Какие самые простые и очевидные уязвимости в wordpress?

Логин:пароль admin:admin. Неустановленные обновления WP, плагинов и темы

А этим как может воспользоваться злоумышленник и как проверить что все необходимое установлено? Пример использования таких уязвимостей не могли бы привести?

как проверить что все необходимое установлено

У тебя в админке написано есть-ли доступные обновления

Пример использования таких уязвимостей не могли бы привести?

99.9% взломов WP это примеры эксплуатации таких уязвимостей. Если тебе нужна инструкция «как похачить вордпрес» то ты не по адресу, здесь юных хакеров в лучшем случае вежливо посылают

Твой сайт не будет представлять интереса для хакеров, только если одноклассники Kali не поставят конечно же.

Я помню как-то попросил знакомый добавить пару полей в форму отправки заявки на их сайте, там ContactForm какой-то древний был, сам Wordpress уже не скажу. У них даже никто не следил за этим. Хотя инфа там была не очень интересная: адрес проживания, телефон, имя-фамилия, это и в соцсети при желании можно найти.

Вот можешь сам посмотреть, какие уязвимости существуют: https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/

Такое ощущение, что разрабы сами создают дыры. По исходному коду некоторых страниц можно узнать версию движка. Зачем это было надо?

То есть, злоумышленник может сэкономить свои усилия, сосредоточившись на конкретной версии.

Хотя инфа там была не очень интересная: адрес проживания, телефон, имя-фамилия, это и в соцсети при желании можно найти.

Это только если юзер выложил эти данные в открытый доступ?

Тебе зачем?

Для защиты от злоумышленников вестимо

Поэтому и надо как минимум обновляться, о чём уже было сказано.

Для защиты от злоумышленников вестимо

И как ты собираешься это делать, если не секрет?

Дело в том, что если у тебя возникают вопросы про «самые простые и очевидные уязвимости», вряд ли тебе доверяют данные паспортов и банковских карт, поэтому не парься. Начни с основ кибербезопасности.

закрытием уязвимостей. А че?

приходится работать с тем что есть. уже есть сайт с дырами, надо их заткнуть хотя бы по минимуму

Ну вот узнал ты, что код в WP говно, и через него можно влезть в потроха админки. Как будешь закрывать?

закрою доступ к этой странице из веба

Буду отдавать 403, если будет надо по удаленке туда влезать, настрою сервак чтобы отдавал только конкретному диапазону ip

На самом деле путь только один: постоянные обновления (они вроде как дырки фиксят и добавляют новые), установка плагина-антивируса (они реально могут и как файрвол работать, блочить левые входы и т.д.), устанвока плагина, который точку входа в админку переделает на рандомный путь (сам придумываешь), а штатный wp-admin работать не будет, туда же с и wp-login (я когда путь поменял, сразу в РАЗЫ упали попытки левых входов разными ботами).

закрою доступ к этой странице из веба

Да нет, это так не работает. Ты представляешь, сколько там кода и файлов? Достаточно получить доступ к одному из них, и все. Закрытие доступа ничего не даст.

да, поменять путь тоже вариант хороший, но это надо шарить в движке

да, поменять путь тоже вариант хороший, но это надо шарить в движке

Плагин поставь. А в движок руками лучше вообще не лезь, там ТОННЫ говнокода, который может из-за твоего вмешательства рандомно тебе потом проблем подкинуть.

А потом выкидываешь WordPress и заменяешь статически генерируемым html с исходниками в гите и забываешь о проблеме.

как это не даст? Если по запросу конкретного адреса будет отдаваться 403, как ты туда попадешь из сети? Там что есть другие адреса той же самой страницы?

я могу поставить прокси-фильтр на вход. Сначала будут фильтроваться адреса

Еще раз - что ты вообще знаешь о том, как работает вся эта вебня? Или ты из этих, которые ничего не понимают, но хотят что-то крутяцки настроить?

Еще раз тебе говорю - поставь плагин, чтобы изменить точку входа. Все.

Ага, как раз щас свою домашнюю страничку на джекил перевожу.

Зачем мене знать? У меня на прокси попадает адрес админки, я отдаю 403 и ничего в вордпресс не идет, клиенту сразу отдается 403 или ты про что спрашиваешь?

Тогда проще вообще выключить сайт и все, на него тогда никто не попадет вообще.

Нельзя выключать он работает по делу и пересадить его на другой движок щас возможности нет

Тогда иди учи матчасть, что я могу еще сказать. Потом приходи, будем говорить по делу.

а если каждую уязвимость плагином закрывать это тормозов и глюков не добавит?

каждую уязвимость плагином закрывать

Ты не туда думаешь. Тебе нужно «закрыть» буквально две три основных дырки, чтобы усложнить работу ботам, которые действуют (ВНЕЗАПНО!) шаблонно и стандартно. Как это сделать - я тебе выше написал. Что ты понимаешь под «уязвиммостями», которые «каждую закрывать», я не знаю. Ни как ты собираешься их искать, ни как закрывать.

Если твой сайт будут конкретно ломать люди, а не боты, то не факт, что тебя вообще хоть что-то спасет.

основное хотя бы закрыть, общеизвестное. Пока не до хорошего

а какие 3 основные уязвимости для ботов?

Какие самые простые и очевидные уязвимости в wordpress? (комментарий)

Какие самые простые и очевидные уязвимости в wordpress? (комментарий)

ну это только брутфорс админки, а еще 2 какие?

Прочитай еще раз то сообщение, пожалуйста.

Ну ты там пишешь только про изменение пути админки. Это одна уязвимость. А ты говорил про 3 основные для ботов

Вот тебе почитать (или перевести сначала): https://www.wpbeginner.com/wordpress-security/. От этого честно будет больше пользы.

спасибо

Там описаны все три.

А он роботс текст и сайтмап сам генерит? Может отключить это чтобы левые боты не создавали нагрузку? Он может открыть то что не надо, я так думаю. И еще наверное есть смысл отключить rss и feed как считаешь?

А он роботс текст и сайтмап сам генерит?

Для этого лучше использовать SEO плагины. WP вроде бы сам че-то там то ли умеет, то ли нет, а вот Yoast SEO сделает точно все как надо. Ну и не забывать его обновлять тоже.

Может отключить это чтобы левые боты не создавали нагрузку?

Боты нагрузку создают сами по себе. Как только твой сайт попал в выдачу поисковиков, все, боты на него сразу агрятся и начинают пытаться залогиниться как минимум.

И еще наверное есть смысл отключить rss и feed как считаешь?

Я не отключал.

ИМХО, если поставить плагин «антивирус», типа Wordfence Security, он сделает все как надо сам: не будет пускать ботов, блочить запросы левые и так далее.

боты на него сразу агрятся и начинают пытаться залогиниться как минимум.

И делают они это по стандартным шаблонам. Именно поэтому смена пути входа в админку отсекает сразу же 99% таких ботов.

Боты нагрузку создают сами по себе. Как только твой сайт попал в выдачу поисковиков, все, боты на него сразу агрятся и начинают пытаться залогиниться как минимум.

Но по этим документам они начнут весь сайт мониторить, им так проще

Но по этим документам они начнут весь сайт мониторить, им так проще

Им не нужно мониторить весь твой сайт. Зачем?

Раз на то пошло, твой вопрос изначально гуглится на ура: https://www.websiterating.com/ru/wordpress/most-common-wordpress-vulnerabilities/. Вот если что-то там будет не понятно, тогда можешь спросить конкретный вопрос про эту тему.

Поэтому в любой непонятной ситуации - гугли. Главное уметь составлять запросы правильно. Я за несколько лет изучения и немного работы программистом лично спросил по-моему два раза, всё возникающие у меня вопросы уже задавались кучу раз до меня.

Вопрос с текущей формулировкой грех не погуглить перед тем, как создавать тему.

Тебе нужно, чтобы твой сайт был в выдаче поисковиков, ты подключал его в Google Analutics или Yandex Webmaster?