Ha ftp-n keresztül hozzáférsz az oldalhoz akkor a plugins könyvtárban lévő mappákat nevezd át, így kiütsz minden biztonsági plugint ami esetleg bekavarhat.

Köszönöm a tippeket!

Szerintetek egy Wordfence elég manapság a támadások kivédésére? Hetek óta nézegetem, ahogy találgatni próbálnak admin jelszavakat. Most meg éppen plugin specifikus támadásokat tolják, hogy nem sikerült a felh nevet, jelszót kitalálni. Nem mondom, hogy ijesztő, mert max defacelik az oldalt meg spamnek használják, ha összejön nekik, viszont azt se tudom, hogy a rendszeres frissítés és a Wordfence ingyenes verziója mit bír el, és esetleg tehetnék e még valamit ezen kívül a biztonságért?

[ Szerkesztve ]

Azt mivel vagy hogyan detektálod, hogy plugin specifikusan támadják az oldalt?

Ilyen blokkolt kéréseket látok Wordfence alatt, hogy "/wp-content/plugins/apikey/apikey.php.suspected?test=hello".

Igazából még több plugint is nézegetnek, hogy van e. Gondolom ezeknek vannak ismert sebezhetőségeik, amiket végigzongoráznak, aztán ha találnak egyet, ami van és sebezhető, akkor bejutnak. Viszont csak divatos plugineket használok és rendszeresen frissítem őket, úgyhogy ez sem hiszem, hogy eredményre vezetne. Maximum ha zero day van vagy nagyon gyorsan betalálnak frissítés előtt, akkor van esélyük meghákolni az oldalt. Legalábbis én így látom, de nincs sok tapasztalatom WP üzemeltetéssel.

[ Szerkesztve ]

A megoldás az lett, hogy volt egy belépésifelület, egy kb. admin / admin szerû felhasználónév / jelszó párossal, ha ezen átjutottam, akkor elõjött a standard login felület.
Amúgy most újra megrekedt a projekt, mert 2019-ben volt utoljára frissítve az egész és a php is elavult. Most a C-panel hozzáférésre várok!