Как сайт на wordpress взломать: Ломаем и защищаем WordPress своими руками

Содержание

2 Примера взлома и лечения Вордпресс

Вы не ожидаете этого, и затем это — Бум! — случается. Ваш сайт взломали. Это может случиться с каждым, и однажды это случилось со мной.

В одном случае IP, на котором находился сайт, был занесен в списки вредоносных и е-мейлы не доходили до адресатов. В другом случае хостинг изолировал сайт и отключил возможность отправлять е-мейлы.

В случае взлома страдает не только зараженный сайт, но и другие сайты на том же IP, все сайты теряют репутацию у поисковиков. Компьютеры посетителей оказываются под угрозой заражения. Настоящий кошмар.

В этой статье вы узнаете, как найти заражение и удалить его с сайта, и как удалить сайт из списков вредоносных сайтов.

Содержание:

Как хакеры взламывают сайты
Что случилось с сайтами
Как хакеры взламывают сайты
Базовые требования к безопасности сайта
Типичный взлом сайта
Тестирование и очистка сайта после взлома
Сервисы проверки сайта на наличие вредоносного ПО
Удаление вредоносного кода
Обновите ПО, смените пароли, ключи и соли
Как удалить сайт и IP из черных списков
Плагины для очистки сайта

Как хакеры взламывают сайты

Существует много способов взломать сайт. Простые способы — подбор логина и пароля и известные уязвимости в устаревшем ПО, описание которых находится в открытом доступе. Более сложные — бэкдоры, фишинг, xss-атаки, sql-инъекции и многие другие.

В данный момент на Вордпрессе работает около 36% всех сайтов в Интернете, это более 100 млн. сайтов. Около 60% всех сайтов, использующих CMS, используют Вордпресс. Такая популярность привлекает хакеров, то есть, если они найдут какую-то уязвимость в Вордпресс, они смогут получить тот или иной контроль над большим количеством сайтов.

Хакеры создают ботов, которые автоматически обходят сотни тысяч сайтов и сканируют их на наличие устаревшего ПО, описание уязвимостей которого находится в открытом доступе. Когда бот находит сайт с устаревшим софтом, он использует имеющуюся у него методику взлома этого ПО, отсылает сообщение хакеру и идет дальше.

Обычно после взлома взломщики публикуют свою рекламу на сайте, начинают рассылать спам по своим базам или спискам подписчиков взломанного сайта, или взломанный сайт работает в качестве редиректа посетителей на сайты хакеров.

Тогда ссылка на взломанный сайт появляется в интернет-спаме, поисковики это видят и понижают сайт в поисковой выдаче.

Хакеры не используют свои сайты для рассылки спама или для создания сети редиректов на свои сайты, потому что их сайты попадут в спам-фильтры и под санкции поисковых систем.

Вместо этого они взламывают чужие сайты и используют их. После того, как взломанные сайты попадают в фильтры и под санкции, хакеры оставляют эти сайты, взламывают другие и пользуются ими.

Что случилось с сайтами

На первом сайте хакеры взломали устаревшую версию Вордпресс. Хотя на сайте были сложные логин и пароль, на нем не был установлен плагин безопасности, который мог бы предупредить об изменении в файлах.

На втором сайте хакеры создали бэкдор, создали еще одного пользователя, опубликовали несколько статей со ссылками на что-то фармацевтическое и начали рассылать спам по своим базам.

На первом сайте удалось найти инфицированные файлы и вылечить их, на втором сайте сделали бэкап и восстановили сайт до состояния, которое было до заражения.

На обоих сайтах после восстановления были заменены пароли к сайту, FTP, хостингу и ключи и соли.

Как хакеры взламывают сайты

4 основных способа, которыми хакеры взламывают сайты:

Слабые пароли
Устаревшее ПО
Небезопасные темы и плагины
Уязвимости в ПО хостинга

Существует много других способов, но эти способы самые распространенные.

Подбор логина и пароля

По умолчанию в Вордпресс нет ограничений на количество попыток ввести логин и пароль. Если вы оставите как есть, хакер может пробовать подбирать правильную комбинацию неограниченное количество раз. Это называется brute force attack, атака грубой силой или атака методом перебора паролей.

Вы можете ограничить количество попыток авторизации с помощью плагина, например Login LockDown. Еще один способ — перенесите страницу авторизации на новый адрес, например сайт.ru/login.

Устаревшая версия ПО

Описания уязвимостей устаревших версий Вордпресс, плагинов и тем находятся в Интернете. У ботов есть эти описания. Когда они находят сайт с устаревшей версией ПО, они взламывают этот сайт по уже имеющемуся алгоритму.

Чтобы обезопасить сайт от таких атак, всегда используйте последнюю версию софта.

Бэкдоры

Хакер сохраняет файл со специальным скриптом на сервере, который позволяет ему заходить на сайт в любое время, при этом хакер не пользуется стандартной страницей входа, а заходит на сайт через созданный им бэкдор.

Чтобы замаскировать созданный файл, хакеры называют его так, чтобы он выглядел как часть ядра Вордпресс, например, users-wp.php, php5.php, sunrise.php или что-нибудь подобное.

Если у вас не установлен какой-нибудь плагин, который предупреждает об изменениях в файлах, может быть довольно трудно определить, что вредоносный файл был добавлен. Есть несколько признаков, которые могут дать понять, что сайт был взломан.

Если вы открываете фронтэнд или бэкэнд сайта, и видите сообщение в браузере, что посещение этого сайта может быть небезопасно, то ваш сайт может быть взломан.

Если вы видите такое сообщение, то ваш сайт мог быть взломан.

Другой признак — антивирус на компьютере показывает сообщение, что посещение этого сайта может быть опасно. Бэкдоры могут запускать вредоносный код, или вирусы, например трояны, когда посетитель заходит на сайт.

Еще один признак — е-мейлы, которые вы отправляете с сервера, возвращаются обратно с SMTP ошибкой 550. От некоторых серверов, которым вы отправляли е-мейл может вернуться более подробное описание проблемы. Например, ссылка на сайты, которые поместили ваш сайт или ваш IP в список сайтов, содержащих вредоносное ПО.

Базовые требования к безопасности сайта

Эти требования — необходимый минимум для безопасности сайта.

Регулярно обновляйте Вордпресс, скрипты, плагины и темы.
Используйте сложные логины и пароли.
Установите плагин для ограничения попыток авторизации.
Выбирайте плагины и темы от проверенных авторов.
Используйте надежный хостинг.
Настройте автоматический бэкап всех файлов и базы данных.

Читайте Минимальная безопасность сайта.

Типичные взломы сайтов

Хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. В большинстве случаев сайты взламываются автоматически хакботами.

Фармацевтические взломы

Если вы видите на своем сайте ссылки на другие сайты, которые вы не добавляли, или вас или ваших посетителей перенаправляет на другие сайты, это называется фармацевтические или фарма хаки.

Текст или ссылки указывают на полулегальные спам сайты, которые продают поддельные часы, кошельки, Виагру и тому подобное.

Хакер добавляет скрипты в файлы сайта, обычно в хедер, иногда в другие части страниц. Эти ссылки или текст могут быть скрыты или незаметны для посетителей, но видны поисковым системам.

Введите в поисковике запрос site:ваш-сайт. ru, и посмотрите, как ваш сайт выглядит в поиске.

В поисковой выдаче вы должны видеть только название страниц и их описание. Если вы видите что-то подобное, значит, ваш сайт взломали.

Попробуйте вставить ссылку на какую-нибудь страницу вашего сайта в Фейсбук, ВКонтакте или Вотсапп. Если вы увидите что-то постороннее в описании или названии, это значит, что ваш сайт взломан.

Вредоносные редиректы

Хакер вставляет скрипт в файл .htaccess или другие главные файлы сайта, который перенаправляет посетителей на другие страницы или другой сайт. Это называется вредоносный редирект.

Не заметить такой взлом очень сложно, потому что вместо загрузки вашего сайта загрузится другой сайт.

Иногда редирект может быть не таким очевидным, если взломанный файл использует стили вашей темы. Тогда вы увидите большое количество рекламы на странице, которая выглядит похожей на ваш сайт.

Редиректы могут быть настроены только с некоторых страниц сайта или со всего сайта целиком.

Тестирование и очистка сайта после взлома

Перед тем, как вы начнете что-то делать, сделайте полный бэкап всего сайта и базы данных. Даже несмотря на то, что сайт взломан, позже вам может понадобиться какая-то информация.

Чтобы не допустить заражения других сайтов, некоторые хостинги могут отключить или удалить ваш сайт, когда узнают, что сайт взломан, особенно на дешевых тарифах виртуальных хостингов.

Если логи событий находятся не в основной папке сайта, то сохраните их на компьютер, так как они хранятся на сервере несколько дней, после чего заменяются новыми.

После того, как вы сохранили бэкап и логи на компьютер, можно начинать лечение сайта.

Проверьте сайт в этих сервисах:

Даже если вы точно знаете, что сайт взломали, проверьте его еще раз в этих сервисах. Вы можете найти еще какие-то вирусы, кроме тех, которые вы уже нашли.

Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
Sucuri Site Check — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
Norton Safe Web – сканер сайта от Norton.
Quttera – сканирует сайт на наличие вредоносного ПО.
2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.

Проверьте сайт во всех сервисах, так как они сканируют немного по-разному и находят разные типы инфекций. Также просканируйте свой компьютер.

В статье Как проверить и вылечить от вирусов Вордпресс сайт описан способ найти вредоносный код в файлах сайта, используя команды в SSH терминале.

Начните с поиска файлов, измененных в течение последних 2-х дней:

find /путь/к/вашему/сайту/папка/ -mtime -2 -ls

Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке, и пройдите поиском по каждой папке.

Если вы ничего не нашли, увеличьте поиск до 5 дней:

find /путь/к/вашему/сайту/папка/ -mtime -5 -ls

Если вы снова ничего не нашли, увеличивайте интервал поиска, пока не найдете изменения. Не забывайте, что обновления ПО тоже изменения.

Еще одна команда, которую вы можете использовать для поиска — «grep». Эта команда поможет найти вредоносный код, который добавил хакер.

После того, как вы нашли файлы, в которых хакер сделал изменения, вы можете попробовать найти в них повторяющиеся фрагменты, например, base64 или hacker was here.

grep -ril base64 *

Замените base64 на повторяющееся сочетание, которое вы нашли в измененных файлах. Результат покажет вам список файлов, в которых встречается это сочетание.

Хакеры часто используют эти функции:

base64
str_rot13
gzuncompress
eval
exec
create_function
system
assert
stripslashes
preg_replace (/e/)
move_uploaded_file

Если вы хотите увидеть содержание этих файлов, используйте этот запрос:

grep -ri base64 *

Замените base64 на значение, которое вы нашли в измененных файлах.

Более аккуратный запрос может быть таким:

grep —include=*.php -rn . -e «base64_decode»

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на . php.

Более простой способ:

Скопируйте сайт с сервера, удалите все что можно безопасно удалить, заархивируйте целиком или разделите на архивы и проверьте архивы на VirusTotal или 2ip. Также можно проверить на компьютере антивирусом. Перенесите все зараженные файлы из архива в отдельную папку.

После того, как вы нашли файлы с внедренным код, их можно восстановить или удалить.

Удаление вредоносного кода

Если вы нашли файл бэкдора, в котором находится только скрипт хакера, удалите этот файл.
Если вы нашли вредоносный код в файле Вордпресс, темы или плагина, удалите этот файл и скачайте новый из репозитария Вордпресс или с сайта разработчика.
Если вы нашли вредоносный код в файле, который вы создавали, удалите хакерский код и сохраните файл.
Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.

Очистите сайт и просканируйте его еще раз на интернет сервисах проверки.

Обновите ПО, смените пароли, ключи и соли

После того, как вы удалили вредоносный код, обновите Вордпресс, плагины и темы. Смените пароли на сайте и на хостинге. Подумайте о смене пароля к е-мейлу и базе данных (в файле wp-config.php и на хостинге).

Смените ключи и соли, это сделает все cookies, которые хранятся в браузерах пользователей, в том числе хакеров, недействительными для авторизации на сайте.

Генератор ключей и солей находится на сайте Вордпресс. Скопируйте новые ключи и вставьте их в файл wp-config в этом месте:

Перед изменением файла wp-config сделайте его бэкап. Сохраните файл, закачайте обратно на сервер.

Как удалить сайт и IP из черных списков

После того, как вы очистили сайт, он все еще может находиться в списках сайтов, содержащих вредоносное ПО или в спам списках. Сначала нужно узнать, на каких сайтах ваш сайт или IP занесены в черный список.

Здесь вы можете узнать, занесен ли ваш сайт в списки malware или phishing сайтов Гугл.

https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru

Замените ваш-сайт.ru на ваш адрес.

Проверьте сайт на сервисах Unmask Parasites, Spamhaus и 2ip.ru. Спамхаус показывает на каких сайтах IP сайта внесен в списки вредоносных, так что вы можете узнать, на каких сайтах вам нужно перенести IP из черных списков.

http://www.spamhaus.org/query/ip/123.45.67.890

Замените 123.45.67.890 на IP сайта. Узнать IP.

Spamhaus покажет сайты, которые занесли ваш IP в список вредоносных.

Когда какой-то сайт заносит IP в черный список, он отображается красным.

Откройте красные ссылки в новом окне и следуйте инструкциям. У всех сайтов инструкции могут быть разными, поэтому читайте внимательно.

Обычно запрос проверки делается в несколько кликов, и занимает около 2 дней. Некоторые сайты не предупреждают о переносе IP из черного списка в белый список, поэтому вы можете вернуться на Спамхаус через несколько дней, и проверить снова.

На некоторых сайта можно запросить проверку только один раз, поэтому убедитесь, что сайт полностью очищен, иначе ваш IP может остаться в черных списках надолго.

Плагины, которые помогут очистить сайт

Если вы хотите найти хак с помощью плагина, попробуйте использовать эти плагины:

Некоторые большие плагины могут помочь найти место взлома, но обычно бесплатные версии предназначены только для защиты сайта.

Если ваш сайт еще не взломали, установите один из этих плагинов:

Sucuri Security

В платной версии Sucuri предлагает защиту самого высокого класса — файрвол на уровне DNS, который сканирует каждый запрос к сайту. Ускорение сайта с помощью кеширования и подключения к собственному CDN, и бесплатное восстановление сайта, если сайт был взломан. Также сервис проверяет, что сайт не занесен в черные списки.

В бесплатной версии плагин сравнивает файлы ядра Вордпресс и файлы в репозитарии Вордпресс, ведет логи событий, имеет несколько основных настроек безопасности. В случае появления подозрительной активности плагин посылает сообщение на е-мейл.

У плагина есть главная панель, в которой сообщается, что файлы на сервере соответствуют файлам в репозитарии Вордпресс, на сайте не обнаружено вредоносного кода, сайт не занесен в черные списки и показаны логи событий. Это очень удобный инструмент для наблюдения за безопасностью сайта.

Wordfence

Один из самых известных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, поэтому все новые угрозы попадают в базу данных. Через 30 дней база обновляется в бесплатной версии.

В Wordfence есть функция обнаружения изменений или добавления файлов. Когда существующий файл обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов на своем сервере, встроенный файрвол на уровне сайта и множество других функций.

iThemes Security

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.

All in One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол, защищает файлы сайта и базу данных. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, были ли какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подсказки — описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт. На мой взгляд, лучший бесплатный плагин.

Security Ninja

Один из самых простых, но мощных премиум плагинов безопасности. В бесплатной версии проверяет сайт на наличие типичных уязвимостей и предлагает инструкции по устранению этих уязвимостей.

В платной версии добавляется сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

Весь плагин можно настроить за 15 минут. Плагин платный, но имеет лайф-тайм лицензию.

VaultPress

Плагин безопасности и бэкап плагин в одном от Automattic, часть разработчиков которого являются разработчиками Вордпресс. Есть бесплатная и премиум версия.

Регулярные бэкапы дают возможность восстановить сайт в случае взлома. Дополнительные инструменты безопасности защитят ваш сайт, если обновитесь до премиум версии.

В премиум версии есть функция ежедневного сканирования сайта на наличие вредоносного кода, вирусов, троянов и прочей заразы. Также помогает очищать сайт после заражения.

Theme Check

Этот плагин проверяет код на правильность в теме, которую вы используете. Он сравнивает код темы на соответствие последним стандартам Вордпресс. Если что-то не соответствует этим стандартам или выглядит подозрительным, плагин сообщает об этом.

Если вы выбираете тему для использования, проверьте ее этим плагином.

Plugin Security Scanner

Плагин проверяет темы и плагины на наличие уязвимостей, описание которых он берет в базе WPScan Vulnerability Database.

Плагин сканирует сайт раз в 24 часа, и посылает сообщение администратору сайта, если находит уязвимость в теме или плагине.

Для работы плагина нужно зарегистрироваться в базе WPScan Vulnerability и получить токен, который вставляется в настройках плагина.

Plugin Check

Аналогично с предыдущим плагином, этот плагин проверяет установленные плагины на соответствие стандартам Вордпресс.

Плагин скорее проверяет код на правильность, чем на наличие вредоносного ПО, но это уже хорошо. Большое количество взломов происходит по причине неправильного кода.

Хотя это хороший плагин, но он давно не обновлялся.

Восстанавливать сайт труднее, чем настроить защиту сайта до взлома. Если ваш сайт еще не взломали, установите один из этих плагинов и читайте Руководство по безопасности Вордпресс.

Приглашаю вас на курс Безопасность Вордпресс за 2 вечера. Настроил и забыл. В этом курсе вы настроите автоматическую безопасность Вордпресс с помощью плагинов и нескольких ручных настроек.

Читайте также:

Чек-лист: Что делать, если сайт взломали
Как проверить и вылечить от вирусов Вордпресс сайт
Как найти и удалить бэкдоры на Вордпресс сайте
Как найти следы взлома в логах сервера
Как зайти в админку Вордпресс после взлома сайта

Надеюсь, статья была полезна. Оставляйте комментарии.

Как очистить сайт на WordPress, если его взломали

Ваш сайт на Wodrpress взломали? Не паникуйте, мы расскажем, как удалить вредоносный код, бэкдоры и вирусы с вашего сайта. Давайте разбираться по порядку.

Если вы подозреваете, что сайт взломали, сначала нужно убедиться в том, что его действительно взломали. Часто администраторы сайта говорят, что сайт взломали, когда он начинает вести себя не так, как положено (вследствие ошибок в шаблоне или плагине) или когда видят сотни комментариев со спамом, но это не так.

Ваш сайт был взломан, если:

Вы видите, что в заголовке или подвале сайта появляется реклама порнографии, лекарств, казино, незаконных услуг и т.п. Часто он может быть незаметен для пользователя (например, чёрный текст на чёрном фоне), но поисковые системы видят его.
Вы обнаруживаете страницы, которых не должно быть на вашем сайте или которые выглядят подозрительно, выполнив поиск по запросу site:вашсайт.ru.
Пользователи говорят вам, что с вашего сайта их переадресовывает на подозрительные и вредоносные сайты. Уделите этому особое внимание, поскольку многие атаки будут обнаруживать, что вы являетесь администратором сайта и не будут показывать ничего подозрительного. Вредоносный или рекламный код будет показываться только посетителям или роботам поисковых систем.
Вы получаете уведомления от провайдера о том, что на сайте зафиксирована подозрительная активность, рассылается спам, создаётся повышенная нагрузка на процессор. Злоумышленники могут как рассылать спам с вашего сайта, так и указывать в рассылках адреса фишинговых страниц или страниц с переадресацией, созданных на вашем сайте. Это делается для того, чтобы фильтры спама не обнаруживали письма.

После того, как вы убедились, что сайт взломали, незамедлительно сделайте резервную копию вашего сайта. Используйте FTP, панель управления вашего провайдера или плагин для WordPress и скачайте себе полную резервную копию сайта. Причина в том, что многие провайдеры немедленно удалят ваш сайт если вы сообщите, что он был взломан, или это обнаружит их антивирус. Звучит безумно, но это стандартная процедура, которая позволяет защитить их сеть от проникновения злоумышленников.

Не забудьте сделать резервную копию базы данных. Создание полной резервной копии сайта должно быть самым первым вашим действием. Только после этого можно переходить к следующим шагам по очистке сайта от вредоносного кода. Теперь вы хотя бы будете уверены в том, что у вас есть копия сайта и вы не потеряете всё.

Вот несколько основных правил, которые не следует забывать при очистке вашего сайта от вредоносного кода:

Как правило, вы можете удалить содержимое директории wp-content/plugins/ без потери данных и функционала сайта. Это связано с тем, что это файлы плагинов, которые можно восстановить, и WordPress автоматически обнаружит, что вы удалили плагин и отключит его. Помните, что удалять нужно все содержимое папки wp-content/plugins, а не просто отдельные файлы. Если вы просто удалите несколько файлов плагина, сайт может перестать работать.
Как правило, в папке wp-content/themes вашего сайта используется только одна директория. Если вы знаете, какая тема используется на сайте, все остальные папки можно смело удалять. Исключение составляют «дочерние темы«, в этом случае сайт может использовать две папки, собственно дочерней и родительской темы.
Как правило, в папки wp-admin и wp-includes не добавляются новые файлы. Поэтому если вы обнаруживаете новые файлы в этих папках, велика вероятность того, что это вредоносный код.
Проверьте наличие старых резервных копий или установленных версий WordPress. Мы часто сталкиваемся с тем, что сайт взломан несмотря на то, что администратор заявляет, что WordPress, все плагины и темы регулярно обновляются, и даже установлен плагин для защиты сайта. При этом разработчики или администраторы хранят старую копию в папке типа ‘old/’, которая доступна из внешней сети. Эта резервная копия не поддерживается, даже если сайт защищен. Поэтому злоумышленники могут воспользоваться уязвимостями в старом коде и получить доступ к основному сайту. Поэтому никогда не оставляйте старые файлы WordPress на работающем сервере. Если такие файлы всё же есть и ваш сайт взломали, проверьте сначала именно эти копии.

Если у вас есть доступ по SSH к вашему серверу, подключитесь к нему и выполните следующую команду, чтобы найти все файлы, которые были изменены в течение последних 2 дней. Обратите внимание, что точка указывает на текущую папку. Эта команда будет выполнять поиск в текущей директории и во всех поддиректориях. (Чтобы узнать текущую директорию, выполните команду pwd в консоли SSH).

find . -mtime -2 -ls

Также можно указать определенную папку напрямую:

find /home/имя_пользователя/сайт/ -mtime -2 -ls

Можно расширить поиск и найти все файлы, изменненые за последние 10 дней:

find /home/имя_пользователя/сайт/ -mtime -10 -ls

Если измененных файлов не обнаружено, постепенно увеличивайте количество дней, пока не начнёте видеть изменения. Если вы ничего не меняли с момента взлома, вероятно, что вы увидите именно те файлы, которые изменил злоумышленник. Теперь вы можете самостоятельно изменить их и удалить вредоносный код. Это наиболее эффектиный и простой способ найти зараженные файлы.

Ещё один полезный инструмент, доступный по SSH — это ‘grep’. Команда позволяет осуществить поиск по содержимому файлов. Например, для того, чтобы найти все файлы, содержащие строку base64 (часто используется злоумышленниками) нужно выполнить следующую команду:

grep -ril base64 *

В результате вы увидите только имена файлов. Чтобы увидеть полный путь, опустите параметр «l»:

grep -ri base64 *

Помните, что строка «base64» может использоваться и в обычном коде. Перед тем, как удалять что-либо, убедитесь, что удаляемый файл не используется в теме или плагине. Более узкий поиск будет выглядет так:

grep --include=*.php -rn . -e "base64_decode"

Эта команда рекурсивно ищет строку «base64_decode» во всех файлах, заканчивающихся на .php, и выводит номера строк, чтобы можно было легко найти, в каком контексте используется команда в файле.

После очистки множества заражённых сайтов вы заметите определенные шаблоны размещения вредоносного кода. Одно из мест, куда хакеры заливают бэкдоры и вирусы — папка загрузов WordPress (uploads). Приведенная ниже команда позволит вам найти все файлы в папке загрузок, которые не являются картинками. Для удобства сохраним список в файл «uploads.log» в текущей папке.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads.log

В принципе, двух команд “grep” и “find” достаточно для очистки всего сайта. Всё настолько просто!

Чтобы Google Chrome не показывал предупреждение о небезопасном содержимом, нужно удалить сайт из списка Google Safe Browsing. Для этого выполните следующие действия

Войдите в Инструменты вебмастера Google.
Если вы ещё не добавили ваш сайт в консоль поиска, добавьте его.
Подтвердите владение сайтам согласно инструкции Google.
Выберите сайт на главной странице консоли поиска.
В левом меню выберите Security Issues.
Нажмите Request a review.

Если вы смогли исключить сайт из списка Google Safe Browsing — это большой шаг. Вам нужно создать список всех антивирусов, которые заявляют о том, что сайт небезопасен. Затем зайдите на сайты производителей Лаборатории Касперского, ESET, McAfee’s Site Advisor и такк далее. На каждом сайте вам нужно найти инструкцию о том, как исключить свой сайт из списка опасных. Обратите внимание на слова «ложное срабатывание», «удалить сайт» и т.п.

Перейдите по следующей ссылки, изменив в ней ссылку на ваш сайт.

http://www.google.com/safebrowsing/diagnostic?site=http://вашсайт.ru/

На странице вы увидите результаты проверки с подробной информацие о текущем состоянии вашего сайта, почему он находится в списке вредоносных и фишинговых сайтов Google (на самом деле, это два списка) и что нужно делать дальше.

После того, как вы закончите очистку сайта от вирусов, нужно защитить его, чтобы взлом не повторился. Вот что нужно сделать:

Поменяйте все пароли доступа к панели управления хостингом, базе данных и WordPress
Пароли должны быть достаточно сильными и неочевидными. Не используйте один и тот же пароль на разных сайтах.
Регуляно обновляйте WordPress и все плагины и темы. Это очень важно для защиты сайта.
Удалите все старые установки, резервные копии и другие файлы, не имеющие отношения к WordPress с вашего сервера.
Установите Wordfence или другой плагин для защиты сайта и выполняйте регулярные проверки.

Если у вас возникли проблемы с очисткой взломанного сайта — обращайтесь, мы с радостью поделимся своим опытом

Поделиться ссылкой:

Понравилось это:

Нравится Загрузка…

Похожее

Взлом WordPress. Атаки хакеров 2020 новые данные от xakep.ru

По информации от xakep. ru в плагине File Manager, которым пользуются более 700 000 ресурсов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. Спустя всего несколько часов после раскрытия информации о баге эксперты из таиландской компании NinTechNet сообщили о первых атаках на эту уязвимость.

Суть проблемы заключается в том, что плагин содержит дополнительный файловый менеджер, известный как elFinder — это библиотека с открытым исходным кодом, которая обеспечивает работу основных функций плагина, а также предоставляет пользовательский интерфейс. Уязвимость возникает из-за того, как реализована имплементация elFinder в данном случае.

Так, в File Manager расширение файла библиотеки connector.minimal.php.dist изменено на .php, чтобы его можно было запускать напрямую, даже если файл connector не используется самим файловым менеджером. В такие библиотеки часто включены файлы примеров, которые не предназначены для использования прямо «из коробки», без настройки управления доступом. В итоге данный файл не имеет прямых ограничений доступа, а значит, к нему может получить доступ кто угодно.

Исследователи NinTechNet пишут, что злоумышленники используют эксплоит для загрузки на сайты файлов изображений, в которых скрытых веб-шеллы. В итоге атакующие могут использовать удобный интерфейс, который позволяет им запускать команды в каталоге plugins/wp-file-manager/lib/files/, где находится плагин File Manager. И хотя проблема не позволяет хакерам выполнять команды вне названного каталога, атакующие могут нанести немалый ущерб, загрузив на уязвимый сайт скрипты, которые способны выполнять действия в других частях уязвимого ресурса.

Не пропустите нашу новую публикацию, она поможет вам глубже изучить вопрос безопасности: Разбираемся, движок WordPress безопасен или нет?

По данным NinTechNet, в настоящее время хакеры используют баг для загрузки на сайты скрипта hardfork.php, а затем применяют его инъекций кода в скрипты /wp-admin/admin-ajax. php и /wp-includes/user.php. При этом отмечается, что злоумышленники стремятся защитить уязвимый файл паролем (connector.minimal.php), чтобы другие хак-группы не могли воспользоваться уязвимостью на уже зараженных сайтах.

«В ближайшие несколько часов или дней мы увидим, что именно они будут делать дальше. Ведь если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они собираются вернуться и снова посетить зараженные ресурсы», — говорят специалисты NinTechNet.

Эксперты из ИБ-компании Wordfence уже посвятили этой волне атак собственный отчет. За последние несколько дней компания заблокировала более 450 000 попыток эксплуатации данной уязвимости. Исследователи пишут, что злоумышленники пытаются внедрить на сайты различные файлы. В некоторых случаях эти файлы были пустыми (очевидно, хакеры лишь тестировали уязвимость), другие вредоносные файлы носили имена hardfork.php, hardfind.php и x.php.

«Плагин файлового менеджера, подобный этому, позволяет злоумышленникам манипулировать файлами и загружать новые по своему выбору прямо из панели управления WordPress. Потенциально это также позволяет сразу повысить привилегии.

Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к уязвимому плагину и загрузить веб-шелл, чтобы выполнить дальнейшие действия на сервере и развить свою атаку с помощью другого эксплоита», — пишет специалистка Wordfence Хлоя Чемберленд (Chloe Chamberland).

Проблема уже была исправлена в File Manager версий от 6.0 до 6.8. Официальная статистика WordPress показывает, что в настоящее время уязвимы примерно 52% установок плагина, то есть около 350 000 сайтов.

Не пропустите эту информацию — это действительно важно: Что делать если ваш сайт на WordPress испытывает техническую проблему?

Атаки хакеров начались 28 апреля 2020

Как сообщает эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) продолжается атака перебором паролей против WordPress, MySQL. Виредонос Stealthworker, активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.

Среди потенциальных объектов атак — сайты на WordPress, а так же Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.

Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordPressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик.

AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти, говорит Михаил Зайцев, эксперт по информационной безопасности

Хотим поделиться с вами ценной информацией, узнайте, какие 10 лучших плагинов безопасности WordPress мы применяем для защиты сайтов

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта на WordPress прямо сейчас!

Оставить заявку

Новость от cnews.

ru на 28 мая: уже миллион сайтов на WordPress атакован с 24 тыс. IP-адресов

Злоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.

Хакеры пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.

«Вероятнее всего, злоумышленники ведут «ковровую бомбардировку» в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от не поддерживаемых».

Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress, обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь. Для защиты сайтов наших клиентом мы применяем 10 лучших плагинов безопасности WordPress

Информация от xakep.ru на 28 апреля:

Специалисты Wordfence обратили внимание, что некая хак-группа развернула масштабную кампанию против сайтов на WordPress. Используя различные известные уязвимости, злоумышленники предприняли попытки атак на почти миллион ресурсов за прошедшую неделю.

Атаки начались 28 апреля 2020 года и привели к тридцатикратному увеличению объема вредоносного трафика, отслеживаемого компанией. Группировка использует для атак более 24 000 различных IP-адресов и уже попыталась взломать более 900 000 сайтов под управлением WordPress. Атаки достигли своего пика в прошлое воскресенье, 3 мая 2020 года, когда хакеры предприняли более 20 000 000 попыток взлома 500 000 различных доменов.

Ценные рекомендации в новой статье: Надежная защита и обслуживание сайта на WordPress

Исследователи пишут, что в основном группировка полагается на эксплуатацию разнообразных XSS-уязвимостей и с их помощью внедряет вредоносный JavaScript-код на сайты, а затем перенаправляет входящий трафик ресурсов на вредоносные сайты. Также используемая злоумышленниками малварь проверяет, не вошел ли посетитель как администратор, чтобы с помощью его учетной записи попытаться автоматически создать бэкдор.

Wordfence рассказывает, что злоумышленники применяют в своей кампании следующие уязвимости:

XSS-уязвимость в плагине Easy2Map, который был удален из репозитория WordPress еще в августе 2019 года. Попытки эксплуатации этой уязвимости составляют более половины от общего числа атак, хотя плагин установлен менее чем на 3000 сайтах;

Уязвимость XSS в плагине Blog Designer, которая была исправлена в 2019. Данные плагин используется примерно 1000 ресурсов, но эта уязвимость уже использовалась в ходе других вредоносных кампаний;

Баг в плагине WP GDPR Compliance, исправленный в конце 2018 года. Помимо прочего, проблема позволяла злоумышленникам изменять домашний URL сайта. Хотя данный плагин насчитывает более 100 000 установок, аналитики подсчитали, что в настоящее время лишь 5000 из них по-прежнему уязвимы.

Уязвимость в плаигне Total Donations, позволяющая изменять домашний URL сайта. Данный плагин был удален с Envato Marketplace в начале 2019 года, и в настоящее время насчитывается менее 1000 «живых» установок.

XSS-уязвимость в теме Newspaper, которая была исправлена в далеком 2016 году. В прошлом эту проблему тоже эксплуатировали хакеры.

Также, по мнению экспертов Wordfence, в будущем стоящая за атаками группировка может разработать новые эксплоиты и расширить свой арсенал, что повлечет за собой атаки и на другие уязвимости на сайты на WordPress.

Источник: xakep.ru

Вашему сайту требуется поддержка, обслуживание, хостинг?

Напишите нам прямо сейчас, всегда рады помочь!

Оставить заявку

← Поделиться с друзьями !

Мой WordPress сайт сканируют на наличие уязвимостей – что делать?!

Приветствую!
Вы посмотрели логи вашего сайта и обнаружили там подозрительную активность? Некие пользователи или вовсе боты просматривают технические папки WordPress, пытаясь найти файлы плагинов, которые у вас отсутствуют и т. п.

controller.php
wso.php
/wp-content/plugins/analytics-counter/view/scripts/wpadm-ga.js
/wp-content/plugins/dropbox-backup/template/js/admin-wpadm.js
/wp-content/plugins/gallery-slider/readme.txt
/wp-content/plugins/wp-handy-lightbox/readme.txt
/wp-content/plugins/revslider/css/admin.css
/wp-content/plugins/seo-keyword-page/readme.txt
/wp-content/plugins/stats-wp/readme.txt
/wp-includes/wp-inc.php
/cms/admin/
/manager
/adminzone
/admin/login.php
/mscms/
/administrator
и так далее

Я понимаю ваши опасения, однако так было всегда. Даже на моих сайтах постоянно шерстят непонятные боты, в поисках различного рода уязвимых файлов движка WordPress и используемых плагинов. Вы спросите меня, можно ли их заблокировать, дабы обеспечить всестороннюю защиту сайта на WordPress? Можно заблокировать пользователя или бота с определённым IP адресом, это да. Однако особого смысла в этом нет – IP адреса почти всегда разные.

Совет тут один – всегда использовать последнюю версию движка WordPress! Ровно тоже необходимо соблюсти и в части используемых плагинов! Только так вы сможете обеспечить защиту WordPress от взлома и посягательств со стороны недоброжелателей.

Я понимаю, что существует ситуации, когда вы заказали создание сайта. В остальные технические тонкости вы при этом не вдавались. А как-то обновив движок или плагин, сайт в итоге переставал работать правильно. Вы восстанавливали его работоспособность через службу поддержки вашего хостера и более зареклись ничего не трогать «от греха подальше».

Эта позиция утопична. Ваш сайт в конечном итоге взломают, он будет помечен поисковыми системами чёрной меткой «от греха подальше» 🙂 Пройдёт немало времени, пока вы сможете завоевать доверие поисковых систем вновь. Если до взлома вы получали наиболее количество посетителей из поисковых систем, то это может быть началом конца для вашего сайта…

Также можно поставить WordPress плагин, который показывает в панели администратора все страницы и файлы, на которые пытались перейти боты в процессе сканирования, но не находили там ничего и движком WordPress выдавалось в ответ, что такой страницы\файла не существует.

<IfModule mod_rewrite.c>
RewriteEngine On
# Блокировка XSS
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Блокируем выставление переменной PHP GLOBALS через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Блокируем возможность изменять переменную _REQUEST через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Блокировка MySQL инъекций, RFI, base64, и др. (.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
RewriteRule .* - [F]
</IfModule>

Сайт WordPress взломан. Если это случится с вами, то возникает соблазн впасть в панику. В этом посте я помогу вам определить, был ли ваш сайт взломан, проведу вас через шаги по очистке вашего сайта и помогу вам сделать его более безопасным.

Если вы не можете войти на свой сайт, это может быть признаком того, что ваш сайт был взломан. Однако, скорее всего, вы просто забыли свой пароль. Поэтому, прежде чем предположить, что вас взломали, попробуйте сбросить пароль. Если вы не можете, это предупреждающий знак. Даже если вы можете, вы все равно могли быть взломаны, и вам придется провести немного больше расследований.

Изменения могут быть более тонкими, например, добавление поддельного контента или ссылок на нежелательные сайты. Если ваш футер полон ссылок, которые вы не добавляли, и особенно если эти ссылки скрыты или имеют крошечный размер шрифта, вы могли быть взломаны.

Это случилось со мной, когда сайт для детей с ограниченными возможностями, которым я управлял, перенаправлял на сайт знакомств. Как вы можете себе представить, мой клиент был недоволен и должен был отказаться от всего, что я делал, и исправить это немедленно. Оказалось, что это была небезопасность на сервере, а не на моем сайте, что является одной из причин использовать только качественный хостинг. Я поменял хостинг-провайдера как можно скорее и почти сразу исправил взлом.

Если ваш браузер предупреждает, что ваш сайт взломан, это может быть признаком того, что ваш сайт был взломан. Это также может быть связано с некоторым кодом в теме или плагине, который вам нужно удалить, или проблемой с доменами или SSL.

При поиске вашего сайта, если он был взломан, Google может выдать предупреждение. Это может означать, что карта сайта была взломана, что повлияет на то, как Google обходит ваш сайт. Или это может быть большая проблема: вам нужно будет сделать диагноз ниже, чтобы точно узнать, что произошло.

Это одна из самых частых причин взлома. Самый распространенный пароль в мире — «password». Безопасные пароли необходимы не только для вашей учетной записи администратора WordPress, но и для всех ваших пользователей и всех аспектов вашего сайта, включая FTP и хостинг.

При покупке премиум тем и плагинов обязательно проверьте репутацию поставщика и получите рекомендации от людей и источников, которым вы доверяете. Никогда не устанавливайте nulled плагины, которые представляют собой плагины премиум-класса с бесплатных сайтов, предназначенные для причинения вреда или сбора информации.

Если вы хотите узнать больше о том, как сайты WordPress взламываются (и вы не спешите с шагами, которые необходимо предпринять, если ваш собственный сайт был взломан), вот основные пути, по которым хакеры могут попасть на ваш сайт:

Если ваш сайт размещен на Kinsta (есть такой хостер), у них есть гарантия без взлома, а это значит, что они проработают ваш сайт и удалят взлом. Если вы работаете с другим хостинг-провайдером, вам придется привлекать их, но, возможно, вам придется делать это самостоятельно.

Если вы не можете думать прямо, просто переведите свой сайт в режим обслуживания и оставьте его на несколько часов, пока не почувствуете себя спокойнее. Что, опять же, звучит легче сказать, чем сделать, но здесь это важно.

Чтобы избавить себя от хлопот всех описанных ниже шагов, вы можете приобрести услугу удаления вредоносных программ Kinsta за единовременную плату в 100 долларов, если вы не являетесь клиентом Kinsta. Важно: если вы являетесь клиентом Kinsta, это входит в ваш план!

Поскольку вы не знаете, какой пароль использовался для получения доступа к вашему сайту, важно изменить их все, чтобы хакер не смог снова их использовать. Это не ограничивается вашим паролем WordPress: сбросьте свой SFTP-пароль, пароль базы данных и ваш пароль у своего хостинг-провайдера.

Вы должны сделать это перед попыткой любых других исправлений, потому что, если плагин или тема делает ваш сайт уязвимым, любые другие исправления, которые вы делаете, могут быть отменены этой уязвимостью. Поэтому убедитесь, что все в курсе, прежде чем продолжить.

Если на вашем сайте WordPress были добавлены какие-либо учетные записи администратора, которые вы не можете распознать, пришло время удалить их. Прежде чем сделать это, уточните у любых авторизованных администраторов (если есть такие), что они не изменяли данные своей учетной записи, и вы просто не узнаете их.

Перейдите на экран «Пользователи» в админке WordPress и нажмите ссылку «Администратор» над списком пользователей. Если есть пользователи, которых не должно быть, установите флажок рядом с ними, а затем выберите «Удалить» в раскрывающемся списке «Массовые действия».

Чтобы выяснить, есть ли в вашей установке WordPress какие-либо файлы, которых не должно быть, вам нужно установить плагин безопасности, такой как WordFence, который будет сканировать ваш сайт и сообщать, есть ли там файлы, которых не должно быть, или использовать службу безопасности, такую как Sucuri.

Одной из причин того, что поисковые системы помечают сайт красным цветом, может быть взломанный файл sitemap.xml. В одном случае, который я как то исправлял, карта сайта была заражена поддельными ссылками и посторонними символами.

Вы можете восстановить свою карту сайта, используя свой плагин СЕО, но вам также нужно будет сообщить Google, что сайт был очищен. Добавьте свой сайт в консоль поиска Google и отправьте в Google отчет о файлах сайта, чтобы сообщить им, что сайт нужно сканировать. Это не гарантирует, что ваш сайт будет сканирован немедленно и может занять до двух недель. Вы ничего не можете сделать, чтобы ускорить это, поэтому вам придется набраться терпения.

Если на вашем сайте все еще есть проблемы, вам необходимо переустановить плагины и темы, которые вы еще не обновили. Деактивируйте и удалите их из своих тем и страниц плагинов и переустановите их. Если вы еще не перевели свой сайт в режим обслуживания, сделайте это в первую очередь!

Если вы купили плагин или тему у поставщика плагинов или тем и не уверены, насколько они безопасны, сейчас самое время подумать, стоит ли вам продолжать их использовать. Если вы скачали бесплатную тему/плагин из любого места, кроме репозитория плагинов WordPress или каталогов тем, не переустанавливайте его. Вместо этого установите его из каталога тем или плагинов или купите легальную версию. Если вы не можете себе этого позволить, замените его бесплатной темой/плагином из каталога тем или плагинов, который выполняет ту же или аналогичную работу.

Если это не решит проблему, проверьте страницы поддержки для всех ваших тем и плагинов. Возможно, другие пользователи испытывают проблемы, и в этом случае вам следует удалить эту тему или плагин, пока уязвимость не будет устранена.

Загрузите чистый набор файлов WordPress на свой сайт через SFTP, убедившись, что вы перезаписали старые. Рекомендуется сначала сделать резервную копию ваших файлов wp-config.php и .htaccess, на случай, если они будут перезаписаны (хотя этого не должно быть).

Если ваша база данных была взломана, вам тоже нужно ее почистить. Хорошая идея — очистить вашу базу данных, так как чистая база данных будет иметь меньше устаревших данных и займет меньше места, что сделает ваш сайт быстрее.

Как узнать, была ли взломана ваша база данных? Если вы используете плагин или службу безопасности, запустите сканирование, которое покажет вам, была ли взломана база данных (или вам, возможно, было отправлено предупреждение). Кроме того, вы можете использовать плагин, такой как «NinjaScanner«, который будет сканировать вашу базу данных.

Вы можете включить автоматическое обновление, отредактировав файл wp-config.php или установив плагин, который сделает это за вас. Если вы не хотите этого делать, потому что хотите сначала протестировать обновления, плагин безопасности сообщит вам, когда вам нужно запустить обновление.

Всегда устанавливайте бесплатные плагины и темы через каталоги тем и плагинов: не поддавайтесь искушению получить их со сторонних сайтов. Если вы покупаете премиум темы или плагины, проверьте репутацию продавца плагинов и попросите рекомендации.

Если у вас установлены какие-либо темы или плагины, но они не активированы, удалите их. Если у вас есть какие-либо файлы или старые установки WordPress в вашей среде хостинга, которые вы не используете, пришло время удалить их. Удалите все базы данных, которые вы тоже не используете.

SSL добавит уровень безопасности на ваш сайт и является бесплатным. Планы хостингов включают SSL без каких-либо дополнительных затрат. Если ваш хостинг-провайдер не предоставляет бесплатный SSL, вы можете использовать плагин SSL Zen, чтобы добавить бесплатный Let’s Encrypt SSL.

Дешевый хостинг означает, что вы будете делить пространство сервера с сотнями других клиентов. Это не только замедлит работу вашего сайта, но также повысит шансы того, что один из этих сайтов создаст небезопасную среду для сервера.

Дешевые провайдеры хостинга с меньшей вероятностью будут тщательно следить за безопасностью сервера или помогать вам, если ваш сайт взломан. Качественный хостинг-провайдер, такой как Timeweb, даст вам гарантию без взлома и приложит все усилия, чтобы обеспечить безопасность вашего сайта.

Это не дешево, но если ваш сайт имеет важное значение для вашего бизнеса, он может окупиться. Существуют разные планы, которые предлагают различные сроки выполнения исправлений безопасности. Sucuri будет следить за вашим сайтом, оповещать вас о нарушениях безопасности и исправлять его для вас. Это означает, что вам не нужно снова самостоятельно очищать свой сайт.

Если ваш сайт взломан, это неприятный опыт. Это означает, что ваш сайт недоступен для пользователей, что может повлиять на ваш бизнес. Это будет означать, что вы должны предпринять быстрые действия, которые повлияют на вашу другую деятельность.

Сайты WordPress в ноябре 2019 года стали жертвами широко распространенного вредоносного ПО для редиректа на рекламу. Многие владельцы веб-сайтов WordPress связывались с нами для решения проблемы. Она заключалась в редиректе на рекламу с сайта и даже с панели администратора. Часто главная страница оставалась нетронутой, чтобы владельцы дольше не могли обнаружить взлом.

Выполняя зачистки на этих сайтах, мы могли бы найти сходство в их хакерской манере. Все эти сайты оказались заражены одним и тем же вредоносным ПО. Это вредоносное ПО перенаправляло их сначала на вредоносный домен с именем buyittraffic [.com], а затем, наконец, на домен с именем cuttraffic [.com] или puttraffic [.com] или importtraffic [.com].

При выполнении очистки мы смогли найти файл adminer.php в корневой папке всех затронутых веб-сайтов. Поэтому можно с уверенностью предположить, что хакеры используют сценарий администратора для доступа и заражения базы данных.

Сочетание вышеуказанной информации с тем фактом, что версии WP до 4.6.3 имеют серьезную уязвимость. Эта уязвимость позволяет злоумышленникам читать локальные файлы на сервере (например, wp-config.php на WordPress). Эти файлы содержат учетные данные базы данных, которые можно использовать для доступа к базе данных.

W Добро пожаловать, друзья-энтузиасты безопасности! Сегодня я покажу вам, как взломать веб-сайт WordPress на примере CTF Mr. Robot. Я только что сам прошел через этот отличный CTF и многому научился в процессе. Я хотел повысить уровень своей игры «Анализ уязвимостей в Интернете» и начал с этого CTF.

Если вы действительно хотите изучить кибербезопасность, я настоятельно рекомендую прочитать мое огромное руководство Начало работы с кибербезопасностью в 2019 году для начинающих, в котором я научу вас, как начать, совершенно бесплатно! Также стоит ознакомиться со статьей из лучших книг о взломе в 2019 году.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ : Это «Как взломать веб-сайт WordPress» представляет собой Учебное пособие по этическому взлому, предназначенное для профессионалов в области безопасности. Не повторяю, не использует эти методы без письменного согласия принимающей стороны . Если вы используете это руководство в незаконном контексте, вас могут ждать законные обвинения и / или тюремное заключение. Используйте эти методы только в закрытых лабораторных условиях.

CTF — это так называемая игра «Захват флага», в которой ваша цель — собрать определенное количество флажков (или ключей, если на то пошло).CTF используются для отработки хакерских навыков в безопасной и законной среде. Я могу порекомендовать Vulnhub как ресурс для выбора отличных CTF.

 wpscan -u www.addressofyourtarget.com

Как видите, это ясно указывает на то, что сайт использует WordPress. Кроме того, он представляет 46 выявленных уязвимостей. Теперь большинство хостеров и последние версии WordPress по умолчанию блокируют подобное сканирование.Так что, скорее всего, это будет работать только с устаревшими версиями WordPress без какой-либо защиты от хостера.

Теперь самое сложное — узнать имя пользователя. Вы можете начать с администратора, но WordPress обычно генерирует случайное имя пользователя, поэтому это может быть сложно понять, и вам может потребоваться дополнительное исследование цели.

В примере с мистером Роботом я знаю, что имя пользователя — Эллиот (нетрудно догадаться). Вы также можете попробовать запустить Hydra для нескольких списков имен пользователей, но сначала нам нужно использовать burpsuite, чтобы получить код со страницы входа.

 sudo burpsuite

 log = root & pwd = 1234 & wp-submit = Log + In & redirect_to = http% 3A% 2F% 2F192.168.1.109% 2Fwp-admin% 2F & testcookie = 1

Давайте немного повеселимся, чтобы дать вам представление о том, как вы можете узнать имя пользователя для своей цели. Виртуальная машина, которую мы используем в этом примере, как упоминалось выше, — это Mr. Робот тематический. Так что очень вероятно, что имя пользователя будет найдено в каких-то мелочах, связанных с мистером Роботом.

 sudo cewl -w usernames.txt -d1 -m4 https://en.wikipedia.org/wiki/Mr._Robot

ls

 wpscan --url http://www.targetwebsite.com --enumerate u

 wpscan --url http://192.168.1.109/wp-login.php --passwords /usr/share/wordlists/rockyou.txt.gz --usernames elliot --wp-content-dir http: //192.168 .1.109 / wp-login.php

 nc -lvp 443

И мы на месте! Мы не только взломали учетную запись администратора WordPress, но и получили доступ к самому серверу. Отсюда вам нужно использовать свои навыки, чтобы получить повышенный доступ, но теперь это не должно быть слишком сложно.

* Все методы, представленные в обучающих материалах на ceos3c.com, предназначены исключительно для образовательных целей.
Все методы, изложенные здесь, предназначены для использования только в закрытых лабораторных условиях или с согласия другой стороны.
Если вы используете любой из этих методов в незаконных целях, Ceos3c не несет ответственности за возможные законные последствия.

Как и любое другое веб-приложение с формой входа, WordPress отправляет ваше имя пользователя и пароль в HTTP-запросе при входе в систему. По умолчанию HTTP не является зашифрованным протоколом. Это означает, что если ваш веб-сайт WordPress не использует HTTPS, обмен данными между вами и веб-сервером может быть перехвачен.

Хакеры со злым умыслом могут легко перехватить и изменить открытый (незашифрованный) HTTP-трафик вашего веб-сайта WordPress.Естественно, одной из самых интересных частей информации для злоумышленника будут ваши учетные данные администратора WordPress.

Программное обеспечение, используемое для проведения атак Man-in-the-Middle (MitM), свободно и широко доступно. В этой статье будут рассмотрены несколько реальных примеров того, как MitM можно использовать для управления вашим веб-сайтом WordPress. Затем он рекомендует, как лучше от них защититься.

Атака «человек посередине» (MitM) — это общий термин для атак, при которых хакер позиционирует себя как посредник между отправителем и получателем.Например, между вашим браузером и веб-сайтом, который вы посещаете. Это позволяет злоумышленнику подслушивать, а во многих случаях также изменять контент по мере его отправки и получения между двумя сторонами. В большинстве случаев, если они захватят учетные данные, они могут войти в систему и взломать ваш сайт WordPress.

Атаки типа Man-in-the-Middle (MitM) обычно (не всегда) предполагают, что злоумышленник находится в той же локальной сети (LAN), что и вы.Одна из наиболее распространенных атак MitM включает спуфинг ARP. Мельчайшие подробности спуфинга ARP выходят за рамки этой статьи. Однако результат успешной атаки с подменой ARP приведет к тому, что ваш сетевой коммутатор или маршрутизатор будет обманут , думая, что , что машина злоумышленника — это ваша машина, и наоборот.

Результатом этого является то, что вместо того, чтобы каждая сторона отправляла данные друг другу напрямую, они сначала отправляют их злоумышленнику. Чтобы все выглядело нормально, злоумышленник направляет трафик в правильное место назначения. Однако это дает злоумышленнику возможность проверять и даже изменять содержимое передачи.

HTTP — это протокол без сохранения состояния. В HTTP сервер не придает особого значения запросам, поступающим через один и тот же сокет TCP. Это означает, что если вы не хотите вводить пароль каждый раз, когда запрашиваете страницу, браузеру необходимо хранить временный токен. Этот токен известен как токен сеанса . Браузер автоматически отправляет этот токен с каждым запросом. К счастью, в браузерах есть для этого встроенный механизм — файлы cookie. Вот почему удаление файлов cookie вашего браузера приведет к выходу из всех веб-сайтов.

Атаки типа Man-in-the-Middle, подобные показанной в этой статье, не требуют больших усилий для злоумышленника. Особенно в общедоступных или плохо защищенных сетях, таких как общедоступный Wi-Fi. К счастью, защитить себя от этих хакерских атак очень просто — убедитесь, что на вашем веб-сайте WordPress включен и применяется протокол HTTPS.

Главное, что нужно знать о последствиях для безопасности WordPress, это то, что неопытные веб-мастера часто портят настройки CMS и делают ее уязвимой для хакеров, в то время как для того, чтобы усилить WordPress, не требуются сверхсовременные технические навыки. .

Конечно, возможность взломать раздел администратора WordPress (обычно расположенный по адресу «wp-admin») — это не то же самое, что защита доступа r00t, для этого вам нужно будет попасть на сервер, который выходит за рамки этого мини-урока.

В этом ресурсе я также продемонстрирую, как безопасно защитить свой сайт от этих взломов и убедиться, что ваша установка WordPress свободна от таких попыток взлома в Интернете, поэтому хорошая новость заключается в том, что после прочтения этого руководства вы быть в гораздо более безопасном месте.

С точки зрения предотвращения (я объясню это ниже), самое важное, что вы можете сделать, на самом деле безумно просто: измените свое имя пользователя с «admin» на что-то более сложное и, что неудивительно, убедитесь, что что ваш пароль невероятно сложен.Да, я знаю, что вам сказали ad nuseum о важности обеспечения безумно надежного пароля, но правда в том, что это почти все, что вам нужно для предотвращения взлома вашего веб-сайта WordPress. Я бы сказал, что 98% все «скрипт-кидди» хаки.

Инструменты взлома, необходимые для этого взлома, — это WPScan и надежная установка Linux (операционная система).Хотя Kali Linux не обязательно должна быть платформой Linux, она предпочтительна просто потому, что она поставляется со всеми необходимыми инструментами для выполнения этого взлома WordPress.

Другими инструментами, которые можно использовать для WordPress Brute Force, являются THC Hydra, Tamper Data и Burp Suite. Есть масса других инструментов, которые вы можете использовать, но, по сути, только что упомянутые могут считаться самыми популярными хакерскими инструментами для этой задачи.

Просмотрите исходный код любой HTML-страницы через любой браузер, затем нажмите CTRL + F, введите «тема», и если вы увидите кучу веб-ресурсов, подобных приведенному ниже, то ваша жертва почти наверняка использует WordPress в качестве своей CMS.
Другой способ доказать, что веб-сайт использует WordPress — ввести /wp-admin.php после домена. Если он показывает общую административную панель входа в WordPress, тогда не потребуется ученый-ракетчик, чтобы установить, что наша цель действительно использует WordPress.

Теперь, когда вы установили, что цель действительно использует WordPress, следующая задача — подтвердить, с кем вы имеете дело. Если вы видите какие-либо дополнительные функции безопасности , которые были реализованы, такие как форма Captcha, или любая другая форма механизма защиты от роботов, это, конечно, говорит вам, что веб-мастер знает, насколько легко можно взломать в WordPress как пользователь и принял превентивные меры.

Дополнительные функции и меры безопасности (которые, честно говоря, довольно редки в большинстве случаев; особенно для относительно низкого уровня трафика), с которыми вы можете столкнуться, были настроены для предотвращения атак грубой силы (что мы и будем отображается чуть ниже по странице).

Следующим на повестке дня стоит проверка того, что имя пользователя «admin» используется.Для этого просто введите «admin» и введите любой бессмысленный пароль, и если вы получите следующее сообщение об ошибке, то вы знаете, что существует имя пользователя с именем «admin», которое, что неудивительно, вероятно, имеет «права администратора». Опять же, как сноска, если у вас есть учетная запись, в которой используется администратор, я бы посоветовал вам либо удалить ее, либо быстро изменить.

Хакеры охотятся на легкие цели с минимальными усилиями.Хакер взломает ваш сайт через входную дверь. Это связано с тем, что использует входную дверь не защищена. Вход на сайт через парадный вход состоит из 3 этапов. Сначала им нужно знать URL-адрес страницы входа в WordPress. Во-вторых, им нужно знать действующее имя пользователя, В-третьих, им нужно знать пароль. В этой статье я научу вас, как взломать сайт WordPress.

Хакеры обычно пытаются использовать информацию по умолчанию для взлома веб-сайта WordPress. Страница входа администратора WordPress по умолчанию всегда будет выглядеть так: www.mysite.com/wp-admin/. Одна только эта страница wp-admin по умолчанию будет побуждать хакеров продолжать взламывать веб-сайт WordPress. Простое изменение этой страницы входа по умолчанию может отпугнуть хакеров от попыток входа администратора на ваш сайт и перейти к другой цели.

Отлично, теперь мы знаем страницу входа на целевой веб-сайт. Следующим шагом будет обнаружение действительного имени пользователя. Скорее всего, администратор веб-сайта использует страницу входа по умолчанию, вероятно, он использует имя пользователя admin по умолчанию.Имя пользователя WordPress по умолчанию, естественно, «admin». Мы уже знаем 2 из 3 частей информации, которые нам нужны, чтобы взломать веб-сайт WordPress через входную дверь. Далее обнаруживается действующий пароль для имени пользователя.

Теперь, когда мы знаем страницу входа администратора и имя пользователя, мы прошли более 50% пути к веб-сайту WordPress. Чтобы узнать пароль, можно использовать несколько различных методов. Один из способов — использовать список наиболее часто используемых паролей.Согласно SplashData, 25 самых популярных паролей составляют более 10% всех паролей. В результате, ввод этих популярных паролей может предоставить вам доступ к сайту. Если это не сработает, мы все равно можем попробовать другой метод.

Один из методов, который хакеры используют для взлома веб-сайта WordPress, — это атака методом грубой силы. Атака полным перебором направлена исключительно на угадывание ваших паролей. Во многих случаях пароли менее чем безопасны.Отсюда важность создания надежных паролей с произвольными символами. Подумайте об этом так: сколько времени вам понадобится, чтобы угадать двузначный пароль? Первые символы должны быть выбраны от 0 до 9, вторая цифра должна быть выбрана от 0 до 9. Это означает, что всего будет 10 * 10 = 100 возможных комбинаций. Если вы можете вводить одну уникальную комбинацию в секунду, это займет у вас всего 100 секунд, чтобы взломать.

Онлайн-пароли работают аналогичным образом. Онлайн-пароли состоят из буквенно-цифровых комбинаций, означающих, что каждый символ может быть числом или алфавитом (нижний или верхний регистр).8 = 281 474 980 000 000 уникальных комбинаций. В результате каждый добавленный персонаж экспоненциально увеличивает силу. Хакеры находчивы и легко применяют тактику грубой силы, чтобы угадать правильные комбинации паролей.

Предотвратите эти атаки, создав надежные пароли, длина которых превышает минимально необходимую длину. Точно так же мы можем ограничить количество попыток входа в систему любым пользователем. Один плагин WordPress, который вы можете использовать для реализации этой защиты, известен как «Блокировка входа в систему».Подобные плагины входа в систему также позволяют ограничить попытки входа в систему до 5 попыток за каждые 10 минут, в противном случае данный пользователь будет заблокирован на 24 часа. Самая примечательная часть заключается в том, что эти 3 параметра могут быть изменены по мере необходимости.

Один из методов, который вы можете использовать для взлома веб-сайта WordPress, — это метод доступа через черный ход. Метод входа через бэкдор предполагает отсутствие прав администратора для изменения сайта. С входом в бэкдор вы найдете способ использовать существующий код для предоставления вам доступа.Обычной практикой среди веб-разработчиков является включение кода PHP, чтобы предоставить им доступ к веб-сайту, даже если у них нет прав пользователя. Разработчики используют приведенный ниже код PHP как способ взломать веб-сайт WordPress. Многие разработчики будут включать PHP-код для создания нового пользователя-администратора. Пример этого кода может выглядеть так:

Некоторые новые разработчики могут не полностью понимать код и оставляют этот черный доступ к строке по умолчанию «knockknock».Вход таким образом будет выглядеть примерно так: http://www.yourdomain.com/?backdoor=knockknock . Это немедленно предоставит злоумышленникам возможность создать нового пользователя с множеством привилегий для доступа к конфиденциальным данным. Одна из рекомендаций — изменить строку по умолчанию «knockknock» на что-то уникальное только для вас.

Первый индикатор того, что происходит взлом, — это когда ваши учетные данные больше не работают. Тогда вы не найдете имя пользователя, и пароль больше не будет работать. Еще одна вещь, связанная со взломанным сайтом, — это изменение или удаление текущих пользователей.

Проведем визуальный осмотр. Обнаружение незнакомого контента — один из явных индикаторов того, что ваш сайт затронут.В результате это добавление контента, добавленного не авторизованным пользователем, является признаком несанкционированного доступа. Вы также можете просмотреть исходный код сайта. Когда вы замечаете новые строки кода, которые не добавлялись ни одним пользователем, это означает, что произошло нарушение. Хакер может добавить страницу, используя ваш URL, в личных целях. Вы также можете заметить нового подозрительного пользователя в списке пользователей. Этот указывает на новую учетную запись пользователя, созданную хакером.

Еще один четкий индикатор может включать учетные записи электронной почты вашего сайта WordPress.По этой причине вы можете обнаружить, что не можете отправлять или получать электронные письма. Кроме того, это может означать, что на ваш сайт проник хакер. Одна из причин невозможности отправлять электронные письма заключается в том, что хакер использует сервер для отправки большого количества спама.

Внезапное изменение посещаемости сайта — явный признак того, что атака продолжается. Точно так же внезапное падение трафика может означать, что хакер начал перенаправлять ваш трафик на свой вредоносный веб-сайт.Вредоносный код на вашем сайте также может отслеживать внимание со стороны Google, в результате чего ваш сайт попадает в черный список. После внесения в черный список ваш сайт больше не будет отображаться в результатах поиска Google.

С другой стороны, у вас может быть значительно большее количество посетителей в день. У таких посетителей показатель отказов обычно составляет 100 процентов. Таким образом, этот новый большой объем трафика является явным признаком атак, пытающихся взломать вашу веб-страницу WordPress. Чтобы бороться с этим, вы можете использовать один инструмент для мониторинга — это Google Analytics.Google Analytics — это мощный инструмент, который поможет вам идентифицировать многие аспекты вашего веб-сайта. Google Analytics также может помочь вам узнать, сколько посетителей вы получаете ежедневно и откуда они приходят.

В заключение, не путайте работающий сайт с безопасным. Когда сайт небезопасен, он уязвим для атаки. Время от времени отслеживайте свой веб-сайт с помощью инструментов Google Analytics или Google Webmasters.Чтобы узнать больше о безопасности веб-сайтов, я рекомендую эту статью о безопасности, в которой подробно рассказывается о том, какие правильные меры следует предпринять. Сайты WordPress по своей сути являются целями из-за популярности. Вы также можете заменить слабые пароли надежными паролями. Установите правильные права доступа к файлам, то есть для файлов WP установлено значение «644», для всех папок должно быть установлено значение «755». Держите свой WordPress в актуальном состоянии. Своевременно обновляйте плагины. Устанавливайте плагины только из надежных источников.

WordPress — популярная цель среди хакеров и часто считается небезопасной.Я хочу объяснить, как взламывают сайты WordPress и что вы можете с этим поделать. Даже не касаясь кода или сложных плагинов, защитить ваш сайт вполне реально.

Проблема для большинства пользователей WordPress заключается в том, что они даже не знают, подвергается ли их сайт атаке хакеров или нет. Атаки часто начинаются с того, что боты пытаются найти действительное имя пользователя и пароль, просто перечисляя сотни тысяч комбинаций имени пользователя и пароля в вашем URL-адресе wp-login. php. Эти атаки называются атаками методом перебора или атаками по словарю.WordPress не сообщает вам об этом типе событий из коробки, так как же вы должны знать, случаются ли подобные атаки?

Если у вас нет брандмауэра или плагина, который измеряет эти атаки, вы не узнаете, подверглись ли вы атаке, если только не будет слишком поздно и хакер получит доступ. На этом скриншоте видно, что мой сайт WP Mastery ежедневно подвергается атакам. Эти цифры очень низкие, но со временем они накапливаются. С октября 2018 года мой сайт атаковали 1308 раз.

Я не пытаюсь нарисовать здесь мрачную картину, но предполагаю, что атаки, пытающиеся взломать сайты WordPress, будут скорее увеличиваться, чем уменьшаться. Причина — экономическая: количество сайтов WordPress неуклонно растет, и поэтому они становятся все более и более популярной целью для хакеров. Поскольку большинство взломов выполняется автоматизированным программным обеспечением, создание бота, способного взломать сотни тысяч сайтов одновременно, может оказаться прибыльным делом.

WordPress по умолчанию небезопасны, и хорошие хостинговые компании принимают активные меры для защиты сайтов своих клиентов.Liquid Web, безусловно, серьезно относится к безопасности и внедрила эффективные механизмы защиты. Это похоже на то, как компьютеры с Windows со временем взламывают. Поскольку Windows не обслуживается должным образом (например, ожидающие обновления не устанавливаются или неиспользуемое программное обеспечение не удаляется), WordPress также требует некоторой работы для обеспечения безопасности. Но если вы поработаете, все будет в порядке.

Хватит исходной информации, давайте рассмотрим, как взламывают сайты WordPress и как думают хакеры. Есть ряд точек входа, которые хакеры могут использовать, чтобы получить доступ к вашему сайту. В этой статье вы узнаете о самом важном, чтобы случайно не оставить дверь открытой на своем сайте.

Прежде всего, вы должны понимать, что атаки будут происходить независимо от того, насколько большим или маленьким вы считаете свой сайт. Хакеры пишут автоматизированные скрипты, которые сканируют весь Интернет в поисках сайтов WordPress и автоматически анализируют каждый сайт, который они находят. Эти скрипты будут сканировать ваш сайт на предмет распространенных недостатков, которые я перечислил ниже, и они не пропустят ваш сайт только потому, что у вас всего 1000 посетителей в месяц. В этом мире нет лицензии на щенков для маленьких или молодых участков.

Сначала хакер сканирует ваш сайт на предмет имен или адресов электронной почты зарегистрированных пользователей. Их легко найти на страницах авторского архива. Хакеры знают, что последняя часть URL-адреса представляет собой имя данного пользователя. Иногда хакеры даже не сканируют имена пользователей и просто пробуют общие логины, такие как «admin», «administrator» или «root».

Зная, какие имена пользователей использовать в своих атаках, хакеры запускают вторую фазу.Атаки методом грубой силы пробуют случайные комбинации символов, цифр и специальных символов, чтобы найти действительный пароль. В таких случаях найти действительный пароль — просто удача.

Атаки по словарю, с другой стороны, структурированы немного иначе. У хакеров есть текстовые файлы, содержащие миллионы слов из словарей (отсюда и название). Их скрипты пытаются войти на ваш сайт, комбинируя каждое слово в этих файлах с заданным именем пользователя.

Обе атаки запускают миллионы попыток входа на ваш сайт за короткий промежуток времени.Но если ваш сайт не уведомит вас о неудачных попытках входа в систему, вы никогда не узнаете, что хакерский скрипт пытается взломать ваш сайт. Эти неудачные попытки входа в систему просто накапливались в фоновом режиме, и вы знали, что ваш сайт был взломан, когда хакер получил доступ и сделал что-то плохое с вашим сайтом.

Жаль, что сайты до сих пор взламывают подобным образом, тем более, что WordPress поставляется с генератором паролей, который позволяет создавать безопасные пароли, а также с учетом того, что надежные пароли легко обеспечить.

Вторая распространенная слабость, которую любят использовать хакеры, — это использование на сайтах устаревших версий WordPress, тем или плагинов.Вам не нужно долго искать пример этого типа атаки, просто изучите уязвимости, исправленные в плагине WP Cost Estimation версии 9.644, ошибку в WordPress версии 4.9.8, которая может привести к удаленному выполнению кода или безопасности. проблема с версиями WooCommerce до 3.5.4.

Несмотря на то, что эти сайты в некоторой степени технические, не попадитесь в ловушку, думая, что они не имеют значения, потому что вы их не понимаете. Хакеры уже активно используют эти проблемы безопасности.Итак, вам лучше создать резервную копию вашего сайта и обновить ее прямо сейчас, если один из этих примеров соответствует вашему сайту. Я серьезно, сделайте это сейчас и вернитесь к статье после обновления.

Даже с автоматическим обновлением я все еще вижу много устаревших сайтов WordPress. Общаясь с их владельцами, я часто слышу, что нетехнические пользователи WordPress беспокоятся о том, что обновления ломают вещи. Если это так, возьмите в свои руки управляемый хостинг Liquid Web.Попросите разработчиков Liquid Web протестировать все обновления и убедиться, что они не нарушат работу вашего сайта. Инвестиции в управляемый хостинг намного дешевле, чем исправление взломанного сайта (если это вообще возможно). Поскольку цены на Liquid Web начинаются с 10 долларов за сайт в месяц, на самом деле нет причин не выбирать их управляемый хостинг WordPress.

Независимо от того, умеете ли вы кодировать или нет, вам необходимо регулярно обновлять ваш сайт. Управляемый хостинг или сервисные агентства WordPress, такие как мое, — лучшие варианты, которые у вас есть, если вы не уверены, что самостоятельно обрабатываете обновления.

Мы все знакомы с социальной инженерией по нашим почтовым ящикам. Каждый раз, когда мы получаем электронное письмо, которое выглядит так, как будто оно от PayPal, но содержит несколько ошибок, таких как опечатки или странные URL-адреса, мы (надеюсь) распознаем это и удаляем его. Мы знаем, что PayPal никогда не отправит подобное электронное письмо, и понимаем, что хакер просто попытался использовать фишинг для нашего входа в PayPal. Подобные электронные письма отправляются для входа в банк, входа в магазин и т. Д.

Возможно, то же самое может произойти и с вашим сайтом.Сканируя ваш сайт, хакеры могут идентифицировать адреса электронной почты ваших пользователей и затем отправлять им фишинговые письма. Иногда хакеры будут притворяться разработчиками WordPress, аналитиками безопасности, сотрудниками вашей хостинговой компании или любой другой службы, которой может потребоваться вход на ваш сайт. Мы должны быть очень осторожны с такими электронными письмами. Сайты WordPress взламывают не только за счет эксплуатации своего кода, но и за счет эксплуатации своих пользователей с помощью подобных писем.

Хотя вы можете подумать, что этого не может случиться с вами, потому что вы единственный пользователь, возможно, вы правы.Вы лично можете знать об этой угрозе безопасности. А как насчет других пользователей? Скажем, например, у вас есть успешный магазин WooCommerce и в вашей базе данных есть сотни или даже тысячи учетных записей клиентов. Знают ли они, что социальная инженерия пытается скомпрометировать их логин?

Если вы хотите понять, как работает социальная инженерия, есть очень интересные книги по этой теме — даже на таких сайтах, как Amazon. Один из них — «Социальная инженерия: наука о взломе человека», очень интересное чтение не только для (начинающих) хакеров или профессионалов в области безопасности.Если вы хотите понять, как думают хакеры, я очень рекомендую это!

PHP — это язык программирования, на котором написаны большие части WordPress. Это также программное обеспечение, работающее на вашем веб-хосте, которое преобразует язык программирования в веб-сайт, который вы видите в своем браузере. И да, даже если вы не умеете кодировать, вам нужно позаботиться об использовании обновленной версии PHP.

Несколько недель назад вы могли получить сообщение от вашей хостинговой компании о том, что вам необходимо обновить версию PHP.С последним обновлением WordPress (5.1) вы даже увидите сообщение об устаревших версиях PHP на своей панели инструментов — вот насколько важна эта тема.

Проблема связана с версией PHP 5, выпущенной в августе 2004 года. Помните, что тогда песня «Yeah» Ашера была номером один, Windows XP находилась на пике своего развития, будучи всего три года назад, а экономика США оправилась от DotCom пузырь. Вот сколько лет PHP версии 5.

31 декабря 2018 г., PHP 5.6 подошел к концу. Это означает, что если вы все еще используете его, вы не получите никаких дополнительных исправлений безопасности. Общеизвестные уязвимости больше НЕ будут исправляться. Вы буквально приглашаете хакеров взломать ваш сайт, если вы все еще используете PHP 5.6 или даже PHP 7.0 (срок службы которого подошел к концу 3 декабря 2018 г.).

Обновление до PHP 7.1 или 7.2, скорее всего, пройдет гладко. Это повысит скорость загрузки и повысит безопасность. Даже если вам, возможно, придется нанять разработчика, чтобы сделать (действительно старые) устаревшие функции вашего сайта совместимыми, на самом деле нет никакого способа обойтись без обновления PHP, если вы заботитесь о стабильном и безопасном веб-сайте.

Вы только что узнали о четырех способах взлома сайтов WordPress. Давайте снабдим вас знаниями, необходимыми для предотвращения взлома вашего сайта. Эти советы могут буквально спасти ваш сайт, особенно если вы не веб-разработчик.

Обеспечьте соблюдение надежных паролей для ваших пользователей. WordPress имеет встроенный механизм для создания надежных паролей и такие инструменты, как LastPass, которые помогут вам безопасно управлять этим паролем.Я рекомендую для любого пароля не менее 16 символов.

Эта статья ни в коем случае не является исчерпывающим списком взломов сайтов WordPress, но предназначена для того, чтобы дать вам обзор распространенных рисков безопасности WordPress.Точно так же контрольный список охватывает только основы, есть еще много вещей, которые вы можете сделать, чтобы укрепить свой сайт WordPress.

В этом руководстве я покажу вам, как использовать WPScan и Metasploit для легкого взлома веб-сайта WordPress. Вы узнаете, как сканировать сайты WordPress на предмет потенциальных уязвимостей, использовать уязвимости, чтобы владеть жертвой, перечислять пользователей WordPress, подбирать учетные записи WordPress и загружать печально известную оболочку meterpreter в систему цели с помощью Metasploit Framework.

Важно отметить, что даже если WPScan не может определить версию определенного плагина, он распечатает список всех потенциальных уязвимостей.Полезно потратить время на просмотр, индивидуальное посещение ссылочных сайтов и выполнение этих эксплойтов, чтобы определить, уязвим ли целевой сайт для них или нет. Тот факт, что версия плагина не может быть определена, не означает, что сайт не уязвим.

Полезно потратить время на изучение уязвимостей, индивидуальное посещение ссылочных сайтов и выполнение этих эксплойтов, чтобы определить, уязвим ли целевой сайт для них или нет. Тот факт, что версия плагина не может быть определена, не означает, что сайт не уязвим.

Если ваш сайт WordPress был взломан, его будет сложно восстановить.Это особенно верно, когда у вас мало технических знаний. Но не позволяйте страху взять верх и сделать что-то необдуманное или глупое. Работа со взломанным сайтом WordPress похожа на преодоление любой другой проблемы — это не весело, но и не конец света.

В любой момент более 150 000 веб-сайтов малых предприятий в США заражены каким-либо вредоносным ПО. Большинство людей думают, что их веб-сайты не подвержены атакам из-за отсутствия ценной или конфиденциальной деловой информации. Но у большинства хакеров есть другие причины для этих действий, например:

Вот почему, независимо от типа или цели вашего веб-сайта, вы — вероятная цель для хакеров. Как только ваш сайт заработает, это несет в себе определенный риск.Но с учетом того, что WordPress используется 37,8% всех веб-сайтов в мире, нетрудно понять, почему он является желанной целью для хакеров.

У вас есть множество вариантов защиты вашего сайта от хакерских атак. Некоторые из них легко реализовать, но средний владелец веб-сайта часто забывает о лучших методах защиты своего сайта. Вот почему лучше приобрести плагин двухфакторной аутентификации WordPress, поскольку вы можете реализовать его за считанные минуты.

Используя 2FA, вы резко снижаете вероятность доступа хакеров к вашему сайту. Это применимо даже тогда, когда они крадут ваши учетные данные.Лучше всего поищите плагины безопасности WordPress с функциями брандмауэра и сканирования вредоносных программ.

В большинстве случаев устаревшее программное обеспечение имеет уязвимости, исправленные более поздними версиями. Таким образом, если вы используете устаревшие плагины, темы и другие приложения, вы подвергаете себя дырам в безопасности. Хакеры могут часто использовать эти эксплойты, что делает их частой причиной взлома веб-сайтов WordPress.

В арсенале этих хакеров WordPress есть множество бесплатных инструментов и скриптов для сканирования.Они используют их для выявления и использования уязвимостей веб-сайтов WordPress. Хакер с солидным опытом и ресурсами может делать это массово.

Когда вы думаете о безопасности вашего сайта WordPress, ваш пароль пользователя является вашей первой линией защиты. В конце концов, когда хакеры угадывают ваши учетные данные, они получают те же привилегии, что и вы на своем веб-сайте. Это не лучший вариант, независимо от важности ваших данных.

Эта эпидемия ненадежных паролей не так изолирована, поскольку многие люди используют пароли. Если вы позволяете кому-то управлять вашим сайтом, научите его качеству надежного пароля. Например, он должен состоять из заглавной буквы, специального символа и иметь длину не менее восьми символов.

Очистка взломанного сайта WordPress начинается с глубокого вдоха. Если вы станете нервничать или рассердитесь по поводу своей ситуации, это не поможет. Это избавит вас от столь необходимой концентрации, чтобы ваш сайт снова заработал.

Когда взлом завершится, проверьте различные аспекты своего веб-сайта и выясните несколько вещей. Во-первых, проверьте, можете ли вы войти в систему с помощью панели администратора WordPress. Посмотрите, не перенаправляет ли ваш веб-адрес на другой веб-сайт, и поищите незаконные ссылки.

Большинство известных хостинговых компаний помогут вам в этой ситуации. Те, у кого есть опытный персонал, уже справились с этими проблемами, поэтому у них есть средства, чтобы помочь. Вот почему, прежде чем брать дело в свои руки, попросите своего хостинг-провайдера дать ценный совет.

Если ваш веб-сайт использует общий сервер для хостинга, это может быть полезным инструментом для решения вашей хакерской ситуации. Это позволит вам определить, использовал ли хакер другой веб-сайт на вашем сервере, чтобы попасть на ваш.В этом случае у вашего хостинг-провайдера есть необходимые вам ответы.

Кроме того, они, вероятно, сообщат вам, где находится бэкдор вашего сайта. Это помогает определить, какая часть вашего сайта была взломана. Но идеальная ситуация — это когда ваша хостинговая компания берет на себя ответственность и помогает очистить ваш сайт.

Но вместо того, чтобы заниматься взломом, вы должны получить хостинговую компанию с беспрецедентной скоростью, безопасностью и поддержкой. Ознакомьтесь с нашими функциями и посмотрите, подходим ли мы для вашего веб-сайта WordPress.

Если атака на ваш веб-сайт настолько серьезна, лучшим выбором будет нанять профессионала. Очистить его как можно скорее — в ваших интересах, поскольку уязвимый веб-сайт становится все труднее восстановить, чем дольше вы ждете. Чем быстрее вы устраните проблемы, тем безопаснее станет ваш сайт.

Это также лучший вариант, если вы не разбираетесь в технологиях. Это также работает, когда вы не хотите ничего испортить при восстановлении своего сайта. В таких ситуациях у вас больше шансов усугубить ситуацию, если вы не уверены в том, что делаете.

Если вы регулярно создаете резервную копию своего сайта, это лучшее время для вас, чтобы похлопать себя по плечу. Вам намного проще восстановить версию веб-сайта, которая была до взлома. Помните, что при восстановлении старой резервной копии вашего веб-сайта она полностью возвращается к этой версии.

Это означает, что опубликованный вами контент и другие изменения, внесенные вами после него, исчезнут.Но их потеря часто является небольшой платой за получение чистого веб-сайта. Выбирая этот вариант, помните, что восстановление старой версии по-прежнему делает ее уязвимой для будущих атак.

После того, как вы восстановите свой веб-сайт с помощью этого метода, приложите больше усилий для вашей безопасности. Добавьте плагины безопасности и усвоите передовой опыт. Таким образом вы сможете лучше избегать злонамеренных атак по мере продвижения вперед.

Разве резервное копирование веб-сайта невозможно? Если это так, очистка кода вручную тоже подойдет. Делайте это только в том случае, если восстановление до старой версии избавляет от слишком большого количества ценных улучшений.

Устаревшие плагины и темы часто становятся небесами для хакеров. Они используют их для доступа к вашему сайту и создания бэкдора. Таким образом, им будет проще попасть на ваш сайт, поскольку он обходит обычные методы аутентификации.

Если вы считаете, что хакеры получили доступ к вашему сайту через черный ход, пора установить плагины безопасности. Таким образом вы сможете найти все бэкдоры и вредоносный код на своем веб-сайте.Не отключите его даже после завершения процесса восстановления, поскольку он позволяет удалять угрозы до того, как они станут серьезными.

Проверьте своих пользователей WordPress и проверьте их разрешения. Этот аудит позволяет вам убедиться, что только вы и члены вашей команды можете получить доступ к вашим учетным записям администратора. Это также покажет, были ли подделаны ваши учетные записи пользователей или добавлены новые учетные записи пользователей.

Обратите внимание, вы не ограничены изменением этих паролей. Посмотрите на все компоненты своего веб-сайта и измените пароли всего, что может помочь хакеру получить доступ к вашему веб-сайту. После этого воспользуйтесь генератором паролей, чтобы убедиться в его надежности и уникальности.

Измените секретные ключи и соли после того, как закончите. Это улучшит безопасность вашего сайта WordPress. Самое приятное то, что у вас есть много вариантов плагинов, чтобы упростить этот процесс, даже если у вас нет технического опыта.

Сделав этот последний шаг, вы можете быть уверены, что ваш веб-сайт снова в безопасности. Это не значит, что хакеры больше не попытаются, так что будьте бдительны. Помните, что безопасность WordPress — это постоянные усилия, поэтому с этого момента отнеситесь к этому серьезно.

Это то, что вы должны сделать, чтобы восстановиться после взлома WordPress. Помните об этом, чтобы стать менее желанной целью для хакеров в будущем. Не позволяйте своему сайту стать жертвой программ-вымогателей или других опасных хакерских действий.

Ноябрь 2024
Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

Как сайт на wordpress взломать: Ломаем и защищаем WordPress своими руками — «Хакер»

2 Примера взлома и лечения Вордпресс

Как хакеры взламывают сайты

Что случилось с сайтами

Как хакеры взламывают сайты

Подбор логина и пароля

Устаревшая версия ПО

Бэкдоры

Базовые требования к безопасности сайта

Типичные взломы сайтов

Фармацевтические взломы

Вредоносные редиректы

Тестирование и очистка сайта после взлома

Проверьте сайт в этих сервисах:

Более простой способ:

Удаление вредоносного кода

Обновите ПО, смените пароли, ключи и соли

Как удалить сайт и IP из черных списков

Плагины, которые помогут очистить сайт

Sucuri Security

Wordfence

iThemes Security

All in One WP Security & Firewall

Security Ninja

VaultPress

Theme Check

Plugin Security Scanner

Plugin Check

Как очистить сайт на WordPress, если его взломали

Поделиться ссылкой:

Понравилось это:

Взлом WordPress. Атаки хакеров 2020 новые данные от xakep.ru

Атаки хакеров начались 28 апреля 2020

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта на WordPress прямо сейчас!

Новость от cnews.

Информация от xakep.ru на 28 апреля:

Wordfence рассказывает, что злоумышленники применяют в своей кампании следующие уязвимости:

Вашему сайту требуется поддержка, обслуживание, хостинг?

Напишите нам прямо сейчас, всегда рады помочь!

Мой WordPress сайт сканируют на наличие уязвимостей – что делать?!

Чем опасно сканирование ботом моего сайта?

Как защититься от взлома ботом сайта WordPress?

Что ещё можно предпринять, дабы уберечься от взлома?

Защита от взлома сайта на WordPress | Вопросы-ответы на Wiki

Как исправить и очистить взломанный сайт на WordPress

WordPress взломан: признаки того, что ваш сайт WordPress находится под угрозой

Вы не можете войти

Ваш сайт изменился

Ваш сайт перенаправляет

Предупреждения браузера

Предупреждения поисковой системы

Почему сайты на WordPress взламываются

1. Небезопасные пароли

2.

3. Небезопасный код

Как происходит взлом WordPress?

WordPress сайт взломан: что делать (пошаговое руководство)

Шаг 1: Не паникуйте

Шаг 2. Переведите ваш сайт в режим обслуживания

Шаг 3: Воспользуйтесь сервисом удаления вредоносных программ

Шаг 4: Сбросить пароли

Шаг 5: Обновите плагины и темы

Шаг 6: Удалите пользователей

Шаг 7: Удалите ненужные файлы

Шаг 8. Очистите файл Sitemap и повторно отправьте его в Google

Шаг 9: Переустановите плагины и темы

Шаг 10: Переустановите WordPress

Шаг 11: Очисти свою базу данных

Как предотвратить взлом вашего сайта WordPress

1. Убедитесь, что все пароли в безопасности

2. Держите ваш сайт обновленным

3. Не устанавливайте небезопасные плагины или темы

4. Очистите вашу установку WordPress

6. Избегайте дешевого хостинга

7. Настройте брандмауэр

8. Установите плагины безопасности

9. Подумайте о службе безопасности

Подведем итог

Навигация по записям