Witam,

Jakiś czas temu założyłem portal hobbystyczny i niestety zrobiłem głupi błąd myśląc że zabezpieczę go w pełni dopiero jak rozrośnie się na większą skalę (bo kto interesowałby się stroną, która ma kilka wyświetleń). Niestety ktoś włamał się, dodał sobie uprawnienia i wrzucił w bardzo dużo postów po chińsku, reklamy jakichś alufelg, części do tuningu itd i innych. Było tego dużo. Do tego ta osoba dodała sobie uprawnienia do webmasters i zmieniła sitemap strony uprzednio wrzucając tysiące plików na serwer FTP. Ponad 30GB. Teraz to wszystko jest pingowane non stop przez google. Administrator dał informację że wyłączy mi serwer jak się to nie skończy. Co robić?

Co do tej pory zrobiłem:

-Zmieniłem hasła,

-Pobrałem dodatki zabezpieczające Loginizer, Wordfence

-Przeskanowałem wordfence, znalazł kilkanaście plików zainfekowanych jakimś lipnym kodem, pousuwałem to

Teraz ostały te foldery i pingowanie. Nie wiem jak się tego pozbyć… Wrzucam screeny tego co mam.

Jedyny opis podobnego zdarzenia jaki znalazłem:

https://www.linkedin.com/pulse/100000-page-wordpress-hack-silently-killer-seo-aaron-opfell

Niby usunę te foldery ale kilka usunąłem a bot google dalej to pinguje co chwile i wchodzi na stronę błędu 404 i zajedzie serwer w końcu…

Bardzo proszę o pomoc.

wizyty.jpg.ed0894c721d903e9fa350f9e6fab6c82.jpg929×694

rate limit oraz blokady wykonywania sie php na katalogach takich jak wp-content  to dobry poczatek

Okej, tylko jak tylko jak ograniczyć szybkość połączenia gdy te adresy co chwile się zmieniają?

jest jakiś prosty sposób w jaki mogę to zrobić? szczerze nie znam się za bardzo na php

myślałem w pliku robots.txt wrzucić żeby nie łapał tych katalogów. Przestanie wtedy pingować?

Automatyczne aktualizacje wszystkich wtyczek. Nie używaj szablonów, których od dawna nie aktualizowano.

Codziennie rób kopie zapasowe. Miałem kilka dni temu włamanie i naprawienie wszystkiego trwało 30 sekund.

Jeden klik usunięcie wszystkiego z serwera, a drugi klik przywrócenie kopii zapasowej.

Kopie zapasowe to podstawa, sam administruje blogiem wp i mam systemowo ustawione niezależne kopie bezpieczeństwa codzienne,co tygodniowe, co miesięczne z czego te ostatnie przechowuję lokalnie.

Wordpress z pluginami jest dziurawy jak …

Zależy z jakimi pluginami. Jeśli coś jest aktualizowane to wszystko powinno być ok. Gorzej z wtyczkami, których nikt nie ruszał.

Ja robię kopie w ramach hostingu. Nie muszę tego robić często bo strony raczej aktualizowane raz na kiedy.

no slabo dac disallow *  potem recznie musialłbyś każdy wpis dodawać, hm… zrobić 404 poprawnie aby kodem zwracał to google to chwyci

jakbyś nadal miał problem to daj znać - mogę pomóc odpłatnie i skutecznie

Hej, zamiast płacić innym za czyszczenie (różnej jakości zresztą) możesz to zrobić sam. Wystarczy zapoznać się z rozdziałem 6 poradnika "Wordpress & Joomla Zabezpieczanie i ratowanie stron "

oczywiście, warto potem zabezpieczyć CMS-a…

Dziękuje! Na pewno przeczytam. Mam kilka serwisów na wordpressie i wciąż się martwię aby nic im się nie stało… Od tej pory dbam o to aby wtyczki były aktualne itd. lecz to faktycznie może być za mało.

Czasy kiedy zainstalowany CMS działał nietknięty długo, minęły bezpowrotnie. Teraz trzeba myśleć bardziej globalnie. Tak polecam w/w książkę, jej autor siedzi w CMS od ponad 12 lat, często pojawia się na eventach branżowych.