Как изменить URL-адрес WordPress

Время на прочтение

В HTML 5 есть много новых возможностей, которые позволяют web разработчикам создавать более мощные и насыщенные приложения. К этим возможностям относятся и новые способы хранения данных на клиенте, такие как web storage(поддерживается в IE8) и web SQL database.

При этом если web storage ориентирован на хранение пар ключ-значение, то в случае с web SQL database у нас есть полноценный sqlite(во всех текущих реализациях применяется именно этот движок баз данных, что является проблемой при стандартизации).

Далее я расскажу, как работать с web SQL database. При этом примеры естественно будут на JavaScript. Кроме того, стоит отметить, что с поддержкой браузерами всего этого хозяйства дела обстоят, не очень хорошо, но всё постепенно меняется к лучшему и, скажем, в Opera 10.50 поддержка будет, а браузерах на движке WebKit она уже есть. Более подробно про то, какой браузер, что поддерживает можно узнать, пройдя по ссылке.

Как изменить URL-адрес WordPressОдна из главных настроек безопасности сайта — регулярный бэкап. Даже на самых защищенных сайтах иногда случается форс-мажор.

Сервер могут взломать хакеры, или он может просто перестать работать по какой-то причине. Сайт тоже может быть взломан или перестать работать, например, после обновления плагина из-за несовместимости с другим софтом.

Когда это случится, знание о том, что у вас есть бэкап, поможет вам сохранять спокойствие. Временно неработающий сайт — это плохо, но еще хуже, если вы полностью потеряете всю проделанную работу.

Бэкап сайта — важная часть работы над сайтом. Существует несколько способов сделать бэкап Вордпресс сайта. В этой статье вы узнаете о всех способах.

Ручной бэкап
Бэкап контента сайта с помощью встроенной функции Вордпресс
Как сделать бэкап сайта вручную

Автоматический бэкап
Как настроить бэкап на хостинге
На что обращать внимание при выборе бэкап плагина
Бэкап плагины

  • Что такое HTTPS?

  • Зачем переводить WordPress сайт на HTTPS и SSL?

  • Что нужно для использования HTTPS/SSL на WordPress сайте

  • Настройка SSL HTTPS на WordPress сайте

    • Настройка SSL/HTTPS в WordPress с помощью плагина Really Simple SSL

    • Как настроить SSL/HTTPS в WordPress вручную

    • Как исправить ошибку смешанного контента в базе данных WordPress

    • Исправление ошибок смешанного контента в теме сайта WordPress

    • Исправление ошибок смешанного контента, вызванных плагинами

  • Переход на HTTPS у сайта WordPress в Яндекс.Вебмастер и Google Search Console

Вы собираетесь перевести WordPress сайт на HTTPS и установить сертификат SSL, но не знаете, как правильно это сделать? В нашем руководстве мы расскажем о переезде с http на https на WordPress сайте. Как исправить возможные ошибки после перехода на https, как настроить редирект на https.

Не волнуйтесь, если вы не понимаете, что такое SSL и HTTPS и зачем это нужно вашему сайту.

HTTPS или Secure HTTP – это метод шифрования, который защищает соединение между браузером пользователя и сервером (хостингом). Это усложняет возможность перехвата данных третими лицами при передаче данных.

Каждый день мы делимся своей личной информацией на различных сайтах, отправляем свои фото, совершаем покупки или просто входим в личный кабинет.

Чтобы защитить передаваемые данные, пароли, адреса, необходимо использовать безопасное соединение.

Для реализации безопасного соединения требуется сертификат безопасности – SSL.

Каждому сайту выделяется уникальный сертификат безопасности SSL для идентификации сайта. Если сервер отвечает, что сайт работает на HTTPS, но сертификат SSL поддельный, то большинство современных браузеров предупреждают об этом пользователей.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Теперь вы можете задать себе вопрос, зачем мне переводит свой сайт WordPress с HTTP на HTTPS? У вас простой блог или сайт малого локального бизнеса, который не имеет возможности платежей.

Судя по комментариям под первым постом, можно подумать, что он не принёс ничего, кроме негатива и насмешек. На самом же деле я была приятно шокирована тем, сколько людей поддержало меня донатами, сопровождая их позитивными пожеланиями.

Продолжение поста «Украденная у меня иллюстрация попала на маркетплейсы, а потом в сериал "Король и Шут"» Авторские права, OZON, Цифровой рисунок, Маркетплейс, Wildberries, Длиннопост, Король и Шут, Король и Шут (сериал), Ответ на пост, Мат

Продолжение поста «Украденная у меня иллюстрация попала на маркетплейсы, а потом в сериал "Король и Шут"» Авторские права, OZON, Цифровой рисунок, Маркетплейс, Wildberries, Длиннопост, Король и Шут, Король и Шут (сериал), Ответ на пост, Мат

Аж 107 человек протянули руку помощи в борьбе за справедливость. Если честно, я даже не представляла, что такое может произойти.
Я благодарна абсолютно каждому! И все пожелания заскриншотила на память, а полученные деньги положила на отдельный счёт — они будут потрачены исключительно на юридические разборки.

Очень многие писали в личку ВК со словами поддержки.

Также мне написала девушка-юрист, которая предложила бесплатно консультировать по необходимым процедурам и документам. Я ей очень благодарна за этот порыв.

Писал журналист Рен-ТВ с предложением снять репортаж. Но у нас не сложилось по времени, да и ладно.

Но самое главное — поступило предложение от юридической фирмы «Солнцев и партнёры» взять на себя ведение этого дела. Мы заключили Договор Доверительного Управления и теперь процесс в руках профессиональных юристов.

Мы собрали в табличку все ссылки на товары с моей иллюстрацией. Там оказались не только футболки, но и рюкзаки и даже картины в интерьер.
И да, сотрудники компании так же заверяют у нотариуса скриншоты, как я и планировала делать самостоятельно. А я компенсирую им расходы.

Продолжение поста «Украденная у меня иллюстрация попала на маркетплейсы, а потом в сериал "Король и Шут"» Авторские права, OZON, Цифровой рисунок, Маркетплейс, Wildberries, Длиннопост, Король и Шут, Король и Шут (сериал), Ответ на пост, Мат

Вот так выглядит протокол осмотра доказательств, за который в Москве нотариусы просят аж 20 000 р. В Калининграде такой стоит вдвое меньше.

Такой же протокол составлен и в отношении товаров на Wildberries.

Следующим шагом будет проводиться контрольная закупка контрафакта.
И всё это под музыку))

Продолжение поста «Украденная у меня иллюстрация попала на маркетплейсы, а потом в сериал "Король и Шут"» Авторские права, OZON, Цифровой рисунок, Маркетплейс, Wildberries, Длиннопост, Король и Шут, Король и Шут (сериал), Ответ на пост, Мат

Так что не прощаемся, буду держать вас в курсе. Надеюсь, эта серия постов однажды принесёт кому-нибудь пользу и расскажет, как поэтапно отстоять своё право.

Ещё раз огромное спасибо всем, кто на моей стороне!

Содержание
  1. На что обращать внимание при выборе бэкап плагина
  2. UpDraft Plus
  3. Duplicator
  4. VaultPress
  5. BackupBuddy
  6. All-in-One WP Migration
  7. Вставка данных.
  8. WPvivid Backup
  9. Когда и как часто делать бэкап сайта
  10. Как скачать исходный код сайтов с сервера
  11. Как узнать, какие сайты работают на сервере
  12. Загрузка бэкдора
  13. BackupGuard
  14. BackUpWordPress
  15. Заключение
  16. Соединение с базой данных.
  17. Осматриваемся на сервере из бэкдора
  18. Как сделать бэкап Вордпресс сайта вручную
  19. 1. Скачайте файлы сайта с сервера
  20. Поиск уязвимостей в веб-приложении
  21. BackWPup
  22. Анализ добытых паролей
  23. Что нужно для использования HTTPS/SSL на WordPress сайте
  24. Выполнение запросов.
  25. Как взламывают сайты
  26. Связанные статьи
  27. Настройка SSL HTTPS на WordPress сайте
  28. Настройка SSL/HTTPS в WordPress с помощью плагина Really Simple SSL
  29. Как настроить SSL/HTTPS в WordPress вручную
  30. 301 редирект на https в WordPress
  31. Как исправить ошибку смешанного контента в базе данных WordPress
  32. Исправление ошибок смешанного контента в теме сайта WordPress
  33. Исправление ошибок смешанного контента, вызванных плагинами
  34. Импорт базы данных
  35. Бэкап контента сайта с помощью встроенной функции Вордпресс
  36. Бэкап базы данных — Custom
  37. Взлом MySQL
  38. Зачем переводить WordPress сайт на HTTPS и SSL?
  39. Как настроить бэкап на хостинге
  40. Бэкап базы данных — Simple
  41. Переход на HTTPS у сайта WordPress в Яндекс. Вебмастер и Google Search Console
  42. Переход на HTTPS в Яндекс.Вебмастер
  43. Переход на HTTPS в Google Search Console
  44. Промежуточный итог
  45. Работа с результатами запросов.
  46. Заключение.

На что обращать внимание при выборе бэкап плагина

Не все плагины или сервисы бэкапа работают одинаково. Обычно плагины разрабатываются для бэкапа или для миграции сайтов, у них более или менее проработанный функционал и разная цена. Обращайте внимание на эти особенности:

  • Автоматический бэкап — бэкап по расписанию одна из самых важных функций. Вам не нужно помнить о бэкапе и делать его вручную.
  • Частота бэкапа — как часто плагин может делать бэкап. Подходит ли эта частота для вашего сайта. Некоторые плагины позволяют делать бэкап в реальном времени, и для часто обновляемых сайтов это лучшее решение.
  • Место сохранения бэкапа — куда плагин сохраняет бэкап. Может ли плагин сохранять бэкап в удаленное хранилище, например, Гугл Драйв или Дропбокс. Не сохраняйте бэкап на тот же сервер, на котором находится ваш сайт. В случае взлома сервера это место для хранения теряет смысл.
  • Восстановление из бэкапа — может ли плагин восстановить копию сайта из бэкапа. Если да, делает ли он это автоматически, или что-то нужно делать вручную. В плагинах бывают разные варианты, и одни из них проще, чем другие.
  • Полный или частичный бэкап — разные плагины предлагают разные подходы. Некоторые плагины сохраняют только базу данных, но не сохраняют файлы сайта. В этом обзоре только те плагины, которые сохраняют весь сайт полностью вместе с базой данных.
  • Другие функции — Есть ли в плагине другие функции, например, перенос сайта с одного домена на другой (миграция). Хотя это может быть не нужно для бэкапа сайта, это может быть полезным в других ситуациях.

Важность каждой функции имеет большее или меньше значение в вашем случае, имейте их в виду, когда выбираете плагин.

Существует большое количество платных и бесплатных плагинов бэкапа для Вордпресс. Некоторые бесплатные плагины предлагают функционал, которого может быть достаточно для вашего сайта. В этом обзоре лучшие плагины для бэкапа Вордпресс сайта.

UpDraft Plus

Очень популярный плагин с высоким рейтингом. Плагин предлагает бесплатно большое количество функций, которые другие плагины предлагают за деньги:

  • Ручной и Автоматический бэкап с настраиваемым расписанием
  • Полный или выборочный бэкап сайта
  • Восстановление сайта из бэкапа
  • Бэкап сайта на Гугл Драйв, Дропбокс итд

Чтобы сделать бэкап нажмите на кнопку Создать РК (Резервную Копию) сейчас,

UpdraftPlus - ручной бэкап
UpdraftPlus — ручной бэкап

Или настройте расписание бэкапов:

UpdraftPlus - расписание бэкапов
UpdraftPlus — расписание бэкапов

Выберите одно из мест, куда вы хотите сохранять бэкапы:

UpdraftPlus - сохранение бэкапов
UpdraftPlus — сохранение бэкапов

UpDraft Plus разделяет бэкап на разные части, — плагины, темы, загрузки итд. Вы можете работать отдельно с разными частями сайта.

UpdraftPlus - фильтр файлов
UpdraftPlus — фильтр файлов
UpdraftPlus - список бэкапов
UpdraftPlus — список бэкапов

Для более детальной настройки расписания и бэкапа сразу в несколько мест вам нужна премиум версия. В премиум версии также есть миграция сайта, облако для хранения бэкапов, поддержка мультисайта, шифрование базы данных, защита настроек плагина паролем, отчеты и другие функции.

Премиум версия стоит от 70$ за лицензию на 2 сайта и 40% скидка на ежегодные обновления.

Duplicator

Изначально Duplicator плагин для переноса и миграции сайтов, но также может использоваться для бэкапа. Проблема в том, что многие функции бэкапа, которые предлагаются бесплатно в других плагинах, стоят денег в этом плагине.

Бесплатная версия предлагает:

  • Полный бэкап сайта по клику
  • Восстановление сайта
  • Миграция сайта

В платной версии добавляется:

  • Бэкап по расписанию
  • Бэкап на внешние хранилища

Чтобы сделать копию сайта, перейдите на страницу настроек и создайте Пакет:

Duplicator -

Это полный архив вашего сайта и базы данных в формате zip, плюс установочный файл.

Duplicator - скачать Установщик и Архив
Duplicator — скачать Установщик и Архив
Duplicator - скачать Установщик и Архив в списке бэкапов
Duplicator — скачать Установщик и Архив в списке бэкапов

Для восстановления или миграции сайта вам будут нужны оба файла. Загрузите их на сервер по FTP и запустите инсталлятор из браузера.

Появится помощник, который проведет вас через процесс восстановления или миграции. Для этого вам понадобится пустая база данных.

Dupliсator - мастер восстановления бэкапа
Dupliсator — мастер восстановления бэкапа

Для некоторых пользователей процесс восстановления сайта может показаться сложным. Можно подобрать другой бесплатный плагин с тем же функционалом, в котором восстановление работает в один клик.

В то же время это один из лучших плагинов для миграции сайта. В версии Pro вы получите:

  • Автоматическое расписание,
  • Сохранение копии сайта на внешние хранилища,
  • Восстановление сайта в один клик из админки Вордпресс,
  • Возможность восстановить сайт поверх существующего с заменой файлов.

В версии Pro это также один из лучших плагинов бэкапа. Плагин имеет все нужные настройки и определенно стоит своих денег.

Цена плагина начинается от 59$ в год за лицензию на 3 сайта. Есть лайф-тайм лицензия на неограниченное количество сайтов за 359$.

Перейти на сайт Duplicator Pro.

VaultPress

Этот сервис является частью плагина Jetpack и поддерживается разработчиками из Automattic, часть разработчиков которого являются разработчиками Вордпресс.

Сервис предлагает бэкап в реальном времени (то есть бэкап любого изменения на сайте в реальном времени), и восстановление сайта в один клик.

Кроме этого, VaultPress предлагает

  • 30 дней хранения бэкапов на собственном облаке
  • Функция миграции сайта

Плагин работает по принципу настроил и забыл, но вам нужно иметь установленный плагин Jetpack и аккаунт на wordpress.com.

Установите плагин, установите Jetpack, зарегистрируйтесь на wordpress.com и настройте бэкап. Плагин будет сохранять бэкапы на облако, с которого вы можете восстановить сайт в один клик. Также вы можете сохранять копию сайта на свой компьютер.

Единственный недостаток плагина — у него нет бесплатной версии. Цена начинается с 39$ / год за ежедневный бэкап. На более высоких тарифах вы получите бэкап в реальном времени, автоматическое лечение файлов и другие функции.

Перейти на сайт VaultPress.

BackupBuddy

Плагин BackupBuddy

Один из самых популярных премиум плагинов для бэкапа. Плагин может:

  • Создавать полный или выборочный бэкап
  • Делать бэкап по расписанию
  • Хранить бэкапы на удаленных хранилищах
  • Делать бэкап в реальном времени на собственное облако Stash
  • Мигрировать сайт на другой домен

Бэкап в реальном времени очень полезная функция для загруженных сайтов с часто обновляемым контентом. После каждого бэкапа плагин отправляет сообщение на е-мейл.

BackupBuddy предлагает хранение бэкапов на многих популярных облаках, включая Гугл Драйв, Дропбокс, Амазон S3 и других.

Вы можете настроить бэкап раз в день, неделю или месяц, и настроить разную частоту для разных частей сайта. Например, вы можете настроить ежедневный бэкап базы данных и еженедельный бэкап всего сайта.

Для восстановления сайта нужно закачать файлы на сервер и запустить восстановление оттуда.

У плагина нет бесплатной версии, цена начинается от 80$ / год. С любой лицензией вы получите 1 год обновлений, поддержки и доступа к сервису Stash.

Перейти на сайт BackupBuddy.

All-in-One WP Migration

Так же, как Duplicator, это плагин миграции сайтов, но он хорошо работает с бэкапом. Плагин может делать:

  • Полный или частичный бэкап сайта
  • Легкое восстановление в один клик
  • Миграция сайта

Плюс плагина в том, что у него есть все основные настройки для экспорта.

Настройки экспорта All-in-One WP Migration
Настройки экспорта All-in-One WP Migration

Это удобно, если вы хотите исключить некоторые части сайта из бэкапа.

Восстановление сайта из бэкапа делается в один клик. Нажмите кнопку Restore на нужном бэкапе и восстановление начнется.

Настройки импорта All-in-One WP Migration
Настройки импорта All-in-One WP Migration

Чтобы получить сохранение бэкапа на Гугл Драйв, Дропбокс, Мегу и другие хранилища, нужно купить одно из расширений. В платном расширении вы получите неограниченный размер бэкапа, автоматическое расписание и удаление старых бэкапов.

В настройках расширения вы можете указать, какое количество бэкапов хранить на облаке, или указать, какой максимальный размер эти бэкапы могут занять.

Настройки расширения Google Drive All-in-One WP Migration
Настройки расширения Google Drive

Это очень хороший плагин как в бесплатной, так и в платной версии. У плагина есть все нужные функции, все работает очень просто.

Каждое расширение стоит 99$, которое вы можете использовать на любом количестве сайтов и имеет лайф-тайм обновления и поддержку.

Вставка данных.

Давайте вставим новую строку в таблицу «ToDo». Для знакомых с синтаксисом SQL пример, приведённый ниже, покажется очень знакомым:

WPvivid Backup

Бесплатный плагин, который делает ручной и автоматический бэкап по расписанию, восстановление по клику и миграцию сайта. У плагина есть сохранение и восстановление бэкапа с удаленных хранилищ, — Дропбокс, Гугл Драйв, Амазон S3 и других.

Чтобы сделать ручной бэкап, выберите, что вы хотите сохранить: Базу данных и Файлы, или только базу данных или файлы. Выберите место сохранения: папка на сервере или удаленное хранилище.

Нажмите на кнопку Backup Now:

WPvivid Backup - ручной бэкап
WPvivid Backup — ручной бэкап

Вы можете настроить автоматический бэкап на вкладке Schedule. Включите расписание, выберите частоту бэкапа, что сохранять и место сохранения:

WPvivid Backup - расписание бэкапов
WPvivid Backup — расписание бэкапов

Чтобы восстановить сайт из бэкапа, перейдите на вкладку Backup & Restore. Выберите нужный бэкап из списка и нажмите Restore.

WPvivid Backup - восстановление бэкапа
WPvivid Backup — восстановление бэкапа

В плагине есть функция миграции сайта. Добавьте ключ на втором сайте и нажмите Clone and Transfer:

WPvivid Backup - миграция сайта
WPvivid Backup — миграция сайта

В бесплатной версии плагин очень хорош, но в версии 0.9.24 у бэкапа нет определенного времени запуска, он выполняется в то время, которое было на момент настройки. Количество бэкапов на сервере или на удаленном хранилище ограничено 7 копиями.

Возможно, эти настройки появятся в следующих версиях плагина или в платной версии. Пока платной версии нет.

Когда и как часто делать бэкап сайта

Лучше всего настроить автоматический бэкап по расписанию. Если вам нужно будет восстановить сайт, вы можете взять одну из последних копий сайта и восстановить его с наименьшими потерями данных.

Частота бэкапа может быть разной для разных сайтов. Например, если у вас блог или новостной сайт, на котором часто публикуется новый контент и посетители оставляют много комментариев, можно настроить бэкап 1 раз в день или чаще.

Если у вас интернет-магазин, то вам тоже может быть нужен частый бэкап, потому что вам нужно сохранять транзакции покупок и обновления товаров.

Если у вас более или менее статичный сайт, на котором новый контент появляется раз в несколько недель или месяцев, вы можете делать ручной бэкап или настроить автоматический бэкап раз в неделю или месяц.

Не существует универсального ответа на вопрос Как часто делать бэкап. Настройте бэкап в зависимости от частоты обновлений на сайте, и в зависимости от частоты сканирования сайта антивирусом.

Если сканер сайта найдет в файлах какой-то подозрительный или вредоносный код, вы сможете восстановить сайт из одного из последних бэкапов, который был сделан до того, как антивирус нашел взлом.

Если в вашем плагине или сервисе есть возможность настроить время бэкапа, настройте его на наименее посещаемое время. Эту информацию вы можете найти в Яндекс.Метрике или Гугл аналитикс, обычно это около 4 часов ночи.

Кроме автоматического бэкапа, иногда нужно делать ручной бэкап. Делайте ручной бэкап перед большими изменениями на сайте, когда есть вероятность, что что-то может пойти не так.

Также вы можете делать бэкап перед обновлением софта или сменой темы. С только что сделанным бэкапом вы можете быть спокойны, что можете быстро вернуться к первоначальному варианту.

Как скачать исходный код сайтов с сервера

Понятно, что если мы в папке /var/www/XX1/tmp, то папкой веб-сервера является /var/www/. Посмотрим что там в ней:

ls -l /var/www/

А в ней папки других сайтов — в общей сложности 14 штук, но показать их я уже не могу.

Смотрим в шпаргалку, чтобы сохранить файлы в архив командой zip дополнительно нужно использовать опцию -r для рекурсивного добавления всего, что находится в папках, запускается следующим образом:

zip -r имя_нового_архива.zip каталог_для_архивации

Каталогом для архивации является /var/www/, архив я пока сохраню в директорию /tmp (а не в папку с сайтами, так как получится, что мы попытаемся сохранить архив в папке, которая добавляется в этот архив — возможно, это вызовет ошибку).

zip -r /tmp/archive.zip /var/www/

На что мне возвращается сообщение:

sh: 1: zip: not found

Чёрт, на этом сервере не установлена программа zip. Можно воспользоваться встроенным эмулятором архивирования Weevely, но попробую ещё другую программу:

tar czf /tmp/archive.tgz /var/www/

А вот программа tar оказалась на сервере. Внутренние команды означают:

  • c — создать архив
  • z — алгоритм сжатия
  • f — после этой опции указывается путь до архива и имя файла

Переносим архив в папку веб-сервера, где он теперь доступен для скачивания даже с помощью браузера:

mv /tmp/archive.tgz /var/www/XX1/tmp

Чтобы узнать размер всех подпапок в папке /var/www/:

du -sh /var/www/*
tar czf архив.tgz папка_в_архив_1 папка_в_архив_2 папка_в_архив_3 папка_в_архив_4

Как узнать, какие сайты работают на сервере

Исходный код — это очень ценный трофей и он нам ещё во многом поможет. Но, как я уже сказал, на этом сервере много папок с сайтами — то есть и сайтов здесь много.

Список всех загруженных настроек и обработанных виртуальных хостов можно узнать опцией -S. А с помощью -t -D DUMP_INCLUDES можно увидеть все используемые файлы конфигурации. Правда есть проблема — исполнимый файл веб-сервера может называться или httpd, или apache2 в зависимости от системы. На производных Debian файл будет называться apache2. А на производных Arch Linux — httpd. В принципе, проблемы никакой нет попробовать обе команды и посмотреть, какая из них сработает:

httpd -S
httpd -t -D DUMP_INCLUDES
apache2 -S
apache2 -t -D DUMP_INCLUDES

Как я уже сказал, в нормальных условиях эти опции должны показывать все конфигурационные файлы и все виртуальные хосты. Но, видимо, тот горе программист, который писал код для сайта, ещё взялся и за настройку веб-сервера — у меня вместо ожидаемой информации только выводится сообщение об ошибке в одном из конфигурационных файлов — не хватает SSL сертификата. Кстати, ведь это означает, что при перезапуске компьютера или только веб-сервера, — Apache, по идее, не запустится, так как это (вроде) фатальная ошибка.

Ладно, проверим вручную. Если бинарный файл называется apache2, значит конфигурационные файлы хранятся в /etc/apache2/.

Главным конфигурационным файлом Apache является /etc/apache2/apache2.conf.

В папке /etc/apache2/conf-available собраны другие конфигурационные файлы, а в папке /etc/apache2/conf-enabled можно узнать, какие из них подключены.

В папке /etc/apache2/mods-enabled можно посмотреть, какие модули Apache включены.

В папке /etc/apache2/sites-available можно узнать, настройки для каких сайтов предусмотрены, а в папке /etc/apache2/sites-enabled — какие из них активны в данный момент.

К сожалению, не могу вам показать содержимое, могу только сказать, в sites-available оказалось 18 конфигурационных файлов. В этих файлах для каждого сайта как минимум 2 обязательных директивы:

  • ServerName — здесь имя хоста, фактически, домен сайта (иногда субдомен)
  • DocumentRoot — путь до файлов на этом сервере для данного хоста

С помощью этой техники можно узнать, какие другие сайты хостит этот сервер, и где на сервере находится исходный код каждого из них.

Да чё уж там, берём всё, «дома разберёмся»:

tar czf /var/www/XX1/upload/apache_archive.tgz /etc/apache2/

Загрузка бэкдора

В начале я хотел воспользоваться самым простым вариантом — c99unlimited.php. Это шелл в фиде файлового менеджера и в нём удобно бродить по каталогам и скачивать файлы. Но у меня он не заработал — выдал ошибку 500. Видимо, у сервера с ним какая-то несовместимость.

Это абсолютно не проблема, разнообразных шеллов в Webshells очень много — можно долго сидеть и выбирать тот, который понравится, но я решил воспользоваться ещё более любимым Weevely. У меня к этому инструменту ещё более чувства )))) Хотя у него интерфейс командной строки — так мне нравится даже больше.

Создаём новый бэкдор (да, пароль просто цифра 1):

weevely generate 1 test.php

Заливаем его на сервер.

И подключаемся к нему:

weevely https://site.ru/upload/8579.php 1

BackupGuard

Этот плагин похож на предыдущий, но у него меньше настроек и необычный не-вордпресс интерфейс.

В бесплатной версии у плагина есть ручной и автоматический бэкап с простым расписанием и восстановлением в один клик и сохранение бэкапа на сервер или Дропбокс:

В платных версиях добавляется бэкап на Гугл Драйв, Амазон S3 и Майкрософт OneDrive. В расписании можно выбрать время выполнения бэкапа и добавляется функция оповещения на е-мейл:

Платные версии начинаются с 25$ за годовую лицензию на 2 сайта. Перейти на сайт BackupGuard.

BackUpWordPress

Последний плагин в этом обзоре. Плагин сменил владельца и больше не продает и не поддерживает платные аддоны для сохранения бэкапов на внешние хранилища.

Бесплатная версия доступна в репозитарии Вордпресс и поддерживается новым владельцем. Плагин может делать:

  • Ручной бэкап по кнопке
  • Полный бэкап сайта или только базы данных
  • Отдельные расписания для полного бэкапа и бэкапа базы данных

Плагин прост в использовании, установите, настройте, и плагин будет делать ежедневный бэкап базы данных и еженедельный бэкап всего сайта.

BackupWordpress - бэкап базы данных
BackupWordpress — бэкап базы данных

По желанию вы можете изменить расписание бэкапов:

BackupWordpress - настройте расписание
BackupWordpress — настройте расписание

В плагине нет функции автоматического восстановления бэкапа, поэтому восстанавливать сайт придется вручную. Для этого нужно заменить файлы на сервере файлами из бэкапа и вручную импортировать базу данных.

Заключение

Ваш сайт — это большая ценность, которую стоит защищать. Настроенные бэкап и безопасность — главные способы защиты сайта.

В этой статье вы узнали все способы бэкапа сайта. Вы узнали, как подобрать подходящее расписание для бэкапа и как сделать бэкап вручную. Вы узнали о лучших сервисах / плагинах для автоматического бэкапа.

Для бэкапа существуют платные и бесплатные плагины. Некоторые бесплатные плагины предлагают функционал, которого может быть достаточно для вашего сайта.

Даже платные плагины довольно доступны и предлагают полезные функции, например бэкап на облако или бэкап в реальном времени. Вероятность потерять весь контент сайта может стоить дороже, чем цена премиум плагина.

Выберите себе подходящий плагин, установите и настройте его.

Соединение с базой данных.

Подсоединиться к базе данных очень просто:

db = openDatabase("ToDo", "0.1", "A list of to do items.", 200000);

Данный код создаёт объект, представляющий БД, а если базы данных с таким именем не существует, то создаётся и она. При этом в аргументах указывается имя базы данных, версия, отображаемое имя и приблизительный размер. Кроме того важно отметить, что приблизительный размер не является ограничением. Реальный размер базы данных может изменяться.

Успешность подключения к БД можно оценить, проверив объект db на null:

Всегда предпринимайте данную проверку, даже если соединение с БД для данного пользователя уже производилось в прошлом, и было успешно. Могут измениться настройки безопасности, закончиться дисковое пространство (скажем, если пользователь использует смартфон) или фаза луны окажется неподходящей.

Осматриваемся на сервере из бэкдора

Как изменить URL-адрес WordPress

Примечание: для лучшего понимания происходоящего, рекомендуется к знакомству цикл статей «Азы работы в командной строке Linux (часть 1)».

После подключения, Weevely показал, что я нахожусь в папке /var/www/XX1/tmp.

Можно дополнительно в этом убедиться:

pwd
/var/www/XX1/tmp

Посмотрим, какие у меня права на эту папку:

ls -dl .
drwxrwxrwx 2 XX1 root 4096 Apr 21 14:16 .

Из этой информации следует, что владельцем папки является пользователей XX1. Но права на запись есть вообще у всех.

Кстати, а кто там я?

whoami
www-data

Я работаю от пользователя www-data.

Как сделать бэкап Вордпресс сайта вручную

Если вы никогда не делали ручной бэкап Вордпресс, попробуйте сделать его хотя бы один раз, чтобы понять, как это работает.

Хотя ручной бэкап не самый быстрый способ по сравнению с плагином, это знание поможет вам, когда вы будете в трудной ситуации.

В этом разделе подробная инструкция по бэкапу Вордпресс сайта вручную.

1. Скачайте файлы сайта с сервера

Для подключения к серверу по FTP можно использовать программу FileZilla.

Создайте папку на компьютере, куда вы хотите скопировать файлы. Подключитесь к серверу и перейдите в папку с сайтом.

Создайте папку на компьютере для бэкапа файлов WordPress
Создайте папку на компьютере для бэкапа WordPress файлов

Перед тем, как вы начнете скачивать файлы, проверьте, что FTP клиент показывает скрытые файлы. В установке Вордпресс находятся важные, но скрытые по умолчанию файлы. Убедитесь, что они попадут в бэкап. В ФайлЗилле эта настройка находится в СерверПоказывать скрытые файлы.

FileZilla - Показывать скрытые файлы
FileZilla — Показывать скрытые файлы

После этого выберите все папки и файлы и скопируйте их в созданную папку на компьютере.

Если ваша установка Вордпресс находится в подпапке, скопируйте подпапку вместе с содержимым корневой папки.

Скопируйте файлы сайта с сервера на компьютер
Скопируйте файлы сайта с сервера на компьютер

Поиск уязвимостей в веб-приложении

Выполняемые действия сохраняются в Истории. У действия есть заголовок и определённый текст. Оказалось, что хранимые поля не фильтруются на специальные символы и слова, поэтому быстро удалось найти и подтвердить уязвимость XSS — то есть кода в поле вводишь что-нибудь вроде

<script>alert(1)</script>

а на странице сайта (в данном случае в История) показывает всплывающее окно JavaScript.

С помощью такой уязвимости можно, например, похитить кукиз других пользователей. Но проблема в том, что, видимо, История, у каждого пользователя своя. То есть максимум, что я могу сделать в этой ситуации, это захватить кукиз пользователей с точно такими же правами как у меня — то есть только у пользователей, выполнивших вход под гостевой учётной записью. Возможно, админу доступен список Истории всех пользователей — но не факт. Плюс надо ещё придумать, как спровоцировать его зайти в Историю — а то может получиться так, что в следующий раз он туда зайдёт через год, или через два, или никогда.

Поскольку видно, что специальные символы не фильтруются, а данные, скорее всего, хранятся в базе данных, то это может означать, что должна присутствовать уязвимость SQL-инъекция, которая позволяет получить базу данных сайта. Но я не успел это проверить — обнаружилась намного более лёгкая уязвимость — небезопасная выгрузка файлов.

Суть в том, что если я запускал новое действие, то мне для ввода были доступны несколько полей — в них я и обнаружил XSS и мог обнаружить SQL-инъекцию. Но при открытии сохранённого действия из Истории, на странице появлялось ещё одно поле — для загрузки файла!!!

У меня появилась умеренная радость: с одной стороны, на множество сайтов можно загружать файлы, но благодаря ограничению на расширения загружаемых файлов, а также способу доступа к ним, практически невозможно загрузить код, который можно выполнить на сервере. Но безалаберность с фильтрацией данных в текстовых полях вселяла некоторую надежду.

Я создал файл

<?php

phpinfo();

В чём ошибки программиста:

Такой безалаберный стиль программирования нельзя совмещать с публичной учётной записью. То есть если бы на главной странице не были написаны учётные данные для входа, то поиск и эксплуатация этих уязвимостей сильно бы затянулись.

И более главное: при написании кода всегда нужно фильтровать данные и ограничивать файлы, которые можно загружать на сервер. Даже если вы программируете «для себя» и держите файлы на локальном сервере у себя на компьютере, всё равно может случиться неприятность — кто-то может подключиться к вашему веб-серверу по локальной сети (при использовании публичным Интернетом), или ваш компьютер может быть доступен напрямую по белому IP. Очевидно, что для публичного сайта код должен писаться с постоянной мыслью о безопасности.

BackWPup

Еще один хороший платный и бесплатный плагин для бэкапа Вордпресс с большим количеством настроек:

  • Автоматический бэкап
  • Удаленное сохранение бэкапа на Дропбокс, е-мейл итд
  • Полный или частичный бэкап

У BackWPup есть командная строка, которая может быть полезна для продвинутых пользователей.

Чтобы сделать бэкап, нужно создать задание (job). Дайте название заданию и настройте, что должно быть сделано в этом задании.

BackWPup - создайте задание
BackWPup — создайте задание

После этого настройте расписание, когда плагин должен повторять это задание:

с
BackWPup — создайте задание

В бесплатной версии плагин поддерживает мультисайт. В настройках плагина вы можете выбрать, какие таблицы базы данных, плагины, темы или отдельные папки ислючить из бэкапа.

Единственный минус бесплатной версии — нет автоматического восстановления сайта.

Чтобы восстановить сайт, закачайте файлы на сервер вручную через FTP и импортируйте базу данных. Инструкция.

В платной версии вы получите:

  • Восстановление сайта в один клик,
  • Шифрование бэкапа,
  • Сохранение бэкапа на Гугл Драйв и другие хранилища,
  • Проверку базы данных,
  • Отдельное приложение для аварийного восстановления и другие функции.

Перейти на сайт BackWPup Pro.

Анализ добытых паролей

База данных раскрыла много интересной информации. Но самая интересная — это список пользователей с паролями.

У нас есть имена пользователей и пароли (а также email’ы и другая типичная для профилей информация). Пароль администратора для входа на сервис точно такой же, как и пароль пользователя root от MySQL. Напомню, если вы запутались: пароль от MySQL мы нашли в исходном коде файлов сайта, а пароль админа сервиса (сайта) мы нашли в базе данных. Хотя они оказались одинаковыми smiley

Это важно — пользователь имеет тенденцию использовать одинаковые пароли — это отдельная уязвимость, между прочим.

Но ещё интереснее анализ всех паролей пользователей — почти все они шестизначные числа! Видимо, учётные данные генерировал и выдавал администратор. У администратора склонность создавать однотипные пароли — учтём это. То есть если придётся брут-форсить службы на этом сервисе (а нам придётся devil), то я уже знаю, каким будет словарь — это будет полный список чисел из шести цифр.

Что нужно для использования HTTPS/SSL на WordPress сайте

Требования для перевода WordPress сайта на HTTPS (SSL) минимальны. Всё, что вам нужно сделать, это купить SSL сертификат или получить его бесплатно от Let’s Encrypt на вашем хостинге.

Все популярные хостинги в СНГ предлагают выпустить бесплатный SSL сертификат на 3 месяца. После 3 месяцев он будет продлеваться автоматически.

Если вы будете приобретать SSL сертификат, то в зависимости от сертификата, вы будете получать гарантию. В случае утечка данных на вашем сайте возникнет по вине компании, выдавшей SSL сертификат, она может полностью или частично компенсировать потери.

Для малого бизнеса или просто новостного сайта, используйте бесплатный сертификат SSL.

Выполнение запросов.

Для выполнения запросов к БД предварительно надо создать транзакцию, вызвав функцию database.transaction(). У неё один аргумент, а именно другая JavaScript функция, принимающая объект транзакции и предпринимающая запросы к базе данных.

Собственно сам SQL запрос можно выполнить, вызвав функцию executeSql объекта транзакции. Она принимает 4 аргумента:

  • строка SQL запроса
  • массив параметров запроса (параметры подставляются на место вопросительных знаков в SQL запросе)
  • функция, вызываемая при успешном выполнении запроса
  • функция, вызываемая в случае возникновения ошибки выполнения запроса

Пример работы функции executeSql ниже:

Как взламывают сайты

С одной стороны, этот рассказ основывается на реальном случае аудита, то есть если бы я мог рассказать о нём без купюр, то получился бы кейс, из которого начинающие аудиторы безопасности веб-приложений или веб-мастеры и администраторы смогли узнать что-то новое, но, как и с любым кейсом, совсем необязательно, что в вашей практике будет что-то аналогичное и инофрмация окажется полезной.

Связанные статьи

  • Как взламывают сайты (часть 2) (100%)
  • Атаки на JavaScript на примере обхода Social Locker for WordPress (КЕЙС) (68%)
  • Техники обхода файерволов веб-приложений (Web Application Firewall (WAF)) (ч. 1) (59.6%)
  • Техники обхода файерволов веб-приложений (Web Application Firewall (WAF)) (ч. 2) (59.6%)
  • Техники обхода файерволов веб-приложений (Web Application Firewall (WAF)) (ч. 3) (59.6%)
  • lulzbuster – инструмент для быстрого поиска скрытых файлов и папок на сайтах (RANDOM — 51.2%)

Настройка SSL HTTPS на WordPress сайте

После того, как вы выпустите SSL-сертификат для своего домена, вам потребуется настроить использование SSL и HTTPS на своем WordPress сайте.

Мы покажем вам два способа, как настроить SSL сертификат на WordPress сайте. Вы можете выбрать тот вариант, который больше всего соответсвует вашим потребностям.

Настройка SSL/HTTPS в WordPress с помощью плагина Really Simple SSL

Использование Really Simple SSL для перевода WordPress на https – это самый простой способ, который мы рекомендуем для новичков.

Первое, что нужно сделать – установить и активировать плагин Really Simple SSL.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Really Simple SSL

Самый простой способ повысить безопасность! Используйте свой SSL-сертификат и защитите посетителей своего сайта.

После активации плагина Really Simple SSL, зайдите в админ панели в Настройки -> SSL. Плагин автоматически найдет ваш SSL-сертификат и настроит ваш сайт для использования HTTPS.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Плагин сам позаботится о всех настройках, включая исправление таких ошибок, как использование смешанного контента. Вот что делает плагин:

  • Проверяет наличие SSL-сертификата у домена;
  • Настраивает использование https в URL адресах в WordPress;
  • Настраивает WordPress редирект на https с http;
  • Найдет URL-адреса в вашем контенте, которые загружаются по http и попытается их изменить на https.

Плагин пытается исправлять ошибки смешанного контента используя метод буферизации вывода. Это может оказать негативное влияние на производительность сайта, поскольку контент заменяется по мере загрузки страницы. Это влияет на скорость загрузки только в первый раз, если у вас настроен плагин кеширования.

Хоть разработчики плагина и говорят, что если удалить плагин, то настройки SSL сохранятся, – это не так. После отключения плагина у вас появятся ошибки смешанного контента. Если на сайте остались картинки и ссылки с протоколом http, придется их менять на https.

Как настроить SSL/HTTPS в WordPress вручную

Этот метод требует устранения неполадок и редактирование файлов WordPress вручную. Пусть это вас не пугает, так как этот способ более надежный и постоянный. Данный способ мы используем на WPtuts.ru.

Если данный способ вам покажется сложным, то воспользуйтесь помощью стороннего разработчика или используйте первый метод.

В рамках этого способа вам может понадобиться редактировать тему WordPress и файлы с кодом.

Для начала, вам нужно зайти в админ панель сайта во вкладку Настройки -> Общие. На этой странице вам нужно будет обновить поля адреса WordPress и адреса сайта, заменив http на https.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Не забудьте нажать кнопку “Сохранить изменения”, чтобы применить настройки.

301 редирект на https в WordPress

Далее нужно настроить в WordPress 301 редирект на https в файле .htaccess. Добавьте следующий код в конце файла .htaccess:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Если вы используется сервер Nginx (большинство пользователей используют сервер с Apache), вам потребуется добавить следующий код для 301 редиректа на https в файл конфигурации:

server {
   listen 80;
   server_name example.com www.example.com;
   return 301 https://example.com$request_uri;
}

Не забудьте заменить example.com на имя своего домена.

Выполнив эти шаги, вы избежите многих ошибок, ведь ваш сайт теперь всегда будет открываться с помощь HTTPS протокола.

Если вы хотите использовать SSL и HTTPS в вашей админ панеле WordPress или на страницах входа в систему, вам потребуется настроить SSL в файле wp-config.php.

Добавьте следующий код перед надписью “/* Это всё, дальше не редактируем. Успехов! */” в файле wp-config.php в корне сайта:

define('FORCE_SSL_ADMIN', true);

После того, как вы полностью настроили использование SSL/HTTPS, на вашем сайте попрежнему будут возникать проблемы с использование смешанного контента.

Почему появляется ошибка смешанного контента?

Ошибка смешанного контента возникает в случае, если страница пытается загрузить небезопасный контент (контент с протоколом http в URL-адресе). Это могут быть как CSS стили, JS-скрипты, так и вставленные картинки. Если это произойдет, то в адресной строке заместо замка, вы увидите предупреждение.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Многие современные браузеры автоматически блокируют небезопасные скрипты и ресурсы. Вы можете увидеть значок замка, но с уведомлением о блокируемом контенте.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Чтобы узнать, какой контент загружается по небезопасному протоколу http, воспользуйтесь встроенным инструментом разработчика в браузере Inspect. Ошибка смешанного контента (Mixed Content) будет отображаться как предупреждение в консоли с информацией о элементе с небезопасным контентом.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Вы сразу заметите, что большинство URL-адресов представляют из себя ссылки на изображения, а некоторые, это JS-скрипты и CSS, загружаемые вашей темой и плагинами.

Большинство современных тем и плагинов автоматически меняют http на https при установке SSL. Но бывают исключения.

Как исправить ошибку смешанного контента в базе данных WordPress

Большинство ошибок смешанного контента возникает из-за неправильных URL-адресов на изображения, файлы, видео и другой контент, который хранится в вашей базе данных. Для начала, давайте исправим их.

Всё, что нам нужно сделать, это найти все упоминания старых URL-адресов в базе данных, которые начинаются на http и заменить их на новые URL-адреса с https в начале.

Эту операцию легче всего сделать с помощью плагина Better Search Replace. Более подробную инструкцию по работе с этим плагином вы можете прочитать в нашей инструкции по изменению адреса сайта WordPress.

После активации зайдите на странице Инструменты -> Better Search Replace. В поле “искать” введите адрес вашего сайта с http (http://example.com), а в поле “заменить на” введите адрес сайта с https (https://example.com). Далее выделите все таблицы, снимите галочку с пункта “Холостой пуск” и нажмите кнопку “Запустить Поиск/Замену”.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Плагин найдет в вашей базе все URL-адреса, начинающиеся с http и заменит из на https. Это может занять некоторое время, в зависимости от размера вашей базы данных WordPress.

Исправление ошибок смешанного контента в теме сайта WordPress

Ещё одна распространенная причина смешанного контента при перехода с http на https на WordPress сайте – ваша активная тема WordPress. Если вы используете качественно написанную тему, которая соответствует стандартам кодирования WordPress, то проблем возникать не должно.

Вы должны проверить с помощью инструментов разработчика, какие ресурсы и откуда загружаются по http.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Далее найдите ссылки на эти файлы в вашей теме WordPress и замените их на версию с https. Это будет немного сложно для новичка, так как вы не сможете понять, в каком файле содержится этот код.

Можете начать проверять каждый файл по очереди или воспользоваться сторонними программами для массового поиска текста в файлах.

Исправление ошибок смешанного контента, вызванных плагинами

Некоторый смешанный контент могут загружать установленные и активные плагины WordPress. Любой плагин, который написал в соответствии стандартам разработки WordPress не привезет к ошибкам смешанного контента.

Мы не рекомендуем вам редактировать файлы плагинов WordPress. После обновления все эти изменения сбросятся. Лучшим вариантом будет обратиться к автору плагину и сообщить о ошибках. Если разработчик не будет отвечать или не сможет исправить ошибку, рекомендуем найти подходящую альтернативу.

Если вы не смогли избавиться от ошибок смешанного контента, то рекомендуем временно воспользоваться плагином Really Simple SSL. Плагин сам исправит ошибки, что позволит вам полностью перейти на HTTPS/SSL. Далее у вас будет время полностью исправить ошибки и отказаться от плагина.

Импорт базы данных

Если вы хотите восстановить сохраненную базу данных, откройте базу данных, в которую вы хотите импортировать данные, выберите вкладку Import наверху страницы.

phpMyAdmin - Импорт базы данных
Импорт базы данных

Нажмите Choose File, выберите файл базы данных, который вы хотите восстановить и нажмите Go.

Ваша база данных должна работать так же, как она работала на момент экспорта.

Этот способ создания и восстановления бэкапа довольно долгий, особенно если делать его постоянно. В следующем разделе автоматические способы создания бэкапа.

Бэкап контента сайта с помощью встроенной функции Вордпресс

В Вордпресс существует встроенная функция экспорта и импорта контента. Перейдите в ИнструментыЭкспорт — Выберите, что вы хотите экспортировать.

Консоль - Инструменты - Экспорт
Консоль — Инструменты — Экспорт

Ограничение этого способа в том, что вы экспортируете только контент сайта. Вы не экспортируете плагины, темы, настройки плагинов и тем, и так далее.

Чтобы импортировать сохраненный контент, перейдите в ИнструментыИмпорт.

Бэкап базы данных — Custom

Второй вариант — выбрать Custom, в котором есть дополнительные настройки. Этот вариант более предпочтителен, если у вас большая база данных, потому что этот способ сжимает данные перед скачиванием. Это значительно ускорит создание бэкапа.

В разделе Format выберите SQL. В разделе Tables вы можете выбрать, какие таблицы включить в бэкап.

phpMyAdmin - Export - Custom - Format & Tables
Export — Custom — Format и Tables

В разделе Output выберите метод сжатия файла базы данных, zip или gzip. Файл меньшего размера скачается быстрее.

phpMyAdmin - Export - Custom - Output
Export — Custom — Output

В Format-specific options оставьте настройки по умолчанию.

В разделе Object creation options поставьте галочку Add DROP TABLE / VIEW / PROCEDURE / FUNCTION / EVENT / TRIGGER statement. Эта настройка удалит существующие таблицы во время восстановления базы данных.

phpMyAdmin - Export - Custom - Object creation options
Export — Custom — Object creation options

В разделе Data creation options оставьте все как есть и нажмите Go. Должно начаться сохранение базы данных в архив.

Бэкап завершен, теперь у вас есть сохраненные файлы с сервера и сохраненная база данных. Для большей надежности скопируйте данные на облако, потому что компьютер может сломаться.

Взлом MySQL

Если у нас есть доступ к файловой системе, то получение пароля от MySQL это дело техники.

Самое главное, это проанализировать исходный код сайтов и найти там учётные данные. Чтобы упростить эту задачу, можно искать по содержимому файлов, особое внимание следует обратить таким строкам как:

  • date_default_timezone_set
  • mysqli_connect
  • mysqli_query
  • mysql_connect
  • mysql_query

А также файлам с говорящими названиями, например, connectdb.php.

Weevely имеет команду для подключения к MySQL из командной строки:

:sql_console -user ПОЛЬЗОВАТЕЛЬ -passwd ПАРОЛЬ -host localhost

Либо если MySQL разрешает удалённые подключения, можно подсоединиться к хосту напрямую:

mysql -u ПОЛЬЗОВАТЕЛЬ -pПАРОЛЬ -h IP_СЕРВЕРА

Там внутри можно посмотреть базы данных:

show databases;

Там же можно посмотреть таблицы в базе данных и содержимое таблиц.

Если нужно сделать дамп всех баз данных для скачивания, то это делается командой:

mysqldump -u ПОЛЬЗОВАТЕЛЬ -pПАРОЛЬ --all-databases > all-databases.sql

Между опцией -p и ПАРОЛЕМ нет пробела — иначе появляется ошибка.

Зачем переводить WordPress сайт на HTTPS и SSL?

Google уже давно работает над обеспечением безопасности в интернете, призывая владельцев переходить с http на https. В рамках этой программы, в браузере Chrome сайты без http помечаются как небезопасные.

На данный момент большинство новых сайтов сразу создаются с использованием https, а старые сайты переходят с http на https. В Google заявили, что сайты с SSL будут получать более высокие рейтинги в поисковой выдаче.

Представьте, что зайдя на ваш сайт, посетитель видит уведомление, что сайт может быть не безопасным. Это создает плохое впечатление о вашем бизнесе.

Поэтому все ваши сайты WordPress должны перейти на https незамедлительно.

Если вы владелец интернет-магазина или принимаете платежи, то переход вашего WordPress (WooCommerce) сайта на https обязателен. Многие платежные системы, такие как Яндекс.Касса, PayPal, Stripe просто не подключат эквайринг к вашему сайту, если он не будет иметь защищенное соединение.

Наш сайт также использует защищенное соединение HTTPS, так как мы заботимся о своих читателях. Перевод WordPress на HTTPS мы считаем обязательным.

Как настроить бэкап на хостинге

Одно из первых мест, где вы можете настроить бэкап — ваш хостинг. Многие хостинги предлагают регулярный бэкап как часть своего сервиса.

Однажды бэкап на хостинге помог мне восстановить сайт после взлома. Проблема была в слабом пароле администратора. В том случае решили восстановить сайт из бэкапа и сменить пароли, ключи и соли.

В зависимости от хостинга или от тарифа, бэкап может быть более или менее частым. Если на вашем хостинге нет бэкапа, то можно подумать о смене хостинга.

Этот сайт работает на хостинге Бегет. Сервера хостинга хорошо настроены для работы с Вордпресс, есть встроенный бэкап и приятная панель управления.

Настройте бэкап на хостинге, это первое средство для восстановления сайта в случае непредвиденных событий.

Если этого бэкапа вам недостаточно, или вы хотите иметь дополнительную страховку, используйте один из плагинов из следующего раздела.

Бэкап базы данных — Simple

Если вы потеряете файлы сайта, теоретически возможно восстановить сайт, если у вас есть медиа файлы. Если вы потеряете базу данных — это все. Придется начинать все сначала.

Чтобы сделать бэкап базы данных, зайдите на хостинг и найдите раздел База данных, Database, MySQL или что-то подобное. Выберите нужную базу данных и откройте ее.

Если вы не знаете, какая база данных относится к вашему сайту, откройте файл wp-config.php и найдите имя базы данных в этих строках:

Интерфейс phpMyAdmin
Интерфейс phpMyAdmin

Нажмите Export на верхней вкладке. Вы увидите такую страницу:

phpMyAdmin - Быстрый экспорт базы данных
phpMyAdmin — Быстрый экспорт базы данных

Здесь у вас есть 2 варианта: вы можете оставить все как есть и нажать Go. После этого начнется загрузка файла с вашей базой данных.

Это хорошее решение для многих баз данных, потому что не требует сжатие, выбор таблиц и так далее.

Переход на HTTPS у сайта WordPress в Яндекс. Вебмастер и Google Search Console

Поисковые системы, такие как Яндекс и Google, рассматривают https и http, как два разных сайта. Это означает, что вам нужно сообщить поисковым системам Яндекс и Google, что ваш сайт переехал на HTTPS версию сайта. Это поможет избежать проблем с SEO оптимизацией сайта.

Переход на HTTPS в Яндекс.Вебмастер

Многие боятся переходить на HTTPS пугаясь, что их позиции могут “просесть” и трафик на сайт упадет. Если вы сделали всё правильно, то позиции сайта могут просесть на некоторое время, но далее они вернутся обратно или даже выше.

Мы постарались описать, как перейти на сайте WordPress на https без потери позиций. Мы настроили редиректы с http на https, весь контент имеет протокол https, нет смешанного контента на страницах.

Последнее, что осталось сделать, это сказать Яндексу, чтобы он начал индексировать HTTPS версию, как основную.

Если ваш сайт уже добавлен в Яндекс.Вебмастер с версией http, то зайдите на страницу https://webmaster.yandex.ru/site/indexing/mirrors/ и выберите ваш домен из списка.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Далее поставьте галочку “Добавить HTTPS” и нажмите кнопку сохранить. Далее в течении нескольких недель (в зависимости от количества страниц и посещаемости) сайт переиндексируется.

Переход на HTTPS в Google Search Console

Google расценивает http и https версии сайта, как разные сайты. Процесс перехода с http на https в Google отличается от переезда в Яндексе.

Войдите в свою учетную запись Google Search Console и добавьте версию сайта с https, как новый сайт.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

После этого Google попросит вас подтвердить права на сайт. Выберите удобный для вас способ подтверждения.

Как перевести WordPress сайт на HTTPS (SSL) - png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABAQMAAAAl21bKAAAAA1BMVEUAAP+KeNJXAAAAAXRSTlMAQObYZgAAAAlwSFlzAAAOxAAADsQBlSsOGwAAAApJREFUCNdjYAAAAAIAAeIhvDMAAAAASUVORK5CYII=

Как только Google проверит сайт, в консоли будут показываться отчеты о кликах и просмотрах.

Убедитесь, что в вашем аккаунте добавлены две версии сайта – http и https.

Это говорит Google, что вы хотите, чтобы https версия сайта рассматривалась как основная. В сочетании с уже настроенным 301 редиректом, Google перенесет ваши страницы и их позиции в поисковой выдаче в https-версию вашего сайта. Google заявляет, что наличие https версии расценивается как положительный фактор ранжирования. Не забывайте наличие SSL сертификата это один из сотни факторов ранжирования и если ваш контент хуже ваших конкурентов, на сильное повышение позиций надеяться не стоит.


Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Промежуточный итог

Итак: сервер скомпрометирован через уязвимое веб-приложение.

Уже на данном этапе:

  • Получен доступ в файловую систему
  • Получен доступ к исходному коду сайта
  • Есть возможность редактировать файлы веб-сайтов
  • Получен пароль от СУБД, получен доступ к базам данных, есть возможность редактировать базы данных
  • Получены пароли пользователей от сервисов
  • Анализ паролей выявил в них явную закономерность
  • Найдены другие сайты и получен их исходный код

Можно уже сейчас составлять отчёт для владельца-заказчика и завязывать с этой оценкой безопасности.

Краткое содержание отчёта: всё плохо.

Но у этой истории будет ещё и вторая часть. Смотрите продолжение «Как взламывают сайты (часть 2)».

Работа с результатами запросов.

Результат выполнения запроса на выборку данных содержит набор строк, а каждая строка содержит значения столбцов таблицы для данной строки.

Следующий пример выводит результат запроса к базе данных на страницу:

Заключение.

Использование web SQL database предоставляет мощные возможности, но не стоит увлекаться. Если задачу можно решить с помощью web storage, лучше использовать его.

Вы можете найти дополнительную информацию по данной теме в соответствующем разделе сайта консорциуме w3c.
Также для web SQL database уже начали разрабатывать ORM библиотеки. Пример такой библиотеки тут.

Читайте также:  Топ 7 хостингов VDS/VPS c тестовым периодом 2022 года
Оцените статью
Хостинги