Hakirani mnogi Wordpress i Joomla webovi zadnjih dana

Hosting i serveri
22

Ma koja aplikacija ?
Ja sam recimo koristio FileZillu, a ona (koja unosi passworde umjesto mene) sprema passworde u običnom txt formatu.
Sad koristim CoreFTP i ne spremam passworde nigdje, nego ih c/p iz jednog posebnog fajla kod svakog spajanja.

23

[quote=“dev_masta”]Ma koja aplikacija ?
Ja sam recimo koristio FileZillu, a ona (koja unosi passworde umjesto mene) sprema passworde u običnom txt formatu.
Sad koristim CoreFTP i ne spremam passworde nigdje, nego ih c/p iz jednog posebnog fajla kod svakog spajanja.[/quote]

LassPass jako zgodan progrančić besplatan k tome ima i prijevod za naš jezik. Nigdje negjem bez njega.

24

Ima li tko informaciju o novim hakiranjima Wordpressa??

25

Okle tebi to da uopste ima novih informacija za 3.5 verziju?

26

Nije neophodno programiranje…
Password protect admin direktorija može se postići još jedan sigurnosni level prostup admin sučelju open source cms-ova…

Uputno je, naravno imati različite i ne baš jednostavne šifre…

27

Bilo bi dobro kad bi neko malo pojasnio kako zaštiti WP i Joomla od hackiranja, osim stalnog backup backup pa tako i raznih dobrih fora što i kako!

28

Najbolja zaštita je ne koristiti ih ako ih ne poznaješ. A ti napadi i ako su bili onda su napadnuti zato što su se djeca igrala developera pa ih instaliravali na kojekakve servere bez promišljanja i razmišljanja o sigurnosti.

29

Postoji i jedna profinjena hakerska metoda koju hakeri koriste na joomla CMS. Danas su ti hakirali stranicu, ali nisu ostavili nikakve tragove, ali kradu pristupne podatke korisnika. Tako to rade nekoliko mjeseci i tada ti po drugi puta hakiraju da vidiš neke promjene. U međuvremen od prvoga hakiranja ti si spremao nekakav backup , sada go vračaš kao jedino rješenje, ali sada si vratio hakirani sadržaj. Tako se prića ponavlja, ako nemaš dovoljnih saznanja o takvoj problematici.
Ako netko ima saznanja o vlasniku kojih hakranih joomla stranica volio bi napraviti jedno testiranje.

30

Ovaj problem je manje vise ipak problem samih korisnika a ne hosting provajdera jer korisnici su ti koji

  • Instaliraju default joomlu/wordpress i nikad je vise ne azuriraju
  • Instaliraju warez module i pluginove i template
  • Korisnici postave ne sigurne chmod permisije (mada ovo moze biti i greska hosting provajdera ako dozvoli da se postavljaju jace permisije od 644 na fajlove i 755 na foldere)
  • Korisnici po defaultu ostave admin ili administrator korisnicko ime
  • Korisnici koriste veoma slabe lozinke i skoro nikad ih ne menjaju
  • Korisnici obicno ne menjaju nista i sve koriste po defaultu a svi bezbednosni saveti su da korisnici moraju da koriste jake lozinke,promene prefiks mysql baze,promene default korisnicko ime,promene ime administrator foldera ili ga obezbede sa dodatnim password protect directory i koristie .htaccsess opcije ili zastitne pluginove kojih ima na sve strane…

I malo o hosting provajderima :slight_smile:

  • Hosting provajderi se obicno ogradjuju od toga da oni moraju da cuvaju rezervne kopije tj backupe vasih sajtova a korisnici obicno nemaju vremena ili zaborave da ponekad treba da iskopiraju sadrzaj svog sajta a za to postoji toliko puno cak i besplatnih automatskih resenja
  • Obaveze hosting provajdera su da obezbede pristup serveru jakim lozinkama
  • Promene default ssh port
  • Iskljuce direktan root pristup
  • Disejbluju ne sigurne php funkcije
  • Zamene apacha sa nginxom,cloudlinuxom ili nekim drugim resenjem
  • Obavezni su da koriste monitoring software i monitoring alert system
  • Obavezni su da prate sta se desava na serveru svakodnevno
  • Obavezni su da cesto skeniraju server protiv malware-a ili virusa i ako to ne rade bar jednom nedeljno onda se sva krivica koju sam svalio na korisnike u gornjem tekstu moze svaliti na hosting provajdera

Meni je dosadilo da ovo pisem…posle 50-og puta odlucio sam da napravim blog i forum postove o ovim problemima i kako ih vrlo jednostavno resiti.Naravno svakom vlasniku sajta je potrebno da odvoji 30 minuta za citanje i jos toliko za instalaciju i podesavanje sigurnosti i backup resenja…pa ako nemate 60 minuta onda srecno vam bilo i samo cekajte kada cete opet umesto vaseg sajta pronaci albansku zastavu ili suspend stranicu od vaseg hosting provajdera jer ugrozavate bezbednost ostalih korisnika na serveru.

Korisni linkovi:

  1. Kako da zastitim wordpress pre nego sto me hakuju - WordPress - Invision Power Board
  2. Wordpress backup - WordPress - Invision Power Board
  3. kako da zastitim moj joomla web sajt pre nego sto me hakuju - Joomla - Invision Power Board
  4. Joomla backup - Joomla - Invision Power Board
  5. Vodič za besplatan automatski backup vašeg sajta
31

[quote=“1809”]Ovaj problem je manje vise ipak problem samih korisnika a ne hosting provajdera jer korisnici su ti koji

  • Instaliraju default joomlu/wordpress i nikad je vise ne azuriraju
  • Instaliraju warez module i pluginove i template
  • Korisnici postave ne sigurne chmod permisije (mada ovo moze biti i greska hosting provajdera ako dozvoli da se postavljaju jace permisije od 644 na fajlove i 755 na foldere)
  • Korisnici po defaultu ostave admin ili administrator korisnicko ime
  • Korisnici koriste veoma slabe lozinke i skoro nikad ih ne menjaju
  • Korisnici obicno ne menjaju nista i sve koriste po defaultu a svi bezbednosni saveti su da korisnici moraju da koriste jake lozinke,promene prefiks mysql baze,promene default korisnicko ime,promene ime administrator foldera ili ga obezbede sa dodatnim password protect directory i koristie .htaccsess opcije ili zastitne pluginove kojih ima na sve strane…

I malo o hosting provajderima :slight_smile:

  • Hosting provajderi se obicno ogradjuju od toga da oni moraju da cuvaju rezervne kopije tj backupe vasih sajtova a korisnici obicno nemaju vremena ili zaborave da ponekad treba da iskopiraju sadrzaj svog sajta a za to postoji toliko puno cak i besplatnih automatskih resenja
  • Obaveze hosting provajdera su da obezbede pristup serveru jakim lozinkama
  • Promene default ssh port
  • Iskljuce direktan root pristup
  • Disejbluju ne sigurne php funkcije
  • Zamene apacha sa nginxom,cloudlinuxom ili nekim drugim resenjem
  • Obavezni su da koriste monitoring software i monitoring alert system
  • Obavezni su da prate sta se desava na serveru svakodnevno
  • Obavezni su da cesto skeniraju server protiv malware-a ili virusa i ako to ne rade bar jednom nedeljno onda se sva krivica koju sam svalio na korisnike u gornjem tekstu moze svaliti na hosting provajdera
    [/url][/quote]

U potpunosti si u pravu, no hosting nema veze s tome što je neko instalirao zbugiranu i exploitable verziju wordpressa ili instalirao iste takve pluginove, no hosting se mora potruditi da bude patchan na sve exploite koji su trenutno online i redovito zakrpavati rupe i pratiti security stranice o novostima.

Razlog je jednostavna jel ako napadač dobi pristup shellu preko weba putem wordpressa, jomle ili ostalih web aplikacija (CMSa) da nebi ugrozio ostale korisnike na tom serveru.

Ostalo se u potpunosti slazem s tobom 1809

32

Uvek ima problema na obe strane mada mislim da vise problema naprave sami korisnici svojom ne azurnoscu jer provajder kada se opekne 1-2 puta i napravi sebi ogroman posao da sredi vise stotina difejsovanih sajtova inda disejbluje shell funkcije,redovno pretrazuje da li ima symlink skripti,maldet,clamscan i ostalo…

Generalno problem je u tome sto jako puno korisnika poseduje sajt na taj nacin sto mu je neki klinac za 50 eura napravio sajt joomli 1.5 pre 3 ili vise godina i sad kad ga podrska opomene da postoje sigurnosni problemi na sajtu i da mu preti suspenzija i uklanjanje sa servere,korisnik se nadje u velikom problemu jer je mislio da to tako moze da funkcionise u nedogled i sad nemoze da pronadje klinca koji mu je radio sajt a ne daje mu se novih 50 eura za novi sajt :slight_smile:

Do pre nekoliko meseci imao sam visoki prag tolerancije prema ovakvim korisnicima i shvatio sam da je to najveca greska koju sam napravio u ovom poslu.U zadnje vreme dosta ovakvih korisnika je suspendova ili uklonjeno sa servera a prethodno je svaki obavesten po nekoliko puta i prosledjeni su im linkovi do tutrijala sa kompletnim obavestenjem ali izgleda da mnoge mrzi da procitaju par recenica i da se posvete bar sat vremena da unaprede mere bezbednosti na svom sajtu.

33

A mislis onaj mali od susjeda dobro zna na komp :slight_smile: on moze napraviti site za sladoled :stuck_out_tongue:

34

Hehe,smesno i tuzno u isto vreme.

Dobro,verujem da je vecina web dizajnera ili programera pocela na taj nacin samo sto su neki shvatili i objasnili svojim klijentima da sajt mora redovno da se azurira i da se prate sigurnosni trendovi i da pravljenje i odrzavanje sajta nije “one time job”