Разное

WordPress взлом сайта: Под прессом. Ломаем и защищаем WordPress своими руками

Содержание

Простой способ взлома популярных CMS (WordPress, Joomla, DruPal и другие) — Инструменты

Небольшой мануал по использованию программы XAttacker. Поскольку программа создана проверять большое количество сайтов, то также покажу примеры составления списков сайтов.

Программа XAttacker умеет искать сайты по доркам (через Bing) или работать с вашим списком сайтов, затем автоматически определяет CMS у каждого сайта и проверяет наличие популярных уязвимостей. Поддерживаемые системы управления контентом: WordPress, Joomla, DruPal, PrestaShop и Lokomedia. Если уязвимость найдена, то на сайт закачивается шелл.

Поскольку проверки полностью автоматизированные, а список знакомых программе уязвимых плагинов ограничен, то самое очевидное применение программы:

  • проверка целевого сайта когда времени очень мало
  • проверка большого числа сайтов в поисках уязвимых

Программа знает о таких уязвимостях как:

[1] WordPress :

  • [+] Adblock Blocker
  • [+] WP All Import
  • [+] Blaze
  • [+] Catpro
  • [+] Cherry Plugin
  • [+] Download Manager
  • [+] Formcraft
  • [+] levoslideshow
  • [+] Power Zoomer
  • [+] Gravity Forms
  • [+] Revslider Upload Shell
  • [+] Revslider Dafece Ajax
  • [+] Revslider Get Config
  • [+] Showbiz
  • [+] Simple Ads Manager
  • [+] Slide Show Pro
  • [+] WP Mobile Detector
  • [+] Wysija
  • [+] InBoundio Marketing
  • [+] dzs-zoomsounds
  • [+] Reflex Gallery
  • [+] Creative Contact Form
  • [+] Work The Flow File Upload
  • [+] WP Job Manger
  • [+] PHP Event Calendar
  • [+] Synoptic
  • [+] Wp Shop
  • [+] Content Injection
  • [+] Cubed Theme NEW
  • [+] Rightnow Theme NEW
  • [+] Konzept NEW
  • [+] Omni Secure Files NEW
  • [+] Pitchprint NEW
  • [+] Satoshi NEW
  • [+] Pinboard NEW
  • [+] Barclaycart NEW

[2] Joomla

  • [+] Com Jce
  • [+] Com Media
  • [+] Com Jdownloads
  • [+] Com Fabrik
  • [+] Com Jdownloads Index
  • [+] Com Foxcontact
  • [+] Com Ads Manager
  • [+] Com Blog
  • [+] Com Users
  • [+] Com Weblinks
  • [+] mod_simplefileupload
  • [+] Com Facileforms NEW
  • [+] Com Jwallpapers NEW
  • [+] Com Extplorer NEW
  • [+] Com Rokdownloads NEW
  • [+] Com Sexycontactform NEW
  • [+] Com Jbcatalog NEW

[3] DruPal

  • [+] Add Admin
  • [+] Drupalgeddon NEW

[4] PrestaShop

  • [+] columnadverts
  • [+] soopamobile
  • [+] soopabanners
  • [+] Vtermslideshow
  • [+] simpleslideshow
  • [+] productpageadverts
  • [+] homepageadvertise
  • [+] homepageadvertise2
  • [+] jro_homepageadvertise
  • [+] attributewizardpro
  • [+] 1attributewizardpro
  • [+] AttributewizardproOLD
  • [+] attributewizardpro_x
  • [+] advancedslider
  • [+] cartabandonmentpro
  • [+] cartabandonmentproOld
  • [+] videostab
  • [+] wg24themeadministration
  • [+] fieldvmegamenu
  • [+] wdoptionpanel
  • [+] pk_flexmenu
  • [+] pk_vertflexmenu
  • [+] nvn_export_orders
  • [+] megamenu
  • [+] tdpsthemeoptionpanel
  • [+] psmodthemeoptionpanel
  • [+] masseditproduct
  • [+] blocktestimonial NEW

[5] Lokomedia

Массовая проверка и эксплуатация уязвимостей сайтов WordPress, Joomla, DruPal, PrestaShop и Lokomedia

Для установки программы:

git clone  https://github.com/Moham3dRiahi/XAttacker 
cd XAttacker/

Можно запускать без опций:

perl XAttacker.pl

Тогда программа выведет:

[+] You Have List Of Sites ?

[1] Yes

[2] No

[-] Choose :

Здесь спрашивается, имеется ли у нас список сайтов? Если отвечаем Да (нужно вписать цифру 1), тогда нужно будет указать путь до файла. Формат этого файла: один сайт на одну строку, обязательно указание протокола http или https.

Если ответим Нет (цифра 2), тогда появится меню:

[1] Bing Doker |> Here You Chose Da Country Dat U Want

[2] Bing Dorker |> Here I Will Grab Using Ur Dork World Wide Country Websites

[3] Mass Site Grab |> By Ip or Websites List

[4] Mass Site Grab |> Range Ip by Ip or Website list

[+] Choose Number :

Варианты следующие:

1. Поиск по доркам сайтов определённой страны

2. Поиск по доркам сайтов любой страны

3. Массовый сбор сайтов по IP или списку сайтов

4. Массовый сбор сайтов по диапазону IP или списку сайтов

В третьем и четвёртом случае сайты нужно указывать без протокола, то есть без http и https.

Мне больше интересна возможность проверки уже заготовленного большого количества сайтов.

Для этого запустите программу с опцией -l, после которой укажите имя файла со списком сайтов для проверки:

perl XAttacker.pl -l list.txt

В этом списке сайты должны быть с указанием протокола (http или https).

Программа поочереди проверит их все, покажет найденные уязвимости и выполнить загрузку шелла при удачной эксплуатации.

Также все уязвимые сайты будут перечислены с указанием найденной уязвимости в файл Result/vulntargets.txt.

Как ускорить работу XAttacker

Программа XAttacker работает в один поток и переходит к следующему сайту только после полного завершения работы с текущим. То есть узким местом (замедляющим весь процесс) является качество соединения и скорость ответа веб-сайта. При этом Интернет-подключение практически не загружено. Поэтому для увеличения скорости работы программы в несколько раз, сохраните копии программы в нескольких папках и запускайте их одновременно с разными списками сайтов.

Как составить списки сайтов

Самый простой способ получения списков — это парсинг страниц, где перечислено много сайтов. Это могут быть каталоги, результаты поисковой выдачи, разные агрегаторы и так далее.

К примеру, парсинг сайтов из популярного каталога:

curl -s  https://top.mail.ru/Rating/Computers-Programming/Today/Visitors/{1..60}.html  | grep -E '><at90 t_grey" href="//' | grep -E -o '>.*<' | sed 's/>//' | sed 's/<//' > prog.txt

Обратите внимание, что используется конструкция {1..60}, которая в Bash означает вывод последовательности символов, в данном случае от 1 до 60, что означает, что будут собраны сайты с первых шестидесяти страниц каталога.

Ещё пример:

echo "http://`curl -s  https://top.mail.ru/Rating/Job/Today/Visitors/{1..60}.html  | grep -E '><at90 t_grey" href="//' | grep -E -o '>.*<' | sed 's/>//' | sed 's/<//'`" > biz.txt

Чтобы научиться самому составлять подобные команды для сбора сайтов, нужно изучить статьи:

Парсинг сайтов: азы, продвинутые техники, сложные случаи

Регулярные выражения и команда grep

Ещё большие списки сайтов можно получать, например, для IP виртуального хостинга с помощью этого сервиса. Правда, там сайты выводятся без протокола, поэтому для получившегося списка нужно выполнить следующую команду:

sed -i -e 's/^/http:\/\//' list.txt

В результате для каждого сайта в списке будет добавлена начальная строка «http://».

Заключение

Программа XAttacker очень простая в использовании, но новые уязвимости не добавлялись уже довольно давно, поэтому для того, чтобы она дала положительный результат нужно проверить действительно много сайтов.

Либо, для значительного улучшения результатов, нужно искать по доркам, специально подобранным для уязвимостей, которые поддерживает эта программа — но это требует дополнительных интеллектуальных усилий.

Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security

По статистике 80%  сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.

Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.

Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.

Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.

Группировка NeT.Defacer:

Группировка w4l3XzY3:

И таких бандформирований хаккеров — сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах — в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие — то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно — благо js скрипты майнеров известны уже лет 6-7.

Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.

Методы взлома сайтов

Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.

Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга  были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.

Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.

Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.

Как взломать WordPress сайт

Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.

Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.

Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.

Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).

Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.

Здесь как раз хорошо видно как происходит поиск доступов к шелам.

Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.

Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.

Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.

В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.

Защита Worpress сайта

Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.

Если вы уверены, что ваш сайт не взломан, то:

  1. Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
  2. Обновите пароли у всех администраторов сайта.
  3. Удалите лишних пользователей.
  4. Обновите движок Вордпресса до актуального.
  5. Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
  6. Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
  7. Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
  8. Физически удалите все неактивированные плагины.
  9. Обновите все плагины.
  10. Удалите все неиспользуемые темы
  11. Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
  12. Обновите тему до актуальной.

Далее, устанавливайте плагин iThemes Security и переходите к его настройке.

Настройка плагина iThemes Security

После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.

Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.

Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site.ru/puzo1234.

Остальное оставляем по умолчанию. Сохраняем настройки.

Этот модуль «Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт». Таким образом мы немного защитились от брутфорса.

Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.

Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config.php and .htaccess.»

Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.

Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.

Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».

Оставляем остальное по умолчанию.

Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.

Здесь выставьте значения, как указано на рисунке ниже:

Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.

Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.

Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).

здесь какой- то товарищ с retina — дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.

Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:

  1. Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле  Включить черный список от сайта HackRepair.com
  2. Заполняем бан лист, собранными мною за этот месяц IP

Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.

Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.

Отбор кандидатов на блокирование имеет следующую логику:

(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.

(2) Реферрер подделан — какой то site.ru

(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 — в аннотации CIDR.

Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™‎. Поэтому данный IP мы блокировать не будем.

Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:

Надеюсь, что ваш логин на вход в админку — не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).

Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.

Переходим к следующему модулю «Тонкая подстройка системы«

Настраиваем модуль, согласно приведенному скрину.

Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.

Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:

  • Ссылка для Windows Live Writer
  • Ссылка EditURI
  • Спам комментарий
  • Редактор файлов
  • XML-RPC — поставьте в положение «Отключить XML-RPC»
  • Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
  • Сообщения при неудачной попытке входа
  • Отключает дополнительные пользовательские архивы
  • Login with Email Address or Username — в положение «e/mail address only» — теперь авторизироваться можно будет только по e/mail.

Остальные модули настраивайте по своему усмотрению.

Презентация по взлому сайтов WordPress — «Хакер»

Сисадмин и программист Марк Монтегю (Mark Montague) из Мичиганского университета с 19-летним стажем решения проблем информационной безопасности составил очень толковую презентацию с ясным изложением информации, необходимой для взлома сайта под WordPress. Цель презентации — убедить владельцев обязательно обновляться до последней версии программного обеспечения.

По мнению Монтегю, самый простой способ начать атаку — установить дистрибутив Kali Linux с более 300 хакерскими программами, там есть всё необходимое. Из них злоумышленнику понадобятся только три:

  • WPScan: программа для поиска уязвимостей на сайтах WordPress и брутфорса паролей.
  • Metasploit: фреймворк с простым веб-интерфейсом позволяет начать атаку без особых технических знаний.
  • Weevely: «PHP web shell», который загружается на сайт и работает как бэкдор, потенциально, предоставляя полный контроль над веб-сервером.

Например, так выглядит результат работы WPScan.

Script started on Thu 02 Oct 2014 09:49:02 PM EDT
root@badguy2: ~# wpscan --url myblog2.catseye.org
_______________________________________________________________
        __          _______   _____                  
        \ \        / /  __ \ / ____|                 
         \ \  /\  / /| |__) | (___   ___  __ _ _ __  
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \ 
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team 
                       Version 2.5.1
     Sponsored by the RandomStorm Open Source Initiative
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________

[+] URL: http://myblog2.catseye.org/
[+] Started: Thu Oct  2 21:49:18 2014

[!] The WordPress 'http://myblog2.catseye.org/readme.html' file exists
[+] Interesting header: SERVER: Apache/2.4.7 (Ubuntu)
[+] Interesting header: X-POWERED-BY: PHP/5.5.9-1ubuntu4.4
[+] XML-RPC Interface available under: http://myblog2.catseye.org/xmlrpc.php

[+] WordPress version 4.0 identified from meta generator

[+] WordPress theme in use: twentyfourteen - v1.2

[+] Name: twentyfourteen - v1.2
 |  Location: http://myblog2.catseye.org/wp-content/themes/twentyfourteen/
 |  Style URL: http://myblog2.catseye.org/wp-content/themes/twentyfourteen/style.css
 |  Theme Name: Twenty Fourteen
 |  Theme URI: http://wordpress.org/themes/twentyfourteen
 |  Description: In 2014, our default theme lets you create a responsive magazine website with a sleek, modern des...
 |  Author: the WordPress team
 |  Author URI: http://wordpress.org/

[+] Enumerating plugins from passive detection ...
 | 1 plugins found:

[+] Name: custom-contact-forms - v5.1.0.3
 |  Location: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/
 |  Readme: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/readme.txt
[!] Directory listing is enabled: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/

[!] Title: Custom Contact Forms <= 5.0.0.1 - Cross Site Scripting
    Reference: https://wpvulndb.com/vulnerabilities/6296
    Reference: http://packetstormsecurity.com/files/112616/

[!] Title: Custom Contact Forms <= 5.1.0.3 Database Import/Export
    Reference: https://wpvulndb.com/vulnerabilities/7542
    Reference: http://blog.sucuri.net/2014/08/database-takeover-in-custom-contact-forms.html
    Reference: http://www.rapid7.com/db/modules/auxiliary/admin/http/wp_custom_contact_forms
[i] Fixed in: 5.1.0.4

[+] Finished: Thu Oct  2 21:49:21 2014
[+] Memory used: 2.191 MB
[+] Elapsed time: 00:00:03
root@badguy2: ~# exit

Далее в дело вступает Metasploit, где есть все необходимые модули для взлома WordPress. Получив лицензионный код на программу и создав проект, можно атаковать любой IP.

С помощью Metasploit в WordPress создаётся новый аккаунт с правами администратора. Что делать на этом этапе? Можно просто стереть всё содержимое, но в этом мало смысла, потому что сайт восстановят из резервной копии. Скорее всего, злоумышленник предпочтёт установить бэкдор, чтобы расширить свои возможности.

Программа Weevely создаёт валидный PHP-код для размещения в основной директории WordPress, а удалённый доступ в систему осуществляется потом по адресу вроде http://***/weevely.php (разумеется, файл лучше переименовать в нечто менее заметное).

Автор презентации подробно объясняет, как разместить бэкдор в системе и что с ним делать в дальнейшем, а также описывает все необходимые меры безопасности, которые должен предпринять админ.

Говоря об экосистеме WordPress, можно предположить, что у злоумышленников есть список всех IP-адресов и всех сайтов, работающих под WordPress (с указанием версии WordPress и версий всех установленных плагинов), так что в случае обнаружения новой уязвимости очень оперативно начнётся атака по сценарию, описанному в этой презентации. А новые уязвимости для WordPress и плагинов появляются с завидным постоянством.

Взлом сайта на WordPress. Пример из жизни 🙂

  Взломанный Вордпресс

CMS WordPress стала очень уж популярна и не стоит удивляться, что сайты на ней взламывают с завидной регулярностью. Я почему-то не думал, что и меня это коснётся… А зря

Правда, был взломан один давно заброшенный мною сайт, потому не жалко. Но опыта это мне прибавило.

Проблему заметил совершенно случайно — в браузере мобильного телефона обнаружил, что точка одного из предложений в статье стала выглядеть чуть ярче. Иначе говоря, она стала ссылкой на какой-то неизвестный мне ресурс по продаже туристических услуг.

В общем-то, это не самое страшное, что бывает при взломе веб-проекта. Но на SEO-оптимизации это неизбежно скажется отрицательным образом, поэтому «сомнительных» и неизвестных вам внешних ссылок с сайта быть не должно.

Я решил, что быстро удалю ссылку, просто отредактировав текст статьи. Но никакой ссылки при редактировании не обнаружил. Что интересно — при удалении кусков текста ссылка-точка «мигрировала» от одного предложения к другому. Т.е. это всё говорило о действии какого-то алгоритма, а не о ручной простановке ссылок.

К счастью, алгоритм этот я нашёл в файле-шаблоне functions.php:

  Взлом сайта на WordPress — добавление фильтра в шаблон

На картинке выше красной рамочкой выделен т.н. WP-фильтр. Суть всех фильтров в том, что они «пропускают через себя» (отсюда и название) что-то (например, текст статьи) и особым образом обрабатывают (в данном случае, фильтр добавлял ссылку-точку в контент статьи).

Я его просто закомментировал (добавил два слэша — //) и ссылка исчезла. Кстати, спустя пару месяцев, при раскомментировании этой строчки кода, ссылка уже не появлялась. Возможно, взломщик делал так, чтобы вредоносный код скачивался с внешнего ресурса и со временем просто убрал его или сделал что-то другое, и я это пока не заметил.

Зачем взламывают сайты?

Причин тут может быть много:

  • Развлечься (почему бы нет?)
  • «Внедрение» скрытых ссылок для продвижения каких-то веб-ресурсов (как в моём примере). Очевидно, эти люди очень плохо разбираются в SEM. И не понимают, что такие ссылки являются элементом чёрного SEO, так что эффект от них скорее отрицательный.
  • «Внедрение» кодов бирж ссылок (вроде Sape или Trustlink). Это во многом аналогично предыдущему пункту, но здесь ссылки будут появляться на страницах автоматически и постепенно количество их будет расти так же, как и доходы взломщиков. К сожалению для владельца взломанного сайта, есть риск, что его проект пострадает от всяких санкций поисковых систем.
  • Более «жёсткий» способ: взломать веб-проект, заявить об этом и потребовать деньги за возврат доступа сайтовладельцу.
  • Возможно, что-то ещё — добавьте в комментариях, если знаете.

Как их взламывают?

Произвести взлом сайта на WordPress (да и на любом другом движке) можно многими способами:

  • Подбор логина/пароля к админке (если она есть)
  • Получение доступа к аккаунту на хостинге и правка базы данных, файлов и т.д.
  • Получение доступа к сайту по FTP — и также правка файлов, закидывание новых «вредных» файлов и т.п.
  • Установка вирусов и троянов, отслеживающих то, что вы вводите с клавиатуры да и вообще делающих разные неприятные вещи.

В общем, во многом безопасность наших проектов зависит от нас самих (как и всё остальное в мире). Поэтому периодически меняйте пароли от админок/хостингов и проверяйте компьютеры на вирусы.

Вот нашлось видео на Youtube — описана аналогичная ситуация с ссылкой-точкой:

Взлом Вордпресс:

В следующей статье (web-ru.net/wordpress/zashhita-wordpress-ot-vzloma-izmenenie-logina-videourok.html) опишу простой, но действенный способ защиты WP.

Сталкивались ли вы со взломом сайта на движке WordPress или любых других? Расскажите в комментариях!

Loading…

Что делать, если взломали сайт на WordPress

Рано или поздно ваш ресурс может быть подвергнут несанкционированному доступу, тем более, когда сайт имеет определенную популярность. Всегда нужно быть настороже и хотя бы руководствоваться начальными советами по безопасности WordPress. Это повысит уровень защиты и поможет восстановить прежнее состояние сайта.

Но если уже случился взлом, тогда рассмотрим какие меры необходимо принять, дабы спасти свой труд и дать отпор недоброжелателю. В первую очередь, как бы вы сильно не паниковали, нужно успокоиться, дышать ровно и с уверенностью решать проблему. Во вторую очередь, сразу сканируйте свой компьютер на наличие стороннего программного обеспечения (вируса). А после переходим к последующим действиям.

Как узнать, что взломали сайт?

После взлома сайта, когда злоумышленнику открывается полный доступ управления или частичный, происходит, как правило, внедрение опасных скриптов. По сути, это реклама, вирусы и прочий мусор, который точно угробит ресурс. Самые распространённые выявления взлома:

  • На сайте появились не знакомые вам ссылки, ведущие на сторонние ресурсы.
  • На сайте установлена непонятная переадресация.
  • В кабинете вебмастера Google появилось сообщение, что на сайте обнаружены проблемы с безопасностью.
  • Не можете войти в админ-панель сайта.

Если с вашим сайтом происходит что-то подобное из списка выше, то наверняка вы стали целью взломщика. В таком случае читаем ниже написанный мануал о лечение сайта и его восстановлении.

Первые меры применения при взломе сайта WordPress

Закрыть сайт на тех.обслуживание. До решения и выявления проблемы желательно ограничить посещение к ресурсу. То есть закрыть сайт на техническое обслуживание, чтобы пользователи не ощутили ни удобства в случае, если на сайте будет установлена переадресация на порно-ресурсы или вирусные сайты.

Сканирование ПК. Существует большая разновидность программных вирусов, целью которых является за получение личных данных. Они могут попасть на компьютер самыми различными путями. У вас на ПК должен быть установлен работающий антивирус, способный находить паразитов, а не заводить с ними дружбу. Вашим первым действием будет тщательное сканирование ПК на поиск вирусов, программ, ворующих пароли и.д. Это поможет определить вашу уязвимость.

Обращение к хостингу-провайдеру. Дальше следует обратиться к вашему хостингу с вопросом их безопасности. Так как, может быть, имеются следы массового взлома сайтов, которых объединяет один и тот же хостинг. Это будет явным признаком исходящей проблемы. А также обратите внимания на попытку смена почты вашего аккаунта и другие ранее неизвестные вам изменений. В общем, что-то странное и непонятное.

Логи сайта. В тех. поддержки хостинга запросите журнал (лог-файлы) веб-сервера, FTP-сервера за весь доступный период. Проанализируйте их в поиске странных изменений или даже входов на сайт. Возможно, удастся обнаружить исходную точку взлома или же укажет правильный путь поиска. В общем, любые крошки, следы могут оказаться очень важной деталью.

Смена паролей. Прежде чем вы начнете искать на сайте вирус, следует вначале сменить все пароли и логины на всех ресурсах, программах имеющие хоть какое-то отношение к вашему сайту. И конечно же, изменить пароли и логины к взломанному сайту, базе данных, FTP-клиенту, cPanel, расширению протокола SFTP, эл.почте. Еще один момент, смотрите чтобы в БД не было создано новых пользователей, если такие имеются, то полностью удаляйте их.

Восстановить сайт из резервного копирования. Полагаться наудачу, да еще в таком деле, будет очень глупой ошибкой. Нельзя думать, что файлы сайта, как и сама база дынных останутся в целом состоянии. Всегда, запомните, всегда у вас должно быть свежее резервное копирование полного сайта, это как раз на критический случай. Вам нужно будет полностью удалить файлы сайта, залить новые из бэкапа и точно так же проделать с БД. Только используйте бэкап, созданный до взлома сайта.

Обновление ПО. Часто случается причиной взлома – уязвимость плагинов, особенно, старых версий. Всегда при доступном обновлении модулей, тем и самой платформы следует обновляться. В новых версиях разработчики стараются закрыть все доступные дыры. Естественно, это повышает безопасность. Поэтому нужно об этом не забывать и следить за обновлением.

Сервисы поиска вирусов на сайте. В интернете можно найти много различных сервисов по поиску вирусов на сайте. Они могут оказаться полезными, даже, несмотря на то, что многие из них бесплатные. Кроме сервисов, имеются также отдельные скрипты, плагины, сканирующие сайт. Некоторые из них: https://www.virustotal.com/, http://antivirus-alarm.ru/proverka/, http://xseo.in/viruscan, https://sitecheck.sucuri.net/, https://www.revisium.com/ai/

Что делать, если нет резервного копирования сайта

Без резервного копирования будет очень трудно восстановить сайт, но все-таки это возможно. Придется проявить больше усилий, стараний, времени, ну, или обратиться к специалистам за небольшую плату. По сути, проделывается все то, что написано выше. Главное, найти уязвимость, то есть откуда был совершен подкоп: подбор пароля в админ-аккаунту, кража пароля FTP-клиента, дыры в темах, плагинов и т.д.

Это основная часть работы, а дальше следует найти тот самый неуловимый вирус. Необходимо просмотреть все папки сайта начиная с корневых, заглянуть в конфигурационный файл (.htaccess), посмотреть все индексные файлы. Искать нужно файлы, изменённые за последнее время, php-скрипты (веб-шеллы) обычно именуемые довольно странно (drvx.php, tvd1660f.php), и смотреть все остальные файлы, которые могут вызывать сомнения. Первую очередь проверьте директории, разрешающие загрузку файлов (uploads, tmp, images, cache, user_files и т.д.)

Еще о безопасности

В заключение добавлю еще несколько полезных советов о безопасности. Для удобства они изложены в статье о файле .htaccess в WordPress, где вы найдете способы блокировки и защиты важных файлов. А также задумайтесь о переходе на выделенный сервер, если того позволяют средства.

Официальный мануал WordPress в случае взлома сайта: https://codex.wordpress.org/FAQ_My_site_was_hacked

Еще один мануал — http://www.secbot.org/what-todo-if-hacked/

На этом, пожалуй, закончим.

Как взломать сайт на WordPress с помощью комментария

Как взломать сайт на WordPress с помощью комментария

Как взломать сайт на WordPress с помощью комментария

Всем привет сегодня расскажу как взломать сайт на WordPress с помощью комментария. На платформе WordPress работает пятая часть всех сайтов в интернете, так что малейшая уязвимость в CMS или популярных плагинах привлекает пристальное внимание. Тем более такой мега-баг, какой обнаружил финский хакер Йоуко Пиннонен (Jouko Pynnönen) из компании Klikki Oy. Он раскрыл технические подробности в минувшее воскресенье.

Как взломать wordpress

Критическая уязвимость 0day (на момент публикации в воскресенье патча не было, но он вышел в понедельник) затрагивает встроенную систему публикации комментариев WordPress, которая до сих пор широко используется на многих сайтах. Оказывается, если опубликовать достаточно длинный комментарий (64k символов), то можно вызвать баг, который приводит к исполнению постороннего кода с этой HTML-страницы.

Образец комментария

Как взломать сайт на WordPress с помощью комментария-01

<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

Код будет исполнен для каждого, кто зайдёт на страницу с таким комментарием, в том числе на компьютере администратора системы, установив в системе бэкдор

Как взломать сайт на WordPress с помощью комментария-02

Уязвимость актуальна для WordPress 4.2 и более ранних версий. Она похожа на аналогичный баг с комментариями, который исправили на прошлой неделе, но там исполнение кода инициировалось через специальный символ, а здесь — через объём комментария.Патч вышел в понедельник 27 апреля.

Если вы не обновляете ваш движок, то взлом сайта на wordpress будет на много проще для злоумышленика, ставьте апдейты своевременно.

Материал сайта pyatilistnik.org

Иван Семин

Взлом сайта на WordPress с помощью комментария — «Хакер»

На платформе WordPress работает пятая часть всех сайтов в интернете, так что малейшая уязвимость в CMS или популярных плагинах привлекает пристальное внимание. Тем более такой мега-баг, какой обнаружил финский хакер Йоуко Пюннёнен (Jouko Pynnönen) из компании Klikki Oy. Он раскрыл технические подробности в минувшее воскресенье.

Критическая уязвимость 0day (на момент публикации в воскресенье патча не было, но он вышел в понедельник) затрагивает встроенную систему публикации комментариев WordPress, которая до сих пор широко используется на многих сайтах. Оказывается, если опубликовать достаточно длинный комментарий (64k символов), то можно вызвать баг, который приводит к исполнению постороннего кода с этой HTML-страницы.

Образец комментария

<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

Код будет исполнен для каждого, кто зайдёт на страницу с таким комментарием, в том числе на компьютере администратора системы, установив в системе бэкдор (видео).

Уязвимость актуальна для WordPress 4.2 и более ранних версий. Она похожа на аналогичный баг с комментариями, который исправили на прошлой неделе, но там исполнение кода инициировалось через специальный символ, а здесь — через объём комментария.

Патч вышел в понедельник 27 апреля: WordPress 4.2.1.

Теги:WordPressНовости

Поделись новостью с друзьями:

Как взломать сайт WordPress с помощью WPScan

Этот учебник из категории взлома WordPress научит вас сканировать веб-сайты WordPress на наличие уязвимостей, перечислять учетные записи пользователей WordPress и пароли методом перебора. Перечисление пользователей WordPress — это первый шаг в атаке методом грубой силы для получения доступа к учетной записи WordPress. WPScan имеет возможность сканировать целевой веб-сайт, чтобы получить список имен учетных записей. В этом руководстве мы также рассмотрим, как скрыть имена пользователей от WPScan, чтобы вы могли избежать перечисления учетных записей пользователей и ограничить эффективность попыток перебора.Мы завершим это руководство демонстрацией того, как подобрать пароли root с помощью WPScan в Kali Linux. WPScan — это автоматический сканер уязвимостей WordPress черного ящика. Этот инструмент необходим любому разработчику WordPress для поиска уязвимостей и решения проблем, прежде чем они будут использованы хакерами. Вместе с Nikto, отличным инструментом оценки веб-серверов, этот инструмент должен быть частью любого теста на проникновение, нацеленного на веб-сайт или блог WordPress.

WPScan предустановлен в следующих дистрибутивах Linux:

Последняя версия — WPScan 2.8, а в базе на данный момент содержится:

  • Всего уязвимых версий: 98
  • Всего уязвимых плагинов: 1.076
  • Всего уязвимых тем: 361
  • Всего уязвимостей версии: 1.104
  • Всего уязвимостей плагинов: 1.763
  • Всего уязвимостей тем: 443

Операционная система Windows в настоящее время не поддерживается WPScan. Последняя версия доступна для загрузки на следующем веб-сайте (Linux и Mac): https: // wpscan.org /

Обновление WPScan

Запустите следующую команду, чтобы обновить базу данных уязвимостей WPScan:

wpscan –обновление

Сканирование уязвимостей WordPress

После обновления базы данных уязвимостей используйте следующую команду для сканирования целевого веб-сайта на предмет самых популярных и недавних уязвимостей:

wpscan –url [URL-адрес wordpress]

Как подсчитать пользователей WordPress

Инструмент перечисления пользователей WordPress используется для получения списка зарегистрированных пользователей WordPress для целевого хоста.Перечисление пользователей — это первый шаг, когда злоумышленник хочет получить доступ к определенной цели путем грубой силы. Инструмент перечисления сканирует цель на сообщениях, страницах и настраиваемых типах авторов и имен пользователей.

Используйте следующую команду для перечисления пользователей WordPress:

wpscan –url [wordpress url] –enumerate u

Как подобрать пароль root

Используйте следующую команду для перебора пароля для пользователя root:

wpscan –url [url wordpress] –wordlist [путь к списку слов] –username [имя пользователя для грубой силы] –threads [количество используемых потоков]

Как избежать перечисления пользователей WordPress

Если вы хотите избежать перечисления пользователей WordPress, вам следует избегать использования имени пользователя в качестве псевдонима и отображаемого имени, которое публично отображается в WordPress.Лучше всего выбрать имя пользователя администратора, состоящее из случайных символов, и использовать другой псевдоним. WPScan сканирует имена пользователей в URL-адресах, поэтому, если вы не используете имя пользователя, оно не может быть просканировано WPScan. Другой способ предотвратить перечисление пользователей — использовать другую учетную запись для публикации сообщений и ответов на ответы.

Как избежать подбора пароля Wordpres

Лучший способ удержать злоумышленников, использующих методы грубой силы, — это ограничить попытки входа в систему и IP-адрес.Для WordPress доступно несколько плагинов для ограничения количества попыток входа в систему для определенного имени пользователя и IP, например Wordfence. В последних версиях WordPress есть возможность по умолчанию ограничивать попытки входа в систему. Убедитесь, что вы ограничили количество записей максимум 3 и значительно увеличили время блокировки после 2 блокировок (что составляет 6 попыток ввода пароля).

Видеоурок по взлому WordPress

Спасибо за просмотр и, пожалуйста, подпишитесь на мой канал YouTube, чтобы получить больше уроков по взлому 🙂

Аргументы перечисления

Fin под обзором аргументов перечисления, которые можно использовать для сканирования:

–числить | -e [опции] Перечисление.
option:
u — имена пользователей с id 1 до 10
u [10-20] имена пользователей от id 10 до 20 (вы должны написать [] символов)
p — плагины
vp — только уязвимые плагины
ap — все плагины (могут занимает много времени)
tt — timthumbs
t — themes
vt — только уязвимые темы
at — все темы (может занять много времени)
Допускается несколько значений: «-e tt, p» будет перечислять timthumbs и плагины

Если вы хотите узнать больше о тестировании на проникновение в Интернет, вы можете пройти любой из этих онлайн-курсов:


Курсы онлайн-взлома


Тестер проникновения в Интернет

Вы изучите инструменты, методики и техники взлома.Это практический и теоретический пошаговый курс. Подробнее…

Как стать независимым исследователем безопасности

Если вы веб-разработчик, Bug Hunter или любой исследователь ИТ-безопасности, то этот курс вам очень поможет.
Подробнее…

.

Как взломать сайт WordPress

  • SQL-инъекция
    SQL-инъекция — один из самых популярных типов атак, специально предназначенных для взлома веб-сайтов. Атаки с использованием SQL-инъекций используют преимущества серверной базы данных на веб-сайте, вводя вредоносные команды, предназначенные для взлома системы. Из-за ошибок кодирования в серверной базе данных есть способы удалить, украсть или изменить целые объемы информации.Однако самый первый шаг к любой атаке SQLi — это выявить уязвимые веб-сайты и найти тот, который не закрыл ряд дыр в безопасности.

Защита веб-сайта WordPress

Всегда помните, чтобы человеческие ошибки не превратились в вашу собственную уязвимость. Это важно, потому что при управлении веб-сайтом WordPress есть недостатки, связанные с человеческим фактором, и, следовательно, вам придется подумать о выполнении следующих советов при работе с веб-сайтом WordPress.

  • Воздержитесь от использования общедоступного компьютера для входа в WordPress:
    Если вы входите на свой сайт с общедоступного компьютера, вы фактически делаете свои учетные данные администратора уязвимыми для тех, кто использует тот же компьютер или других пользователей в сети. .

  • Логин с двухфакторной аутентификацией:
    Одним из самых простых и чрезвычайно эффективных способов предотвращения атак методом грубой силы является реализация двухфакторной аутентификации (2FA) для входа на ваш сайт WordPress.Они добавляют дополнительный уровень безопасности входа в систему, запрашивая дополнительное подтверждение личности, например секретные вопросы или код, сгенерированный мобильным устройством.

  • Регулярно проверяйте пользователей с правами администратора:
    Убедитесь, что вы время от времени проверяете пользователей для вашей области wp-admin и для SFTP (на пользовательском портале), чтобы гарантировать доступ только тем, кому все еще нужен доступ. Также хорошо убедиться, что пользователям вашего сайта предоставляется только необходимый им уровень доступа.

  • Регулярно обновляйте WordPress Core:
    Когда WordPress выпускает обновления безопасности, WP Engine гарантирует, что ваш сайт получит их. Когда обновления выпускаются, всегда полезно протестировать обновления на вашем промежуточном сайте. После этого следует создать обновление на вашем действующем веб-сайте, как только вы убедитесь, что все работает хорошо.

  • Регулярно обновляйте темы и плагины:
    Авторы плагинов и тем часто выпускают обновления безопасности.Эти обновления могут помочь оптимизировать плагин для методической работы с текущими версиями WordPress. Очень важно регулярно обновлять эти обновления плагинов и тем. Это устаревшее программное обеспечение считается причиной номер один вредоносного ПО или заражения на сайтах, поскольку они теряют свои функции безопасности по истечении срока его действия.

Получите максимальную безопасность, установив Comodo cWatch

cWatch предлагает наиболее эффективные функции безопасности для бизнеса.cWatch, разработанный Comodo, представляет собой инструмент проверки веб-безопасности, доступный в брандмауэре веб-приложений (WAF) через сеть безопасной доставки контента (CDN). Это чрезвычайно эффективный инструмент проверки безопасности веб-сайтов, созданный с помощью круглосуточно укомплектованного сотрудниками Центра управления кибербезопасностью (CSOC) сертифицированных аналитиков безопасности, который работает на базе системы управления информацией и событиями безопасности (SIEM), которая может использовать данные с более чем 85 миллионов конечных точек для обнаружения и устранения угроз еще до их возникновения.

cWatch предлагает все перечисленные ниже функции веб-безопасности, которые помогут предотвратить и защитить ваш сайт WordPress от хакерских атак:

  • Ремонт с помощью взлома веб-сайта
    Ремонт с помощью взлома веб-сайта предоставляет подробный отчет о тех областях, с которыми вам нужно иметь дело.

  • Мгновенное удаление вредоносных программ
    Позволяет вам быть в курсе вредоносных программ, которые продолжают атаковать ваш сайт.

  • 24/7 Cyber ​​Security Operation
    Сертифицированные эксперты, использующие усовершенствованные технологии, чтобы помочь вам быстрее разрешать инциденты безопасности.

  • Управляемый брандмауэр веб-приложений
    Работает на всех веб-серверах, действуя как точка проверки клиентов для обнаружения и фильтрации содержимого, такого как встроенный вредоносный код веб-сайта.

  • Сеть доставки реального контента
    Обеспечивает более быструю доставку веб-контента за счет кэширования в глобальном центре обработки данных для предотвращения скачков трафика, обеспечения безопасности веб-сайта и сокращения расстояний.

  • Ежедневное сканирование вредоносных программ и уязвимостей
    Обеспечивает отправку ежедневного отчета для мониторинга безопасности веб-сайта.

  • Удаление полного черного списка
    После сканирования веб-сайта все черные списки будут удалены с вашего веб-сайта.

  • Ускорение веб-сайта
    Это позволяет вашему веб-сайту работать быстрее, чем раньше.

  • Защита от ботов
    Отслеживает законных пользователей веб-сайтов, чтобы защитить их от надоедливой CAPTCHA или задержанных страниц.

  • Защита от DDoS-атак
    Это увеличивает трафик на вашем веб-сайте и блокирует использование хакерами программных уязвимостей.

.

FAQ Мой сайт взломали

Взлом может стать одним из самых неприятных переживаний в вашем путешествии по сети. Однако, как и в большинстве случаев, прагматический подход может помочь вам сохранить рассудок. А также выход за рамки проблем с минимальным воздействием.

Взлом — это очень неоднозначный термин, который сам по себе не дает понимания того, что именно произошло. Чтобы получить необходимую помощь на форумах, убедитесь, что понимаете конкретные симптомы, которые заставляют вас думать, что вас взломали.Они также известны как индикаторы взлома (IoC).

Вот пара IoC, которые являются явными индикаторами взлома:

  • Веб-сайт внесен в черный список Google, Bing и т. Д.
  • Хост отключил ваш веб-сайт
  • Веб-сайт отмечен как распространяющий вредоносное ПО
  • Читатели жалуются, что их настольные антивирусные программы отмечают ваш сайт
  • Сообщили, что ваш веб-сайт используется для атаки на другие сайты
  • Неавторизованное поведение уведомления (т.е.д., создание новых пользователей и т. д.…)
  • Вы можете визуально увидеть, что ваш сайт был взломан, когда открываете его в браузере

Не все взломы одинаковы, поэтому при работе на форумах, пожалуйста, сохраните это разум. Если вы сможете лучше понять симптомы, команды будут лучше оснащены для оказания помощи.

Ниже вы найдете серию шагов, которые помогут вам начать работу после взлома. Они не являются всеобъемлющими, поскольку было бы непрактично учитывать каждый сценарий, но они предназначены для того, чтобы помочь вам продумать процесс.

Наверх ↑

Сохраняйте спокойствие.

При решении проблемы безопасности как владелец веб-сайта вы, вероятно, испытываете чрезмерный стресс. Часто это самый уязвимый, из тех, что вы оказались в сети, и это противоречит тому, что все говорили вам: «Эй, WordPress — это просто !!»

Хорошая новость в том, что еще не все потеряно! Да, вы можете потерять немного денег. Да, вы можете получить удар по своему бренду. Да, ты поправишься.

Так что да, сделайте шаг назад и успокойтесь. Это позволит вам более эффективно контролировать ситуацию и восстановить свое присутствие в сети.

Документ.

Первым действенным шагом, который вы должны предпринять после компрометации, является документация. Найдите минутку, чтобы задокументировать, что вы переживаете, и, если возможно, время. О чем следует помнить:

  • Что вы видите, что заставляет вас думать, что вас взломали?
  • Когда вы заметили эту проблему? Какой часовой пояс?
  • Какие действия вы предприняли за последнее время? Был установлен новый плагин? Вы меняли тему? Изменить виджет?

Вы создаете базовый план для того, что распознается как отчет об инциденте.Планируете ли вы реагировать на инциденты самостоятельно или привлечь профессиональную организацию, этот документ со временем окажется бесценным.

Рекомендую также уделить время аннотации деталей вашей хост-среды. Это потребуется в какой-то момент в процессе реагирования на инцидент.

Просканируйте свой веб-сайт.

При сканировании вашего веб-сайта у вас есть несколько различных способов сделать это, вы можете использовать внешние удаленные сканеры или сканеры уровня приложения.Каждый из них разработан, чтобы смотреть и сообщать о разных вещах. Ни одно решение не является лучшим подходом, но вместе вы значительно улучшите свои шансы.

Сканеры на основе приложений (плагины):

Удаленные сканеры (краулеры):

В репозитории WP также есть ряд других связанных плагинов безопасности. Аннотированные выше существуют уже давно, и за каждым из них стоят сильные сообщества.

Сканируйте вашу локальную среду.

Помимо сканирования вашего веб-сайта, вы должны начать сканирование вашей локальной среды. Во многих случаях источник атаки / заражения начинается на вашем локальном компьютере (например, ноутбуке, настольном компьютере и т. Д.). Злоумышленники локально запускают троянов, которые позволяют им прослушивать информацию о доступе для входа к таким вещам, как FTP и / wp-admin, что позволяет им войти в систему как владелец сайта.

Убедитесь, что на вашем локальном компьютере запущено полное сканирование на наличие вирусов и вредоносных программ. Некоторые вирусы хорошо обнаруживают антивирусные программы и прячутся от них.Так что, может быть, попробуй другой. Этот совет распространяется как на машины с Windows, OS X и Linux.

Уточните у своего хостинг-провайдера.

Взлом мог затронуть не только ваш сайт, особенно если вы используете общий хостинг. Стоит проконсультироваться с вашим хостинг-провайдером, если они предпринимают какие-то шаги или должны. Ваш хостинг-провайдер также может подтвердить, является ли взлом фактическим взломом или, например, потерей обслуживания.

Одно из очень серьезных последствий взлома в наши дни связано с занесением в черный список электронной почты.Кажется, это происходит все чаще и чаще. Поскольку веб-сайты используются для рассылки спама по электронной почте, органы «черного списка» электронной почты отмечают IP-адреса веб-сайтов, и эти IP-адреса часто связаны с тем же сервером, который используется для электронной почты. Лучшее, что вы можете сделать, — это посмотреть на поставщиков услуг электронной почты, таких как Google Apps, когда дело касается потребностей вашего бизнеса.

Помните о черных списках веб-сайтов.

Проблемы с черным списком Google могут нанести ущерб вашему бренду. В настоящее время они вносят в черный список от 9 500 до 10 000 веб-сайтов в день.Это число растет с каждым днем. Существуют различные формы предупреждений, от больших всплывающих страниц, предупреждающих пользователей держаться подальше, до более тонких предупреждений, которые появляются на страницах результатов вашей поисковой системы (SERP).

Хотя Google является одним из наиболее известных, существует ряд других объектов черного списка, таких как Bing, Yahoo и широкий спектр приложений Desktop AntiVirus. Поймите, что ваши клиенты / посетители веб-сайта могут использовать любое количество инструментов, и любой из них может вызвать проблему.

Рекомендуется зарегистрировать свой сайт на различных онлайн-консолях для веб-мастеров, например:

Улучшите контроль доступа.

Вы часто будете слышать, как люди говорят об обновлении таких вещей, как пароли. Да, это очень важная часть, но это одна маленькая часть гораздо большей проблемы. Когда дело доходит до контроля доступа, нам нужно улучшить нашу общую позицию. Это означает использование для начинающих сложных, длинных и уникальных паролей. Лучшая рекомендация — использовать генератор паролей, подобный тем, что есть в таких приложениях, как 1Password и LastPass.

Помните, что сюда входит изменение всех точек доступа. Когда мы говорим о точках доступа, мы имеем в виду такие вещи, как FTP / SFTP, WP-ADMIN, CPANEL (или любую другую панель администратора, которую вы используете на своем хосте) и MYSQL.

Это также выходит за рамки вашего пользователя и должно включать всех пользователей, имеющих доступ к среде.

Также рекомендуется рассмотреть возможность использования какой-либо формы двухфакторной / многофакторной системы аутентификации. В самой простой форме он вводит и требует второй формы аутентификации при входе в ваш экземпляр WordPress.

Некоторые из доступных плагинов, которые помогут вам в этом, включают:

Сбросить весь доступ.

После того, как вы обнаружите взлом, одним из первых шагов, которые вы захотите сделать, является блокировка вещей, чтобы вы могли минимизировать любые дополнительные изменения. В первую очередь следует начать с пользователей. Вы можете сделать это, принудительно сбросив глобальный пароль для всех пользователей, особенно для администраторов.

Вот плагин, который может помочь на этом этапе:

Вы также хотите удалить всех пользователей, которые могут активно входить в WordPress.Вы делаете это, обновляя секретные ключи в wp-config. Здесь вам нужно будет создать новый набор: генератор ключей WordPress. Возьмите эти значения, а затем замените значения в вашем файле wp-config.php новыми. Это заставит любого, кто все еще может войти в систему, выйти из системы.

Создать резервную копию.

Надеюсь, у вас есть резервная копия вашего веб-сайта, но если у вас ее нет, сейчас подходящий момент для ее создания. Резервное копирование — это критически важный элемент продолжения вашей работы, и вы должны активно планировать его дальнейшие действия.Вы также должны спросить своего хоста, какова его политика в отношении резервного копирования. Если у вас есть резервная копия, вы сможете выполнить восстановление и сразу приступить к криминалистической работе.

Примечание: важно регулярно делать резервные копии своей базы данных и файлов. Если это когда-нибудь повторится.

В любом случае, прежде чем переходить к следующему этапу очистки, рекомендуется сделать еще один снимок среды. Даже если он заражен, в зависимости от типа взлома, воздействия могут вызвать множество проблем, а в случае катастрофического сбоя у вас, по крайней мере, будет плохая копия для справки.

Найдите и удалите хак.

Это будет самая сложная часть всего процесса. Обнаружение и удаление взлома. Точные шаги, которые вы предпримете, будут зависеть от ряда факторов, включая, помимо прочего, описанные выше симптомы. Как вы подойдете к проблеме, будет зависеть от ваших технических навыков работы с веб-сайтами и веб-серверами.

Однако, чтобы помочь в этом процессе, мы включили ряд различных ресурсов, которые должны помочь вам в этом процессе:

Может возникнуть соблазн все очистить и начать заново.В некоторых случаях это возможно, но во многих случаях это просто невозможно. Однако вы можете переустановить определенные элементы сайта, не обращая внимания на его ядро. Вы всегда должны быть уверены, что переустанавливаете ту же версию программного обеспечения, которую использует ваш веб-сайт, если вы выберете старую или более новую версию, вы, скорее всего, уничтожите свой сайт. При переустановке не используйте параметры переустановки в WP-ADMIN. Используйте приложение FTP / SFTP, чтобы перетащить версии.Это окажется намного более эффективным в долгосрочной перспективе, поскольку эти установщики часто перезаписывают только существующие файлы, а взломы часто вводят новые файлы … Вы можете безопасно заменить следующие каталоги:

Далее рекомендуется более тщательно обновлять и заменять файлы при перемещении по wp-content, поскольку он содержит файлы вашей темы и плагинов.

Единственный файл, который вам обязательно захочется посмотреть, это ваш файл .htaccess. Это один из наиболее распространенных файлов, независимо от типа заражения, который чаще всего обновляется и используется для злонамеренных действий.Этот файл часто находится в корне папки установки, но также может быть встроен в несколько других каталогов той же установки.

Независимо от типа заражения, есть несколько распространенных файлов, за которыми следует следить в процессе исправления. В их числе:

  • index.php
  • header.php
  • footer.php
  • function.php

В случае изменения эти файлы обычно могут отрицательно повлиять на все запросы страниц, что делает их высокой мишенью для злоумышленников.

Используйте сообщество

Мы часто забываем, но мы являемся платформой, основанной на сообществе, это означает, что если у вас возникнут проблемы, кто-то из сообщества может помочь вам. Если вам не хватает денег или вы просто ищете руку помощи, вам стоит начать с форума WordPress.org Hacked or Malware.

Обновление!

После того, как вы очистились, вам следует обновить установку WordPress до последней версии программного обеспечения.Старые версии более подвержены взлому, чем новые.

Снова смени пароли!

Помните, вам необходимо изменить пароли для вашего сайта после , убедившись, что ваш сайт чист. Так что, если вы изменили их только после обнаружения взлома, измените их снова сейчас. Снова не забываем использовать сложные, длинные и уникальные пароли.

Вы можете рассмотреть возможность изменения учетной записи и пароля пользователя базы данных. Когда вы их изменили, не забудьте улучшить их до wp-config.php файл.

Криминалистика.

Криминалистика — это процесс понимания того, что произошло. Как проникли злоумышленники? Цель состоит в том, чтобы понять вектор атаки, который использовал злоумышленник, чтобы убедиться, что они не смогут злоупотребить им снова. Во многих случаях владельцам веб-сайтов очень сложно выполнить такой анализ из-за отсутствия технических знаний и / или доступных данных. Если у вас есть необходимые метаданные, существуют такие инструменты, как OSSEC и splunk, которые могут помочь вам синтезировать данные.

Защитите свой сайт.

Теперь, когда вы успешно восстановили свой сайт, защитите его, реализовав некоторые (если не все) рекомендуемые меры безопасности.

Не могу войти в панель администратора WordPress

Бывают случаи, что злоумышленник захватывает вашу учетную запись администратора. Это не повод для паники, есть несколько разных вещей, которые вы можете сделать, чтобы восстановить контроль над своей учетной записью. Вы можете выполнить следующие действия, чтобы сбросить пароль

Инструменты, такие как phpMyAdmin и Adminer, часто доступны через вашего хостинг-провайдера.Они позволяют вам напрямую войти в свою базу данных, минуя экран администрирования и сбрасывая пользователя в таблице пользователей wp_users .

Если вы не хотите связываться с хэшами паролей или не можете это понять, просто обновите свой адрес электронной почты и вернитесь на экран входа в систему, нажмите «Забыли пароль» и дождитесь письма.

Используете контроль версий?

Если вы используете контроль версий, это может быть очень удобно, чтобы быстро определить, что изменилось, и вернуться к предыдущей версии веб-сайта.Из терминала или командной строки вы можете сравнить свои файлы с версиями, хранящимися в официальном репозитории WordPress.

$ svn diff.

Или сравните конкретный файл:

$ svn diff / path / to / filename

Наверх ↑

.

Руководство для начинающих по исправлению взломанного сайта WordPress

Печальная реальность в отношении работы веб-сайтов заключается в том, что иногда их могут взломать. После того, как наш сайт WordPress несколько раз взломали в прошлом, мы точно знаем, насколько это может быть стрессом. Не говоря уже о влиянии, которое это оказывает на ваш бизнес и читателей. За последние несколько лет мы помогли сотням пользователей восстановить свои взломанные сайты WordPress, включая несколько известных компаний. В этой статье мы поделимся пошаговым руководством по исправлению взломанного сайта WordPress.

Что нужно знать перед началом работы

Прежде всего, независимо от того, какую платформу вы используете, WordPress, Drupal, Joomla и т. Д. — любой сайт можно взломать!

Когда ваш WordPress сайт взломали, вы можете потерять свой рейтинг в поисковых системах, разоблачить читателей к вирусам, имеют ваша репутация запятнана из-за редиректов на порно или других плохих соседских сайтов, и хуже потерять целые данные сайта.

Если ваш веб-сайт является бизнесом, безопасность должна быть одним из ваших главных приоритетов.

Вот почему так важно, чтобы у вас была хорошая хостинговая компания WordPress. Если вы можете себе это позволить, то обязательно используйте управляемый хостинг WordPress.

Убедитесь, что у вас всегда есть хорошее решение для резервного копирования WordPress, такое как BackupBuddy.

Последний, но, вероятно, самый важный, имеет надежный брандмауэр веб-приложений, такой как Sucuri. Мы пользуемся их услугами на наших сайтах.

Вся приведенная выше информация хороша, если вас еще не взломали, но есть вероятность, что если вы читаете эту статью, то, вероятно, уже слишком поздно добавлять некоторые меры предосторожности, упомянутые выше.Поэтому, прежде чем что-либо делать, постарайтесь оставаться максимально спокойным.

Давайте посмотрим на пошаговое руководство, как исправить взломанный сайт WordPress.

Шаг 0 — Сделайте это за вас профессионалу

Безопасность — серьезное дело, и если вам неудобно иметь дело с кодами и серверами, то почти всегда лучше, чтобы это сделал профессионал.

Почему? Потому что хакеры прячут свои скрипты в нескольких местах, что позволяет взломам возвращаться снова и снова.

Хотя мы покажем вам, как найти и удалить их позже в этой статье, многие люди хотят быть спокойными, зная, что эксперт правильно очистил их веб-сайт.

Эксперты по безопасности обычно берут от 100 до 250 долларов за час, что возмутительно для малого бизнеса или индивидуального предпринимателя.

Однако для читателей WPBeginner наши друзья из Sucuri предлагают очистку от вредоносных программ и взломов за 199 долларов, что также включает их межсетевой экран и службу мониторинга на целый год.

Может показаться, что это продвижение сукури, но это действительно честная рекомендация. Мы лично знаем команду Sucuri и не рекомендовали бы их, если бы не доверяли им наши собственные веб-сайты. Ага, WPBeginner использует Sucuri и ежедневно блокирует несколько тысяч атак на наш веб-сайт, и мы действительно не можем отблагодарить их за то, что они для нас делают.

Так что используйте их, если вы цените свое время, не разбираетесь в технологиях или просто хотите душевного спокойствия.

Для всех, кто занимается своими руками, просто выполните следующие действия, чтобы очистить взломанный сайт WordPress.

Шаг 1. Определите взлом

При взломе веб-сайта вы испытываете большой стресс. Постарайтесь сохранять спокойствие и запишите все, что можно, о взломе.

Ниже приведен хороший контрольный список для просмотра:

  • Можете ли вы войти в панель администратора WordPress?
  • Ваш сайт WordPress перенаправляется на другой сайт?
  • Есть ли на вашем сайте WordPress нелегитимные ссылки?
  • Маркирует ли Google ваш сайт как небезопасный?

Запишите список, потому что это поможет вам при разговоре с хостинговой компанией или даже при выполнении следующих шагов, чтобы исправить свой сайт.

Также очень важно, чтобы вы изменили свои пароли перед тем, как начать очистку. Вам также нужно будет сменить пароли, когда вы закончите очистку взлома.

Шаг 2. Обратитесь к хостинг-компании

Большинство хороших хостинг-провайдеров очень помогают в таких ситуациях. У них есть опытные сотрудники, которые ежедневно занимаются подобными вещами, и они знают свою хостинговую среду, что означает, что они могут помочь вам лучше. Для начала свяжитесь с вашим веб-хостингом и следуйте его инструкциям.

Иногда взлом мог затронуть не только ваш сайт, особенно если вы используете общий хостинг. Ваш хостинг-провайдер также может предоставить вам дополнительную информацию о взломе, например, как он возник, где скрывается бэкдор и т. Д. По нашему опыту, HostGator и Siteground очень полезны, когда что-то подобное происходит.

Возможно, вам даже повезет, и хост уберет за вас взлом.

Шаг 3. Восстановление из резервной копии

Если у вас есть резервные копии вашего сайта WordPress, возможно, лучше будет восстановить его с более ранней точки, когда сайт не был взломан.Если ты можешь это сделать, ты золотой.

Однако, если у вас есть блог с ежедневным контентом, вы рискуете потерять сообщения в блоге, новые комментарии и т. Д. В таких случаях взвесьте все за и против.

В худшем случае, если у вас нет резервной копии или ваш веб-сайт был взломан в течение длительного времени, и вы не хотите терять контент, то вы можете вручную удалить взлом.

Шаг 4. Сканирование и удаление вредоносных программ

Посмотрите на свой сайт WordPress и удалите все неактивные темы и плагины WordPress.Чаще всего именно здесь хакеры прячут свой бэкдор.

Backdoor — это метод обхода обычной аутентификации и получения возможности удаленного доступа к серверу, оставаясь незамеченным. Большинство умных хакеров всегда первым делом загружают бэкдор. Это позволяет им восстановить доступ даже после того, как вы найдете и удалите взломанный плагин.

Как только вы это сделаете, теперь продолжайте сканировать ваш сайт на предмет взломов.

Вам следует установить на свой веб-сайт следующие бесплатные плагины: Sucuri WordPress Auditing и Theme Authenticity Checker (TAC).

Когда вы их настроите, сканер Sucuri сообщит вам статус целостности всех ваших основных файлов WordPress. Другими словами, он показывает вам, где прячется взлом.

Самыми распространенными местами являются каталоги тем и плагинов, каталог загрузок, wp-config.php, каталог wp-includes и файл .htaccess.

Затем запустите средство проверки подлинности темы, и оно отобразит ваши результаты следующим образом:

Если средство проверки подлинности темы обнаружит в ваших темах подозрительный или вредоносный код, рядом с темой отобразится кнопка сведений со ссылкой на файл темы, который заражен.Он также покажет вам обнаруженный вредоносный код.

У вас есть два варианта исправления взлома. Вы можете удалить код вручную или заменить этот файл исходным файлом.

Например, если они изменили ваши основные файлы WordPress, повторно загрузите новые файлы WordPress из новой загрузки или всех файлов WordPress, если на то пошло, чтобы переопределить любые затронутые файлы.

То же самое и с файлами вашей темы. Загрузите новую копию и замените поврежденные файлы новыми.Помните, делайте это только в том случае, если вы не вносили изменений в коды тем WordPress, иначе вы их потеряете.

Повторите этот шаг также для всех затронутых плагинов.

Вы также хотите убедиться, что ваша тема и папка плагинов совпадают с исходными. Иногда хакеры добавляют дополнительные файлы, которые выглядят как имя файла плагина и которые легко игнорировать, например: hell0.php, Adm1n.php и т. Д.

У нас есть подробное руководство, как найти бэкдор в WordPress и удалить его.

Продолжайте повторять этот шаг, пока взлом не исчезнет.

Шаг 5. Проверьте права доступа пользователей

Загляните в раздел пользователей WordPress, чтобы убедиться, что только вы и члены вашей команды имеют доступ администратора к сайту.

Если вы видите там подозрительного пользователя, то удалите его.

Прочтите наше руководство для начинающих по ролям пользователей WordPress.

Шаг 6. Измените секретные ключи

Начиная с WordPress 3.1, WordPress генерирует набор ключей безопасности, которые шифруют ваши пароли.Теперь, если пользователь украл ваш пароль, и он все еще вошел на сайт, он останется авторизованным, потому что их файлы cookie действительны. Чтобы отключить файлы cookie, вам необходимо создать новый набор секретных ключей. Вам необходимо сгенерировать новый ключ безопасности и добавить его в файл wp-config.php .

Шаг 7. Еще раз измените пароли

Да, вы изменили пароли на шаге 1. Теперь сделайте это снова!

Вам необходимо обновить свой пароль WordPress, пароль cPanel / FTP / MySQL и практически везде, где вы использовали этот пароль.

Мы настоятельно рекомендуем использовать надежный пароль. Прочтите нашу статью о том, как лучше всего управлять паролями.

Если на вашем сайте много пользователей, вы можете принудительно сбросить пароль для всех из них.

Движение вперед — укрепление вашего сайта WordPress

Само собой разумеется, что нет лучшей защиты, чем наличие хорошего решения для резервного копирования. Если у вас его нет, установите что-нибудь для ежедневного резервного копирования вашего сайта.

Помимо этого, вот еще несколько вещей, которые вы можете сделать, чтобы лучше защитить свой сайт — это не в порядке, и вам следует делать как можно больше!

И что бы вы ни делали, всегда держите ядро ​​WordPress, плагины и темы в актуальном состоянии!

Помните, Google недавно объявил, что они добавили новое изменение в алгоритм, которое влияет на взломанные сайты с результатами спама. Поэтому, пожалуйста, убедитесь, что вы обеспечиваете безопасность своего сайта.

Мы надеемся, что это руководство помогло вам исправить ваш взломанный сайт WordPress.Если у вас по-прежнему возникают проблемы, мы настоятельно рекомендуем нанять профессиональных помощников, например Sucuri, или спросить у своей хостинговой компании, могут ли они помочь с решением.

Если вам понравилась эта статья, то подпишитесь на наш канал YouTube для видеоуроков по WordPress. Вы также можете найти нас в Twitter и Facebook.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *