[WP инструкция #2] Что делать, если взломали Wordpress?

Опубликовано: 14.06.2017

видео [WP инструкция #2] Что делать, если взломали Wordpress?

Темы оформления для wordpress. Урок 5

Этот вопрос появляется у каждого юзера, который столкнулся с таковой неувязкой как взлом веб-сайта.



Попробуем малость прояснить ситуацию.

Итак, во-1-х, всегда необходимо иметь архивные копии вашего веб-сайта и его Базы данных сначала. Если таких у вас не имеется, не отчаивайтесь, вы смело сможете обратиться в техно поддержку вашего хостинг провайдера, и они восстановят ваши данные, если в наличии имеются запасные копии вашего веб-сайта.


Как восстановить доступ к вордпресс WordPress

Но перед восстановлением необходимо осознать, как конкретно был взломан веб-сайт, чтоб решить делему и,чтоб она больше не повторялась в дальнейшем. Предпосылки взлома бывают различные, но мы остановимся на нескольких главных.

Главные предпосылки взлома веб-сайта


Как восстановить сайт на wordpress после взлома - для начинающих блогеров

1-ая причина взлома — это кража либо подбор паролей к вашему FTP аккаунту либо к административной части вашего веб-сайта. Такое может произойти из-за вируса на вашем ПК, ОС либо из-за устаревшей, уязвимой версии браузера, с которого был скачан сохраненный пароль, либо установленный пароль был очень прост (к примеру, состоял только из цифр) и его просто подобрали.

Что касается подбора паролей: со стороны большинства хостинг провайдеров установлен фаервол, который перекрывает IP адресок, если с него в протяжении 5 минут делается больше 5 попыток ввода неправильных данных.

Пример логов блокировки ip фаерволом сервера.

Потому, всегда устанавливайте надежный пароль, который состоит из цифр, огромных и малеханьких букв,а также содержит другие знаки клавиатуры.

При установке пароля в панели управления Cpanel, система сама скажет вам, что яркому либо не содержит необходимое количество знаков.

Для генерации паролей сможете использовать надлежащие онлайн ресурсы, к примеру, techzoom.net/tools/password-generator.en либо onlinepasswordgenerator.com. Не храните пароли в непроверенных приложениях на незащищенных(без антивирусов) ПК.

2-ая причина взлома — это устаревшая, уязвимая версия CMS системы (ее компонентов,плагинов) на которой работает ваш веб-сайт. Самые “возлюбленные” CMS для взломщиков — это Joomla и WordPress. Сделав проверку огромного количества веб-сайтов работающих на CMS Joomla (было испытано 50 веб-сайтов), мы получили, что, примерно, 79% из их не употребляют последние релизы соответственных ветвей.

Что касается WordPress, ситуация смотрится аналогично — примерно 71% (по результатам проверки 50 веб-сайтов), не обновлены до последней Stable версии. Необходимо отметить, что риск взлома веб-сайтов на устаревших версиях CMS очень высок, и это уже не находится в зависимости от хостинг провайдера.

Также, огромное количество взломов CMS происходит через опасные плагины и составляющие, которые устанавливает для себя клиент. Не считая того, через эти «дыры» безопасности на сервер загружаются всяческие exploit, iframe, php shell, в итоге чего веб-сайт перестаёт нормально работать и на его главной страничке возникает перенаправление на взломанный индексный файл веб-сайта.

Пример iframe в индексном файле веб-сайта.

Уязвимые составляющие и скрипты для CMS Joomla

1) замена файлов LICENCE.php;

License.php файл.

2) загрузка php shell в templates/beez/html/mod_login/ и подмена templates/beez/index.php

Уязвимые составляющие и скрипты для WordPress

1) подмена wp-login.php;

2) загрузка php shell и php eMailer через:

wp-content/plugins/wp-my-admin-bar;

wp-includes/js/tinymce/;

wp-content/themes/infinity.

3) уязвимость темы timthumb.php

Входящая во многие WordPress темы утилита для конфигурации размера изображений timthumb.php, уязвима к загрузке случайного PHP-кода.

В конфигурации скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com), с которых ему разрешено загружать изображения.

Из-за недостаточной проверки передаваемых характеристик существует возможность загрузить веб-shell на сервер, используя перечень доверенных доменов для сотворения поддоменов с такими же наименованиями. Другими словами timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php законной и позволяет загрузить скрипт на сервер.Таким образом, в код вашего скрипта прописывается eval(base64_decode( ))

Если вы не понимаете, куда прописался вредный код, рекомендуем установить плагин Timthumb Vulnerability Scanner.

После установки и активации данного плагина, запустится проверка папки с темами вашего блога, и если в итоге проверки будут найдены уязвимые файлы скрипта timthumb.php, Вам будет предложено обновить их.

Мы также советуем всем юзерам, которые употребляют WordPress для собственных веб-сайтов, проверить наличие данного файла в темах и поменять его на пропатченный вариант timthumb.php .

Со стороны большинства хостинг компаний внедрено ряд опций по увеличению безопасности веб-сайтов клиента.

Опции по увеличению безопасности

1) Установка Firewall;

2) Подключение модулей Mod_security и suhosin;

Mod_security модуль в Cpanel

Suhosin module and its features

Suhosin module extension in php.ini

rss