3, 5, 6, 7
    -пользователи удалены, но раньше были под этими индентификаторами

    http://www.novostiit.net/?author=12 и выше
    — уже не создавались, не существует

    ВЫВОД: Теперь для условного перебора у меня есть пять логинов (имен) пользователей: valeriy, danya, vitaliy, artem и slava. И причем скорее всего они все редакторы, т.к. от их имени добавлено много записей. А вы говорите, что вначале надо зайти на сайт, чтобы узнать эти логины. Тот же трюк я проделал и с другими сайтами на вордпрессе. Так что теперь? Правильно ли я написал, или что-то опять не понял?

    P.S. Кстати, «admin» — это всего лишь ник, т.к. в панели входа нет пользователя с таким логином (именем)!

    можно перезагрузить сервис http/php (apache)

    — не смог найти… где это?

    Консоль WP – Внешний вид – Темы – Загрузить новую – мой архив с темой.
    Хотя архив весил всего лишь 6 мб, но WP не пропустил его ссылаясь на превышение лимита.

    Смотри скрин:
    http://i1.x8.net/2/MN8_O.png?1448316529

    ————————————————

    Вышел из панели isp-manager (т.к. у пользователя user1 нет возможности выйти к этому файлу) и вошел через супер-пользователя root. Далее в директорию: /etc >>> php.ini

    upload_max_filesize=2M >>> меняю на >>> upload_max_filesize=32M
    post_max_size=8M >>> меняю на >>> post_max_size=32M
    max_input_vars = 1000 >>> оставил по умолчанию

    Перезагружаю сервер. Ошибка осталась.

    ————————————————
    Снова зашел на сервер через user1.
    Директория /site.ru >>> файл htaccess >>> ввел эти настройки:

    # увеличение лимитов для загрузки файлов
    php_value upload_max_filesize 32M
    php_value post_max_size 32M

    Перезагружаю сервер. Ошибка осталась.

    Например, кто-то рекомендует cloudinary, не будет ли с ним проблем? Или он хуже чем упомянутые выше.

    Yui, спасибо! Вопрос решили.
    Сергей вам тоже спасибо, за плагин Dublicator — о нем хорошо высказываются многие.

    А что вы скажете насчет третьего пункта. Что, если я сохранюсь только через phpmyadmin. А хостинг например, атакуют и удалят все папки с файлами. Получается я могу просто заново установить вордпресс и импортировать базу sql и всё получится. Или же я еще должен установить тему на движок перед импортом, т.е. именно ту тему, которая была на сайте. Или же, если удалят все мои папки и файлы на хостинге, то я уже так просто не смогу импортировать базу и придется все заново настраивать и привязывать. Думаю мой вопрос вы поняли — хочу понять зачем нужен третий пункт, если базы sql достаточно?

    И еще… Что значит «таблица wp_options в сериализованном массиве» — то есть не в формате sql, в уже в импортированном виде на хостинге (смотреть через phpmyadmin)?

    Решил проблему следующим образом:

    2.1. Вновь зашел на сервер через панель isp-manager уже под именем user1 и удалил всё содержимое папки site.ru
    2.2. Вошел через ftp-клиент и закинул все файлы свежего WP. Распаковал, настроил wp-config.php.
    ТЕПЕРЬ все плагины могу установить или удалить, а также могу загрузить какую-либо картинку.

    # Вопрос также связан с другой проблемой

    К великому сожалению я продолжу, т.к. вновь вышла эта ошибка.

    ПРЕДЫСТОРИЯ. КАК Я ДЕЛАЛ ВНАЧАЛЕ:
    1.1. Зашел на сервер через root, используя панель isp-manager и создал пользователя по имени user1.
    1.2. Далее прошел в директорию var/www/user1/data/www/site.ru/, куда закачал архив wordpress.zip (тоже через ips-manager и тоже через root). Распаковал, настроил wp-config.php и установил.
    1.3. Потом создал файл htaccess в директории var/www/user1/data/www/site.ru/wp-admin, где прописал:
    order allow,deny
    allow from 1.2.3.4, 8.8.8.8
    deny from all

    1.4. При открытии админки выходит эта ошибка.
    1.5. Удалил файл, админка открылась, но плагины не могу установить или удалить, а также не могу загрузить какую-либо картинку.
    1.6. Сделал скрин прав и настроек:
    http://i3.x8.net/2/6vd_O.jpg?1448231399

    ТЕПЕРЬ. КАК Я ВСЁ ПЕРЕДЕЛЫВАЛ
    2.1. Вновь зашел на сервер через панель isp-manager уже под именем user1 и удалил всё содержимое папки site.ru
    2.2. Вошел через ftp-клиент и закинул все файлы свежего WP. Распаковал, настроил wp-config.php.
    2.3. Потом создал такой же файл htaccess.
    2.4. При открытии админки вновь выходит эта ошибка.
    1.5. Удалил файл, админка открылась, но ЗАТО ТЕПЕРЬ все плагины могу установить или удалить, а также могу загрузить какую-либо картинку.
    1.6. Сделал скрин прав и настроек:
    http://i2.x8.net/2/BXj_O.jpg?1448231753

    Как видно на скринах, права изменились. Восстановилась работа с плагинами и загрузкой картинок, но….

    403 Forbidden
    You don’t have permission to access /wp-admin/ on this server.
    Apache/2.2.15 (CentOS) Server at site.ru Port 80

    Спасибо, вам за такие подробные ответы.
    Стараюсь делать по вашим советам и при решении отмечаю как [решенная].

    Все верно, на папку wp-admin стоят права 755,
    на файл htaccess стоят права 644

    А правильная ли у меня вообще директория выстроена, гляньте пожалуйста:

    var/www/user1/data/www/site.ru/wp-admin

Просмотр 15 ответов — с 1 по 15 (всего 23)