В предишния пост за стар сайт, нов сайт, писах набързо за това, какво “хакерите” (в кавички, защото не са никакви хакери) проверяват дали сте се опитали да скриете нещо, в някоя папка с лесно за познаване име. В този, ще разгледам още малко от логовете на един сайт, с който се занимавам.

Започвам от редовната проверка, дали имате инсталиран WordPress. Тя се състои от проверка дали някои възможни папки съдържат файл wlwmanifest.xml:

/wp-includes/wlwmanifest.xml
/blog/wp-includes/wlwmanifest.xml
/web/wp-includes/wlwmanifest.xml
/wordpress/wp-includes/wlwmanifest.xml
/website/wp-includes/wlwmanifest.xml
/wp/wp-includes/wlwmanifest.xml
/news/wp-includes/wlwmanifest.xml
/2018/wp-includes/wlwmanifest.xml
/2019/wp-includes/wlwmanifest.xml
/shop/wp-includes/wlwmanifest.xml
/wp1/wp-includes/wlwmanifest.xml
/test/wp-includes/wlwmanifest.xml
/media/wp-includes/wlwmanifest.xml

Ако има WordPress, преминават на още няколко проверки:

/?author=1 , 2, 3 и така нататък – проверка за потребителското име на администратора
/wp-content/themes/seotheme/db.php?u – темплейт за WordPress, който има дупка в сигурността
/wp-content/themes/pridmag/db.php?u – същото, но с друга тема
/wp-content/plugins/dzs-zoomsounds/savepng.php?location=a57bze8931.php –
dzs-zoomsounds добавката (plugin) позволява качване на файлове, които после да се използват за пробив в сайта
/wp-content/uploads/typehub/custom/apceynvi/.pwn3d.php – а може би вече имате злонамерен файл и остава само да се използва?
/wp-content/plugins/sid/sidwso.php – още една добавка, която бива използвана за злонамерен достъп
/xmlrpc.php – система за достъп до сайта отдалечено и програмно. Ако този файл е наличен, се започва едно безкрайно пробване на различни комбинации потребител/парола с цел да се налучкат на случаен принцип. На всички сайтове, на които не го използвам за някакъв достъп, го трия. В 99% от сайтовете този файл е ненужен и е хубаво да го няма.

Ако този сайт не е базиран на WordPress, продължава с още няколко проверки за да се намери евентуално логин страница или административен панел, към което след това съсредоточат усилията за налучкване на потребител/парола./

/admin/
/admin/login
/admin.php
/login
/login.php
/login.aspx
/administrator/ – на този адрес обикновено се намира административния панел на друга подобна на WordPress система – Joomla.

Какво препоръчвам аз:

Най-важното за 99% от сайтовете – изтрийте xmlrpc.php. Сайта няма да спре да работи, но пък ще премахнете една точка за достъп.

Не използвайте потребител admin! В никоя система за управление на съдържанието! Никога! Това е най-често използваното потребителско име и съответно най-често пробите започват от там.

Измислете си нормално сложна парола. Най-добре паролата да е от рода на: ВчераВДетскатаГрадинаТокУдариДвамаТримаИли4!. Това за тези от по-старото поколение и да, точката е част от паролата. Да, и удивителния знак също.

Сега малко по-техничеки. Много често колегите, занимаващи се със сайтове НЕ ГО ПРАВЯТ.

Ограничете достъпа до логин системата с втора парола с .htaccess. “Хакерските” ботове много рядко се занимават с пробване на такива пароли.

Ако искате още повече да затегнете положението, ограничете достъпа по IP адрес на администратора с htaccess. Аз най-често прибягвам до този вариант, защото отказва много бързо всякакви ботове. В WordPress работи чудесно за файл wp-login.php. Още по-добре работи ако администрацията и потребителската част са разделени.

Това естествено не е вариант ако и нормални потребители ще се регистрират и правят някакви действия като покупки в интернет магазин. В тези случаи поне сложете някоя Captcha. И да изкажа моето скромно мнение, WordPress не е система за онлайн магазин. Може да се докара да работи като такава, но не е!

Още по-технически:

Преглеждайте от време на време логовете за достъп и ако има някое упорито POST-ващо IP, вижте какво точно пробва и дали няма да успее ако е достатъчно упорито. От време на време предотвратяваме неоторизиран достъп в по-стари системи за управление на съдържанието точно така.

Последно за тази вече дълга статия. Поглеждайте натовареността на сървъра. При усилен “хакерски” интерес към някой сайт, неговото натоварване се вдига достатъчно за да изпъкне.

Тъй като ми писна да пиша още, ако някой някога прочете този роман и има въпроси – коментарите са идеално място за тях. Успех!