Як може бути зламаний сайт на wordpress.

Відео: Злом сайтів на Wordpress

Є багато причин, чому сьогодні WordPress є однією з найбільш часто використовуваних систем управління контентом (CMS). Він простий в установці і обслуговуванні, дуже зручний для користувача і містить багато безкоштовних тем і плагінів, які можуть бути встановлені за допомогою декількох натискань кнопки миші.Однако, він також схильний до злому, якщо ваш сайт працює з застарілою версією WordPress або плагінами.

Близько року тому, вразливість була знайдена в популярних TimThumb PHP-скриптах, які широко використовується для автоматичної зміни розмірів ізображеній.Хакери отримали доступ до багатьох веб-сайтах працюють на WordPress з TimThumb і заразили всі файли PHP eval (base64_decode - код для перенаправлення відвідувача, який приходить з пошукової системи на веб-сайт, на свій вибір.

-base64-decode

Ви можете легко очистити шкідливий gzinflate / eval (base64_decode код у всіх PHP файлах за допомогою цього скрипта очищувача і отримати назад трафік з пошукової системи, але, на жаль, використання скрипта самого по собі не достаточно.Ви можете помітити, що ваш сайт зламують знову і знову, навіть якщо ви оновіться до останньої версії TimThumb, тому що хакер вже посадив кілька лазівок до вам на сайт.Едінственний шлях до запобігання постійного злому вашого сайту, полягає в пошуку backdoor і його видалення з сервера.

Бекдор може бути або незалежним файлом сам по собі або просто шматок коду, вбудованого в законний PHP файл.Я намагався встановити пару плагінів безпеки для WordPress і виявив, що плагін Wordfenceдля WordPress є одним з кращих, тому що він здатний перевірити цілісність ядра WordPress, плагіни і файли теми. Якщо файли буде відрізнятися від оригінальної версії, він буде відображатися в результатах перевірки, і ви можете побачити, які файли були ізменени.Плагін Wordfence може також показати, що якщо існують які-небудь невідомі підозрілі файли, розташовані в каталозі установки WordPress.

Відео: Як відновити сайт на wordpress після злому - для початківців блогерів

Вам потрібно взяти до відома, що в безкоштовній версії Wordfence сканує тільки файли ядра WordPress.Еслі ви хочете сканувати тему і файли плагінів, вам потрібно буде підписатися, членство коштує $ 17.95 в рік. Хоча членство дає вам тільки 1 премія API ключ, ви фактично можете, використовувати його для перевірки декількох веб-сайтів одночасно, після завершення сканування, шляхом видалення преміум ключа і відтворення нового з Управління плагіна Wordfence API в області реєстру, щоб використовувати його на іншому сайті .

Після видалення backdoor файлів, знайдених плагіном Wordfence, всі сайти на WordPress на моєму хостингу через кілька днів ще раз заразилися шкідливим кодом PHP.Я був дуже засмучений і вирішив, вручну перевірити доступ до журналу в cPanel хоча я був впевнений, що я правильно шукаю. Журнал містить тисячі рядків, що проходять через кожну лінію на 6 сайтах.Ітак, я зробив деяку фільтрацію і log-файлів стало набагато менше.

Що потрібно для цього зробити :

1.Отфільтровать GET-запроси.Основной GET запит, залишити тільки на отримання даних, так як вони не можуть заподіяти йому ніякої шкоди. Цей фільтр повинен зменшити ваші log файли на 80%.

2.Фільтр з POST-запитів для wp-cron.php тоесть, пропонується що він є на вашому сайті. Це виглядає приблизно як в прикладі нижче:

111.222.333.444 - - [25 Липня // 2012: 01: 42: 14 +0800] «POST /wp-cron.php?doing_wp_cron=1343151734.5347619056701660156250 HTTP / 1.0" 200 - ";" "WordPress / 3.4.1- http: //kompkimi.ru »

3.Продолжіть фільтрацію безпечних POST-запитів для подальшого зменшення розміру файлу журналу для полегшення аналізу.

Аналізуючи лог файли, я побачив підозрілі запити, в яких Російські IP-адреси без реферера, і інформація агента користувача робила запит POST кожні 10 секунд на 404.php файл 3 рази.

Я зв`язався з Wordfence підтримкою і отримав підтвердження від Марка Маундер, що цей шматок коду дійсно шкідливий і вони оновили свій плагін Wordfence, щоб його обнаружіть.После усунення backdoor, все 6 сайтів на WordPress під одним і тим же обліковим записом хостингу залишалися чистими протягом тижні, без злому. Як ви можете бачити, відсутній тільки один backdoor, який може привести до злому вашого сайту на WordPress під одним і тим же облікового запису хостингу, і це дуже важливо, щоб переконатися, що кожен backdoor видаляється.

Хоча Wordfence вдалося повністю очистити від всіх бекдор на веб-сайтах, розміщених під моїм обліковим записом на хостингу, я все-таки думаю, що це один з кращих плагінів безпеки для WordPress, тому що він набагато більше, ніж просто перевірка цілісності WordPress файлів. плагін Wordfence оновлюється дуже часто, і вони представляють дуже велику підтримку.

важливе зауваженняПереконайтеся, що ви змінили ваш пароль, який включає в себе користувальницький аккаунт WordPress, FTP, cPanel і бази даних, після збирання бекдора.Также пам`ятайте, плагіни, теми та WordPress версії потрібно завжди оновлювати до дати поновлення.

P.P.S. Якщо у Вас є питання, бажання прокоментувати або поділитися досвідом, напишіть, будь ласка, в коментарях нижче.