Risultati della ricerca per 'Wordpress disable https wp-admin'

• Forum: Installazione e Aggiornamento
  Come il topic: aggiornamento automatico non riuscito e sito disattivato per sicurezza
  • iaquer

    (@iaquer)

    
    

    2 anni, 10 mesi fa

    salve,

    ho ricevuto questa mail:

    “Abbiamo tentato ma non siamo riusciti ad aggiornare automaticamente il tuo sito. L’aggiornamento è semplice e richiede poco tempo.

    Se hai problemi di qualsiasi tipo o hai bisogno di aiuto, i volontari dei forum di supporto su https://it.wordpress.org/forums/ possono riuscire ad aiutarti.
    https://it.wordpress.org/support/forums/“

    ora se provo ad entrare nel mio sito ho questo messaggio:

    “Sito disattivato per motivi di sicurezza – Site disabled due to security reasons”

    non posso nemmeno accedere al pannello admin, come posso risolvere?

    Grazie davvero in anticipo

    • Questo topic è stato modificato 2 anni, 10 mesi fa da Gloria Liuni.

    La pagina su cui ho bisogno di aiuto: [devi essere connesso per vedere il link]

  Forum: Varie ed eventuali
  In risposta a: Strani Link di provenienza
  Moderator Guido Scialfa

  (@wido)

  8 anni, 8 mesi fa

  Non so in merito al link che indichi ma a questo punto conviene che fai un backup,

  Rimuovi i files dall’ftp e li ricarichi exnovo per quanto riguarda WordPress, riguardo invece ai files interni a wp-content ci vorrebbe da far fare uno scanning e dove è possibile riscaricare nuovamente i plugins ed i temi e caricarli via ftp così che i sorgenti siano puliti.

  Per la directory di upload, una ricerca a tappeto di eventuali files che possono contenere scripts php o di altro tipo. Ad esempio verifica che non ci siano files .php, bash .sh o che altro al suo interno, non sai mai che tipo di attacco puoi avere, se lato Wp o da un server compromesso. (Ipotizzo).

  Una ricerca anche di eval e/o cose come = $_POST = $_GET per eventuali assegnazioni di valori sui files di plugins e temi. Per i files di Wp una volta reinstallati non mi preoccuperei molto.

  Il controllo del database è una pratica che dovrebbe essere fatta, quanto meno per capire se il problema risiede anche lì o meno. Se incontri contenuti come ad esempio scripts interni al contenuto del post, la tabella post_content, url guid con parametri aggiuntivi non propriamente consoni.

  Inoltre per approfondire cercherei anche in rete questa cosa dei files con suffisso .suspected ed andrei a leggere i forum di supporto dei plugins e del tema in uso.

  Una volta reinstallato tutti i sorgenti puliti provvederei all’installazione di WordFence e metterei in sicurezza alcune cose per il CSRF, CSP, aggiunta della lista delle botnet conosciute, fare in modo che la directory di upload non possa eseguire scripts php etc… alcune cose le fai con il plugin sopra indicato altre invece puoi vederle qui https://pastebin.com/u/hackrepair come ad esempio la lista dei bad ip https://pastebin.com/5Hw9KZnW

  Successivamente, bloccherei alcune cose di WordPress ad esempio, hai necessità che le rest api siano accessibili? Necessità che XMLRPC sia attivo? Puoi disattivare anche la registrazione da wp-admin con https://wordpress.org/plugins/disable-wp-registration-page/ e/o https://wordpress.org/plugins/disable-register/ che ti previene anche l’accesso e l’invio di query strings alla pagina wp-login.php.