Вордпресс взлом – История взлома одного WordPress плагина — или о том, как вы допускаете уязвимости в своих проектах

Презентация по взлому сайтов WordPress — «Хакер»

Сисадмин и программист Марк Монтегю (Mark Montague) из Мичиганского университета с 19-летним стажем решения проблем информационной безопасности составил очень толковую презентацию с ясным изложением информации, необходимой для взлома сайта под WordPress. Цель презентации — убедить владельцев обязательно обновляться до последней версии программного обеспечения.

По мнению Монтегю, самый простой способ начать атаку — установить дистрибутив Kali Linux с более 300 хакерскими программами, там есть всё необходимое. Из них злоумышленнику понадобятся только три:

  • WPScan: программа для поиска уязвимостей на сайтах WordPress и брутфорса паролей.
  • Metasploit: фреймворк с простым веб-интерфейсом позволяет начать атаку без особых технических знаний.
  • Weevely: «PHP web shell», который загружается на сайт и работает как бэкдор, потенциально, предоставляя полный контроль над веб-сервером.

Например, так выглядит результат работы WPScan.

Script started on Thu 02 Oct 2014 09:49:02 PM EDT
root@badguy2: ~# wpscan --url myblog2.catseye.org
_______________________________________________________________
        __          _______   _____                  
        \ \        / /  __ \ / ____|                 
         \ \  /\  / /| |__) | (___   ___  __ _ _ __  
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \ 
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team 
                       Version 2.5.1
     Sponsored by the RandomStorm Open Source Initiative
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________

[+] URL: http://myblog2.catseye.org/
[+] Started: Thu Oct  2 21:49:18 2014

[!] The WordPress 'http://myblog2.catseye.org/readme.html' file exists
[+] Interesting header: SERVER: Apache/2.4.7 (Ubuntu)
[+] Interesting header: X-POWERED-BY: PHP/5.5.9-1ubuntu4.4
[+] XML-RPC Interface available under: http://myblog2.catseye.org/xmlrpc.php

[+] WordPress version 4.0 identified from meta generator

[+] WordPress theme in use: twentyfourteen - v1.2

[+] Name: twentyfourteen - v1.2
 |  Location: http://myblog2.catseye.org/wp-content/themes/twentyfourteen/
 |  Style URL: http://myblog2.catseye.org/wp-content/themes/twentyfourteen/style.css
 |  Theme Name: Twenty Fourteen
 |  Theme URI: http://wordpress.org/themes/twentyfourteen
 |  Description: In 2014, our default theme lets you create a responsive magazine website with a sleek, modern des...
 |  Author: the WordPress team
 |  Author URI: http://wordpress.org/

[+] Enumerating plugins from passive detection ...
 | 1 plugins found:

[+] Name: custom-contact-forms - v5.1.0.3
 |  Location: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/
 |  Readme: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/readme.txt
[!] Directory listing is enabled: http://myblog2.catseye.org/wp-content/plugins/custom-contact-forms/

[!] Title: Custom Contact Forms <= 5.0.0.1 - Cross Site Scripting
    Reference: https://wpvulndb.com/vulnerabilities/6296
    Reference: http://packetstormsecurity.com/files/112616/

[!] Title: Custom Contact Forms <= 5.1.0.3 Database Import/Export
    Reference: https://wpvulndb.com/vulnerabilities/7542
    Reference: http://blog.sucuri.net/2014/08/database-takeover-in-custom-contact-forms.html
    Reference: http://www.rapid7.com/db/modules/auxiliary/admin/http/wp_custom_contact_forms
[i] Fixed in: 5.1.0.4

[+] Finished: Thu Oct  2 21:49:21 2014
[+] Memory used: 2.191 MB
[+] Elapsed time: 00:00:03
root@badguy2: ~# exit

Далее в дело вступает Metasploit, где есть все необходимые модули для взлома WordPress. Получив лицензионный код на программу и создав проект, можно атаковать любой IP.

С помощью Metasploit в WordPress создаётся новый аккаунт с правами администратора. Что делать на этом этапе? Можно просто стереть всё содержимое, но в этом мало смысла, потому что сайт восстановят из резервной копии. Скорее всего, злоумышленник предпочтёт установить бэкдор, чтобы расширить свои возможности.

Программа Weevely создаёт валидный PHP-код для размещения в основной директории WordPress, а удалённый доступ в систему осуществляется потом по адресу вроде http://***/weevely.php (разумеется, файл лучше переименовать в нечто менее заметное).

Автор презентации подробно объясняет, как разместить бэкдор в системе и что с ним делать в дальнейшем, а также описывает все необходимые меры безопасности, которые должен предпринять админ.

Говоря об экосистеме WordPress, можно предположить, что у злоумышленников есть список всех IP-адресов и всех сайтов, работающих под WordPress (с указанием версии WordPress и версий всех установленных плагинов), так что в случае обнаружения новой уязвимости очень оперативно начнётся атака по сценарию, описанному в этой презентации. А новые уязвимости для WordPress и плагинов появляются с завидным постоянством.

Эксперты Wordfence рассказали о масштабной операции WP-VCD, направленной на взлом WordPress

Исследователи из компании Wordfence опубликовали отчет о WP-VCD, одной из наиболее серьезных угроз для WordPress на данный момент, которая ответственна за заражение большинства сайтов под управлением популярной CMS. Напомню, что о WP-VCD известно с 2017 года, но с тех пор угроза стала заметно серьезнее.

Интересно, что стоящие за WP-VCD злоумышленники не используют для проникновения на чужие сайты уязвимости и не устанавливают бэкдоры. Вместо этого они полагаются на пиратские (nulled) темы и плагины для сайтов WordPress, которые люди находят и загружают самостоятельно. Злоумышленники управляют целой группой сайтов, через которые распространяют вредоносные темы и плагины, которые обычно продаются в частных магазинах или на таких популярных сайтах, как ThemeForest или CodeCanyon. В список этих сайтов входят:

www.download-freethemes[.]download
www.downloadfreethemes[.]co
www.downloadfreethemes[.]space
www.downloadnulled[.]pw
www.downloadnulled[.]top
www.freenulled[.]top
www.nulledzip[.]download
www.themesfreedownload[.]net
www.themesfreedownload[.]top
www.vestathemes[.]com

Все эти ресурсы отличаются прекрасным SEO. Они занимают высокие позиции в результатах поиска, так как с ключевыми словами им «помогают» все взломанные в настоящее время сайты, зараженные малварью WP-VCD. В итоге поиск по названию любой популярной темы для WordPress, в сочетании со словом «download», приводит к появлению двух или трех вредоносных сайтов в верхней части поисковой выдачи Google.

После того, как пользователи устанавливают  вредоносные темы и плагины, загруженные с этих сайтов, WordPress оказывается взломан, а контроль уже через несколько секунд переходит к злоумышленникам.

Так, сначала на сайт добавляется учетная запись 100010010, которая играет роль бэкдора и  обеспечивает операторам WP-VCD доступ к ресурсу. Затем WP-VCD добавляется ко всем другими темам сайта. Это делается на тот случай, если пользователь лишь тестирует пиратские темы и может вскоре от них избавиться. И, наконец, если малварь попала на совместный хостинг, она стремится распространиться и на базовый сервер, заражая другие сайты, размещенные в той же системе. Таким образом, от WP-VCD страдают и те пользователи, которые защищают свои системы и не используют пиратские продукты, но им не повезло оказаться «по соседству» с  менее предусмотрительным администратором.

В итоге операторы WP-VCD имеют в своем распоряжении внушительный ботнет из взломанных сайтов, которые они полностью контролируют. По данным Wordfence, в настоящее время группировка сосредоточена на двух направлениях. Первое – это развитие ботнета, которое включает в себя добавление ключевых слов и обратных ссылок на зараженные сайты. Второе — это непосредственно монетизация зараженных ресурсов, которая осуществляется посредством рекламы.

Операторы WP-VCD размещают рекламу на взломанных сайтах, и эти объявления часто содержат дополнительный вредоносный код, который порой открывает всплывающие окна или перенаправляет пользователей на другие вредоносные ресурсы. За это группировка получает деньги от других преступников.

По информации Wordfence, некоторые домены операторов WP-VCD были зарегистрированы человеком по имени Шариф Мамдух (Sharif Mamdouh). Кроме того, некоторые из этих доменов также были связаны с атаками на сайты под управлением Joomla еще в 2013 году. Однако пока неясно, является ли этот человек одним из злоумышленников, или же его личность попросту была украдена.

Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security

По статистике 80%  сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.

Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.

Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.

Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.

Группировка NeT.Defacer:

Группировка w4l3XzY3:

И таких бандформирований хаккеров — сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах — в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие — то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно — благо js скрипты майнеров известны уже лет 6-7.

Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.

Методы взлома сайтов

Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.

Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга  были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.

Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.

Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.

Как взломать WordPress сайт

Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.

Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.

Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.

Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).

Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.

Здесь как раз хорошо видно как происходит поиск доступов к шелам.

Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.

Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.

Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.

В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.

Защита Worpress сайта

Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.

Если вы уверены, что ваш сайт не взломан, то:

  1. Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
  2. Обновите пароли у всех администраторов сайта.
  3. Удалите лишних пользователей.
  4. Обновите движок Вордпресса до актуального.
  5. Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
  6. Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
  7. Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
  8. Физически удалите все неактивированные плагины.
  9. Обновите все плагины.
  10. Удалите все неиспользуемые темы
  11. Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
  12. Обновите тему до актуальной.

Далее, устанавливайте плагин iThemes Security и переходите к его настройке.

Настройка плагина iThemes Security

После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.

Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.

Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site.ru/puzo1234.

Остальное оставляем по умолчанию. Сохраняем настройки.

Этот модуль «Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт». Таким образом мы немного защитились от брутфорса.

Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.

Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config.php and .htaccess.»

Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.

Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.

Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».

Оставляем остальное по умолчанию.

Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.

Здесь выставьте значения, как указано на рисунке ниже:

Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.

Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.

Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).

здесь какой- то товарищ с retina — дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.

Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:

  1. Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле  Включить черный список от сайта HackRepair.com
  2. Заполняем бан лист, собранными мною за этот месяц IP

Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.

Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.

Отбор кандидатов на блокирование имеет следующую логику:

(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.

(2) Реферрер подделан — какой то site.ru

(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 — в аннотации CIDR.

Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™‎. Поэтому данный IP мы блокировать не будем.

Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:

Надеюсь, что ваш логин на вход в админку — не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).

Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.

Переходим к следующему модулю «Тонкая подстройка системы«

Настраиваем модуль, согласно приведенному скрину.

Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.

Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:

  • Ссылка для Windows Live Writer
  • Ссылка EditURI
  • Спам комментарий
  • Редактор файлов
  • XML-RPC — поставьте в положение «Отключить XML-RPC»
  • Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
  • Сообщения при неудачной попытке входа
  • Отключает дополнительные пользовательские архивы
  • Login with Email Address or Username — в положение «e/mail address only» — теперь авторизироваться можно будет только по e/mail.

Остальные модули настраивайте по своему усмотрению.

Как очистить сайт на WordPress, если его взломали

Ваш сайт на Wodrpress взломали? Не паникуйте, мы расскажем, как удалить вредоносный код, бэкдоры и вирусы с вашего сайта. Давайте разбираться по порядку.

Если вы подозреваете, что сайт взломали, сначала нужно убедиться в том, что его действительно взломали. Часто администраторы сайта говорят, что сайт взломали, когда он начинает вести себя не так, как положено (вследствие ошибок в шаблоне или плагине) или когда видят сотни комментариев со спамом, но это не так.

Ваш сайт был взломан, если:

  • Вы видите, что в заголовке или подвале сайта появляется реклама порнографии, лекарств, казино, незаконных услуг и т.п. Часто он может быть незаметен для пользователя (например, чёрный текст на чёрном фоне), но поисковые системы видят его.
  • Вы обнаруживаете страницы, которых не должно быть на вашем сайте или которые выглядят подозрительно, выполнив поиск по запросу site:вашсайт.ru.
  • Пользователи говорят вам, что с вашего сайта их переадресовывает на подозрительные и вредоносные сайты. Уделите этому особое внимание, поскольку многие атаки будут обнаруживать, что вы являетесь администратором сайта и не будут показывать ничего подозрительного. Вредоносный или рекламный код будет показываться только посетителям или роботам поисковых систем.
  • Вы получаете уведомления от провайдера о том, что на сайте зафиксирована подозрительная активность, рассылается спам, создаётся повышенная нагрузка на процессор. Злоумышленники могут как рассылать спам с вашего сайта, так и указывать в рассылках адреса фишинговых страниц или страниц с переадресацией, созданных на вашем сайте. Это делается для того, чтобы фильтры спама не обнаруживали письма.

После того, как вы убедились, что сайт взломали, незамедлительно сделайте резервную копию вашего сайта. Используйте FTP, панель управления вашего провайдера или плагин для WordPress и скачайте себе полную резервную копию сайта. Причина в том, что многие провайдеры немедленно удалят ваш сайт если вы сообщите, что он был взломан, или это обнаружит их антивирус. Звучит безумно, но это стандартная процедура, которая позволяет защитить их сеть от проникновения злоумышленников.

Не забудьте сделать резервную копию базы данных. Создание полной резервной копии сайта должно быть самым первым вашим действием. Только после этого можно переходить к следующим шагам по очистке сайта от вредоносного кода. Теперь вы хотя бы будете уверены в том, что у вас есть копия сайта и вы не потеряете всё.

Вот несколько основных правил, которые не следует забывать при очистке вашего сайта от вредоносного кода:

  • Как правило, вы можете удалить содержимое директории wp-content/plugins/ без потери данных и функционала сайта. Это связано с тем, что это файлы плагинов, которые можно восстановить, и WordPress  автоматически обнаружит, что вы удалили плагин и отключит его. Помните, что удалять нужно все содержимое папки wp-content/plugins, а не просто отдельные файлы. Если вы просто удалите несколько файлов плагина, сайт может перестать работать.
  • Как правило, в папке wp-content/themes вашего сайта используется только одна директория. Если вы знаете, какая тема используется на сайте, все остальные папки можно смело удалять. Исключение составляют «дочерние темы«, в этом случае сайт может использовать две папки, собственно дочерней и родительской темы.
  • Как правило, в папки wp-admin и wp-includes не добавляются новые файлы. Поэтому если вы обнаруживаете новые файлы в этих папках, велика вероятность того, что это вредоносный код.
  • Проверьте наличие старых резервных копий или установленных версий WordPress. Мы часто сталкиваемся с тем, что сайт взломан несмотря на то, что администратор заявляет, что WordPress, все плагины и темы регулярно обновляются, и даже установлен плагин для защиты сайта. При этом разработчики или администраторы хранят старую копию в папке типа ‘old/’, которая доступна из внешней сети.  Эта резервная копия не поддерживается, даже если сайт защищен. Поэтому злоумышленники могут воспользоваться уязвимостями в старом коде и получить доступ к основному сайту. Поэтому никогда не оставляйте старые файлы WordPress на работающем сервере. Если такие файлы всё же есть и ваш сайт взломали, проверьте сначала именно эти копии.

Если у вас есть доступ по SSH к вашему серверу, подключитесь к нему и выполните следующую команду, чтобы найти все файлы, которые были изменены в течение последних 2 дней. Обратите внимание, что точка указывает на текущую папку. Эта команда будет выполнять поиск в текущей директории и во всех поддиректориях. (Чтобы узнать текущую директорию, выполните команду pwd в консоли SSH).

find . -mtime -2 -ls

Также можно указать определенную папку напрямую:

find /home/имя_пользователя/сайт/ -mtime -2 -ls

Можно расширить поиск и найти все файлы, изменненые за последние 10 дней:

find /home/имя_пользователя/сайт/ -mtime -10 -ls

Если измененных файлов не обнаружено, постепенно увеличивайте количество дней, пока не начнёте видеть изменения. Если вы ничего не меняли с момента взлома, вероятно, что вы увидите именно те файлы, которые изменил злоумышленник. Теперь вы можете самостоятельно изменить их и удалить вредоносный код. Это наиболее эффектиный и простой способ найти зараженные файлы.

Ещё один полезный инструмент, доступный по SSH — это ‘grep’. Команда позволяет осуществить поиск по содержимому файлов. Например, для того, чтобы найти все файлы, содержащие строку base64 (часто используется злоумышленниками) нужно выполнить следующую команду:

grep -ril base64 *

В результате вы увидите только имена файлов. Чтобы увидеть полный путь, опустите параметр «l»:

grep -ri base64 *

Помните, что строка «base64» может использоваться и в обычном коде. Перед тем, как удалять что-либо, убедитесь, что удаляемый файл не используется в теме или плагине. Более узкий поиск  будет выглядет так:

grep --include=*.php -rn . -e "base64_decode"

Эта команда рекурсивно ищет строку «base64_decode» во всех файлах, заканчивающихся на .php, и выводит номера строк, чтобы можно было легко найти, в каком контексте используется команда в файле.

После очистки множества заражённых сайтов вы заметите определенные шаблоны размещения вредоносного кода. Одно из мест, куда хакеры заливают бэкдоры и вирусы — папка загрузов WordPress (uploads). Приведенная ниже команда позволит вам найти все файлы в папке загрузок, которые не являются картинками. Для удобства сохраним список в файл «uploads.log» в текущей папке.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads.log

В принципе, двух команд “grep” и “find” достаточно для очистки всего сайта. Всё настолько просто!

Чтобы Google Chrome не показывал предупреждение о небезопасном содержимом, нужно удалить сайт из списка Google Safe Browsing. Для этого выполните следующие действия

  1. Войдите в Инструменты вебмастера Google.
  2. Если вы ещё не добавили ваш сайт в консоль поиска, добавьте его.
  3. Подтвердите владение сайтам согласно инструкции Google.
  4. Выберите сайт на главной странице консоли поиска.
  5. В левом меню выберите Security Issues.
  6.  Нажмите Request a review.

Если вы смогли исключить сайт из списка Google Safe Browsing — это большой шаг. Вам нужно создать список всех антивирусов, которые заявляют о том, что сайт небезопасен. Затем зайдите на сайты производителей Лаборатории Касперского, ESET, McAfee’s Site Advisor и такк далее. На каждом сайте вам нужно найти инструкцию о том, как исключить свой сайт из списка опасных. Обратите внимание на слова «ложное срабатывание», «удалить сайт» и т.п.

Перейдите по следующей ссылки, изменив в ней ссылку на ваш сайт.

http://www.google.com/safebrowsing/diagnostic?site=http://вашсайт.ru/

На странице вы увидите результаты проверки с подробной информацие о текущем состоянии вашего сайта, почему он находится в списке вредоносных и фишинговых сайтов Google (на самом деле, это два списка) и что нужно делать дальше.

После того, как вы закончите очистку сайта от вирусов, нужно защитить его, чтобы взлом не повторился. Вот что нужно сделать:

  • Поменяйте все пароли доступа к панели управления хостингом, базе данных и WordPress
  • Пароли должны быть достаточно сильными и неочевидными. Не используйте один и тот же пароль на разных сайтах.
  • Регуляно обновляйте WordPress и все плагины и темы. Это очень важно для защиты сайта.
  • Удалите все старые установки, резервные копии и другие файлы, не имеющие отношения к WordPress с вашего сервера.
  • Установите Wordfence или другой плагин для защиты сайта и выполняйте регулярные проверки.

Если у вас возникли проблемы с очисткой взломанного сайта — обращайтесь, мы с радостью поделимся своим опытом

Поделиться ссылкой:

Понравилось это:

Нравится Загрузка…

Похожее

Взлом сайта на WordPress. Пример из жизни 🙂

Взлом сайта на движке WordPressВзлом сайта на движке WordPress

  Взломанный Вордпресс

CMS WordPress стала очень уж популярна и не стоит удивляться, что сайты на ней взламывают с завидной регулярностью. Я почему-то не думал, что и меня это коснётся… А зря :).

:).

Правда, был взломан один давно заброшенный мною сайт, потому не жалко. Но опыта это мне прибавило.

Проблему заметил совершенно случайно — в браузере мобильного телефона обнаружил, что точка одного из предложений в статье стала выглядеть чуть ярче. Иначе говоря, она стала ссылкой на какой-то неизвестный мне ресурс по продаже туристических услуг.

В общем-то, это не самое страшное, что бывает при взломе веб-проекта. Но на SEO-оптимизации это неизбежно скажется отрицательным образом, поэтому «сомнительных» и неизвестных вам внешних ссылок с сайта быть не должно.

Я решил, что быстро удалю ссылку, просто отредактировав текст статьи. Но никакой ссылки при редактировании не обнаружил. Что интересно — при удалении кусков текста ссылка-точка «мигрировала» от одного предложения к другому. Т.е. это всё говорило о действии какого-то алгоритма, а не о ручной простановке ссылок.

К счастью, алгоритм этот я нашёл в файле-шаблоне functions.php:

взлом сайта на wordpress - добавление фильтравзлом сайта на wordpress - добавление фильтра

  Взлом сайта на WordPress — добавление фильтра в шаблон

На картинке выше красной рамочкой выделен т.н. WP-фильтр. Суть всех фильтров в том, что они «пропускают через себя» (отсюда и название) что-то (например, текст статьи) и особым образом обрабатывают (в данном случае, фильтр добавлял ссылку-точку в контент статьи).

Я его просто закомментировал (добавил два слэша — //) и ссылка исчезла. Кстати, спустя пару месяцев, при раскомментировании этой строчки кода, ссылка уже не появлялась. Возможно, взломщик делал так, чтобы вредоносный код скачивался с внешнего ресурса и со временем просто убрал его или сделал что-то другое, и я это пока не заметил.

Зачем взламывают сайты?

Причин тут может быть много:

  • Развлечься (почему бы нет?)
  • «Внедрение» скрытых ссылок для продвижения каких-то веб-ресурсов (как в моём примере). Очевидно, эти люди очень плохо разбираются в SEM. И не понимают, что такие ссылки являются элементом чёрного SEO, так что эффект от них скорее отрицательный.
  • «Внедрение» кодов бирж ссылок (вроде Sape или Trustlink). Это во многом аналогично предыдущему пункту, но здесь ссылки будут появляться на страницах автоматически и постепенно количество их будет расти так же, как и доходы взломщиков. К сожалению для владельца взломанного сайта, есть риск, что его проект пострадает от всяких санкций поисковых систем.
  • Более «жёсткий» способ: взломать веб-проект, заявить об этом и потребовать деньги за возврат доступа сайтовладельцу.
  • Возможно, что-то ещё — добавьте в комментариях, если знаете.

Как их взламывают?

Произвести взлом сайта на WordPress (да и на любом другом движке) можно многими способами:

  • Подбор логина/пароля к админке (если она есть)
  • Получение доступа к аккаунту на хостинге и правка базы данных, файлов и т.д.
  • Получение доступа к сайту по FTP — и также правка файлов, закидывание новых «вредных» файлов и т.п.
  • Установка вирусов и троянов, отслеживающих то, что вы вводите с клавиатуры да и вообще делающих разные неприятные вещи.

В общем, во многом безопасность наших проектов зависит от нас самих (как и всё остальное в мире). Поэтому периодически меняйте пароли от админок/хостингов и проверяйте компьютеры на вирусы.

Вот нашлось видео на Youtube — описана аналогичная ситуация с ссылкой-точкой:

Взлом Вордпресс:

В следующей статье (web-ru.net/wordpress/zashhita-wordpress-ot-vzloma-izmenenie-logina-videourok.html) опишу простой, но действенный способ защиты WP.

Сталкивались ли вы со взломом сайта на движке WordPress или любых других? Расскажите в комментариях!

взлом сайта на wordpress - добавление фильтраLoading…
взлом сайта на wordpress - добавление фильтра

Взломанные темы WordPress — Azbuka WordPress

Взломанные темы WordPress

8 110

В этой статье я расскажу про взломанные темы WordPress и объясню, почему их использование крайне нежелательно.

В сети очень много сайтов, предлагающих установить последнюю версию премиум темы WordPress бесплатно. Это, как их еще называют, нуленые (nulled) версии платных премиум тем WordPress.

Я настоятельно рекомендую не скачивать и не пользоваться ими.

Почему нельзя использовать взломанные темы WordPress?

1. Часто в комплекте с нуленой темой на компьютер попадает вирус троян. Он получает доступ на ваш сервер с хостингом и крадет данные банковских карт. Если у вас интернет-магазин — личные данные и деньги клиентов также находятся в опасности. И это будет продолжаться, пока сайт не заблокируют.

2. Помимо трояна на сайт может попасть не менее опасный вирус или винлокер. Он блокирует Windows и просит перечислить немного денег. А потом еще и еще.

3. И классика жанра — ссылки на сторонние сайты. Если вы не знаете кода, вы их не заметите. Они не требуют денег, но вредят не меньше. Вы никогда не увидите сайт в Топе. Он будет опускаться ниже и ниже, а со временем вообще пропадет.

взломанные темы wordpress

Как правило, мошенники предлагают взломанные темы WordPress предыдущих версий, что делает работу с постоянно обновляющимся WP весьма затруднительной. А делать сайт на старых версиях WP я не советую, потому что они давно и успешно взламываются хакерами всего мира.

Про отсутствие обновлений и техподдержки, которые вы получаете с покупкой платных тем, думаю, и говорить не нужно.

Более того, разработчик имеет полное право потребовать у вас или у вашего хостера удалить сайт и подать на вас в суд за мошенничество.

За восстановление сайта вы отдадите много сил, времени и денег. Поэтому, пожалуйста, не пытайтесь устанавливать взломанные темы WordPress.

Скажите им решительное «НЕТ».

Скачивайте и пользуйтесь темами только с официальных сайтов разработчиков или популярных площадок, таких как:

и других.

У нас есть подробное руководство о том, как выбрать тему WordPress — целых 9 пунктов! Прочитайте, может быть, вы откроете для себя что-то новое.

А также подборка лучших бесплатных тем WordPress.

А теперь мой личный опыт

Было время, для экономии средств и времени я использовала тариф на хостинге, рассчитанный на 20 сайтов. Т.е. я могла создать 20 баз данных и «запилить» 20 сайтов.

Нужно отметить, я всегда использовала только лицензионные темы.

Количество клиентов росло, количество сайтов тоже. Наступил момент, когда 19 из 20 возможных на тарифе сайтов были готовы.

Наконец появился и 20-ый клиент.

Я получила ТЗ и стала искать подходящий шаблон. И, как мне показалось, нашла, но полной уверенности не было. Я решила сначала скачать нуленую тему, чтобы затестить все ее возможности и решить, подходит или нет.

В общем, да…

Это был наиглупейший поступок.

В шаблон этой злосчастной темы был подсажен вирус (malware), который никак себя не проявлял первые недели две…

А дальше…

Дальше эта гадость перекочевала на все мои 19 сайтов. Заходишь на сайт, вроде все то же самое, но то тут, то там всплывает баннер с пошлыми картинками, появляются непонятные записи, «левые ссылки» и тому подобное.

Я получила письмо-предупреждение от хостинговой компании о подозрительной активности и о наличии вредоносного ПО.

А потом они меня вообще заблокировали.

Самым логичным поступком было бы восстановить все сайты из резервных копий. Но прошло больше месяца, а мой хостер хранил копии только за последние 30 дней, то есть я оказалась в ситуации, что даже в резервных копиях был вирус.

Итог: сайты не работают, клиенты в шоке, я с температурой. Все пришлось переделывать заново вручную.

Такие дела:)

Я надеюсь, статья была для вас полезной.

Вы работали со взломанными темами/плагинами? Расскажите.

А теперь несколько полезных ссылок:

Если вы открываете интернет-магазин, вам будет полезна наша статья о платформе электронной коммерции WooCommerce.

А также статья о платформах Shopify и WooCommerce, в которой мы сделали подробное сравнение этих гигантов.

И подборка лучших премиум тем WordPress для интернет-магазина.

И, конечно, полное руководство по созданию сайта сайта на WordPress — от выбора домена до набора обязательных плагинов.

Ну и напоследок — пошаговая инструкция для SEO вашего сайта.

И все о SEO 2020.

Если у вас есть вопросы, пишите в комментариях.

Специалисты Sucuri назвали WordPress самой взламываемой CMS года — «Хакер»

Специалисты Sucuri представили отчет, посвященный трендам в области взлома сайтов в 2018 году. Аналитики пришли к выводу, что WordPress стал самой взламываемой CMS года, на которую приходится 90% подобных атак. Следом, с огромным отрывом, следуют Magento (4,6%), Joomla (4,3%) и Drupal (3,7%).

Эксперты пишут, что большинство взломов по-прежнему связаны с уязвимостями не в самих CMS, но с неправильной конфигурацией, а также уязвимостями в плагинах и темах, которые администраторы часто забывают обновить. Так, лишь 56% изученных аналитиками сайтов работали с актуальными версиями ПО.

Как ни странно, будучи «самым взламываемым» WordPress не является самой плохо обновляемой CMS. Напротив, специалисты Sucuri пишут, что всего 36% взломанных сайтов работали с устаревшими версиями WordPress, тогда как взлом PrestaShop, OpenCart, Joomla или Magento практически гарантирует, что проблема крылась в устаревшем софте.

 

Успешно скомпрометировав ресурс, атакующие, как правило, заражают его бэкдором (68% случаев). На втором месте (56%) находятся сайты, которые после взлома используются для хостинга различной малвари. На третьем месте, с небольшим отрывом, располагается SEO-спам (51%), которого стало значительно, больше по сравнению с 2017 годом (тогда его доля равнялась 44%). В основном SEO-спам строится на редиректах .htaccess, PHP и БД инжектах. Как не трудно догадаться,  спам используется для «отравления» результатов поисковой выдачи, продвижения и монетизации различных ресурсов, связанных с атакующими (речь может идти как о разных blackhat-тактиках, так и об обычном маркетинге).

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *