Kategoria: WORDPRESS

Informacje z zakresu systemu cms wordpress

Ręczna aktualizacja wordpress

Ręczna aktualizacja wordpress

Aktualizacja wordpress jest dosyć prostym procesem dostępnym w panelu administracyjnym w zakładce Aktualizacje jej wykonanie to praktycznie kliknięcie przycisku aktualizacyjnego gdy pojawi się nowa wersja wordpress i system nas poinformuje że jest możliwa aktualizacja.

Czasami bywa tak z różnych powodów, problem ze skryptem aktualizacyjnym, bardzo duża różnica w wersji naszego systemu a nowej wersji, mamy zainstalowaną wersję o poziom niższa niż wersja obecnie dostępna np. 4.6 a nowa wersja 4.7 inne problemy np. połączenie z serwerem aktualizacyjnym wordpress że pozostaje nam tylko wykonanie ręcznie aktualizacji do wersji najnowszej.

W naszym przypadku system podawał że mamy wersję Wersja 4.4.2 wordpress i jest to najnowsza dostępna wersja wydania 4.4.x chodź na oficjalnej stronie była już dostępna wersja 4.7.x

 

Co dają aktualizacje wordpress i po co je wykonywać ?

Przede wszystkim każda kolejna wersja posiada poprawione zabezpieczenia oraz eliminację luk bezpieczeństwa co stanowczo wpływa na jakość zabezpieczeń na naszej stronie i atakiem na wordpress, dodatkowo wprowadzane są poprawki kodu lub sam skrypt jest rozwijany, dla tego należy dbać aby nasza strona była systematycznie aktualizowana do najnowszej wersji systemu wordpress.

No dobrze ale co zrobić jeżeli z różnych powodów nie jest możliwa aktualizacja przez sam panel administracyjny, pozostaje nam tylko wtedy aktualizacja ręczna która w sumie nie jest jakoś bardzo skomplikowanym procesem.

 

Jak przeprowadzić ręczną aktualizację wordpress do najnowszej wersji ?

  1. przed wszelkimi działaniami STANOWCZO wykonaj kopię strony przez pobranie wszystkich plików z serwera oraz ściągnięcie bazy danych, uchroni to stronę przed ewentualnym uszkodzeniem i zapewni możliwość jest przewrócenia w razie problemów aktualizacyjnych, chodź pracując na wordpress nie spotkaliśmy z większymi problemami przy aktualizacji systemu taką kopię warto mieć zachowaną, wspomnę tutaj że większe problemy pojawiają się przy aktualizacji motywu graficznego (ale o tym postaramy się napisać w następnym poradniku)
  2. ściągamy najnowszą wersję wordpress PL z oficjalnej strony wordpressa
  3. rozpakowujemy ściągnięty plik po czym ręcznie wykasowujemy cały katalog „wp-content” + ewentualny plik wp-config.php chodź w paczkach instalacyjnych zależnie od wersji on nie istnieje (tworzony jest przez system na etapie czystej instalacji wordpressa)
  4. resztę plików wgrywamy na swój serwer zastępując istniejące pliki
  5. po wgraniu plików przeładowujemy stronę z panelem administracyjnym gdzie powinniśmy zobaczyć stronę z komunikatem aktualizacji bazy danych, przechodzimy ten etap wedle komunikatów jakie otrzymujemy  
  6. po chwili aktualizacja wprowadzi nas do panelu administracyjnego gdzie zobaczymy pomyślny przebieg procesu w naszym przypadku aktualizacji WordPress z wersji 4.4.x na 4.7.x

WSKAZÓWKA: jeżeli z jakiś przyczyn proces nie przebiegnie prawidłowo pozostaje nam tylko przywrócenie oryginalnej wersji wordpress z kopii bezpieczeństwa, czasami „lekarstwem” na problemy aktualizacyjne jest przeprowadzanie procesu ręcznie stopniowo kolejno wedle wersji jakie wychodziły na wordpress aż dojdziemy do najnowszej wersji jest to żmudny proces ale może okazać się jedną możliwością aby doprowadzić nasz system do najnowszej wersji.

Jeżeli potrzebują Państwo pomocy w aktualizacji strony wordpress zapraszamy do kontaktu: tel. 888 537 633  

e-mail: kreacja@kreacjastronpoznan.pl

Odwirusowanie wordpress. Jak usunąć wirusa ze strony wordpress

Odwirusowanie strony wordpress, zawirusowana strona wordpress, włamanie na wordpress jak zaradzić i usunąć wirusa ze strony.

Zawirusowana strona www.

W dzisiejszych czasach strony narażone są na włamania i ataki hacekerów, często wykonane strony nie są nawet w podstawowej formie zabezpieczone przed włamaniem i oddane klientowi który pozostaje z nimi sam.

Niestety ale posiadanie strony to ciągła praca i dbanie o stronę nie tylko pod względem treści i aktualnych wiadomości aby rozbudowywał nam się content, ale również opieka i dbanie o stronę pod względem programistycznym.

Obecne wszystkie strony narażone są na włamania nie ma idealnego systemu każdy rodzaj strony czy wordpress, czy joomla, drupal czy nawet autorski cms narażone są na atak.

Z doświadczenia zauważyliśmy że kiedyś hacker włamywał się głównie na stronę aby pokazać że istnieją luki w samej stronie i jej zabezpieczeniach, zazwyczaj po takim włamaniu nie szkodził zbytnio podmieniał np. plik index.html podmieniając go na swój plik z jakąś planszą typu „STRONA ZHACKOWANA” + ksywka, ewentualnie jakiś tekst popraw swoje zabezpieczenia i kod strony.

Obecnie włamania mają na celu nie tyle wskazanie luk na stronie co charakter zarobkowy, osoba włamująca się ma zlecenie np. rozreklamować portal erotyczny wyszukuje stronę z dużą ilością podstron zindexowanych i dobrą treścią oraz dobrym page rank (zazwyczaj atak następuje na stronę wordpress, sklep joomla) i wbija w kodzie ukryte linki do strony porno, zazwyczaj my nawet nie zauważymy takich linków ale robot google indexuje je jako wychodzące i przekazuje moc z naszej strony. Popularne jest też wbicie w sekcji head strony aplikacji java która powoduje przekierowanie i indexowanie strony porno pod naszą domeną, zauważamy takie działanie dopiero jak w przeglądarce google wśród normalnie zindexowanych (dodanych) podstron pojawiają się przekierowania do strony erotycznej. Często takiego ataku dokonują osoby z IP Rosja.

Inny rodzaj ataku to podstawienie plików wykonywalnych i wysyłanie masowego mailingu spamu z reklamą też najczęściej stron erotycznych, na szczęście większość hostingów jest na taki atak przygotowana i podczas wysyłania spamu włączają się procedury ochronne wyłączające daną stronę i zatrzymanie wszystkich skryptów w tym wysyłania mailingu a my otrzymujemy komunikat e-mail od firmy hostingowej typu:

W dniu dzisiejszym odnotowaliśmy na Państwa koncie hostingowym obecność
szkodliwego oprogramowania.

Prosimy o jak najszybszą aktualizację wszystkich aplikacji (oraz
dodatków do nich) na Państwa koncie do najnowszej stabilnej wersji.

Najczęściej sam atak nie jest skierowanych w nas samych aby nam zaszkodzić to po prostu działania zarobkowe na zlecenie.

Jak usunąć wirusa ze strony wordpress.

Sprawa nie jest w sumie taka prosta jeżeli nie mieliśmy wcześniej modów lub aplikacji monitorujących ruch na stronie i ingerencję w pliki trudno nam będzie odszukać zmodyfikowane pliki lub dograne dodatkowo.

Najprościej to usunąć wszystko z serwera FTP i wgrać czystą stronę z plikami bez infekcji, oczywiście pod warunkiem że posiadamy kopię strony lub sklepu z pełną kopią plików i bazy danych msql.

Jeżeli nie nie to czeka nas ręczna praca i naprawianie strony oraz usunięcie wirusa.

A. w pierwszej kolejności radzimy napisać do firmy hostingowej prosząc o skan naszej strony, otrzymamy raport zainfekowanych plików, skanery te nie są super precyzyjne ale dadzą nam jakiś punkt wyjścia startu naprawy, później wedle raportu przeglądamy pliki w kodzie i kasujemy wszystko czego nie powinno tam być czyli wszelkie kody typu iframe, podejrzane elementy kodu których nie powinno być, często taki kod potrafi być szyfrowany aby był trudniejszy do odczytania, standardowo we wordpress nie ma ukrytego kodu php

B. warto przeglądnąć pliki szablonu szczególnie header sekcja head często jest tam wstrzelony jakiś kod wykonujący java

C.  przeglądnięcie plików wordpress i wykasowanie wszystkich dodatkowych o dziwnych nazwach lub tam gdzie nie powinno ich być, szukajmy wszelakich plików o dziwnych nazwach typu:

general80.php

alias50.php

itp. często pliki mają powiązanie w nazwie, jeżeli wyszukamy jeden np. na głównym drzewie, katalogu wp-includes, lub wp-content oraz każdym innym kod w nich ma często powtarzalność warto zaznaczyć kawałek szkodliwego kodu i przeszukać resztę plików pod względem powtarzalności kodu.

Zabezpiecz stronę aby uniemożliwić kolejny atak !

samo naprawienie strony nie rozwiązuje nam problemu, należy poszukać lukę przez którą hacker się dostał zazwyczaj analizując logi serwera i zabezpieczyć poprawić błąd na stronie, inaczej po kilku dniach nastąpi ponownie atak i zawirusowanie strony lub sklepu internetowego

dodatkowo jeżeli posiadasz stronę wordpress zadbaj o:

  • systematyczną aktualizację wordpress do najnowszej wersji (systematycznie wychodzą nowe wersje systemu z poprawkami i łatkami bezpieczeństwa,
  • zaktualizują wszystkie wtyczki,
  • zaktualizuj motywy,
  • zabezpiecz stronę możliwie najbardziej jak się da,
  • wtyczki instaluj tylko z pewnego źródła najlepiej oficjalnej strony wordpress.

Jeżeli ktoś włamał się na stronę polecamy nasz artykuł opisujący jak zabezpieczyć stronę wordpress.

Jeżeli potrzebują Państwo pomocy w naprawie strony lub usunięciu wirusa ze strony wordpress zapraszamy do kontaktu: tel. 888 537 633  e-mail: kreacja@kreacjastronpoznan.pl

UWAGA: samo odwirusowanie oczyszczenie plików to za mało, należy wyszukać lukę którą osoba atakująca (lub bot) dostaje się na serwer FTP i infekuje pliki oraz ją zabezpieczyć załatać, samo oczyszczenie to za mało bo prędzej czy później atak się ponowi !

Wykonujemy usługę kompleksowo:

  • oczyszczenie plików i bazy msql z infekcji strony
  • wyszukanie luki i zabezpieczenie jej
  • zabezpieczenie strony
  • gwarancja 3 tygodnie !

dodatkowa opcja monitoringu płatnego.

Wykonujemy też poprawki po innych firmach które mimo oczyszczenia zabezpieczenia nie podołały a ataki się powtarzały, a po naszej interwencji skutecznie uporaliśmy się z agresorem, nie jesteśmy tani ale skuteczni co jest poparte wieloletnim doświadczeniem !

 

 

 

Jak zabezpieczyć stronę wordpress

Często w internecie można spotkać osoby poszukujące pomocy przy problemie:

na stronę wordpress włamał się hacker
strona wordpress została zatakowana
wykasowana strona na wordpressie
spam na stronie wordpsress
luki w zabezpieczeniach strony strona uszkodzona
zawirusowany wordpress

Niestety w obecnych czasach samo wykonanie strony to za mało, stronę należy dodatkowo zabezpieczyć, i dotyczy się to każdego systemu na której wykonana jest strona czy jest to cms wprodpress, drupal, joomla czy każdy inny cms.

Poniżej przedstawiamy przynajmniej podstawowe minimalne zabezpieczenie strony wordpress, i należy tu zaznaczyć nie da się ochronić strony w 100% to ciągła walka producentów oprogramowania, ludzi piszących łatki a osób starających się zaszkodzić i uszkodzić stronę www. Na każdą stronę da się włamać łatwiej lub trudniej ale nie ułatwiajmy sprawy osobie atakującej i zwiększy zabezpieczenia swojej strony www.

Zaczynamy zabezpieczenia na przykładnie strony cms wordpress, oczywiście odpowiednie kroki należy podjąć najlepiej przed atakiem, jeżeli na stronę wordpress ktoś się włamał najpierw trzeba ją doprowadzić do stanu pierwotnego wraz z oczyszczeniem kodu a później dokonać zabezpieczeń.

 

A. przed wszelkimi zmianami wykonaj kopię bezpieczeństwa strony skopiuj zarówno pliki z serwera przez FTP jak wykonaj kopię bazy danych msql np przez phpMyAdmin, podczas wgrywania zabezpieczeń nie mieliśmy przypadku uszkodzenia plików, ale kopię zawsze warto mieć również w razie ataku agresora aby łatwo przywrócić kopię strony, zaznaczę tu że kopię całości strony warto wykonywać systematycznie

 

B. zaloguj się na panel administracyjny wordpress i sprawdź czy posiadasz zainstalowaną najnowszą wersję systemu wordpress, w razie starszej wersji zaktualizuj ją do najnowszej

dokonaj aktualizacji wszystkich wtyczek wordpress

zaktualizuj motywy do najnowszych zachowaj jednak ostrożność zależnie jak i przez kogo jest wykonana strona aktualizacja motywu może spowodować wizualne zmiany na stronie jeżeli wykonujący stronę pracował na bazowym motywnie a nie wykonał motywu pokrewnego

WSKAZÓWKA: po aktualizacji systemu wordpress tworzy dodatkowe pliki potrafiące zweryfikować twój system oraz powodujące zagrożenie dostępowe więc zaloguj się na FTP i z katalogu wordpress wykasuj pliki:

readme.html
license.txt
wp-admin/install.php
wp-admin/upgrade.php

 

C. zabezpieczamy plik logowania wordpress wp-login.php, w gruncie rzeczy spotkałem się z informacją że wielu osobom samo zabezpieczenie tego pliku pomogło uchronić się przed botami oraz częścią atakujących

tworzymy nowy plik .htpasswd

generujemy własny login i hasło

generatory haseł:

http://www.htaccesstools.com/htpasswd-generator/ lub http://htpasswdgenerator.net/

wygenerowane hasło i login wprowadzamy do pliku .htpasswd po zapisie plik ten wgrywamy na serwer do głównego katalogu wordpress

WSKAZÓWKA: cześć hostingów np Home wymaga wygenerowania hasła tylko crypt() tego rodzaju hasło możemy wygenerować pod adresem http://aspirine.org/htpasswd_en.html

 

w głównym katalogu strony odszukujemy i modyfikujemy plik .htaccess dopisując kod:

AuthName “Wymagane logowanie”
AuthType Basic
AuthUserFile /home/public_html/jakasstrona.pl/.htpasswd
require valid-user

ErrorDocument 401 “Brak dostepu”
Errordocument 403 “Brak dostepu”

 

oczywiście ścieżkę prowadzącą do pliku .htpasswd czyli /home/public_html/jakasstrona.pl/.htpasswd zmieniamy na własną wedle swojego hostingu

najbardziej częsty błąd z problemem logowania po wprowadzeniu tego zabezpieczenia (czyli nie możemy przejść okienka logowania) lub 500 Serwer Error to właśnie podana zła ścieżka do pliku .htpasswd, bez obaw pamiętaj że w każdym momencie możesz wykasować dodany wpis w pliku .htaccess i wrócisz do klasycznego logowania wordpress.

 

D. instalacja modów zabezpieczających na start polecam zainstalować wtyczki:

WSKAZÓWKA: warto zachować kolejność instalacji wedle spisu poniżej zaczynając od wtyczki Chap Secure…

 

Chap Secure Password Login – wtyczka pomoże wprowadzić nam dodatkowe szyfrowanie przesyłanego loginu oraz hasła jeżeli nie mamy wprowadzonego szyfrowania SSL

do pobrania: https://pl.wordpress.org/plugins/chap-secure-login/

 

Login LockDown mimo że wtyczka od jakieś czasu nie jest rozwijana nadal idealnie sprawdza się nawet w najnowszej wersji wordpress w poprawie zabezpieczeń, chroni nas przed atakami brute force podczas logowania na panel administracyjny wordpress monitoruje IP logującego i w razie próby wielokrotnego nieudanego logowania w krótkim czasie blokuje możliwość dalszego logowania przez adresora

do pobrania: https://pl.wordpress.org/plugins/login-lockdown/

 

Acunetix WP Security to bardziej skaner i sprawdzenie obecnego poziomu zabezpieczeń, lecz ma też trochę przydatnych funkcji jak np zmiana domyślnego table prefix w bazie danych na swój, a funkcja Acunetix WP Security – Settings pozwala nam wprowadzić i wyłączyć takie funkcje jak np pokazywanie w kodzie strony wersji zainstalowanego wordpressa

do pobrania: https://pl.wordpress.org/plugins/wp-security-scan/

 

wchodzimy na poziom wyżej

 

Sucuri Security – Auditing, Malware Scanner and Security Hardening narzędzie które online pomoże nam monitorować stan zabezpieczeń strony, sprawdzi stan zabezpieczeń mailware wordpress oraz powiadomi nas alertem na e-mail w razie wykrycia zagrożenia

do pobrania: https://pl.wordpress.org/plugins/sucuri-scanner/

 

no i naszym zdaniem faworyt w swojej lidze waga ciężka

 

All In One WordPress Security Plugin firewall wordpress czyli kompleksowe zabezpieczenie strony wordpress od pozamykania otwartych portów po monitorowanie i naprawdę porządne wzmocnie zabezpieczeń strony wordpress, jak sami twórcy modu mówią ta wtyczka przeniesie Twoją stronę na wyższy poziom zabezpieczeń i nie są to słowa na “wiatr rzucane”.

do pobrania: https://pl.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

 

Należy jednak pamiętać aby oprócz instalacji powyższych wtyczek dodatkowo je odpowiednio skonfigurować i ustawić.

 

Jeżeli potrzebują Państwo płatnego wsparcia we wprowadzeniu powyższych zabezpieczeń, oraz skonfigurowaniu odpowiednio modów i wtyczek zapraszamy do kontaktu:

 kom. 888 537 633  kreacja@kreacjastronpoznan.pl

pomagamy zarówno przed atakiem na stronę, ale również przywracamy naprawiamy stronę wordpress po ataku i włamaniu na www

podejmujemy się zadań naprawy strony nawet tam gdzie inni nie dali rady, poniżej przykładowa opinia naszego jednego z klientów

ocena zabezpieczenie strony wordpress

 

dodatkowo oferujemy monitoring strony:

USŁUGA MONITOROWANIA I AKTUALIZACJI STRONY WORDPRESS

wgrywanie najnowszej wersji systemu wordpress jak tylko się pojawi (aktualizacje są ciągłe)

wgrywanie dodatkowych łatek i zabezpieczeń jakie tylko usuwają luki wykryte w wordpress

monitorowanie strony i jej bezpieczeństwa

– natychmiastowa reakcja na kontakt od klienta lub firmy hostingowej że coś się dzieję nawet w święta i dni wolne od pracy

aktualizacja wtyczek, widżetów na najnowsze poprawione wersje

– systematyczna kopia bezpieczeństwa całej strony  wordpress plików i bazy danych