Здравствуйте! Нуждаюсь в помощи специалиста, сам не справляюсь!
Есть 2 задачи - Ошибка 500 и защита. По защите высокие требования, потому что хочется уже защитить сайт и не переживать за него в будущем. Если вы не можете выполнить какие-то задачи из тех что указаны во второй задаче, просто укажите что можете, а что нет. Также задачи возможно разделить на только первая или только вторая. Но пока не выполнить первую, вторую нет смысла начинать. Прошу указывать сроки с сумму. Спасибо!
1. Ошибка 500
На сайте вордпресс периодически - иногда через раз, иногда 1 раз из 5 открытий выскакивает ошибка 500:
Error 500 - Internal server error
An internal server error has occured!
Please try again later.
То есть может быть все хорошо, все страницы работают, а потом при переходе на 5-6 страницу открывается эта ошибка, если снова обновить страницу ошибка пропадает и снова сайт работает.
Пробовал отключать плагины, ошибка выскакивает реже, но выскакивает, нажимал в панели управления вордпресс переустановить вордпресс 6.2 тоже помогает реже начинает открываться, но все равно открывается.
Началось это, после того как в один прекрасный день нашу почту стал засыпать пул писем, их пришло 50 тыс штук, и в теле каждого письма был средний абзац текста из хаотично размещенных букв без пробелов. В этот момент сайт стал показывать ошибку 500 и даже не открывался, только ошибка 500. После того как эта атака завершилась я удалил из базы в phpmyadmin эти заказы, т.к. они шли не только в почту, почта это как следствие, а сначала приходили в заказы woocommerce. В вукомерс массово их не удалить, пришлось через базу. После чего сайт начал открываться, но иногда выскакивает ошибка 500
2. Всесторонняя защита сайта вордпресс
Что хотелось бы сделать, если вы чтото не можете из этого списка сообщите пожалуйста. В целом речь идет о комплексной защите сайта. Перечень пожеланий следующий:
1. Файлы сайта, база данных и страницы сайта нужно первым делом просканировать на все виды вредоносного кода, вирусов и хакерских скриптов. Я уже сканировал некоторыми сервисами и все что нашел удалил. Но лучше перепроверить.
2. Нужно изменить адрес для доступа к административным функциям (админ панели), дополнительно, по возможности, хотелось бы вход в админпанель защитить двухфакторной аутентификацией с помощью дополнительного пароля.
3. На сайте нужно установить проактивную защиту, блокирующую веб-атаки хакеров и ботов, несанкционированный доступ в админ-панель и к служебным файлам. Желательно добавить функцию расширенного мониторинга, которая будет сохранять информацию о веб-запросах (в том числе содержимое POST запросов) в специальный журнал, что позволяет при возникновении инцидентов безопасности провести детальный аудит.
Что касается проактивной защиты, то она должна обладать следующими возможностями:
- блокировать опасные запросы по http от ботов и хакеров
- выполнять виртуальный патчинг уязвимостей скриптов CMS и защищает от:
--- удаленного выполнения кода (RCE),
---локального и удаленного включения файлов (LFI/RFI)
---SQL инъекций
--- инъекций контента в страницы
--- несанкционированной загрузки произвольных скриптов (AFU)
--- несанкционированного размещения спам-материалов и автопубликации спам-страниц, спама форм обратной связи и регистрации (при включенной защите от http флуда)
---и других видов уязвимостей и веб-атак на сайт.
- блокировать брутфорс-атаки и выполняет защиту от http флуда
- ограничивать несанкционированный доступ к служебным каталогам и скриптам
- позволять ограничивать по IP доступ к страницам, блокировать по IP опасных ботов и вредоносные запросы
- позволять добавлять безопасные HTTP заголовки при генерации страниц
- фильтровать запросы от недобросовестных веб-сервисов и опасных ботов
- сохранять запросы к сайту в журнале мониторинга
4. Проактивная защита должна позволять смотреть статистику атак, заблокированных запросов, он-лайн запросы, географию запросов и другую статистику.
5. На сайте желательно установить управляемое “цементирование” сайта. Данный элемент защиты исключает несанкционированные изменения файлов скриптами. В корневом .htaccess нужно разместить правила, блокирующие веб-атаки; а также проверить и измененить права на файлы и каталоги на более безопасные. При этом нужна простая возможность отключения цементирования когда нужно обновить плагины, вордпресс и прочее. И цементирование не должно влиять на добавление новых страниц и товаров.
Если у вас какая-то своя защита, вы можете предложить, я лично пробовал уже несколько плагинов, но не один из них сайт полностью не защитил, особенно учитывая тот факт что наш сайт атакуют хакеры.