WordPress hackerato. Nega l'accesso tramite admin: utile o no?

Naviga le tue risposte
2

In realtà aiuta a mantenere un sito più sicuro per negare l'accesso all'amministratore di WP e apportare modifiche direttamente solo sull'FTP?

Il nostro WP è stato violato due volte. Sembra che tutti abbiano un'idea diversa su come mantenere WP sicuro e, come parte dei servizi di sicurezza che abbiamo ricevuto, uno dei consulenti ha raccomandato di bloccare tutti gli accessi amministrativi.

Avanzamento veloce di alcuni mesi ed è difficile gestire i contenuti degli ospiti perché si finisce di doverli fare (gli scrittori guest non sanno come utilizzare l'FTP, inoltre ci preoccupiamo di fornire l'accesso).

Quindi abbiamo 3 opzioni: - Keep bloccato a tutti - Consenti solo determinati IP - Apri l'accesso a tutti

Sono grato per qualsiasi consiglio.

    
posta Rae 24.03.2014 - 13:03
fonte

2 risposte

1

Come dichiarato da Nick, dovresti esaminare i tuoi registri e determinare in che modo il tuo sito è stato compromesso per scoprire come mitigarlo meglio in futuro.

Non credo che il blocco dell'accesso all'amministratore serva molto bene, tranne per il disturbo di chiunque abbia il compito di mantenerlo. Spero che la password non sia stata indovinata e che l'installazione di un plug-in come All In One WP Security mitigherà gli attacchi di forza bruta.

Se dovessi coprire una scommessa, indovinerei (senza ulteriori dettagli a ciò che hai elencato sopra) che una vulnerabilità con il tuo sito web è stata sfruttata (ad esempio Timthumb vulnerabilità) o si ha un buco di sicurezza sul server che ospita la macchina.

Se limiti l'accesso amministratore alle connessioni locali, solo ancora non può mitigare l'attacco. Chiedete al vostro consulente per la sicurezza di individuare la causa della violazione e quindi di procedere con le patch.

    
risposta data 24.03.2014 - 19:39
fonte
0

Se si utilizza un plug-in chiamato All in One SEO, probabilmente era il punto più debole. Qui è un articolo relativo al suo ultimo difetto di sicurezza.

Regole generali:

  1. Utilizza un browser sicuro (con protezione XSS)
  2. Proteggi il tuo / wp-admin ( guida )
  3. Rimani aggiornato.
risposta data 03.06.2014 - 00:57
fonte

Leggi altre domande sui tag

Come proteggermi dalle frodi future? [chiuso] I telefoni IP possono essere intercettati se l'accesso di amministratore è disponibile?