PHP-分析と変更のためのスクリプト。 PHP-分析と変更のためのスクリプトVictoryの一意の管理者ログイン

ゴロフナ / 作業の最適化

標準のwp-signup.phpを置き換えて、マルチサイトの正式な登録ページを作成します。

通常のWordPressインストールの場合、登録側(認証、パスワードのリセット)でwp-login.phpファイルが表示されます。

  • /wp-login.php-承認
  • /wp-login.php?action=register-登録
  • /wp-login.php?action=lostpassword-パスワードを紛失しました

マルチサイトwp-login.phpの場合、賢くする必要があります。 したがって、WordPressマルチサイトで/wp-login.php?action=registerに移動すると、/wp-signup.php側にリダイレクトされます。 豊富なトピックでは、側面はそれほど快適に見えないので、私はそれを制御することができます。

merezhіのメインサイト

WordPressプロモーションの場合、企業のメインドメイン(Webサイト)に登録ページ(wp-signup.php)を作成します。 Prote、あなたは彼らが異なるトピックを持つように、商人の真皮のウェブサイトのための登録ページを作成することができます。 Merezhaのすべてのサイトに独自の個人登録ページがあるが、同じテーマが選択され、サイトが私のものではなくなった場合、違いを確認します。 vykoristovuyutsyaはさまざまなトピックであるため、より多くのコードを作成する必要があります。

関数.php?

Ni。 Im'yaファイル、zdaєtsya、zgaduєtsyaはWordPressについての統計です。 私たちの意見では、サイトスポーンに保険を登録する機能を持っている人を見ると、サイトに書き込むときに絡み合っているため、MUプラグインでヨガを非難する理由はありません。

歌詞エントリー

Wartoは、MUプラグインがセカンダリプラグインのために早く、WordPressコアが完全に占有される前に打ち負かされることを意味します。これは、PHPの致命的な恩赦につながる可能性があります。 同様の「初期の」進歩には利点があるかもしれません。 たとえば、それらの途中にいると、いくつかのアクションに進むことができないため、それらを使用してfunctions.phpファイルにアクセスしてみることができます。 その例としては、Jetpackのモジュールのアクティビティを確認できるjetpack_module_loaded_related-posts(related-posts-モジュールの名前)の形式のJetpackプラグインからのアクションがあります。 このアクションの前は、アクションがすでにそれらによって占有されているファイルに「添付」することはできません。プラグインは以前に占有されています。 コードのアクションリファレンス側で、WordPressのエンゲージメントオーダーの全体像を見ることができます。

ファイルの順序

MUプラグインは、論理的に思われるように、同じ構造内の任意の数のファイルを置き換えることができます。 ほぼ次の階層を終了します。

| -mu-plugins |-| -load.php |-|-| -selena-network |-|-|-| -signup |-|-|-|-| -plugin.php |-|-|-| -| -... |-|-|-| -jetpack |-|-|-|-| -plugin.php

load.phpファイルには、メジャーに必要なすべてのプラグインが含まれています。

//すべてのアドオンのTraslateをロードしますload_muplugin_textdomain( "selena_network"、 "/ selena-network / languages /"); //ネットワークサインアップにはWPMU_PLUGIN_DIRが必要です。 "/selena-network/signup/plugin.php"; //その他のプラグイン//WPMU_PLUGIN_DIRが必要..。

selena-networkフォルダーの中央に、プラグインフォルダーが保存され、スキンには独自のplugin.phpがあるため、load.phpに含めます。 Tseはそのmozhlivіstshvidkovіdklyuchatiをgnuchkіstに与え、deakіspeechіを含めます。

登録者の住所

登録者のアドレスを指定するには、wp_signup_locationフィルターを選択します。 これはwp-login.phpファイルの途中にあり、wp-signup.php自体にリダイレクトできます。

ケース"登録":if(is_multisite())(wp_redirect(apply_filters( "wp_signup_location"、network_site_url( "wp-signup.php"))); exit;

関数をmu-plugins/selena-network / signup / plugin.phpに追加して、ストリーミングサイトの登録者のアドレスを入力します。

関数selena_network_signup_page($ url)(return home_url()。 "/ signup /";)add_filter( "wp_signup_location"、 "selena_network_signup_page"、99);

selena_network-共謀を避けるために、サイトのMUプラグインの途中にあるすべての関数の名前に使用するプレフィックス。次に、独自のプレフィックスに置き換えます。 フィルタを追加する優先度は99であるため、bbPressやBuddyPressなどの他のプラグインは、ファイルのこのアドレスを上書きできます(MUプラグインは以前に使用され、名前の低いプラグイン、divが高くなります)。 同じドメインをチェックしないように、network_site_url()ではなくhome_url()が優先されることを尊重してください。 アドレスと同様に、URLにツイストすることができます。

サイドフォールド

次に、カスタムインターフェイスを介してsite.com/signup/というアドレスでページを作成します。親フォルダーでは、新しいページのテンプレートはpage-signup.phpです。 「サインアップ」という単語は、一意のIDに置き換えることができます。

新しいテンプレート内で、selena_network_signup_main()関数を呼び出して登録フォームを表示する必要があります。

プロセス全体がテンプレートに拘束されないことに注意してください。代わりに、selena_network_signup_main()関数を呼び出す独自のショートコードを作成できます。

wp-signup.phpおよびwp-activate.php

それでは、登録フォームを作成しているかのように、関数の作成を見てみましょう。 wp-signup.phpファイルとwp-activate.phpファイルをWordPressルートのmu-plugings/selena-network / signup /からコピーします(mu-plugins /selena-networkの途中に含めることを忘れないでください)。 /signup/plugin.php)。 ファイルを使ったさらなる操作はさらに一貫性があり、長い間説明することができます。 私自身が作業し、プロジェクトの外部ファイルを公開するために必要なことだけを説明します。

  1. ファイルの上部で、require、クイッククリック関数、および関数の背後にあるその他のコードをすべて確認してください。
  2. 名前に一意のプレフィックスを追加して、すべての関数の名前を変更します。
  3. wp-signup.phpコードの下部をselena_network_signup_main関数でラップし、cobにグローバル$active_signupを書き込みます。 。
  4. 必要な領域でレイアウトをvlasnuに変更します。

wp-activate.php内に、ほぼ同じものを追加する必要があります。

  1. 関数を使用してコード全体を表示し、他の関数の周りにレイアウトをラップします。
  2. 必要に応じてレイアウトを変更してください。

ファイルwp-activate.phpは、斜めのレコードのアクティブ化側と見なされます。 登録のサードパーティとして、カスタムテンプレートを作成する必要があるため、wp-activate.phpファイルで同じ呼び出し関数を使用します。

ナジラエモの葉の活性化

レジストラのオフィスは、oblikovyレコードのアクティブ化の要求とと​​もにシートの受信を強制します。 ms-functions.phpファイルのwpmu_signup_user_notification()関数は、cymザッピングを処理します。 Її機能は、独自の機能に割り当てることができます。 この関数を変更する必要がある理由は、wp-activate.phpからの斜めのレコードのアクティブ化を強制する必要があるためです。 追加のwpmu_signup_user_notificationフィルターを使用してこの関数を「オフ」にすることができますが、これはとにかくfalseです(オフにしないでください。アクティベーションシートは2つ編集されます。実際には2つの異なるシートです)。

関数armyofselenagomez_wpmu_signup_user_notification($ user、$ user_email、$ key、$ meta = array())(// ... // wpmu_signup_user_notification()関数のコードwp_mail($ user_email、wp_specialchars_decode($ subject)、$; return false;) add_filter( "wpmu_signup_user_notification"、 "armyofselenagomez_wpmu_signup_user_notification"、10、4);

その結果、セレナのトピックの登録ページはより豊かできれいに見え始めました。

ヴィスノヴォク

インターネット上では、自分でそれを行うためのより良い方法はありません-Apacheリダイレクト、Javaスクリプトなしでは機能しないようなAJAXフォームなどのサイト。

私はあなたがファイルを注意深く編集し、休暇中にあまり混乱しないことを尊重します、それで将来、WordPressがwp-signup.phpとwp-activate.phpファイルを変更するように、それは世話をするのがより簡単です変化のためにあなた自身。

他の関数のすべての説明の出力コードに驚嘆することを忘れないでください。そうすれば、コードの途中にあるものをよりよく知ることができます。

ボーナス。 スパマーに対する防御

WordPressで最高のサイトを見つけると、多くのスパム登録が発生することがよくあります。 ボットをフィルタリングするための洗練されていないマインドを書くことができます。多くの場合、インテリジェンスを作成しようとすることに似ています🙂(私はApacheのカスタマイズの専門家ではないため、ルールが正しくない可能性があります)。

RewriteEngine On RewriteBase / RewriteRule ^ wp-signup \ .php --RewriteRule ^ wp-activate \ .php-#BEGIN WordPress#Wordpressビュールールをロックする必要はありません:)#...#END WordPress

PS私は、第三者のスピーチの行為を可能な限り詳細に説明しようとしています。私が始めれば、1時間の間、誰もが多くのスピーチを話し、説明することができたという事実です。 ですから、他の素材に対する同様に小さな誘導を改善して、何か新しいものを開発し、知識を広げることができることを尊重します。 RewriteRuleレコードには通常の行があり、悪臭は折りたたむことができません。たとえば、記号^は行の耳を意味します。

右側で追加のセキュリティに到達した場合は、そのオペレーティングシステムのリリースだけでなく、スクリプトの保護の記述についても考慮することが重要です。 この記事では、プログラムのセキュリティとプログラムの安全性を確保し、刺激を少なくする方法を知っています。 以下は、あらゆる種類の攻撃からプログラムを保護するのに役立つエントリのリストです。

  1. 入力データの検証
  2. XSS攻撃から身を守る
  3. CSRF攻撃から防御する
  4. SQLインジェクションの重要性
  5. ファイルシステムハッカー
  6. このセッションの被告
  7. 恩赦の処理
  8. 接続するファイルを保護する

入力データの検証

プログラムを設計する時間の下で、あなたは「厄介な」入力データからヨガを保護することを練習する必要があります。 ルールは、従う必要があるので、次のように聞こえるはずです:「koristuvachである人に嘘をつかないでください」。 ほとんどのkoristuvachivを脅かさない人に関係なく、サイトをハッキングしたい人は、フォームまたはアドレス行から入力されたvikoristovuyuchiの「悪い」データを確認してください。 入力データを常にチェックしてフィルタリングすると、安全なプログラムを作成できる可能性が高くなります。

常にPHPスクリプトでデータを確認してください。 データ検証でJavaScriptを獲得した場合、それが軽減策であっても、ブラウザーでオンにすることができます。 現時点では、補遺は安全ではありません。 JavaScriptの検証は誰も気にしませんが、大笑いするには、PHPスクリプトのデータを再確認する必要があります。

XSS攻撃から身を守る

クロスサイトスクリプティングまたはXSS攻撃は、潜在的に異なる側でコードを悪用することに基づく攻撃です。 問題は、ずさんなコードをフォームから入力して、ブラウザに表示できることです。

あなたのサイトにコメントを入力するためのフォームがあり、それを追加すると表示されるとしましょう。 攻撃者はコメントを入力してJavaScriptコードを攻撃できます。 フォームの管理後、データはサーバーに送信され、データベースに入力されます。 このデータがデータベースから取得され、JavaScriptコードを含む新しいコメントがHTML側に表示される場合。 koristuvachを間違った側またはフィッシングサイトにリダイレクトできます。

プログラムを保護するには、strip_tags()関数を使用して入力データを実行し、実際のすべてのタグを確認します。 ブラウザにデータを表示するときは、htmlentities()関数を停止してください。

CSRF攻撃から防御する

世界に見える攻撃的なタイプの攻撃は、CSRF攻撃またはクロスサイトリクエストのいずれかです。 機密情報の削除、または被害者の知らないうちに権利を導入するための勝利のトリックを攻撃する。 基本的に、それはひどく盗まれたサイトで機能し、ビジネスロジックはロボットのGETリクエストで機能します。

Vzagali、GETリクエストはデポテンツです。 このコンテキストでのべき等とは、サードパーティの関与なしに、一方または他方へのアクセスを長期間実行できることを意味します。 GET自体は、情報へのアクセスを拒否した場合にのみ課金されますが、同時に異なるトランザクションに対しては課金されません。

次の簡単な例は、ハイジャックされていないサイトがCSRF攻撃を検出する方法を示しています。

ボブがアリスに対してCSRF攻撃を実行したいとします。 特別なURLアドレスを作成し、それを電子メールでAliciaに送信した場合:

私のサイトを見てください!

アリスがウェブサイトexample.comで承認されており、これらの指示に従うと、$1000がボブのアカウントに送金されます。 別の方法として、ボブは画像を編集し、src属性に「不良」アドレスを追加することができます。

ブラウザは画像を表示できず、ヨガの断片は利用できません。ソフトウェアは、アリスのその部分の知識がなくても作成されます。

同様の攻撃を回避するために、データベース内の情報を変更するために使用されるプロセスの前に、POST要求のみを無効にします。 $_REQUESTにタグを付けないでください。 $ _GETを使用してGETパラメーターを解析し、$_POSTを使用してPOSTパラメーターを解析します。

補遺として、一意の一意のトークンを生成し、それをPOSTスキンリクエストに添付できます。 koristuvachがシステムに入ると、パスワードトークンを生成し、それをセッションに書き込むことができます。 すべてのフォームのシャードがボックスに表示されます。トークン全体を添付のフィールドに書き留める必要があります。 プログラムのビジネスロジックは、フォームからのリバーシブルトークンであり、セッションに保存されるトークンである機能を転送する役割を果たします。

SQLインジェクションの重要性

データベースにデータを獲得するには、PDOの勝利に従ってください。 パラメータ化されたクエリと準備されたウイルス酵素を使用すると、SQLインジェクションを脅かすことができます。

次のお尻を見てみましょう:

上記のコードの場合、prepare()メソッドに名前付きパラメーター:: nameおよび:ageを含めるように強制できます。 このランクでは、データをさらに置き換えるためにコンパイルを依頼します。 execute()メソッドを呼び出すと、要求が再形成されてウィンクされます。 この種の手法を使用すると、SQLインジェクション攻撃者のすべてのテストがゼロになります。

ファイルシステムハッカー

信頼できる小売業者として、あなたはあなたのファイルシステムを脅かさないようなコードを書く責任があります。 コーダーによって転送されたデータの形式で、ファイルをダウンロードするために使用されるコードを見てみましょう。

このスクリプトは安全ではないため、スクリプトを含むファイルからアクセスできる任意のディレクトリにアクセスできます。セッションやシステムフォルダなどを含むディレクトリにアクセスできます。

このセッションの被告

ロックの場合、すべてのセッション情報が一時ディレクトリに記録されます。 仮想ホスティングプロバイダーの場合は、必要に応じて、スクリプトを記述してセッションデータを確認できます。 したがって、セッション用にパスワードまたはクレジットカード番号を保存することに注意してください。

それでもセッションで同様のデータを保存する必要がある場合は、暗号化が最善の方法です。 暗号化されたデータは100%安全ではないため、これで問題が完全に解決されるわけではありませんが、収集された情報は読み取れなくなります。 したがって、これらのセッションをデータベースなどの別の場所に保存できるものについて考える必要があります。 PHPには、独自の方法でセッションデータを保存できる特別なsession_set_save_handler()メソッドがあります。

PHP 5.4以降では、SessionHandlerInterface型のオブジェクトをsession_set_save_handler()に渡すことができます。

恩赦の処理

rozrobkiプログラムの時間の下で、vartoは勝つことができるので、あらゆる種類の恩赦に敬意を払いますが、kіntsekoristuvachіvїkhの場合、それらを取る必要があります。 koristuvachasに恩赦が与えられるかのように、私たちはあなたのサイトを苛立たせます。 このようなランクでは、最適なソリューションはエンドサーバーとディストリビューションサーバーの構成になります。

パブリックサーバーでは、display_errorsやdisplay_start_up_errorsなどのオプション、およびerror_reportingやlog_errorsなどのオプションをアクティブにして、coristuvachivからの恩赦がすべてログに記録されるようにする必要があります。

「set_error_handler」を微調整して、独自のパードンハンドラーを指定することもできます。 ただし、作成者の作業がネイティブPHPメカニズムによって行われている場合でも、交換に障害が発生する可能性があります。 パードンE_CORE_ERROR、E_STRICT、またはE_COMPILER_ERRORは、コンパイラーが記述されているファイルと同じファイルにはありません。 さらに、obrobnik自体に責任がある可能性のある恩赦は確認できません。

より洗練された方法で含めるには、安全でない可能性のあるコードをtry/catchブロックに配置する必要があります。 vlasnіvinyatkimayutを使用しますが、クラスまたはサブクラスのオブジェクトは例外です。 非難が投げられたとしても、try/catchブロックは壊される可能性があります。

接続するファイルを保護する

多くの場合、PHPスクリプトでは、ベースファイルや他のファイルへの接続など、他のファイルを追加する必要があります。 Deyakіrozrobnikproponuyutそのようなファイルexpansion.inc。 PHPプロモーションのためにそのようなファイルを解析しないでください。 仲介なしでアドレスに行くと、テキストをファイルに送信できます。 ハッカーがデータを取得し、データベースに接続するファイルへのアクセスを許可されている場合は、プログラムのすべてのデータにアクセスできます。 したがって、優先ファイルの.php拡張子を変更し、直接アクセスできない場所に保存してください。

ポッドバッグ

8つのルールを復活させようとすると、意味のある世界によって、さまざまな攻撃に対するzastosuvannyaの抵抗力を強化することができます。 破損者によって入力されたデータを信用しないでください。ファイルとデータベースを盗んでください。

ハッカーは誰なのか考えてみましょう。 ハッカーはクラッカーではありません! 人々はしばしば混乱して理解します。 ハッカーは私たちの目の前に非標準的なアイデアを持っている人であり、このように強さを言うことができます。

ハッカーにうまく抵抗するには、箱の外で考えることを学ぶ必要があります。 どうやら、彼らはくさびでくさびを打ちます。

今日は、phpincludeのような攻撃から身を守るための素晴らしい方法を紹介します。 明らかに、誰からも遠く離れた場所でワインを飲みましょう。 そして、それは攻撃自体からではなく、その兆候からあなたを正直に保護します。 興味がありますか?

冗談を言う方法…

泥棒自身が矛盾を見せようとしているので、それを見てみましょう。

あなたはこのように見えます。 攻撃者は必要に応じてすべてのパラメーターを変更し、これらのパラメーターがenable関数によって使用されるようにします。 それ以外の場合は、簡単な方法でファイルを「取得」できます。 そして、chiєrazlivіstіnіを指定するには、システム全体にある種のファイルを追加する必要があります(到着-変動性є、nі--razlivіstіnemaє)。

明らかに、悪意のある人物として、ディレクトリとファイルの配布の構造がわからず、ファイルを取得できないため、新しいファイルへの道もわかりません。 エールbuvayutそのようなファイル、yakіzavzhdіsnuyutіsistemі、yakіzavzhdєの読み取り権まで。 Linuxの場合、/ etc / passwd、およびWindowsの場合、C:\boot.iniとしましょう。 Ale vtim Windows、クリックするだけでは不十分なので、passwdに関するメモをくれました。

/ etc / passwd

ログを次の形式でより多くのレコードに合わせて歌いました。

アクション=../ etc / passwd%00
?action = .. / .. / etc / passwd%00
?action = .. / .. / .. / etc / passwd%00
?action = .. / .. / .. / .. / etc / passwd%00
?action = .. / .. / .. / .. / .. / etc / passwd%00
?do = ../ etc / passwd%00
?do = .. / .. / etc / passwd%00
?do = .. / .. / .. / etc / passwd%00
?do = .. / .. / .. / .. / etc / passwd%00
?do = .. / .. / .. / .. / .. / etc / passwd%00
?id = ../ etc / passwd%00
?id = .. / .. / etc / passwd%00
?id = .. / .. / .. / etc / passwd%00
?id = .. / .. / .. / .. / etc / passwd%00
?id = .. / .. / .. / .. / .. / etc / passwd%00

もしそうなら、あなたはphp includeを知ろうとしたことを知っているはずです(まあ、もっと多くのファイルを読むことは可能ですが、一度に私たちをクリックしないでください)。 したがって、パラメータの1つが適切なランクで処理されず、関数によって使用されているかのように 含む()、次に同じファイル/ etc / passwdが追加され、代わりにphpスクリプトとして解釈され、ワインのシャードはphpコードにタグ付けされず、ワインは同じ方法でブラウザーに表示されました。 これは、矛盾の自明性の強盗の「マーカー」として機能します。

私が書いていることは、突っついたときに、obov'yazkovoの詐欺師(90%の場合は保証します)がファイルを取得しようとする程度です。 / etc / passwd.

身を守れ、良さ!

間違いなく、あなたはすぐに考えました。「うわー、究極のWAFを伝播し、それらの中で/ etc / passwdのパケットをフィルタリングしますか?」 Ni。 Tse標準的な方法。 これは素晴らしい人の考え方の一例です。

ファンタジーを見せましょう。 passwdファイルにphpコードを追加してみませんか? そして、攻撃者が侵入できるとすぐに、phpコードが壊れます。 (あなたは狂気を気にしますか?-最後を見てください)

このファイルを含めることを考えているのはハッカーだけであることがわかっているので、phpコードは無罪であり、システムがハッキングされるのを防ぐために、腹立たしいファイルをブロックします。管理者の代理。

しかし、phpコードを/ etc / passwdやさらに多くの構文zhorstko規制に追加するにはどうすればよいですか? 皮膚のcoristuvachには、「コメント」フィールドがあります。これは、coristuvachの説明であり、いつでもすべてを入力できます(二重のメモがあるため、理解しています)。 したがって、必要なコメントを付けて、そのdodaemokoristuvachをシステムに取り込みます。 次に、/ etc/passwdはそのような行を復讐します

ルート:x:0:0:スーパーユーザー:/:
デーモン:*:1:5 :: /:/ sbin / sh
bin:*:2:2 :: / usr / bin:/ sbin / sh
sys:*:3:3 :: /:
adm:*:4:4 :: / var / adm:/ sbin / sh
securityuser:*:1001:1001::/:

さて、接続されているスクリプトでは、それを行う必要があります。coristuvachaを追放し、メールをブロックし、管理者に通知します。

その結果、私たちはあなたが悪からあなたのサイトを守ることができるように、私たち自身のパスタを持っています。

ヴィスノヴォク

したがって、上記のすべてが茜に似ていることを完全に確認できます。 私は、実際には何も勝利しないという素晴らしい心を持っています。 エールは誰のために書いたのではありません。 私は、ギャラリーでの非標準的なアプローチの尻をザキストに見せるために書いた。

尊敬のためのDyakuёmo=)

PHPスクリプトをホストするためのすべてのソフトウェア製品は、2つのカテゴリに分類されます。サーバーにアドオンモジュールをインストールできるようにすることと、Webサーバーのデフォルト構成で動作することです。 1つ目は、PHPスクリプトをテキストベースの外観から特別なバイナリコードに変換し、管理者権限でサーバーにアクセスできるようにするために、セキュリティの観点からより重要です。 他の人は、PHPをサポートしているすべてのホスティングで、費用がかからないものも含めて実際に練習できますが、邪悪なものにとっては大きな問題にはなりません。 サブグループでは、暗号化されていないがエンボス加工された元のコードを見ることができます。

同じサーバー上のZahist:

Zend Encoder / Zend SafeGuard Suite-最も人気のある商用保護であるZendサポートモジュールは、すべての有料ホスティングにインストールされています。 Zendは、スクリプトをドメインとIPにバインドし、試用スクリプトロボットをインストールして、難読化を試みることができます。 すべてのオペレーティングシステムをサポートしています。 パブリックアクセスでは、Zendを理解するためのユーティリティのオプションがいくつかあり、それらはすべてPHP4-їおよび5-їバージョンによって変更されます。古いバージョンのZendは問題なく実行され、残りの部分は難読化による折りたたみのせいです。出力コード。

活発に開発されている新しい商業キャンペーン。 マスターAPIと同等に、WindowsおよびLinuxオペレーティングシステムによって保護され、サポートされているスクリプトと対話することを望んでいます。 幅が狭いため、通常の仮想ホスティングにはインストールされませんが、他のサーバーに最終候補サーバーとしてインストールできます。 パブリックデコーダーはありません。

商用zakhistは実際には成長せず、仮想ホスティングにインストールされません。 既知のサーバーの正確な時刻に応じて日付を逆にしたロボットスクリプトの試用期間をインストールして、保護されているスクリプトをサーバー、IPアドレス、マージされたカードのMACアドレス、および番号にリンクできます。データの内、復号化に勝利します。 すべてのオペレーティングシステムをサポートしています。 パブリックデコーダーはありません。

phpSHIELD。 PHP用のSourceGuardianプロトタイプ。 2つの小売業者の怒りに続いて、彼らは独立した製品として開発することをやめました。 同じの主な機能は、パブリックデコーダーはありません。

ionCubePHPエンコーダー。 スクリプトを保護するためのもう1つの人気のある商用製品。 Zendのパブリックデコーダーの出現後、ますます多くの場合、それらは勝利し、仮想ホスティングにインストールされました。 スクリプトだけでなく、テンプレート、XMLドキュメント、画像、バイナリファイルを暗号化できます。 サーバーにファイルの保護をアタッチします。ハード難読化ツールは、すべてのオペレーティングシステムをサポートします。 パブリックデコーダーはありませんが、deZenderはいくつかの分野で知られています。

PHTMLエンコーダー。 商用システムは小規模であり、通常のオペレーティングシステムで動作するこのタイプの製品に最適な機能を提供します。 有料で、休日コードを追加し、必要に応じて変更することができます。 パブリックデコーダーはありません。

dwebencoder。 Windowsのエキゾチックな保護、CDにスクリプト化されたプレゼンテーションやカタログを作成するためのアプリケーション。 インストールされたサーバーは、phpスクリプトがエンコードされた自己ホスト型Webサーバーのように見えます。 パブリックデコーダーはありません。

PHPコンパクト。 Zakhistはより理論的で、実用的ではありません。 私はフォーラムの1つでrozroblyalasでしたが、右側の著者のリリースについても同様に、私は目立ちませんでした。 デコーダーや盗まれたスクリプトはありません。

古いphp-acceleratorsTurckMMCacheとeAcceleratorにコードを追加します。 コードの速度を向上させる方法で、スクリプトをバイトコードに変換します。 WindowsおよびLinux用のモジュールのЄバージョン。 公開デコーダーはありませんが、おそらく、プロジェクトのコードが被害者の助けになるかもしれません。

コードの同じ日のZahist:

PHP LockIt! 。 人気のある商用攻撃者は、主に外国の小売業者のスクリプトで頻繁に公開されています。 ロボットスクリプトの試用期間をインストールし、ドメインとIPアドレスにリンクし、標準のphp(gzinflate)メソッドを使用してスクリプトを圧縮できます。 唯一の折り畳みは正面の難読化ツールです。 パッケージの異なるバージョンは、解凍モジュールを変更することによってのみアップグレードされます。 手動モードと自動モードの両方で簡単に操作できます。 難読化機能がない場合は、出力コードを正確に読み取ります。難読化機能がある場合は、追加の処理が考慮されます。

CNCrypto。 デモバージョンへの無料アクセスはありません。分析は盗まれたスクリプトの背後で実行されました。 折り畳みの吊り下げモジュールは、開梱時に表示されません。出力コードを適切に難読化した場合にのみ機能します。

PHPCipher。 Zahistはオンラインサービスです。 スクリプトからのアーカイブはサイトに持ち込まれ、盗むことによって取り戻されます。 有料ライセンスを使用すると、クレジットを使用してスクリプトの保護に署名し、商業目的で勝つことができます。 費用のかからないライセンスでは、特別なニーズのみを獲得できます。 ディフェンダー自体は、保護されたスクリプトに接続されているZend "php-moduleによって保護されています。deZend"の後、モジュールが保護され、必要なすべての定数がコードに取り込まれます。 難読化機能はありません。

PHP用のByteRunプロテクター。 ライセンスの種類に応じて、商用製品を使用すると、サーバーレベルと外部コードレベルの両方でスクリプトを保護できます。 標準的な可能性を持つサーバーzahistには特別なものはありません。 同等のスクリプトでのZahistは、自動および手動で簡単に実行できます。 サーバーバージョン用のパブリックデコーダーはありません。

vіtchiznyanykhrozrobnikіvzahistの間でさらに人気があります。 Є強くzasmіchenim空のコードモジュールzakhistuは、includeを介してzahranіhscriptіvに接続されています。 デコードアルゴリズムはさらに単純で、手動または自動ピックアップの毎日のフォールドを呼び出しません。 すべてのタイプについて、それはまだ出力コードに認識されており、難読化機能はありません。 デコードのいくつかの呼吸のためのいくつかの機能がありますが、ここでは悪臭については説明しません。

codelock。 もう1つの人気のあるザキスト、文芸的プログラミングの奇跡のお尻。 私は、スクリプト自体のようにコーディングできるphpプログラムであり、JavaScriptを使用してブラウザーでスクリプトを実行した結果です。 スクリプトはパスワードで保護できますが、平凡な実装により、オーバーヘッドガードを知らなくてもパスワードを簡単に認識できます。 保護モジュールは、保護されているスクリプトに接続する空のコードに置き換えられたphp-scriptです。 アルゴリズムzakhistuはさらに単純で、出力コードに馴染みがあります。 難読化機能はありません。

TrueBug PHPエンコーダー、最近はTrueBugPHP難読化ツールおよびエンコーダー。 dosl_dzhennyaのDzhets_kavyプロテクター。 バージョン1.0.2より前では、gzip圧縮の標準phpファイルは、バージョン1.0.3から、作成者の圧縮アルゴリズムの拡張の作成者によって微調整されていました。 新製品TrueBugPHPObfuscator&Encoderは、出力コードの難読化と最適化の機能を備えています。 攻撃の唯一の弱点は、スクリプトをデコードするためのポストスクリプトアルゴリズムであり、アルゴリズムは攻撃のスキンバージョン用に変更されています。 分析後、ザヒストは正確なコードを正確に読み取るのは簡単です。当然のことながら、それは一般的な難読化ツールではありません。

ZorexPHPCryptZ。 Zahist、yak、CodeLock、phpの補遺、MySQLデータベースはヨガロボットに必要です。 Zakhistuモジュール-phpに接続し、キルカボールで暗号化するスクリプト。 分析後、アルゴリズムは出力コードまで正確に理解するのは簡単です。 難読化機能はありません。

無料のPHPエンコーダー。 phpスクリプトをコーディングするための無料のオンラインサービス。 ホストのモジュールはphp-scriptであり、サイトから取得するために必要なZendによって接続され、攻撃されます。 アルゴリズムはペースが速く、難読化機能は使用できません。

PHPスクリプト、プリミティブエンコーディング、標準base64。 より大きな敬意は価値がなく、実際的な利益はありません。

「銀行のウェブサイトはペニーのためにラマイヤットであり、ペンタゴンはスパイのためにあり、私のプロジェクトは誰にも必要ありません」-残念ながら、私自身は特別なブログ、インターネット名刺でより多くの当局を尊重しています、中小企業の仮想代表。 それらについて、サイトを乗っ取る方法については、彼らは一人ではありませんが、ダルマです。 今日の現実では、人気の種類に関係なく、ハッカーの目にはtsikaviyという一種のMaidanchikが絶対にあります。 他に誰があなたのリソースを必要とするかもしれませんか? 解き明かしましょう:
1.Vitivkiscriptkіdіs。 専門用語はハッカーを意味します-pochatkivtsiv、「ダークサイド」の最初の数人を恥ずかしがるのが好きです。 多くのツールを入手したり、いくつかの優れたプログラムを作成したりした場合、最初に試した被害者の慣習を読み間違え、原則として最も簡単なものを選択するのは時間の無駄です(保護が弱く、更新されません)。 CMS)番号。
2.ブラックSEO。 不正なオプティマイザーの使用人はまだ使用されています-以前のように、10を超えるTICである可能性のあるプロジェクトコードへの添付メッセージの配置が実践されています。 Іまず第一に、打撃を受けて、リソースはオープンソースコード(Joomla、Drupal、OpenCartなど)を備えたエンジンで消費されます。
3.ポブドバボット-いいえ。 WordPress for htaccessプラグインを防御します。これは、DDoS攻撃中に使用されるゾンビを作成するために絶対にすべてのリソースを使用でき、スパムをうまく拡散できるという事実に関連しています。
4.コンパニオンチャーン。 ナレシュティ、攻撃はあなたではないかもしれません-ホスティングが主な方法であり、サイトはプロバイダーのITインフラストラクチャの1つの大きな違いとして機能しません。 Zrozumіlo、yogoシェアはハッカーにとってbaiduzhaになります。

悪の特性は最も容認できないものになる可能性があります。コンテンツまたはリソース全体の損失、ショックシステムの種類の悲観化、「サイトはコンピューターの安全性によって嫌がらせを受ける可能性があります。またはモバイルアドオン」、あなたのウェブリソースのベースは法律に反してskoєnoでした。

また、あなたが最新であることを確認することも可能です-栄養の安全性は完全に皮膚のウェブマスターです。 Іyakshtoそれらnekhtuvat、すべてのzusillya z poshkovogo prosuvannya(およびtse-ペニーと高価な時間)はvіdrazu飲み物の灰を構築します。 問題はすでに関連しているので、私は脅威とそれらと戦う方法に捧げられた一連の記事を書きました。 3つのリリースでは、人気のあるCMSシステムであるWordPressを取り上げます。

WordPressサイトをホストする方法

悪の最も原始的な方法の1つは、ブルートフォースです。 この用語は「ブルートフォース」と訳され、可能なオプションを徹底的に列挙する方法によるログイン/パスワードの賭けの撤回を意味します。 ほとんどの場合、ブルートフォーサーは、エンジンとサーバーの微調整をスクランブルして、生活を楽にするのに役立ちます。たとえば、組み合わせの数が少ないクラウドレコードとして認識するのに役立ちます。 これらの癖の採用について、および不正アクセスのサンプルと戦う方法についてそれ自体。

1.一意の管理者ログインにチェックマークを付けます

ロックの場合、システムは管理者の名前のcoristuvachaの作成を促します。 ただし、WordPressサイトをホストするには、ランダムな文字と数字のセットで構成されるログインを作成するのが最善です。 次の2つの方法のいずれかを使用して、リソースの管理者名を特に問題なく変更できます。

管理者を通じて。 「Koristuvachi」ディストリビューションに移動し、「Add new」ボタンを押して、フェイスレコードを作成します。 「役割」欄で「管理者」を選択し、操作を確認してください。 次に、よく作成された外観の名前に移動し、「Koristuvachi」セクションに移動し、「admin」を選択して「Vidality」を押します。 上部の[常時電話]の位置にラジオボタンを置き、リストから新しい管理者を選択して、[電話の確認]を押します。
。 VikoristovyuchiphpMyAdmin。 この手順は、データベースのコントロールパネルから簡単に実行できます。 必要なデータベースを選択し、wp_usersテーブルを見つけ、「admin」行(ID = 1)を見つけ、「Change」をクリックして名前フィールドに入力します。

2.出版物用の特別な公共記録を作成します

Yakshchoは、管理者を「輝かせない」で、追加の保護を確保します。 記事を配置するためのokremiyaoblіkovyレコードを作成し、段落1で説明した方法で、以前に公開されたすべての資料にリンクします。さらに、情報を追加し、新しいoblіkovyレコードからのみ読者と通信します。

3.折りたたみパスワードを設定します

一般的に受け入れられている推奨事項を利用してください。パスワードの長さは10文字以上である必要があり、パスワードは一意であり、大文字と大文字、数字、特殊記号のvipadkovoシーケンスで構成されている必要があります。
いつでもそれは不可能です:
。 意味のあるフレーズからパスワードを作成する
。 vykoristovuvatbe-yakіの事実データ(生年月日、女の子の名前、銀行口座番号、現在の日付...)
辞書のコードフレーズを選択するリスクをオフにし、ブルートフォースに必要な時間を短縮する必要があります。 したがって、小さな文字と数字(hki458p1fa)のみで構成される10文字の邪悪なシーケンスは、1台のPCで1時間のマシン時間に10日かかり、次に大きな文字と追加の記号(Nv6 $ 3PZ〜w1)を追加します。この期間は526年にまで成長し、実質的に絶対的なザキストのWordPressを保証します。 特に多くのプロジェクトで忙しい場合は、同様のパスワードを覚えて覚えておくのは簡単です。 したがって、この世代では、特別なマネージャーを使用することをお勧めします。たとえば、コストなしでどこでも開くことができるKeePassX、または優れたテストドキュメント(つまり、パスワードを使用してアーカイブにパックされます)。

4.データベースのパスワードを変更します

ルールの再発明はより公平であり、MySQLへのアクセスコードのセキュリティのためです。 Aje自身が、そこにあるすべてのコンテンツと、管理者への秘密のフレーズのハッシュを見つけます。 すでに弱いパスワードを獲得しているので、それを覚えている人には注意してください。 このように戦う:

1.phpMyAdminパスワードパネルに移動します
2.「Koristuvachі」タブに移動し、データベースの担当者を選択します。
3.「特権編集」をクリックします
4.「パスワードの変更」列を見つけて、指定されたフィールドに新しいシークレットシーケンスを入力します
5.「OK」を押して変更を保存します

これでwp-config.phpの編集はなくなりました。そうしないと、WordPressはデータベースに接続できません。 行define('DB_PASSWORD'、'password');を検索します。 パスワードという単語の代わりに新しいパスワードを入力します。 敬意を表する:SQLコマンドの再暗号化には振動記号(‘)が必要です。これは、秘密のフレーズウェアハウスでも繰り返す必要があります。

5.パスワードを定期的に更新します

Їхvartomynyatiはpіvrokuのために一度それを取ります。 コードフレーズのPozachergovaの変更は、以下の後にobov'yazykovozdіysnyuvatisyaによるものです。

認証用のデータをサードパーティ(プログラマー、システム管理者、オプティマイザー、その他の機能、ホスティング会社のスタッフに悪臭を放つようなもの)に転送する
。 他の人のコンピュータからWebリソースにアクセスする(パーティー、インターネットカフェで)
。 承認、侵害された可能性があります(マシンがウイルスに感染している)

6.クッキーの秘密鍵を覚えておくことを忘れないでください

悪臭はwp-config.phpファイルの近くにあります。 Usyogoїх8:

define( "AUTH_KEY"、 "一意キー"); define( "SECURE_AUTH_KEY"、 "一意キー"); define( "LOGGED_IN_KEY"、 "一意キー"); define( "NONCE_KEY"、 "一意キー"); define( "AUTH_SALT"、 "一意キー"); define( "SECURE_AUTH_SALT"、 "一意のキー"); define( "LOGGED_IN_SALT"、 "一意のキー"); define( "NONCE_SALT"、 "一意のキー");

define( "AUTH_KEY"、 "一意キー"); define( "SECURE_AUTH_KEY"、 "一意キー"); define( "LOGGED_IN_KEY"、 "一意キー"); define( "NONCE_KEY"、 "一意キー"); define( "AUTH_SALT"、 "一意キー"); define( "SECURE_AUTH_SALT"、 "一意のキー"); define( "LOGGED_IN_SALT"、 "一意のキー"); define( "NONCE_SALT"、 "一意のキー");

名前の名前を推測するかどうかは関係ありません。キーは、vikoristovuyutsyaのように、Cookieファイルを暗号化するために与えられます(専門用語:cookie-ベイク、ソルト-ストロング、塩辛いストーブでハッカーを使用できます)。承認後にコンピュータを忘れてしまったため、サイトを覚えておいてください。 要するに、攻撃者は管理者のパスワードのハッシュを注文から削除するため、秘密のフレーズを再配線せずにサイトにアクセスするために必要なCookieを生成することはできません。

安全性を高めるために、CMSが話された後、スペルの文字のシーケンスを一意の文字列に置き換える必要があります。 便宜上、小売業者はアドレスwww.api.wordpress.org/secret-key/1.1/salt/に広がるWebジェネレーターを作成しました。入力するとキーがあり、サイドを変更すると組み合わせが表示されます。更新されます。

7.管理パネルの署名認証

Htaccessを使用すると、同じサーバーに認証を追加することで、WordPressサイトをハイジャックできます。 コードは次のようになります。

< Files wp- login. php> #認証の基本タイプを設定します-tseは、試行するときに#指定したディレクトリまたはファイルを参照すると、パスワードの入力を求められます。 AuthTypeベーシック #フォームヘッダーに表示するテキストを入力します。 AuthName「自分を特定する」 #パスフレーズを取得するためのファイルへの方法を見つけましょう: AuthUserFile "/home/site/.htpasswd" #wp-login.phpファイルを入力するときは、パスワードを入力する必要があることに注意してください。有効なユーザーが必要 #.htpasswdファイルへのアクセスを第三者に制限します。< Files . htpasswd>注文許可、拒否すべてから拒否

#認証スクリプトファイルを選択します。 #認証の基本タイプを設定します-これは、試行したときに何を意味しますか#指定されたディレクトリに移動するか、ファイルにパスワードが提供されます:AuthType basic#フォームのヘッダーに表示するテキストを入力します:AuthName "Identifyyourself" :AuthUserFile "/home/website/.htpasswd"#wp-login.phpファイルにアクセスするときにパスワードが必要であることを指定します。valid-userが必要です#.htpasswdファイルへのアクセスをサードパーティに制限します。 注文は許可し、すべての拒否を拒否します

同時に、htaccess自体のセキュリティについて話すのは悪いことです。 厳密に言えば、そのようなディレクティブは、ホスティングのメイン設定、一部のプロバイダーのale vrahovyuchiの不注意、安全なvartoで詳しく説明できます。

「ログイン」置換は、名前のバザネで表されます。 オープンソースから同様のデータを保存したとしても、パスワード自体を生成したり、暗号化したりすることはできませんでした。rozkishは許可されていません。 したがって、匿名サービスを使用する必要があります。さらに、必要なスクリプトを自分で作成することをお勧めします。 このように戦う:

1)extensions.phpからメモ帳ファイル(crypt.phpなど)を作成します
2)パスワードを「パスワード」に置き換えて、そこにコードを入力します。

3)ファイルを保存し、ルートディレクトリに保存します
4)リクエストsite_name.ru/crypt.phpに移動します-パスワードハッシュが画面に表示されます
5).htpasswdファイルの値を保存してルートディレクトリに置き、crypt.phpを削除します

最後の仕上げは、Webリソースのディレクトリではなく、フェンスを確認することです。 htaccessに1行追加するだけで十分です。

オプションすべて-インデックス

オプションすべて-インデックス

ハッカーがファイルがプロジェクトのディレクトリにあるかどうかを見つけられないように戦う必要があります。 リッチホスティングでは、ディレクティブはすでにサーバーの構成に含まれていますが、同時に、アカウントへの介入時に、順序を個別に記述する必要があります。

8.キャプチャをインストールします

Wikoristanya captchaを使用すると、すべてではないかどうかを確認して、ほとんどのブルートフォースボットを受け入れることができますが、同時に実行できます。 WordPressサイトをホストするためのプラグインのカタログには多くのオプションがあります。 GoogleのようなKrympodklyuchennyaの企業ソリューションは、数理論理学に基づくBestWebSoft混合(グラフィックスとテキスト)タイプのCaptchaです。 Nezalezhnіstvіdservіsіv、naochnіstіpriyatnyrіvenslozhnostіは、モジュールを最高の1つから奪いました。

Nalashtuvannyaは特に問題ではありません。 「基本」タブでは、キャプチャを表示する場所を選択できます。また、フィールドを識別するためのタイトルと記号、キャプチャが完了するまで指定することもできます。

「拡張」配布セクションでは、ボットの生活を楽にするために、恩赦に関する公式発表を作成したり、補足画像パッケージをアクティブ化したりすることができます。

もう1つの可能性は、キャプチャが表示されないIPアドレスのより大きなリストを作成することです。

プラグインのインストールとアクティブ化の結果、認証側にフォームが表示されます。

9.管理者アドレスを変更します

それらについてのRozpovіdayuchi、WordPressでサイトをハイジャックする方法、vartoは急進的で、エールで、折り畳み可能な方法を推測します-等しいスクリプトで承認側のURLを変更します。 手順の後にいくつかの手順が続きます。

1.wp-login.phpファイルの名前を変更します。 小さなラテン文字、数字、ダッシュのvipadkovyシーケンスを征服します。 例:abc-123.php
2.ファイル内のすべてのwp-login.phpなぞなぞを見つけて、新しい名前に置き換えます。
3.サイトを正しく操作するには、次を変更する必要があります:wp-activate.php、general-template.php、post-template.php、functions.php、class-wp-customize-manager.php、 general-template.php、link-template.php、admin-bar.php、post.php、pluggable.php、ms-functions.php、canonical.php、functions.wp-scripts.php、wp-signup.php、 my-sites.php、schema.php、ru_RU.po

これらの操作の後、アドレスサイト/abc-123.phpの管理者roztashovuvatimetsya。 新しいファイルへのアクセスは保護され、割り当てられた方法でパスワードで保護されている必要があります。 さらに、偽のwp-login.phpファイルを作成し、新しいファイルのパスワードを設定することで、潜在的なハッカーをオマーンに紹介することができます。

もう1つの簡単なオプションは、「wp-login.phpの名前を変更」アドオンを使用することです。 メニュー[設定]->[永続的な投稿]でサイトをホストするためのプラグインをインストールすると、新しいフィールドが表示されます。

10.管理者IPを入力します

Dodatkovuのセキュリティは、静的IPアドレスを使用しているため、vipadkuで保護できます。 他のコンピューターからのwp-login.phpへのアクセスをブロックし、それを酷評し、攻撃者の生活を楽にします。

< Files wp- login. php>注文拒否、127.0.0.1、127.0.02からのすべての許可からの拒否を許可 #誰を通してあなたのIPアドレスを指定することができます

order deny、allow deny from all permit from 127.0.0.1、127.0.02#誰を通してIPアドレスを指定できるか

11.承認の恩赦を削除します

攻撃者は、パスワードを並べ替えるときに、入力されたデータが正しくないことが判明したパスワードに関する情報を必要とします。 このアラートは、ログインしようとすると表示されます。また、WordPressは、ログインまたはパスワードを間違って入力した場合にもアラートを出します。 正しくするには、functions.phpに1行だけ追加するだけで十分です。

add_filter( "login_errors"、create_function( "$ a"、 "return null;"));

add_filter( "login_errors"、create_function( "$ a"、 "return null;"));

このためには、管理者で「サニールック」->「エディタ」->「テーマ機能」を選択します。 タグの後に必要なコードを入力してください

12.Vykoristovytez'ednannya。

コンピューターとWebサーバー間のトラフィックを暗号化するために、httpsプロトコルを使用します。これにより、重要なデータ(この場合はID)を圧倒することができなくなります。 これをアクティブ化するには、SSL証明書を取得する必要があります。SSL証明書は、Webリソースの保守と、送信される情報の暗号化という2つの機能を果たします。 専門センターまたは低ドメイン名のレジストラでヨガを受講できます。 非営利目的の場合は、費用のかからない耳から耳への証明書で十分です(会社www.startssl.comによって宣伝されています)。 インストールプロセスの前に、ホスティング事業者の予備配布からレポートの説明のVINを呼び出します。

SSL証明書を削除したら、保護されたサイトのWebリソースの管理部分をリダイレクトする必要があります。 WordPressの先端では、追加の攻撃的な構造を試す価値があります。

< IfModule mod_rewrite. c>オプション+FollowSymlinksRewriteEngine On RewriteCond%(HTTPS)= off RewriteCond%(REQUEST_URI)=/wp-login。 php RewriteRule(。*)https:

オプション+FollowSymlinksRewriteEngine On RewriteCond%(HTTPS)= off RewriteCond%(REQUEST_URI)= / wp-login.php RewriteRule(。*)https://%(HTTP_HOST)%(REQUEST_URI)

同じエンジンでのみSSL証明書の取得を強制することも可能です。 どちらの場合も、wp-config.phpファイルを開き、以下を追加します

define( "FORCE_SSL_ADMIN"、true);

define( "FORCE_SSL_ADMIN"、true);

地獄、あなたはhttpからhttpsへのグローバルリダイレクトを設定することができます。 新しいサイトの場合、このようなpidhidは、Googleがプロジェクトを保護したいサイトを考慮すると最適であり、検索エンジンの最優先事項になります。

< IfModule mod_rewrite. c>オプション+FollowSymlinksRewriteEngine on RewriteCond%(HTTPS)= off RewriteRule ^(。*)$ https: //%(HTTP_HOST)%(REQUEST_URI)

オプション+FollowSymlinksRewriteEngine on RewriteCond%(HTTPS)= off RewriteRule ^(。*)$ https://%(HTTP_HOST)%(REQUEST_URI)

13.侵入者をブロックします

最初のIPから疑わしいアクティビティが検出された場合は、サイトへのアクセスをブロックします。 前の方法で類推のために戦ってください。 違いは、指令がプロジェクト全体に規定されており、禁止したい人の住所をリダイレクトすることです。

127.0.0.1、127.0.02からのすべての拒否から許可を注文、許可を拒否

この方法は優れており、タンパク質効率が高い。 そもそも、ランク別のように、善良なものの場合は、ブルートフォーサーとその水強化を固定する必要があります。 別の言い方をすれば、大量攻撃では、ハッカーやボットのIPを手動で入力することはできません。 この方法は、管理者が信頼できる「ブラックリスト」アドレスを持つことができる場合にのみ有効です。

他の方法では、プラグインを使用してWPCerberと呼ばれるWordPressサイトをホストできます。 このソリューションは、邪悪なCMSを保護するために呼び出す非常に重要なツールのセットの助けを借りて、完全にコストがかかりません。 管理パネルから直接ヨガをインストールできます。

zamovchuvannyam proponuyutsyadosittyamuschiパラメーターの場合。 ちなみに、vartoのサンプル数が5に増えたので、理解できません。

逆に、「wp-login.phpリクエストのIPをブロックする」チェックボックスをオンにすると、前述の方法で管理者アドレスを変更できます。

誰のためにWPCerber動力工具を使用できますか?

サイト「シタデル」をホストするためのプラグインモードも追加設定を必要としません。 大規模なブルートフォース攻撃のためのプロジェクトの「保全」のためのVinの割り当て。 「ファイルの入力を記録してみてください」の横にあるチェックマークを外すと、サーバーへの添付ファイルをオフにするのに役立ちます。

[アクセスリスト]タブは、「黒」と「白」のIPリストを作成するために使用され(静的アドレスがある場合は、それらを信頼できるアドレスのリストに追加する必要があります)、[ツール]セクションで管理できます。以前に入力した設定のインポートとエクスポート。 Vtіm、その可能性は明確な外観を必要としません。

14.構成ファイルを移動します

ご存知のように、wp-config.phpは、MySQLにアクセスするためのログインとパスワード、およびAPIキーなどの非常に重要なデータを保存します。 次のステップは非常に明白です-ファイルへの追加アクセスのためのhtaccessを介したWordPressハイジャック:

< Files wp- config. php>注文は許可し、すべての拒否を拒否します

注文許可、拒否すべてから拒否

nadіynishyメソッドを保護します。 WordPressはやや特別かもしれませんが、それを知っている人はほとんどいません。 エンジンを使用すると、構成ファイルをルートディレクトリよりも1つ高い価格で配置できます。.phpをサイトディレクトリに移動できます。 この場合、ファイルはインターネット経由でアクセスできなくなります。その場合、CMSは新しいファイルの情報を読み取ります。

15.リファラーを追加します

スパムからWordPressを攻撃するときによく証明されているこの方法は、ブルートフォーサーを助け、時には抵抗します。 Ajeがパスワードを整理します。手動のロボットでさえありません。特別なプログラムがあります。 つまり、入力リクエストのヘッダーの再チェックをオンにすることで、空のHTTPリファラーを持つボットを表示できます。

< IfModule mod_rewrite. c>RewriteEngine On RewriteCond%(REQUEST_METHOD)POST RewriteCond%(REQUEST_URI)。 (wp-comments-post | wp-login)\。 php * RewriteCond%(HTTP_REFERER)!。*tekseo。 su。*[OR]RewriteCond%(HTTP_USER_AGENT)^ $ RewriteRule(。*)http://%(REMOTE_ADDR)/ $ 1

RewriteEngine On RewriteCond%(REQUEST_METHOD)POST RewriteCond%(REQUEST_URI)。(wp-comments-post | wp-login)\。php * RewriteCond%(HTTP_REFERER)!。*site。*RewriteCond%(HTTP_US *)http:// %(REMOTE_ADDR)/ $ 1

16.XML-RPCを暗号化する

バージョン3.5以降、WordPressはリモート呼び出しプロトコルXML-RPCプロシージャを有効にする機能を導入しました。 基本的に、モバイルプログラムとの対話にはワインが必要ですが、プロテオと同様の機能は肌には必要ありません。 ただし、xmlrpc.phpはDDoS攻撃に積極的に使用されており、プロジェクト全体のアキレス腱となっています。

さらに、ハッカーはブルートフォース用のXML-RPCを考案しました。 wp.​​getUsersBlogsメソッドを使用すると、管理者フォームではなく、より豊富な方法で公開データを並べ替えることができます。 多くのXML-RPCショートカットは認証に影響を与え、フォームに次のように要求します。

< methodCall> < methodName>wp。 getUsersBlogs < params>< param>< value>< string>管理者 < param>< value>< string> 12345

wp.​​getUsersBlogs 管理者 12345

dvigun povodomit、chiが組み合わせを転送したという事実にprizvedeє正しい。 この不幸を回避するには、プロトコルを再度有効にする必要があります。 Zrobiti tseはkіlkomの方法である可能性があります:

1)htaccessを介したxmlrpc.phpファイルへのアクセスのブロック

require_once(ABSPATH。 "wp-settings.php");

書く必要があります

function remove_x_pingback($ headers)(unset($ headers ["X-Pingback"]); return $ headers;)add_filter( "wp_headers"、 "remove_x_pingback");

4)「設定」->「書き込み」オプションをオンにしたWicorousプラグイン制御XML-RPC公開:

尊重をオンにする:アクティブ化の直後にプロトコルを追加します。設定で、チェックボックスの横にあるチェックボックスをオンにすることでプロトコルをオンにできます。

17.ブルートフォース攻撃を調査します

Nasamkinets vartoは、悪への試みをログに記録するためのcicaviaプラグインについて推測します-認証とxmlrpcログライター。 同じWPCerberを監視に使用できる場合、特に上記のプロトコルの機能が必要な場合は、このモジュールの方が適しています。 AX LogWriterは、xmlrpc.phpを介してブルートフォースを処理できるため、そのドシリティを何度も何度も脅かすリスクを評価できます。 プロジェクトのセキュリティを担当していないティムのナレシュティは、サイトをホストするためのプラグインで、オーバーホールされたエントリの重要性に目をつぶっています。

AXLogWriterwikiは折りたたみできません。 管理メニューがインストールされると、最後のブランチが表示されるので、必要なすべての変更を加えることができます。

「エラータイプ」フィールドで、保存方法を選択します。 システムログ、Apacheサーバーサーバーへの書き込み、およびカスタムファイルの作成をサポートします。 新しい場合の残りのケースでは、名前(カスタムエラーログ名)とディレクトリ(カスタムエラーログパス)を変更することもできます。 これにより、システム管理者に幅広い可能性がもたらされます。たとえば、fail2banからソリューションを一度に獲得できます。 また、[タイムゾーン]列で正しいタイムゾーンを選択することを忘れないでください。

カスタムログは、カスタムログビューアの横にある管理パネルから直接表示できます。

提案:

メソッドの改修は、リソースの安全性を向上させ、練習されているブルートフォースボット、フーリガン、スクリプトキッドの一部を救うのに役立ちます。 上記のすべてを保護することは、氷山の一角にすぎません。 悪を行う者の兵器庫には、ますます洗練された方法があります。 そして今、次の記事では、それらについて、実際のハッカーから身を守る方法、エンジンとサーバーソフトウェアの不一致の違いを克服する方法について説明します。 この資料のように、最も重要な衛生規則は、CMSを調整するための鍵、コードを変更する方法、および最も関連性の高いプラグインと見なされます。


編集者の選択

©2022androidas.ru-Androidのすべて