Najlepsza wtyczka antywirusowa WordPress. Najlepsze wtyczki WordPress do ochrony przed wirusami. Dodatkowe reguły zapory sieciowej

Zostałem zhakowany. Wiesz, jak strona na VKontakte. Ale nie żebrali o pieniądze, ale stworzyli wiele „lewicowych” stron z linkami do różnych stron. Wtedy pomyślałem o ochronie mojego bloga. I znalazłem idealne rozwiązanie.

Pierwszą rzeczą, którą zrobiłem, było skontaktowanie się z pomocą techniczną z prośbą o przywrócenie mojej witryny dzień przed włamaniem i po dziesięciu minutach miałem już normalnego bloga.

Następnie zainstalowałem wiele wtyczek, aby chronić WordPress przed hakerami. Ale blog zaczął strasznie zwalniać. Strony ładowały się w ciągu pięciu do dziesięciu sekund. To jest za długie.

Zacząłem szukać wtyczek, które nie obciążają tak bardzo systemu. Czytałem recenzje tych wtyczek i coraz częściej zacząłem natykać się na All In One WP Security. Sądząc po opisie, bardzo mi się spodobał i postanowiłam umieścić go na swoim blogu. I nadal mnie chroni, bo nigdy nie spotkałam nic lepszego.

Co potrafi All In One WP Security (ochrona WordPressa w jednym):

• Tworzy kopie zapasowe bazy danych, pliku konfiguracyjnego wp-config. oraz plik .htaccess
• Zmiana adresu strony autoryzacyjnej
• Ukrywa informacje o wersji WordPress
• Ochrona administratora - blokada za błędną autoryzację
• Ochrona robota
• I wiele innych przydatnych rzeczy

Mogę śmiało powiedzieć, że wtyczka zabezpieczająca All In One WP Security to najlepsza ochrona dla witryny WordPress.

Konfigurowanie zabezpieczeń All In One WP

Po przejściu do sekcji Ustawienia pierwszą rzeczą, którą musisz zrobić, to wykonać kopie zapasowe:

• Baza danych;
• plik wp-config;
• plik htaccess

Odbywa się to na pierwszej stronie konfiguracji wtyczki All In One WP Security.

Przed rozpoczęciem pracy wykonaj kopię zapasową

Przejdę tylko przez najważniejsze punkty.

wszystko w jednym Ustawienia wtyczki zabezpieczającej wp Panel sterowania

Tutaj wita nas licznik „Security Meter”. Pokazuje poziom bezpieczeństwa witryny. Twoja witryna powinna znajdować się przynajmniej w zielonej strefie. Nie ma co gonić za maksymalnym poziomem – niepotrzebne ustawienia mogą zakłócić funkcjonalność serwisu. Osiągnij złoty środek.

Licznik ochrony witryny WordPress

Kiedy zmienisz ustawienia zabezpieczeń wtyczki, przy każdym elemencie zobaczysz zieloną tarczę z liczbami – są to liczby dodawane do ogólnego wyniku bezpieczeństwa.

liczba ta jest dodawana do całkowitego wyniku bezpieczeństwa Ustawienia Zakładka Informacje o wersji WP

Zaznacz pole wyboru Usuń metadane generatora WP.

Usuwanie metadanych generatora WP

Odbywa się to tak, że wersja zainstalowanego silnika WordPress nie jest wyświetlana w kodzie. Atakujący wiedzą, która wersja ma luki w zabezpieczeniach, a znając zainstalowaną na Tobie wersję WordPressa, będziesz mógł szybciej zhakować Twoją witrynę.

Administratorzy WP Nazwa użytkownika

Jeśli Twoja nazwa użytkownika do wejścia do panelu administracyjnego to admin, pamiętaj o jej zmianie. Admin to najpopularniejszy login. Wiele CMS-ów oferuje to domyślnie, a ludzie są po prostu zbyt leniwi, aby to zmienić.
Atakujący wykorzystują różne programy do włamywania się na strony internetowe. Programy te wybierają loginy i hasła, dopóki nie znajdą odpowiedniej kombinacji.
Dlatego nie używaj loginu administratora.

Wyświetlana nazwa

Jeśli Twój pseudonim jest zgodny z Twoim loginem, pamiętaj o zmianie loginu lub pseudonimu.

Hasło

Jeśli wpiszesz tutaj swoje hasło, wtyczka pokaże, ile czasu zajmie zhakowanie Twojej witryny.
Zalecenia dotyczące wzmacniania siły hasła:

• Hasło musi składać się z liter i cyfr
• Używaj małych i wielkich liter
• Nie używaj krótkich haseł (minimum 6 znaków)
• Pożądane jest, aby hasło zawierało znaki specjalne (% # _ * @ $ i znaki szczegółowe)

Złożoność hasła Zakładka Autoryzacja Blokowanie autoryzacji

Zdecydowanie to włączamy. Jeśli w ciągu 5 minut ktoś 3 razy wprowadzi błędne hasło, adres IP zostanie zablokowany na 60 minut. Możesz umieścić więcej, ale lepiej tego nie robić. Może się zdarzyć, że sam wpiszesz błędnie hasło, a potem będziesz czekać miesiącami, a nawet latami :)
Zaznacz pole wyboru „Natychmiast blokuj nieprawidłowe nazwy użytkowników”.
Załóżmy, że Twój login to hozyainsayta i jeśli ktoś wprowadzi inny login (na przykład login), to jego adres IP zostanie automatycznie zablokowany.

Opcje blokowania autoryzacji Automatyczne wylogowywanie użytkownika

Zaznaczamy. Jeżeli logujesz się do panelu administracyjnego serwisu z innego komputera i zapomnisz się wylogować z panelu administracyjnego, to po określonym czasie system Cię wyloguje.
Ustawiłem na 1440 minut (czyli 24 godziny).

Opcje automatycznego wylogowania użytkownika Rejestracja użytkownika Ręczne potwierdzenie

Zaznacz „Aktywuj ręczne zatwierdzanie nowych rejestracji”

Ręczne zatwierdzanie nowych rejestracji CAPTCHA podczas rejestracji

Umieściliśmy także zaznaczenie. Eliminuje to próby rejestracji bota, ponieważ roboty nie radzą sobie z captcha.

Rejestracja Honeypot

Świętujmy. Nie zostawiamy robotom ani jednej szansy. To ustawienie tworzy dodatkowe niewidoczne pole (tutaj wpisz Wpisz tekst). Tylko roboty mogą widzieć to pole. Ponieważ automatycznie wypełniają wszystkie pola, napiszą coś w tym polu. System automatycznie blokuje próby rejestracji, które posiadają wypełnione to pole.

Ochrona bazy danych Prefiks tabeli bazy danych

Jeśli Twoja witryna istnieje już od dłuższego czasu i jest na niej mnóstwo informacji, to zmiany prefiksu bazy danych należy dokonywać z zachowaniem najwyższej ostrożności

pamiętaj o utworzeniu kopii zapasowej bazy danych

Jeśli dopiero co utworzyłeś swoją stronę internetową, możesz bezpiecznie zmienić prefiks.

Kopia zapasowa bazy danych z prefiksem tabeli bazy danych

Włącz automatyczne tworzenie kopii zapasowych.
Wybierz częstotliwość tworzenia kopii zapasowych.
Oraz liczbę plików z tymi kopiami zapasowymi, które będą przechowywane. Potem zaczną nadpisywać.
Jeśli chcesz, aby pliki te zostały dodatkowo przesłane na Twój adres e-mail, to zaznacz odpowiednie pole. Do tych celów mam w skrzynce pocztowej oddzielny folder; wszystkie kopie zapasowe (moje i witryn klientów) są tam wysyłane.

Ustawienia kopii zapasowych Bazy danych Ochrona systemu plików

Tutaj zmieniamy uprawnienia do plików, aby wszystko było zielone.

Edycja plików php

Ustawiamy to jeśli nie edytujesz plików poprzez panel administracyjny. Ogólnie rzecz biorąc, wszelkie zmiany w plikach należy wprowadzać za pomocą programów do zarządzania ftp (takich jak Filezilla). Tak więc w przypadku jakiegokolwiek „ościeża” zawsze możesz anulować poprzednią akcję.

Odmawiamy dostępu. Dzięki tej akcji możemy ukryć informacje ważne dla hakerów.

Czarna lista

Jeśli posiadasz już adresy IP, którym chcesz odmówić dostępu do witryny, włącz tę opcję.

Blokowanie użytkowników przez zaporę IP Podstawowe reguły zapory sieciowej.

Zapora sieciowa i zapora sieciowa to pakiet oprogramowania filtrujący nieautoryzowany ruch.

Reguły te dodawane są do pliku .htaccess, dlatego najpierw wykonujemy jego kopię zapasową.

Teraz możesz zaznaczyć niezbędne pola:

Aktywuj podstawowe funkcje zapory sieciowej Ochrona przed lukami w zabezpieczeniach XMLRPC i Pingback WordPress
Zablokuj dostęp do debug.log Dodatkowe reguły zapory sieciowej

Na tej karcie zaznacz następujące pola:

• Wyłącz przeglądanie katalogów
• Wyłącz śledzenie HTTP
• Wyłącz komentarze przez proxy
• Zapobiegaj złośliwym ciągom w żądaniach (może zakłócać działanie innych wtyczek)
• Aktywuj dodatkowe filtrowanie znaków (również postępujemy ostrożnie, musimy sprawdzić, jak wpływa to na wydajność witryny)
  Przy każdej pozycji znajduje się przycisk „+ Więcej szczegółów”, w którym można szczegółowo przeczytać o każdej opcji.

Reguły zapory sieciowej 6G na czarnej liście

Zaznaczamy oba punkty. To jest sprawdzona lista reguł, które wtyczka zapewnia bezpieczeństwo witryny WordPress.

Ustawienia zapory sieciowej (zapory sieciowej) Boty internetowe

Mogą wystąpić problemy z indeksowaniem witryny. Nie włączam tej opcji.

Zapobiegaj hotlinkom

Zaznaczamy. Aby obrazy z Twojej witryny nie były wyświetlane na innych stronach poprzez bezpośredni link. Ta funkcja zmniejsza obciążenie serwera.

Wykrywanie 404

Po błędnym wpisaniu adresu strony pojawia się błąd 404 (nie ma takiej strony). Hakerzy brutalnie próbują znaleźć strony z lukami w zabezpieczeniach i dlatego w krótkim czasie wprowadzają wiele nieistniejących adresów URL.
Takie próby włamań zostaną wpisane do tabeli na tej stronie i zaznaczając pole, będziesz mógł zablokować ich adresy IP na określony czas.

Ustawienia śledzenia błędów 404 Ochrona przed atakami brutalnej siły

Domyślnie wszystkie witryny WordPress mają ten sam adres strony logowania. Dlatego napastnicy wiedzą dokładnie, od czego zacząć włamywanie się na witrynę.
Opcja ta umożliwia zmianę adresu tej strony. Jest to bardzo dobra ochrona dla witryny WordPress. Zdecydowanie zmieniamy adres. Nie zaznaczyłem tego pola, ponieważ mój automatycznie zmienił tę stronę podczas instalacji systemu.

Ochrona przed atakami typu brute-force za pomocą plików cookie

Nie włączyłem tego ustawienia, ponieważ istnieje możliwość zablokowania się podczas logowania z różnych urządzeń.

CAPTCHA do logowania

Jeśli na Twojej stronie znajduje się wielu użytkowników lub prowadzisz sklep internetowy, możesz włączyć Captcha podczas logowania na każdym etapie.

Ochrona Captcha podczas autoryzacji. Biała lista do logowania

Czy logujesz się do strefy administracyjnej tylko z domowego komputera i jesteś jedynym użytkownikiem swojej witryny? Następnie wprowadź swój adres IP, a wszystkim innym zostanie odmówiony dostęp do strony autoryzacji.

To zabawne, jak czasem w życiu dzieją się różne rzeczy. Natknąłem się na fajny kurs na Udemy nowoczesne metody ochrona stron internetowych i hakowanie. Podnosząc swój poziom umiejętności, zapobiegłem zainfekowaniu mojego bloga wirusami. Najprawdopodobniej użytkownicy WordPressa w ten czy inny sposób napotkali objawy, które opiszę poniżej. Jeśli nie, to masz szczęście. Ja sam jestem bardzo przez długi czas Nie dołączałem niczego do stron, myśląc o tym, jak udało im się zainfekować swoje zasoby sieciowe. W 2014 roku byłem zaskoczony wiadomościami na forach, że ich witryna ze świetnym gościem została po prostu zainfekowana i zabrana.

I tak dziś rano otrzymałem list od mojego gospodarza, który mnie zaintrygował. Tak, byłem mile zaskoczony, że iHC monitoruje witryny pod kątem obecności złośliwego oprogramowania, ale wiadomość mówiąca, że ​​jeden plik został zmieniony w ciągu nocy bez mojej wiedzy i jest to podejrzenie aktywności wirusowej, wywołała chaotyczne emocje. Właściwie to potwierdziło moje podejrzenia.

Jakiś czas temu odkryłam, że metryka zawiera przejścia do stron, których po prostu nie mogę uwzględnić w swoich postach. Kiedy próbowałem głupio znaleźć te linki za pomocą wyszukiwarki blogów, zostałem przekierowany do Apache z komunikatem o błędzie. Już wtedy, podejrzewając, że coś jest nie tak, przystąpiłem do poszukiwań. php aktywnego motywu, w którym widziałem zaciemniony kod. Potem wprawiło mnie to w osłupienie, ale z braku czasu nie kopałem dalej. Jak się okazało, na próżno. W końcu był to jeden z objawów infekcji.

Przykład zakodowanego złośliwego oprogramowania

Bezmyślnie polegałem na narzędziach do wykrywania złośliwego kodu z różnych usług zaśmiecających Internet. Wszyscy „radośnie” poinformowali mnie, że miejsce to było czyste jak poranna rosa.

Wyobraźmy sobie paradoksalną sytuację – nie działa wyszukiwarka, kod PHP jest zaciemniony, tak że pechowy webmaster nie widzi „prezentu”, a usługi antywirusowe po prostu milczą.

Wróćmy jednak do naszych owiec, a raczej do witryn. Na wszystkich tych stronach mam autoryzację dwupoziomową. Być może uchroniło to witrynę przed zabraniem przez hakera. Dwa dni po zainfekowaniu search.php na mój e-mail dotarło powiadomienie od ihc.ru z informacją, że niektóre pliki zostały zmienione i jeśli nic nie zrobię, zaleca się sprawdzenie w programie antywirusowym dostarczanym przez sam hosting. No cóż, nadeszła okazja do przetestowania tego antywirusa, szkoda, że ​​moja ulubiona witryna właśnie znalazła się jako obiekt testowy :)

Wynik testu, delikatnie mówiąc, dość mnie zaskoczył. Program antywirusowy przeszukiwał witrynę przez około czterdzieści minut, a następnie wysłał „werdykt”. Zainfekowane zostały 42 pliki...

To był czas, żeby złapać się za głowę i pomyśleć o tym, jak coś takiego mogło w ogóle się wydarzyć. Jest rzeczą oczywistą, że doszło do exploita. Ale o tym później.

Konieczne było leczenie miejsca, ale w tym celu należało je dokładnie zbadać. Tak, można było to zrobić znacznie prościej - zrzucić bazę danych, przenieść obrazy z wp-content i wgrać wszystko ponownie do nowo zainstalowanego silnika WordPress. Ale „łatwiej” nie znaczy „lepiej”. Tak naprawdę, nie wiedząc, co zostało zmienione, można było się spodziewać, że dziura pojawi się na ponownie przesłanej stronie. A potem przyszedł czas, aby zostać świeżo upieczonym Sherlockiem Holmesem, aby przeprowadzić pełny audyt witryny.

Znalezienie złośliwego oprogramowania jest jak bycie detektywem

Szczerze mówiąc, dawno nie czułam takiego podniecenia i zainteresowania. Tak, antywirus z hostingu bardzo mi pomógł, wskazując w jakich plikach znalazł zmiany. Ale nawet on nie był w stanie wykryć wszystkiego całkowicie, ponieważ kod naprzemiennie zaciemniał i banalne kodowanie szesnastkowe przy użyciu złośliwego js. Wiele trzeba było robić ręcznie, korzystając ze wszystkich narzędzi innych firm, tak jak asystenci.

Uruchommy więc edytor kodu i przejrzyjmy zainfekowane pliki. W rzeczywistości w kodzie „wypalają się” dość szybko ze względu na ich zaszyfrowany charakter. Jednak nie wszędzie tak jest. Zdarzyło się, że trzeba było przeanalizować kod pliku php linia po linii i dowiedzieć się, co jest z nim nie tak. Od razu powiem, że stało się to z plikami motywów. W takim przypadku oryginalne pliki motywu będą bardzo przydatne do porównania, jeśli nie jesteś pewien, dlaczego potrzebna jest ta czy inna funkcja (a poprawnie napisany wirus powinien dziedziczyć jak najmniej).

Ale spójrzmy na wszystko w porządku. Na początku artykułu zamieściłem już zrzut ekranu kodu zaciemnionego przez wirusa. Korzystając z zasobu https://malwaredecoder.com/, możesz odszyfrować go do zrozumiałej formy i przestudiować. W moim przypadku niektóre pliki zawierały wtrysk. Wymażmy to wszystko do cholery.

Czasami jednak możesz natknąć się na krótki kod z dołączeniem. Z reguły indeks. php i wp-config. php. Niestety nie zrobiłem zrzutu ekranu takiego kodu, ponieważ w tamtym czasie nie planowałem pisać artykułu. Z tego kodu było jasne, że był to kod zakodowany w formacie js do wywoływania określonego pliku. Do dekodowania kodu szesnastkowego skorzystamy z usługi http://ddecode.com/hexdecoder/, za pomocą której ustalimy, że plik jest wywoływany pod adresem wp-includes/Text/Diff/.703f1cf4.ico (pominąłem pełne ścieżka, istota jest ważna). Czy uważasz, że warto kodować wywołanie prostego pliku ikony, aczkolwiek przy stosunkowo prostym kodowaniu? Myślę, że odpowiedź jest oczywista i otwórz tę „ikonę” za pomocą notatnika. Naturalnie znowu okazało się, że jest to całkowicie zakodowany plik php. Usuńmy to.

Po wyczyszczeniu oczywistych plików możesz przejść do mniej oczywistych – plików motywów WordPress. Tutaj nie stosuje się zaciemniania, trzeba przekopać się przez kod. W rzeczywistości, jeśli nie wiesz, co pierwotnie zamierzał programista, to zadanie jest bardzo kreatywne, chociaż można je rozwiązać dość szybko. Jeśli nie zmieniłeś kodu motywu, łatwiej będzie zastąpić zainfekowane pliki (program antywirusowy dokładnie je zidentyfikował) i przejść dalej. Możesz też poszperać tak jak ja i odkryć, że bardzo często tego typu wirusy są dodawane do tej funkcji. php całkowicie opuściła funkcję, która prawdopodobnie będzie zawierać kod dostępu do sql. W moim przypadku wygląda to tak (formatowanie pozostawione bez zmian):

$sq1="WYBIERZ DISTINCT ID, post_title, post_content, post_hasło, komentarz_ID, komentarz_post_ID, autor_komentarza, data_komentarza_gmt, komentarz_zatwierdzony, typ_komentarza, SUBSTRING(treść_komentarza,1,$src_długość) AS com_excerpt FROM $wpdb->komentarze LEFT OUTER JOIN $wpdb-> posty ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) GDZIE komentarz_approved=\"1\" ORAZ komentarz_typ=\"\" A ND post_author=\"li".$sepr.vethe". $comment_types.mes.$sepr.."@".$c_is_approved."gm".$comment_auth.ail".$sepr.".".$sepr.co"."m\" ORAZ post_password=\ "\" ORAZ komentarz_data_gmt >= CURRENT_TIMESTAMP() ZAMÓW WEDŁUG komentarza_data_gmt DESC LIMIT $src_count";

Wyjaśniliśmy już, dokąd zmierza ten wybór. Dlatego spokojnie sprawdzamy, w której funkcji znajduje się ten kod i usuwamy całą funkcję - została przypisana przez szkodliwe oprogramowanie. Ale powtarzam, o wiele łatwiej i lepiej jest przepisać cały plik z gotowego motywu, jeśli boisz się, że coś zepsujesz.

Cóż, ostatnim akcentem jest sprawdzenie liczby użytkowników witryny. Wszystkie strony internetowe zawsze prowadzę sam. W związku z tym nie może i nie powinno być żadnych innych użytkowników. Biorąc jednak pod uwagę infekcję, łatwo się domyślić, że będą próbowali ukraść witrynę i utworzyć własnego użytkownika z uprawnieniami administratora. W moim przypadku okazało się, że jest to wp.service.controller.2wXoZ . Usuńmy to.

Wykonano dużo pracy, ale czy jest wydech? Sprawdźmy ponownie za pomocą programu antywirusowego, który zgłasza, że ​​nie wykryto więcej wirusów. To wszystko, strona została wyleczona.

Wyniki

Jak widać, leczenie witryny jest dość proste, chociaż czasochłonne. Po leczeniu należy zapobiegać podobnym sytuacjom w przyszłości. Jest tylko kilka kroków, które musisz wykonać:

Zaktualizuj sam WordPress do Ostatnia wersja. Możliwe, że wykorzystali exploita dla przestarzałego silnika.

Przejrzyj wszystkie wtyczki. Usuń wszystkie niepotrzebne (te, które ustawiłeś na „przyszłość”, a których nie używasz) i sprawdź przydatność tych, które już działają. Jednak nawet pobranie wtyczki z repozytorium WordPressa nie gwarantuje, że wtyczka będzie czysta. Coraz częściej zdarza się, że ludzie kupują tę czy inną wtyczkę, zamieniają ją w złośliwe oprogramowanie, a kiedy aktualizujesz swoją witrynę, doświadczasz tych samych „radości” co ja. W moim przypadku zostałem zakażony tak po prostu.

Zawsze sprawdzaj temat. Jeśli są publiczne, zaktualizuj je. Oczywiście lepiej jeśli kupisz go na tym samym szabloniepotwora, chociaż nie zapewnia to 100% ochrony.

Nie zaniedbuj narzędzi takich jak Wordfence. Chociaż darmowa wersja wtyczki jest bardzo, bardzo ograniczona, przynajmniej będziesz wiedział, że Twoja witryna stała się podejrzana.

Raz w miesiącu nie bądź leniwy i uruchom swoją witrynę za pomocą wpscan, aby zobaczyć, jakie luki się na niej pojawiły.

Zwróć uwagę na katalog główny witryny. Może być indeks. HTML. piec. piec. Oznacza to również, że masz zainfekowaną witrynę (możesz od razu edytować plik Index.php, jest on w 100% zainfekowany)

Nie ufaj publicznym witrynom antywirusowym. Są mało przydatne.

Próbowałem użyć mojego przykładu, aby pokazać, jak można wyleczyć witrynę WordPress. Program antywirusowy na ihc.ru to po prostu skaner złośliwego oprogramowania. Ale dobrze też uprościł pracę. Jednak nawet jeśli Twój hosting nie oferuje takiej usługi, możesz użyć powyższego algorytmu do identyfikacji infekcji i zapobiegania jej.

System zarządzania treścią WordPress, ze względu na swoją ogromną popularność, przyciąga również nieżyczliwych. Dodatkowo „silnik” jest dystrybuowany bezpłatnie, przez co jest jeszcze bardziej narażony na ryzyko naruszenia bezpieczeństwa. Sam WordPress jest dość bezpiecznym oprogramowaniem. „Dziury” zaczynają się otwierać, gdy użytkownik instaluje wtyczki i motywy.

Niepewność wtyczek i motywów

Niestety, nie zawsze możesz mieć pewność, że motywy lub wtyczki są bezpieczne i nieszkodliwe. Ich płatne wersje mają bardzo specyficznych programistów, którzy cenią ich reputację. W rezultacie ich produkty są wyższej jakości, a prawdopodobieństwo otrzymania wraz z nimi jakiegokolwiek szkodliwego kodu jest dość niskie. Jednak, jak sugeruje nasze doświadczenie życiowe, od każdej reguły istnieją wyjątki. Niektórzy dodają całkowicie nieszkodliwy kod, aby przekazać opinię, podczas gdy inni robią to w zupełnie innych celach. Nawet w samym „silniku” czasami odkrywane są luki, które umożliwiają atakującemu wstrzyknięcie swojego kodu do jego rdzenia.

Wtyczki chroniące przed wirusami

Na szczęście istnieje szereg przydatnych rozwiązań dla WordPressa, które potrafią całkowicie przeskanować Twoje zasoby pod kątem wszelkiego rodzaju podatności i złośliwego kodu, a w przypadku wykrycia wskazać ich konkretną lokalizację lub całkowicie je zneutralizować. Przyjrzyjmy się kilku dość wysokiej jakości i niezawodnym wtyczkom chroniącym Twoją witrynę WordPress.

Bezpieczeństwo Sucuri

Bezpłatna wtyczka Sucuri Security jest wiodącym narzędziem bezpieczeństwa, z którego korzysta ogromna liczba użytkowników WordPressa. Rozwiązanie zapewnia witrynom kilka typów i poziomów ochrony, w tym:

• skanowanie wszystkich plików w poszukiwaniu złośliwego kodu;
• monitorowanie integralności plików;
• rejestrowanie wszystkich operacji związanych z bezpieczeństwem;
• identyfikacja i powiadamianie o ryzyku umieszczenia witryny na czarnej liście przez ESET, Norton, AVG itp.;
• automatyczne wykonanie określonych działań w przypadku wykrycia włamania.

Bezpieczeństwo Wordfence’a

Wordfence Security to rozwiązanie, które wykonuje głębokie skanowanie zasobów internetowych pod kątem luk w zabezpieczeniach i złośliwego kodu nie tylko w plikach motywów i wtyczek, ale także w samym rdzeniu silnika.

Wtyczka korzysta z usług WHOIS w celu monitorowania połączeń. Dzięki wbudowanej zaporze sieciowej jest w stanie blokować całe sieci. Gdy tylko zostanie wykryty atak sieciowy, zestaw reguł zapory sieciowej jest automatycznie aktualizowany, aby najskuteczniej przeciwdziałać zagrożeniom.

Antywirus

Wtyczka AntiVirus codziennie skanuje wszystkie pliki witryny (w tym motywy, bazę danych) i wysyła raport e-mailem na podany adres. Ponadto program antywirusowy skanuje i usuwa ślady po usunięciu wtyczek.

Skaner złośliwego oprogramowania Quttera Web

Lista skanowania i wykrywania potężnego skanera złośliwego oprogramowania Quttera Web zawiera następujące luki:

• złośliwe skrypty;
• robaki trojańskie;
• programy szpiegujące;
• tylne drzwi;
• exploity;
• przekierowuje;
• złośliwe ramki iframe;
• zaciemnienie itp.

Oprócz tej listy wtyczka sprawdza obecność witryny na czarnych listach.

Ochrona przed złośliwym oprogramowaniem i zapora sieciowa Brute-Force

Dodatek Anti-Malware Security i Brute-Force Firewall ma za zadanie skanować i neutralizować obecnie znane luki, w tym skrypty backdoora. Antywirusowe bazy danych wtyczki są automatycznie aktualizowane, co pozwala wykryć najnowsze wirusy i exploity. Wtyczka posiada wbudowaną zaporę sieciową, która blokuje zagrożenia sieciowe.

Cechą szczególną wtyczki jest to, że zapewnia dodatkową ochronę witryny (ochrona przed atakami typu brute-force i DDoS, a także sprawdzenie integralności rdzenia WordPress). Aby to zrobić, wystarczy zarejestrować się na gotmls.net.

Ochrona witryny antywirusowej WP

WP Antivirus Site Protection skanuje wszystkie pliki witryn o znaczeniu krytycznym dla bezpieczeństwa, w tym motywy, wtyczki i przesłane pliki w folderze przesyłania. Każdy znaleziony złośliwy kod lub wirusy zostaną natychmiast usunięte lub poddane kwarantannie.

Skaner exploitów

Wtyczka Exploit Scanner zajmuje się wyłącznie identyfikacją podejrzanego kodu (plików witryny i bazy danych). Gdy tylko coś zostanie odkryte, administrator witryny zostanie natychmiast powiadomiony.

Bezpieczeństwo WordPressa Centrora

Kompleksowe rozwiązanie Centrora WordPress Security to wieloaspektowe narzędzie do ochrony zasobów internetowych przed wszelkiego rodzaju zagrożeniami. Zawiera następujące funkcje:

• szukaj złośliwego kodu, spamu, zastrzyków SQL;
• obecność zapory ogniowej;
• Dostępność skanera praw dostępu;
• wykonanie kopii zapasowej.

Aby dowiedzieć się, czy artykuł przypadł Ci do gustu, kliknij jeden z przycisków.

Podoba mi się, nie podoba mi się

Oszuści mogą próbować zaatakować witrynę w celu zhakowania panelu administracyjnego, kradzieży haseł użytkowników, zmiany kodu witryny, uzyskania dostępu do poufnych informacji, umieszczenia ukrytych linków lub w inny sposób wyrządzenia szkody zasobowi. Z powodu takich ataków możesz stracić klientów, pozycje w wynikach wyszukiwania, reputację, a nawet samą witrynę.

Sam WordPress jest dość bezpiecznym silnikiem, jednak podstawowa ochrona nie wystarczy.

Statystyki zakażeń za 2017 rok

Specjalne wtyczki pomogą zwiększyć bezpieczeństwo witryny; nie sprawią, że witryna będzie całkowicie odporna na ataki, ale utrudnią atakującym.

Wtyczki do ochrony Twojej witryny WordPress All In One WP Security & Firewall

Wtyczka chroni konta użytkowników, koduje pliki i sprawia, że ​​logowanie się do serwisu jest bezpieczniejsze konta osobiste, tworzy kopie zapasowe baz danych.

Co robi wtyczka:

• dodaje captcha do strony rejestracyjnej i formularza logowania do serwisu w celu ochrony przed spamem;
• blokuje czasowo lub na stałe wejście użytkownikom o określonym IP oraz daje blokadę czasową po kilku nieudanych próbach wejścia;
• umożliwia podgląd aktywności na koncie użytkownika;
• automatycznie tworzy kopie zapasowe baz danych;
• tworzy kopie zapasowe oryginalnych plików .htaccess i wp-config.php;
• wykrywa podatności na kontach np. o tej samej nazwie i loginie;
• generuje złożone hasła;
• wyłącza edycję niektórych plików z panelu administracyjnego w celu ochrony kodu PHP;
• zamyka dostęp do plików readme.html, licencja.txt i wp-config-sample.php;
• instaluje zapory ogniowe w celu ochrony przed złośliwymi skryptami.

Panel sterowania wtyczkami

Konfigurowanie wtyczki jest jasne:

All In One WP Security & Firewall jest przetłumaczony na język rosyjski, instalacja jest bezpłatna.

Bezpieczeństwo kuloodporne

Wtyczka skanuje złośliwy kod, chroni autoryzację na stronie, nie przepuszcza spamu i tworzy kopie zapasowe.

Co robi wtyczka:

• chroni pliki wp-config.php, php.ini i php5.ini poprzez plik .htaccess;
• włącza techniczny tryb pracy;
• sprawdza uprawnienia do edycji folderów i plików w panelu administracyjnym;
• nie pozwala na spamowanie za pomocą funkcji JTC-Lite;
• tworzy kopie zapasowe automatycznie lub ręcznie, wysyła archiwa e-mailem;
• Utrzymuje dzienniki błędów i dziennik bezpieczeństwa.

Przeczytaj więcej o funkcjach bezpieczeństwa na stronie wtyczki.

Skaner złośliwego kodu

Wtyczka została przetłumaczona na język rosyjski. Jest bezpłatny, dostępna jest wersja premium z zaawansowanymi funkcjami ochrony witryny i zapobiegania atakom.

Bezpieczeństwo Wordfence’a

Chroni CMS przed atakami hakerskimi i złośliwym oprogramowaniem, chroniąc loginy do witryn, skanowanie w poszukiwaniu zmian w kodzie, próby logowania i powiadomienia o podejrzanej aktywności.

Co robi wtyczka:

• porównuje główne motywy i wtyczki z tym, co znajduje się w repozytorium WordPress.org i zgłasza wszelkie rozbieżności właścicielowi witryny;
• wykonuje funkcje antywirusowe, sprawdza witrynę pod kątem luk w zabezpieczeniach;
• sprawdza wiadomości i komentarze pod kątem podejrzanych treści i linków.

W Darmowa wersja Dostępne są również inne funkcje.

Wersja premium daje trochę więcej:

• sprawdza, czy witryna lub adres IP nie znajduje się na czarnej liście spamu lub witryn mających problemy z bezpieczeństwem;
• obejmuje uwierzytelnianie dwuskładnikowe podczas logowania;
• tworzy czarną listę i blokuje wszystkie żądania z adresów IP z bazy danych.

Przeczytaj więcej o funkcjach bezpieczeństwa na stronie wtyczki.

Skaner bezpieczeństwa

Wersja podstawowa, nie przetłumaczona na język rosyjski, można pobrać bezpłatnie.

Wyłącz pingback XML-RPC

Witryna zamyka możliwą lukę w zabezpieczeniach XML-RPC, przez którą oszuści mogą atakować inne witryny i spowalniać zasoby.

Co robi wtyczka:

• Usuwa pingback.ping i pingback.extensions.getPingbacks z interfejsu XML-RPC;
• usuwa X-Pingback z nagłówków HTTP.

Instalowanie wtyczki

Wtyczka włączona język angielski, instalacja jest bezpłatna.

Bezpieczeństwo iThemes

Stara nazwa to Better WP Security. Wtyczka chroni podczas logowania do panelu administracyjnego oraz pełni funkcje antywirusowe.

Co robi wtyczka:

• obejmuje uwierzytelnianie dwuskładnikowe podczas logowania do panelu administracyjnego;
• skanuje kod witryny i ostrzega, jeśli znajdzie podejrzane zmiany;
• monitoruje witrynę pod kątem zautomatyzowanych ataków i blokuje je;
• generuje złożone hasła;
• monitoruje aktywność kont użytkowników;
• włącza Google reCAPTCHA przy wejściu na stronę;
• umożliwia utworzenie tymczasowego dostępu w panelu administracyjnym;
• Ogranicza edycję plików w panelu administracyjnym.

Przeczytaj więcej o funkcjach bezpieczeństwa na stronie wtyczki.

Ustawienia wtyczki

Przetłumaczone na język rosyjski i dostępne bezpłatnie.

Bezpieczeństwo Sucuri

Kompleksowa wtyczka monitorująca zmiany w plikach witryny i realizująca funkcje antywirusowe.

Co robi wtyczka:

• sprawdza kod witryny pod kątem podejrzanych zmian i wysyła powiadomienia;
• skanuje w poszukiwaniu złośliwego oprogramowania i odmawia dostępu;
• tworzy czarną listę adresów IP i zabrania im interakcji z witryną;
• rejestruje adres IP osób, które bezskutecznie próbują wejść na stronę i blokuje ich na określony czas;
• automatycznie skanuje witrynę pod kątem wirusów i wysyła raporty e-mailem.

W wersji premium tworzy zaporę sieciową dla dodatkowej ochrony przed atakami. Przeczytaj więcej o funkcjach bezpieczeństwa na stronie wtyczki.

Zgłoszenia podejrzanej aktywności

Wtyczka nie została przetłumaczona na język rosyjski, ale można ją pobrać bezpłatnie.

Kluczowe uwierzytelnianie dwuskładnikowe

Wtyczka chroniąca panel administracyjny przed intruzami, dzięki której dostęp do panelu administracyjnego będzie wygodniejszy i szybszy.

Co robi wtyczka:

• chroni witrynę przed włamaniem;
• przechowuje na urządzeniu bezpieczne hasło, którego nie trzeba podawać podczas logowania;
• umożliwia dostęp do obszaru administracyjnego za pomocą odcisku palca;
• pozwala administratorom kilku witryn przełączać się między panelami jednym kliknięciem.

Przykład pracy

Wtyczka nie została przetłumaczona i jest dostępna bezpłatnie.

Uwierzytelnianie dwuskładnikowe WWPass

Wtyczka zabezpieczająca przed przedostaniem się intruzów do panelu administracyjnego.

Co robi wtyczka:

• dodaje kod QR do zeskanowania podczas próby zalogowania się do obszaru administracyjnego;
• umożliwia bezpłatne korzystanie z menedżera haseł PassHub.

Przykład działania wtyczki

Dostępna jest bezpłatna wersja angielska do pobrania.

Jeśli atakującym udało się coś zrobić z witryną i muszą przywrócić ją do poprzedniego stanu, pomocne będą kopie zapasowe. Hosterzy zazwyczaj wykonują kopie zapasowe okresowo, ale na wszelki wypadek lepiej wykonać kopie zapasowe samodzielnie. Niektóre wtyczki z wyboru mogą tworzyć kopie, istnieją również osobne rozwiązania do tworzenia kopii zapasowych.

Wtyczki do tworzenia kopii zapasowych stron internetowych na WordPress BackWPup – wtyczka do tworzenia kopii zapasowych WordPress

Wtyczka umożliwiająca tworzenie kopii zapasowych i przywracanie poprzednich wersji serwisu.

Co robi wtyczka:

• wykonuje kopie zapasowe całego serwisu wraz z treścią;
• eksportuje WordPress XML;
• zbiera zainstalowane wtyczki do pliku;
• wysyła kopie do zewnętrznego magazynu w chmurze, e-mailem lub przesyła za pośrednictwem FTP.

Płatna wersja PRO szyfruje archiwa z kopiami zapasowymi i przywraca kopie zapasowe kilkoma kliknięciami.

Zarządzanie archiwum kopii zapasowych

Dostępna za darmo, istnieje płatna wersja PRO, ale nie przetłumaczona na język rosyjski.

Wtyczka do tworzenia kopii zapasowych WordPress UpdraftPlus

Co robi wtyczka:

• kopiuje i przywraca dane jednym kliknięciem;
• tworzy automatyczne kopie zapasowe zgodnie z harmonogramem;
• sprawdza i przywraca bazy danych;
• wysyła kopie zapasowe do chmury, Dysku Google i innych wybranych lokalizacji.

Wersja zaawansowana zapewnia większy wybór lokalizacji przechowywania kopii i innych dodatkowych funkcji.

Konfigurowanie magazynu kopii zapasowych

Nie przetłumaczona na język rosyjski, dostępna bezpłatnie.

VaultNaciśnij

Kolejna wtyczka do tworzenia kopii zapasowych i niezawodnego przechowywania kopii.

Co robi wtyczka:

• codziennie automatycznie kopiuje wszystkie pliki witryny z treścią i komentarzami;
• przywraca witrynę z kopii poprzez kliknięcie;
• chroni witrynę przed atakami i złośliwym oprogramowaniem.

Działa za darmo dla jednej witryny, przechowuje dane przez 30 dni. Za dodatkową opłatą możesz monitorować wiele witryn z jednego panelu i dłużej przechowywać dane.

Panel roboczy

Wtyczka nie jest przetłumaczona na język rosyjski, ale można ją zainstalować bezpłatnie.

Witryny wymagają ochrony przed intruzami, aby nie mogli uzyskać dostępu do poufnych informacji, wykorzystać Twoje zasoby do atakowania innych witryn, wysyłać listy do klientów i zakłócać stabilne działanie zasobu. Wtyczki utrudniają oszustom, chronią dane użytkowników i kod witryny, a systemy kopii zapasowych przywrócą witrynę do poprzedniego stanu, jeśli atakującym uda się wyrządzić szkody.

Zanim wymyślisz, jak wyczyścić witrynę WordPress, musisz zrozumieć, z czym dokładnie będziemy mieć do czynienia. W szerokim znaczeniu pojęcie „wirus” oznacza złośliwe oprogramowanie, które może wyrządzić pewne szkody właścicielowi zasobu sieciowego. Dlatego prawie każdy kod osadzony przez atakujących w skryptach silnika może zostać zaliczony do tej kategorii. Mogą to być ukryte linki prowadzące do pesymizacji wyników wyszukiwania, backdoory zapewniające hakerowi dostęp administracyjny lub złożone struktury, które zamieniają witrynę w węzeł sieci zombie, a nawet koparkę Bitcoinów. Porozmawiamy o tym, jak identyfikować i eliminować wirusy różnych kalibrów, a także chronić się przed nimi.

Wiele wskazówek wspomnianych w poprzednich artykułach może chronić Twoją witrynę przed infekcją. Na przykład „infekcję” można znaleźć w pirackich szablonach i wtyczkach. Całkowite odrzucenie takich komponentów jest ważnym krokiem z punktu widzenia bezpieczeństwa. Istnieje jednak wiele bardziej szczegółowych niuansów.

1. Zainstaluj niezawodny program antywirusowy

Szkodliwy program może zostać wprowadzony nie tylko z zewnątrz; źródłem infekcji może być komputer, z którego zarządzany jest projekt. Współczesne trojany potrafią nie tylko ukraść hasło FTP, ale także samodzielnie pobrać kod wykonywalny lub zmodyfikować pliki CMS, co oznacza, że ​​bezpieczeństwo Twojego zasobu sieciowego zależy bezpośrednio od bezpieczeństwa Twojego komputera roboczego.

Rynek IT oferuje wiele programów antywirusowych. Jednak najrozsądniejszym wyborem są produkty dużych firm:
● Wśród produktów krajowych czołowe miejsca zajmują propozycje firm Kaspersky Lab i Dr. Sieć.
● Wśród zagranicznych rozwiązań komercyjnych możemy wyróżnić linię Norton firmy Symantek Corporation oraz popularny ESET NOD;
● Jeśli mówimy o opcjach darmowych, to Avast i Comodo są tutaj niekwestionowanymi liderami.

2. Zeskanuj witrynę za pomocą usług online

W przypadku wykrycia podejrzanej aktywności (błędy silnika, hamulce, wyskakujące okienka i banery stron trzecich) najprostszą rzeczą, jaką możesz wymyślić, jest uruchomienie zasobu przez skaner online, który może ustalić fakt infekcji. Niekwestionowanym liderem jest tutaj VirusTotal, zlokalizowany pod adresem virustotal.com. Aby z niej skorzystać wystarczy wejść w zakładkę „Adres URL”, wpisać interesujący Cię link i kliknąć przycisk „Sprawdź!”.

Po pewnym czasie system wystawi raport o następującej treści:

Należy wyjaśnić: VirusTotal nie jest niezależnym projektem, ale swego rodzaju agregatorem skanerów antywirusowych. W związku z tym możliwe staje się jednoczesne sprawdzanie WordPressa pod kątem wirusów w 67 systemach. Niewątpliwą zaletą jest szczegółowy raport, który dostarcza danych o wszystkich obsługiwanych usługach. W końcu programy antywirusowe bardzo lubią wywoływać fałszywe alarmy, więc nawet jeśli współczynnik wykrywalności różni się od idealnego (na przykład 3/64), nie oznacza to, że zasób jest zainfekowany. Skoncentruj się przede wszystkim na dużych graczach (Kaspersky, McAfee, Symantec NOD32 i inne); małe firmy często identyfikują pewne sekcje kodu jako niebezpieczne – nie traktuj tego poważnie!

3. Skorzystaj z Yandex.Webmaster

Prawdopodobnie zauważyłeś, że niektóre linki w wynikach wyszukiwania opatrzone są ostrzeżeniem: „Witryna może zagrozić Twojemu komputerowi lub urządzeniu mobilnemu”. Faktem jest, że wyszukiwarka posiada własne algorytmy wykrywania złośliwego kodu, powiadamiając użytkowników o potencjalnym ryzyku. Aby być na bieżąco z tym, co się dzieje i jako pierwszy otrzymywać powiadomienia, wystarczy zarejestrować się w serwisie dla webmasterów. Wszystkie niezbędne informacje możesz wyświetlić w zakładce „Bezpieczeństwo”:

Jeśli zostanie wykryte zagrożenie, w tym miejscu wyświetlona zostanie informacja o zainfekowanych stronach. Niestety, selektywne skanowanie WordPressa w poszukiwaniu wirusów jest niemożliwe - Yandex skanuje go niezależnie, a ponadto nie wszystkie pobrane dokumenty internetowe są uwzględniane w próbce, a tylko ich część, ustalana losowo.

4. Sprawdź raporty Google

Najpopularniejsza wyszukiwarka na świecie oferuje jeszcze prostszy sposób monitorowania – wystarczy kliknąć link google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru i wpisać w odpowiednim polu adres interesującej nas witryny. Otrzymasz kompleksowe dane o zasobie i sprawdzisz, czy Google ma jakieś skargi w zakresie wykrywania złośliwych skryptów:

Jak oczyścić witrynę WordPress z linków wirusowych?

Przejdźmy od zaleceń ogólnych do zaleceń szczegółowych. Zacznijmy od typowych wariantów złośliwego kodu – wprowadzenia obcych adresów URL i przekierowań do docelowego zasobu sieciowego. Niestety, black hat SEO wciąż cieszy się popularnością, co oznacza, że ​​hakerzy nie siedzą bezczynnie, na szczęście to zadanie należy do najprostszych. Uporządkujmy to po kolei.

1. Przekieruj do zasobów stron trzecich

Wyobraź sobie sytuację: wchodzisz na swoją własną stronę internetową, ale od razu zostajesz przeniesiony do innego katalogu „rekreacyjnego” lub strony docelowej oferującej zarabianie na rynku Forex. To prawie na pewno oznacza, że ​​zasób sieciowy został zhakowany i w pliku .htaccess pojawiło się kilka nowych wierszy. Leczenie jest proste: otwórz plik, znajdź dyrektywy zawierające adres, na który następuje przekierowanie, a następnie je usuń. Zatem w przypadku warunkowej złośliwej witryny.com niezbędne konstrukcje mogą wyglądać następująco:

< IfModule mod_alias. c>Przekieruj 301 https: //site/ http://malwaresite.com/

RewriteEngine na RewriteBase/RewriteCond% (HTTP_HOST)! ^tekseo\. su [NC] RewriteRule ^(.* ) http: //malwaresite.com/$1

RewriteEngine na RewriteBase / RewriteCond %(HTTP_HOST) !^tekseo\.su RewriteRule ^(.*) http://malwaresite.com/$1

Bardziej wyrafinowaną opcją jest stałe przekierowanie napisane w PHP. Jeśli sprawdziłeś, ale nie znalazłeś niczego podejrzanego, problem najprawdopodobniej tkwi w pliku Index.php. Przekierowanie odbywa się tutaj poprzez wysłanie odwiedzającym niezbędnych nagłówków:

include("przekierowanie.php"); Wyjście();

Pamiętaj - takich fragmentów nie ma w oryginalnym pliku Index.php, więc możesz bezpiecznie je wszystkie usunąć. Znajdź także i usuń dołączony plik (w naszym przykładzie będzie to redirect.php, znajdujący się w folderze głównym).

Bardziej przebiegłym posunięciem jest przekierowanie na gadżety mobilne. Uzyskując dostęp do swoich zasobów z komputera osobistego, nigdy nie wykryjesz faktu infekcji, ale użytkownicy smartfonów i tabletów będą niemile zaskoczeni, gdy znajdą się na innej stronie. To przekierowanie można zaimplementować:

1. .htaccess
Najprostsza metoda, którą można łatwo obliczyć. Urządzenie jest identyfikowane przez dostarczonego Agenta Użytkownika. Może to wyglądać tak:

< IfModule mod_rewrite. c>RewriteEngine na RewriteBase / RewriteCond % ( HTTP_USER_AGENT) ^.* (ipod| iphone| android).* [ NC] RewriteRule ^(.* ) $ http: //malwaresite.com/

RewriteEngine na RewriteBase / RewriteCond %(HTTP_USER_AGENT) ^.*(ipod|iphone|android).* RewriteRule ^(.*)$ http://malwaresite.com/

2.PHP
Przekierowanie jest zaimplementowane w PHP w podobny sposób. Poniższą konstrukcję można znaleźć w pliku indeksu. Ponownie nie zapomnij o wszechobecnych, m.in.:

3. JavaScript
Tutaj sprawdzana jest rozdzielczość ekranu; jeśli szerokość wynosi 480 pikseli lub mniej, użytkownik zostaje przekierowany na złośliwą witrynę. Jeśli Twój projekt wykorzystuje podobną metodę, pamiętaj o sprawdzeniu tego bloku pod kątem zmian adresu.

< script type= "text/javascript" >jeśli (ekran. szerokość Nowe artykuły „Dlaczego śnisz o żebrach? Ożywcze kompleksy gimnastyczne dla grupy przygotowawczej Genom mitochondrialny i jego znaczenie Przykłady czasowników zwrotnych Księżycowe tajemnice. Sekrety i tajemnice księżyca. Sztuczne konstrukcje na Księżycu Ksiądz pułkowy Wasilij Wasilkowski Informacje księgowe Jak sporządzić protokół uzgodnienia z faksymile podpisem i pieczęcią i wysłać go e-mailem do kontrahenta Ciała komórek nerwowych znajdują się w Skrócone wzory na mnożenie Koszykówka – opis gry sportowej. Jaką grą jest koszykówka Popularne artykuły Wieś Dibuna. Dibuny - początki wsi. Swoimi wspomnieniami dzielą się także ci, których nazywa się obecnie „dziećmi wojny”. Technologia produkcji twarogu metodą kwasową. Technologia produkcji twarogu Przepis krok po kroku na ciasto z otwartym dżemem Jak upiec naleśniki na wodzie mineralnej bez jajek i mleka - aby rozpieszczać się w dni postu Przepis na naleśniki z wodą mineralną bez mleka Arkana Pięć Pentakli: Znaczenie i opis Jak zrobić leniwe kluski z twarogiem Różowawa wydzielina na początku ciąży W czasie ciąży pojawia się krew, a tego chcesz Śniło mi się wiele węży, interpretacja snu „Zaginiona dziewczyna” – Gillian Flynn Zaginiona dziewczyna pobierz fb2 Dania rybne: proste i smaczne przepisy kulinarne ze zdjęciami 2024 okna-blitz.ru Okna i balkony