Вордпресс взлом: Ломаем и защищаем WordPress своими руками — «Хакер»

Leave a Comment / Разное / By /

Содержание

Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security

По статистике 80%  сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.

Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.

Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.

Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.

Группировка NeT.Defacer:

Группировка w4l3XzY3:

И таких бандформирований хаккеров — сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах — в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие — то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно — благо js скрипты майнеров известны уже лет 6-7.

Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.

Методы взлома сайтов

Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.

Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга  были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.

Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.

Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.

Как взломать WordPress сайт

Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.

Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.

Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.

Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).

Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.

Здесь как раз хорошо видно как происходит поиск доступов к шелам.

Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.

Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.

Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.

В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.

Защита Worpress сайта

Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.

Если вы уверены, что ваш сайт не взломан, то:

  1. Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
  2. Обновите пароли у всех администраторов сайта.
  3. Удалите лишних пользователей.
  4. Обновите движок Вордпресса до актуального.
  5. Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
  6. Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
  7. Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
  8. Физически удалите все неактивированные плагины.
  9. Обновите все плагины.
  10. Удалите все неиспользуемые темы
  11. Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
  12. Обновите тему до актуальной.

Далее, устанавливайте плагин iThemes Security и переходите к его настройке.

Настройка плагина iThemes Security

После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.

Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.

Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site.ru/puzo1234.

Остальное оставляем по умолчанию. Сохраняем настройки.

Этот модуль «Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт». Таким образом мы немного защитились от брутфорса.

Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.

Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config.php and .htaccess.»

Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.

Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.

Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».

Оставляем остальное по умолчанию.

Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.

Здесь выставьте значения, как указано на рисунке ниже:

Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.

Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.

Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).

здесь какой- то товарищ с retina — дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.

Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:

  1. Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле  Включить черный список от сайта HackRepair.com
  2. Заполняем бан лист, собранными мною за этот месяц IP

Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.

Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.

Отбор кандидатов на блокирование имеет следующую логику:

(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.

(2) Реферрер подделан — какой то site.ru

(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 — в аннотации CIDR.

Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™‎. Поэтому данный IP мы блокировать не будем.

Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:

Надеюсь, что ваш логин на вход в админку — не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).

Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.

Переходим к следующему модулю «Тонкая подстройка системы«

Настраиваем модуль, согласно приведенному скрину.

Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.

Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:

  • Ссылка для Windows Live Writer
  • Ссылка EditURI
  • Спам комментарий
  • Редактор файлов
  • XML-RPC — поставьте в положение «Отключить XML-RPC»
  • Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
  • Сообщения при неудачной попытке входа
  • Отключает дополнительные пользовательские архивы
  • Login with Email Address or Username — в положение «e/mail address only» — теперь авторизироваться можно будет только по e/mail.

Остальные модули настраивайте по своему усмотрению.

Защита от взлома сайта на WordPress | Вопросы-ответы на Wiki

RewriteEngine On
# Блокировка XSS
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
# Блокируем выставление переменной PHP GLOBALS через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Блокируем возможность изменять переменную _REQUEST через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Блокировка MySQL инъекций, RFI, base64, и др.(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
RewriteRule .* - [F]

Взлом WordPress. Атаки хакеров 2020 новые данные от xakep.ru

По информации от xakep.ru в плагине File Manager, которым пользуются более 700 000 ресурсов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. Спустя всего несколько часов после раскрытия информации о баге эксперты из таиландской компании NinTechNet сообщили о первых атаках на эту уязвимость.

Суть проблемы заключается в том, что плагин содержит дополнительный файловый менеджер, известный как elFinder — это библиотека с открытым исходным кодом, которая обеспечивает работу основных функций плагина, а также предоставляет пользовательский интерфейс. Уязвимость возникает из-за того, как реализована имплементация elFinder в данном случае.

Так, в File Manager расширение файла библиотеки connector.minimal.php.dist изменено на .php, чтобы его можно было запускать напрямую, даже если файл connector не используется самим файловым менеджером. ­В такие библиотеки часто включены файлы примеров, которые не предназначены для использования прямо «из коробки», без настройки управления доступом. В итоге данный файл не имеет прямых ограничений доступа, а значит, к нему может получить доступ кто угодно. 

Исследователи NinTechNet пишут, что злоумышленники используют эксплоит для загрузки на сайты файлов изображений, в которых скрытых веб-шеллы. В итоге атакующие могут использовать удобный интерфейс, который позволяет им запускать команды в каталоге plugins/wp-file-manager/lib/files/, где находится плагин File Manager. И хотя проблема не позволяет хакерам выполнять команды вне названного каталога, атакующие могут нанести немалый ущерб, загрузив на уязвимый сайт скрипты, которые способны выполнять действия в других частях уязвимого ресурса. 

Не пропустите нашу новую публикацию, она поможет вам глубже изучить вопрос безопасности: Разбираемся, движок WordPress безопасен или нет?

По данным NinTechNet, в настоящее время хакеры используют баг для загрузки на сайты скрипта hardfork.php, а затем применяют его инъекций кода в скрипты /wp-admin/admin-ajax.php и /wp-includes/user.php. При этом отмечается, что злоумышленники стремятся защитить уязвимый файл паролем (connector.minimal.php), чтобы другие хак-группы не могли воспользоваться уязвимостью на уже зараженных сайтах. 

«В ближайшие несколько часов или дней мы увидим, что именно они будут делать дальше. Ведь если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они собираются вернуться и снова посетить зараженные ресурсы», — говорят специалисты NinTechNet. 

Эксперты из ИБ-компании Wordfence уже посвятили этой волне атак собственный отчет. За последние несколько дней компания заблокировала более 450 000 попыток эксплуатации данной уязвимости. Исследователи пишут, что злоумышленники пытаются внедрить на сайты различные файлы. В некоторых случаях эти файлы были пустыми (очевидно, хакеры лишь тестировали уязвимость), другие вредоносные файлы носили имена hardfork.php, hardfind.php и x.php. 

«Плагин файлового менеджера, подобный этому, позволяет злоумышленникам манипулировать файлами и загружать новые по своему выбору прямо из панели управления WordPress. Потенциально это также позволяет сразу повысить привилегии.

Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к уязвимому плагину и загрузить веб-шелл, чтобы выполнить дальнейшие действия на сервере и развить свою атаку с помощью другого эксплоита», — пишет специалистка Wordfence Хлоя Чемберленд (Chloe Chamberland). 

Проблема уже была исправлена в File Manager версий от 6.0 до 6.8. Официальная статистика WordPress показывает, что в настоящее время уязвимы примерно 52% установок плагина, то есть около 350 000 сайтов.

Не пропустите эту информацию — это действительно важно: Что делать если ваш сайт на WordPress испытывает техническую проблему?

Атаки хакеров начались 28 апреля 2020

Как сообщает эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) продолжается атака перебором паролей против WordPress, MySQL. Виредонос Stealthworker, активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.

Среди потенциальных объектов атак — сайты на WordPress, а так же Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.

Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordPressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик. 

AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти, говорит Михаил Зайцев, эксперт по информационной безопасности

Хотим поделиться с вами ценной информацией, узнайте, какие 10 лучших плагинов безопасности WordPress мы применяем для защиты сайтов

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта на WordPress прямо сейчас!

Оставить заявку

Новость от cnews.ru на 28 мая: уже миллион сайтов на WordPress атакован с 24 тыс. IP-адресов

Злоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.

Хакеры пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.

«Вероятнее всего, злоумышленники ведут «ковровую бомбардировку» в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от не поддерживаемых».

Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress, обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь. Для защиты сайтов наших клиентом мы применяем 10 лучших плагинов безопасности WordPress

Информация от xakep.ru на 28 апреля: 

Специалисты Wordfence обратили внимание, что некая хак-группа развернула масштабную кампанию против сайтов на WordPress. Используя различные известные уязвимости, злоумышленники предприняли попытки атак на почти миллион ресурсов за прошедшую неделю. 

Атаки начались 28 апреля 2020 года и привели к тридцатикратному увеличению объема вредоносного трафика, отслеживаемого компанией. Группировка использует для атак более 24 000 различных IP-адресов и уже попыталась взломать более 900 000 сайтов под управлением WordPress. Атаки достигли своего пика в прошлое воскресенье, 3 мая 2020 года, когда хакеры предприняли более 20 000 000 попыток взлома 500 000 различных доменов. 

Ценные рекомендации в новой статье: Надежная защита и обслуживание сайта на WordPress

Исследователи пишут, что в основном группировка полагается на эксплуатацию разнообразных XSS-уязвимостей и с их помощью  внедряет вредоносный JavaScript-код на сайты, а затем перенаправляет входящий трафик ресурсов на вредоносные сайты.­  Также используемая злоумышленниками малварь проверяет, не вошел ли посетитель как администратор, чтобы с помощью его учетной записи попытаться автоматически создать бэкдор. 

Wordfence рассказывает, что злоумышленники применяют в своей кампании следующие уязвимости:

  • XSS-уязвимость в плагине Easy2Map, который был удален из репозитория WordPress еще в августе 2019 года. Попытки эксплуатации этой уязвимости составляют более половины от общего числа атак, хотя плагин установлен менее чем на 3000 сайтах;
  • Уязвимость XSS в плагине Blog Designer,­ которая была исправлена в 2019. Данные плагин используется примерно 1000 ресурсов, но эта уязвимость уже использовалась в ходе других вредоносных кампаний;
  • Баг в плагине WP GDPR Compliance, исправленный в конце 2018 года. Помимо прочего, проблема позволяла злоумышленникам изменять домашний URL сайта. Хотя данный плагин насчитывает более 100 000 установок, аналитики подсчитали, что в настоящее время лишь 5000 из них по-прежнему уязвимы.
  • Уязвимость в плаигне Total Donations, позволяющая изменять домашний URL сайта. Данный плагин был удален с Envato Marketplace в начале 2019 года, и в настоящее время насчитывается менее 1000 «живых» установок.
  • XSS-уязвимость в теме Newspaper, которая была исправлена ​​в далеком 2016 году. В прошлом эту проблему тоже эксплуатировали хакеры.

Также, по мнению экспертов Wordfence, в будущем стоящая за атаками группировка может разработать новые эксплоиты и расширить свой арсенал, что повлечет за собой атаки и на другие уязвимости на сайты на WordPress.

Источник: xakep.ru

Вашему сайту требуется поддержка, обслуживание, хостинг?

Напишите нам прямо сейчас, всегда рады помочь!

Оставить заявку

← Поделиться с друзьями !

Взлом сайтов на WordPress. Защита необходима многим ресурсам

Сайты на вордпресс очень популярны сегодня и именно поэтому участились взлом сайтов на WordPress. Так как в веб-студии АВАНЗЕТ разработка на WordPress составляет примерно 30-35% от общего объема всех сайтов, мы следим за безопасностью этого движка и предупреждаем о том, что недавно появился новый вирус BabaYaga, который угрожает сайтам на этой CMS. 

По информации Романа Георгиева эксперты по безопасности из компании Defiant описали вредоносную программу с характерным названием BabaYaga. «Баба-яга» используется для SEO-спама, однако, как выяснили разработчики, она способна удалять конкурирующий вредоносный софт и даже обновлять и переустанавливать CMS WordPress на заражённых ресурсах.

Несмотря на это WordPress очень любят многие разработчики и пользователи, так как это удобная платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми.

Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress. Обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь.

Что делает вирус BabaYaga заразив сайт на WordPress

Основное назначение BabaYaga — это размещение на заражённых веб-сайтах «спамерских» ключевых слов и скрытых страниц, через которые пользователи перенаправляются на ресурсы, рекламируемые с помощью спама. Операторы BabaYaga получают комиссию от каждой продажи, сделанной на таких ресурсах.

Вредонос состоит из двух модулей, один из которых отвечает как раз за инъекцию спам-контента в заражённые сайты, а другой представляет собой бэкдор, позволяющий злоумышленникам перехватывать контроль над сайтов в любое время.

Но самым интересным аспектом BabaYaga является его способность править, восстанавливать или переустанавливать систему управления контентом WordPress — автоматически. Вредонос нуждается в том, чтобы сайт исправно работал, потому что в случае появления ошибок на нём, собственные скрипты BabaYaga также перестают исправно функционировать.

Поэтому BabaYaga автоматически устанавливает все новейшие обновления на сайт под управлением WordPress, а в случае надобности — полностью обновляет CMS и даже создаёт и резервные копии на случай неудавшихся обновлений и удаляет их, когда надобность в таких файлах отпадает.

Публикации по теме кибербезопасности и защите от взломов

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта на WordPress прямо сейчас!

Оставить заявку

Хороший паразит бережёт хозяина

Интересно и то, что BabaYaga способна выполнять роль локального антивируса: если на заражённом сайте обнаруживается какое-то другое вредоносное ПО, BabaYaga его ликвидирует.

Эксперты отметили, что «хороший паразит заинтересован в том, чтобы его носитель жил долго», и к тому же сбои в работе CMS WordPress привлекают внимание администраторов, что чревато обнаружением BabaYaga. Поэтому вредонос делает всё, чтобы обеспечить исправное функционирование заражённого сайта.

«Вредоносные программы, устраняющие конкурентов, неоднократно встречались и в прошлом, но, кажется, впервые кто-то написал программу, которая ремонтирует и обновляет заражённую систему, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Не исключено, что BabaYaga станет родоначальником новой разновидности вредоносного ПО, если используемая ею «модель» окажется в достаточной степени практичной».

Эксперты отмечают, что вредонос — судя по всему, созданный русскоязычными программистами, — очень неплохо написан, и что его авторы хорошо разбираются и в написании кода, и в функционировании современных CMS.

BabaYaga способна заражать также сайты на Drupal и Joomla, а также работать с ресурсами, написанными на PHP, но основной пункт её меню составляют сайты на WordPress.

Для защиты сайтов наWordPress существуют Security-плагины

  • Login LockDown — ограничивает количество неудачных попыток авторизации;
  • Revisium WordPress Theme Checker — ищет типичные вредоносные фрагменты в темах WordPress;
  • Sucuri Security — проводит мониторинг и обнаружение вредоносного кода;
  • iThemes Security (бывший Better WP Security) — многофункциональный плагин для защиты WordPress;
  • BackUpWordPress — делает резервное копирование файлов и БД;
  • Google Captcha (reCAPTCHA) — устанавливает капчу при регистрации, авторизации, восстановлении паролей и в форме комментариев.

В веб-студии АВАНЗЕТ применяются 10 лучших плагинов безопасности WordPress

Самые необходимые меры по защите: использовать только актуальные версии WordPress и его компонентов — это позволит устранить известные уязвимости. Удалить неиспользуемые плагины и темы, которые также могут быть заражены. Скачивать темы и плагины WordPress из достоверных источников, например с сайтов разработчиков и официального сайта WordPress. Как и домашний ПК или ноутбук, нужно периодически проверять свой веб-ресурс антивирусом.

Если вашему сайту требуется поддержка, обслуживание, хостинг,

напишите нам прямо сейчас, всегда рады помочь!

Оставить заявку

Зачем хакерам взламывать ваш сайт?

Не все владельцы сайтов уделяют достаточно внимания безопасности своих сайтов. Они могут подумать: «Зачем хакерам тратить время на взлом моего сайта с блогом или статьями? Там же нет номеров банковских карт». И будут правы. Хакеры действительно не тратят свое время на взлом таких сайтов.

Но не стоит забывать про ботнеты.

Ботнет — это сеть компьютеров и сайтов, которые уже заражены вредоносными программами. Такие ботнеты сканируют в автоматическом режиме другие компьютеры и сайты и ищут в них уязвимости. Через эти уязвимости они загружают свой вирусный код на сайт.

В большинстве случаев это делается не для кражи личных данных, а для того, чтобы сделать сайт частью ботнет-сети. С такого сайта злоумышленники будут рассылать спам, распространять шпионские программы или вести DDoS-атаку. Сейчас это самая распространенная проблема в интернете.

А теперь хорошая новость:  у нас есть решение!

Patchman — коммерческое программное обеспечение наших партнеров. Эта система автоматически находит уязвимости в CMS и плагинах, после чего тут же патчит их без обновления самой CMS и перезагрузки сайта. Также автоматически удаляет из хороших файлов вредоносный код и malware.

Мы установили Patchman на виртуальный хостинг 02.04.2020 и тестировали его целых два месяца. За это время Patchman показал отличные результаты:

  • Обнаружил 50 535 CMS устаревших версий
  • Исправил 627 826 уязвимостей в коде CMS и плагинов
  • Удалил 64 462 вирусные вставки из кода хороших файлов

При этом Patchman работает незаметно для пользователей виртуального хостинга. Никаких перезагрузок, обновлений или даунтаймов сайта. Ваш сайт работает стабильно, а Patchman в это время защищает его от атак киберпреступников. Так мы делаем наш виртуальный хостинг еще надежнее и безопаснее для вашего сайта. И делаем это совершенно бесплатно.

Если вы еще не заказали быстрый виртуальный хостинг с надежной защитой от взлома, самое время это сделать.

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта на WordPress прямо сейчас!

Оставить заявку

← Поделиться с друзьями !

Плагины от взлома сайта WordPress

Существует ряд плагинов, основной целью которых является защита сайта вордпресс. В этой статье речь пойдет о том, как защитить сайт вордпресс и будут рассмотрены 10 лучших плагинов, при помощи которых это можно сделать.

Sucuri Security

Этот плагин защиты вордпресс очень распространен и имеет репутацию одного из лучших и наиболее многофункциональных плагинов на рынке. Данный плагин позволяет раз и навсегда решить вопрос уязвимости вордпресс, ведь он предлагает ряд функций:

  • Аудит активности и мониторинг файлов;
  • Сканирование на наличие вредоносного кода, находящигося на сайте;
  • Присылает своим пользователям уведомления о безопасности;
  • В премиум версии имеет брандмауэр веб-приложений.

Большинство вышеперечисленных функций предоставляются бесплатно, однако для получения доступа к последней из них придется заплатить либо 10 долларов за месяц.

Подробнее

Wordfence

Еще одно приложение, занимающее лидирующие позиции в списке плагинов, которые заботятся о безопасности wordpress. Он, точно так же как и предыдущий плагин, обладает рядом функций, которые закрывают уязвимости wordpress:

  • WAF, отвечающий за блокировку всего вредоносного трафика прежде, чем он начнет атаковать Ваш сайт;
  • Сканирование всех потенциально вредоносных программ с целью проверить файлы, плагины и темы перед их загрузкой;
  • Аутентификация, состоящая из двух факторов;
  • Ограничения WordPress на вход с целью предотвращения атак на сайт;
  • Просмотр всего трафика и его аналитика в режиме реального времени.

Более того, этот плагин, предотвращающий взлом вордпресс, имеет очень простой, но при этом достаточно многофункциональный интерфейс и отличается своей доступностью. Каждая из перечисленных выше функций предоставляется бесплатно. Что касается расширенной версии, она предлагает более чистые сканирования, защиту от спама и другие дополнительные функции. За годовую подписку на премиум версию придется заплатить сто долларов.

Подробнее

MalCare Security

Этот плагин, предоставляющий вордпресс безопасность, имеет свой собственный сканер вредоносных программ. Более того, плагин оснащен функцией «automatic wordpress», что позволяет ему без труда в автоматическом режиме удалять все нежелательные программные обеспечения и блокировать весь потенциально вредоносный контент. Этот плагин является единственным аналогом из уже перечисленных, который позволит вам очистить свой сайт после атаки при помощи всего лишь одного нажатия на мышь. Однако стоит сразу отметить, что эта функция доступна лишь в расширенной версии плагина. В принципе, этот вариант обладает рядом функций, которые надежно позаботятся о защите wordpress сайта:

  • Защита брандмауэра;
  • Дистанционное сканирование вредоносных программ, которые не будут перегружать ваш сервер;
  • Удаление всего нежелательного программного обеспечения в один клик;
  • Огромный инструментарий для разработчиков, который включает в себя не только белую маркировку, но и клиентские отчеты.

Обычное неполное сканирование доступно для каждого пользователя, а вот для получения большего количества функций, таких как белая маркировка и клиентские отчеты, понадобится расширенная версия плагина. Самый дешевый вариант лицензии – сто долларов за год.

Подробнее

IThemes Security

Если вы думаете о том, как защитить вордпресс, рекомендуем обратить внимание на этот плагин, который значительно усложняет работу людям, целью которых является взлом сайта wordpress. Этот инструмент является одним из лучших и наиболее распространенных среди пользователей WordPress. Благодаря ему Вы сможете:

  • Предотвратить взлом WordPress;
  • Отсканировать сайт на наличие вредоносного кода;
  • Обнаружить ошибки 404;
  • Заставить всех пользователей создавать надежные пароли.

Более того, этот плагин защиты WordPress обладает рядом дополнительных функций, основной из которых является двухфакторная аутентификация. Также в ряд дополнительных функций входит сканирование вредоносных программ, Google reCAPTCHA и многое другое. Этот плагин является наиболее доступным расширенным плагином и предоставляется всего за восемьдесят долларов в год.

Подробнее

WP Security & Firewall

Если рассматривать менее популярные плагины защиты вордпресс, этот инструмент будет по праву считаться одним из лучших. Рассматриваемый вариант обладает большим рядом функций, которые позволяют отвечать за свои слова. Основными функциями, которыми оснащен этот плагин, защищающий права доступа вордпресс, являются:

  • Функция «блокировка входа», которая не позволяет взломать вордпресс;
  • Защита файлов, их редактирование, резервное копирование и восстановление;
  • Защита брандмауэра;
  • Сканер обнаружения изменений файлов;
  • Комментарий, предотвращающей рассылку спама;
  • Защита wordpress права, которая не позволяет недоброжелателям скопировать передний план Вашего сайта.

Но и это еще не всё: этот инструмент предоставляется полностью бесплатно и не имеет дополнительной расширенной версии, а это, в свою очередь, обозначает, что Вы сможете получать все необходимые функции, ни платя за это, ни рубля.

Подробнее

Defender

Хоть бесплатная версия этого плагина, защищающего от взлома сайта вордпресс, весьма ограничена, «Защитник» предоставляет большое количество функций для обеспечения безопасности бесплатно. Некоторые из них:

  • Двухфакторная аутентификация;
  • Сканирование основных файлов WordPress;
  • Синхронизированные входы, которые предотвратят взлом WordPress;
  • Черный список IP-адресов.

Расширенная версия этого плагина предоставляется как вариант, обладающий более широким инструментарием, включающим в себя не только расширенное сканирование, но и отчетность об уязвимостях и журналах аудитов.

Подробнее

VaultPress

Этот WordPress automatic plugin предоставляет своим пользователям большой выбор функций безопасности, подкрепленных некоторыми ключевыми элементами обслуживания. Этот плагин предлагает:

  • Защита права на папки WordPress;
  • Защита от атак;
  • Предотвращением спама;
  • Мониторинг активности.

Более того, этот плагин будет отрабатывать регулярные резервные копии сайта при помощи восстановления в один клик, регулировать и анализировать работоспособность и миграцию сайта. При обновлении до тарифного или профессионального плана можно получить доступ к автоматическому сканированию вредоносных программных обеспечений и разрешению угроз. Подписка, кстати, стоит не менее 40 долларов в год. Также стоит отметить, что очень приятным бонусом является получение доступа к расширенным функциям в jetpack wordpress.  Что же это такое? — Jetpack вордпресс является еще одним популярным плагином от wordpress automatic.

Подробнее

WP Activity Log (formerly WP Security Audit Log)

Выше были перечислены плагины защиты вордпресс, которые утверждают, что выполняют сразу комплекс различных функций. Теперь давайте рассмотрим пару вариантов, которые специализируются на определенных функциях. Этот плагин, к примеру, фокусируется на обеспечении высококачественного мониторинга активности. WordPress checked может помочь Вам в некоторых аспектах:

  • В случае, если Вы заметили подозрительную активность, Вы можете предотвратить атаки до того момента, как они начались;
  • Вы можете самостоятельно вносить изменения в журнал Вашего сайта, а это, в свою очередь, позволит ускорить и облегчить процесс восстановления после успешно проведенной атаки;

Более того, этот инструмент упростит общее устранение неполадок и позволит просматривать производительность. Если вы решите инвестировать в этот плагин, Вы сможете просматривать, кто входит в систему и выводить его из неё одним щелчком мыши. Стоимость премиум версии обойдется Вам не менее чем в 90 долларов в год.

Подробнее

Authenticator Google

Этот плагин, защищающий права доступа WordPress, специализируется на 2FA, совмещаясь с различными плагинами для защиты Ваших процессов входа и регистрации. Более того, он способен обеспечить блокировку нежелательных IP-адресов и анализировать все входы пользователя. Расширенная версия этого инструмента предлагает своим клиентам дополнительные функции, в том числе и дополнительные варианты аутентификации, несколько вариантов входа в систему и различные методы аутентификации для определенных ролей пользователей. Лицензия сроком на год обойдется Вам не менее чем в пять долларов.

Подробнее

Blocking Bad Queries

Этот достаточно простой плагин для защиты WordPress работает ненавязчиво, но при этом отлично справляется с предотвращением вредоносных атак на Ваш сайт. Вам не придется беспокоиться о блокировании плохих запросов, которые прерывают Ваш рабочий процесс, так как рассматриваемый инструмент работает в фоновом режиме. Мало того, что он предельно прост, он имеет ряд полезнейших функций:

  • Запросы обхода каталогов;
  • Инъекция SQL;
  • Загрузка исполняемого файла.

Расширенная версия Blocking Bad Queries включает в себя более расширенные функции сканирования и предотвращения фишинга идентификаторов пользователей. Плагин является предельно доступным и предоставляет возможность покупки пожизненной лицензии. Минимальная его цена составляет двадцать долларов.

Подробнее

Заключение

Конечно же опытный хакер сможет попытаться обойти защиту Вашего сайта, однако ему придется очень долгое время сидеть и думать над вопросом того, как взломать Ваш сайт вордпресс. Ему придется долгое время придумывать какие-либо обходные пути. Основной Вашей задачей является сохранение бдительности и отслеживание всех подозрительных активностей на Вашем сайте. Если сервис обладает большой популярностью среди пользователей, возможно, есть смысл купить премиальную версию какого-нибудь плагина. Помните —  экономия на безопасности – не самое подходящее решение.

Подытожив все, что было сказано выше, становится понятно, что защита сайта WordPress – процесс, о котором ни в коем случае нельзя забывать. Без него Ваш сайт просто не сможет просуществовать долгое время. Выше были перечислены десять лучших плагинов, которые могут обеспечить защиту Вашего сайта, однако достаточно сложно сказать, какой из них является наиболее оптимальным и подходящим для Вашего сайта. Вы должны решать самостоятельно, какой плагин будет использоваться на Вашем сайте. Делайте вывод исходя из потребностей своего сайта и своих личных предпочтений. Возможно, есть смысл попробовать несколько разных плагинов, ведь только так получится найти наиболее подходящий Вашему сайту вариант. Если сайт обладает популярностью, лучше уделить побольше времени обеспечению его защиты.

Как восстановить Вордпресс после взлома, проверить на вирусы и вылечить

Столкнуться с вирусами на сайте может каждый. Рассказываю, что делать при обнаружении вредоносного кода и показываю простой, но в то же время эффективный способ борьбы с этой напастью.

Вордпресс — самая популярная CMS в мире. Не удивительно, что она очень популярна и у злоумышленников. Это и плохо, и хорошо одновременно. Хорошо — потому что быстро обнаруживаются новые дыры и так же быстро они латаются. Плохо — потому что нужно постоянно держать руку на пульсе, своевременно обновляться. Критические обновления безопасности обычно устанавливаются автоматически, а вот с дырами в темах, плагинах нужно разбираться самостоятельно.

И если просто забить, взлом сайта будет вопросом времени.

Отмечу сразу, ни один плагин безопасности на 100% не защитит сайт. Практика показала, толку от них мало. Отказываться от них не нужно, но и слишком надеяться на них нельзя.

Признаки взлома сайта

Обнаружить на сайте вирус бывает очень сложно. Вредоносный код может годами вообще никак не проявлять себя. Или делать это очень редко для узкой группы посетителей.

Понять, что с сайтом что-то не так можно по косвенным признакам

  • На сайте появляется незнакомый контент, ссылки на неизвестные ресурсы.
  • Осуществляются редиректы на сторонние ресурсы. Причем, это может происходить не всегда, а только при переходе из поиска или только при посещении сайта через некоторых провайдеров, например.
  • В работе сайта наблюдаются ошибки: не открываются некоторые страницы, невозможно попасть в админку, сбивается кодировка, пропадают изображения и т.п.

Иногда взлом очевиден

  • Самый худший сценарий, когда первыми обнаруживают вирус поисковые системы. Они сразу помечают сайт как опасный и блокируют к нему доступ из поисковой выдачи. На восстановление может уйти некоторое время. В связи с чем неизбежны простои, потери.
  • Предупреждение от хостера позволяет оперативно решить проблему, не допустив первого сценария. К сожалению, не на каждом хостинге имеется хороший сканер с актуальными базами.
    Сканер и оповещения точно есть у хостинга Рег.ру и Таймвеб.

Что делать если сайт взломали

Главное — не паниковать!
На самом деле ничего страшного не случилось!

Даже при самом худшем сценарии, последствия взлома можно в считанные минуты ликвидировать обычным восстановлением из резервной копии. Причину взлома можно отыскать простым сканированием сайта антивирусом. Причем это даже можно сделать своими силами. В крайнем случае делегировать специалистам. Например, на Кворке или обратившись ко мне. Эта работа не сложная и редко стоит дороже $100.

Алгоритм действий

Для тех кто решил самостоятельно обезвредить свой сайт.

  1. Подключиться по ФТП, посмотреть в файловом менеджере даты изменений файлов, скачать и проанализировать логи (access.log, error.log). На виртуальном хостинге они могут быть недоступны, но можно попробовать запросить их в службе поддержки. Провести самостоятельно полное расследование вряд ли удастся, но иногда даты, время изменения файлов, IP-адреса, ОС, браузеры и другие метаданные могут рассказать многое о взломщике. Даты изменений файлов дадут понять на какой бэкап откатываться. Нужно учитывать, иногда даты изменений файлов даже после их изменений могут оставаться не тронутыми.

    Корневой каталог Вордпресс выглядит примерно так. С ним мы и будем работать.

  2. Cкачать с официального сайта wordpress.org чистую копию Вордпресс той же версии, что установлена у вас. Удалить (именно удалить, а не заменить) файлы ядра и загрузить на их место чистые. Файлы с вредоносным кодом часто маскируются под системные файлы Вордпресс и носят имена типа wp-home.php, wp-system.php и т.п. Внимательно сравниваем их с файлами из дистрибутива Вордпресс и удаляем, если таких там нет.
  3. Удалить полностью директории /wp-includes/ и /wp-admin/, заменив их скачанными.
  4. Удалить все файлы из корня кроме wp-config.php и .htaccess, заменив их так же чистыми.
  5. Сохраненные wp-config.php и .htaccess открыть в редакторе, визуально проверить на наличие постороннего или обфусцированного кода. Удалить все лишнее.
  6. Очень часто эпицентр проблем находится в директории /wp-content/. Внутри нее есть директории /plugins/ и /themes/, в которых расположены плагины и темы соответственно. Все публичные плагины и темы нужно как и файлы ядра вручную удалить и заменить на заведомо чистые версии. Просто скачать их из каталога Вордпресс и залить вместо имеющихся. Коммерческие плагины скачать там, где они приобретались. Желательно те же версии. Обновляться лучше потом, когда попадем в админку.
  7. Еще внутри /wp-content/ есть директория /languages/, в которых размещаются файлы локализаций. Ее тоже нужно обязательно проверить, там не должно быть никаких исполняемых файлов с расширением php. Именно в ней я много раз встречал загруженные бэкдоры.
  8. В /wp-content/upgrade/ можно все удалить, если вдруг там что-то есть.
  9. Затем нужно проверить все оставшиеся файлы в /wp-content/. Директорию /cache/ и все что касается кеша можно удалить. С особым пристрастием проверяем директорию /uploads/. Именно там в куче изображений часто прячутся бэкдоры. Если сайт большой, файлов там может быть очень много и проверить вручную все их невозможно. Потребуется специальный софт.

Чем сканировать сайт на вирусы

Способов просканировать сайт на вирусы вагон и маленькая тележка. Но я бы сразу отмел разные сомнительные сервисы, онлайн-чекеры и плагины, потому что толку от них плюс-минус ноль. Лучше подобрать хороший антивирус с актуальными базами известных вирусов.

Хорошо, когда антивирус умеет работать прямо на сервере. Тогда не придется каждый раз скачивать все файлы и сканировать их локально. Как уже говорилось выше, сайты иногда весят очень много, бывает, что физически размещены очень далеко и на не самых быстрых серверах. Тогда процесс скачивания-закачивания может затянуться на несколько часов, а то и дней.

Второе — не каждый виртуальный хостинг разрешает запускать долгоиграющие процедуры типа сканирования. Поэтому, часто приходится перекидывать файлы куда-то на нормальный сервер или скачивать и сканировать их локально. Не у всех есть под рукой быстрый сервер, куда можно перекинуть удаленно файлы. И не всегда есть Виндоус с антивирусом.

Я перепробовал много инструментов и остановил свой выбор на AI-Bolit от Revisium — бесплатный и один из самых эффективных инструментов для поиска вирусов и вредоносного кода.

AI-Bolit проверяет наиболее уязвимые файлы на вирусы, шеллы, эксплойты и прочую гадость, после чего выносит свой вердикт. 

Скачиваем универсальную версию AI-Bolit — для хостинга, а также для Мак-ос и Юникс. В подробности использования вдаваться не будем — все инструкции имеются на сайте разработчика.

Сканирование сайта на вирусы с помощью AI-Bolit

Если кратко:

Скачать антивирус, распаковать и залить в корень сайта. Должно быть два файла: ai-bolit-hoster.php и AIBOLIT-BINMALWARE.db. Я заливаю в корень, чтобы не заморачиваться с путями. Работа с антивирусом осуществляется через командную строку. Для этого нужно подключиться к серверу по SSH.

У AI-Bolit два режима проверки

1. Обычный (диагностика)

php ai-bolit-hoster.php --mode=1

2. Параноидальный (лечение)

php ai-bolit-hoster.php --mode=2

В терминале это выглядит примерно так:

Видим, база подгрузилась, сканеру известно 4236 сигнатур вирусов. Сканирование может занять некоторое время.

В результате в корне сайта сгенерируется сводный отчет со всеми критическими замечаниями. Он представляет собой HTML-страницу с таким примерно именем: AI-BOLIT-REPORT-_Applications_MAMP_htdocs_danilin_test-935994-15-12-2019_22-18.html

Отчет сканера AI-Bolit выглядит так

По завершению всех процедур этот файл нужно обязательно удалить с сервера.

Важно!
Никогда не публикуйте отчет о сканировании на форумах и других сайтах в открытом доступе, и не оставляйте отчет на сайте. В нем содержится информация, которая может помочь хакеру взломать сайт. Держите отчет в безопасном месте и предоставляйте доступ к нему только проверенным людям.

Теперь самый ответственный момент — изучение и анализ отчета. Мы предварительно заменили все возможные файлы на заведомо чистые. Тем самым упростили задачу, минимизировав количество инфицированных файлов.

Среди подозрительных файлов нужно отыскать причину проникновения на сайт вредоносного кода. Не нужно спешить удалять все подряд. Подозрительные файлы лучше гуглить, проверять, если есть сомнения. Если не удается понять код — гуглить его содержание. Обычно проблемы массовые, и в Сети находится множество аналогичных случаев. Конечно, если встречаются исполняемые PHP-файлы где-нибудь в /uploads/ или /languages/ — их можно удалять без раздумий.

В заключение

Если захотят взломать конкретно ваш сайт, его взломают — это вопрос времени и денег. Другой вопрос, когда сайты попадают под массовые раздачи, под эксперименты разной школоты. От этого можно и нужно защищаться, соблюдая элементарные правила сетевой гигиены, информационной безопасности, безопасности Вордпресс и т.д.

Важно понимать взлом — это не причина, а следствие. Бороться нужно не со следствием, а именно с причиной. Почему, зачем, каким образом ломают именно вас и как от этого защититься — это первоочередные вопросы, которые нужно задать. Устранение последствий взлома тоже важная задача, но ее решение не ответит на главные вопросы.

Вордпресс не та CMS, которую можно установить и забыть — расслабляться с ней нельзя. И если возможности контролировать работу сайта нет, лучше привлечь для этого вебмастера.

Всем добра и успехов!

Если сайт WordPress взломан, что делать и как проверить?

Ваш сайт ведет себя странно, появился спам или вредоносная реклама?
Или, возможно, вы потеряли доступ к своему сайту WordPress? Или Google заблокировал ваш сайт и он более не доступен в поиске? Если Ваш сайт на WordPress взломан. Как проверить и что делать? Это уже хорошо, потому что Вы точно теперь знаете, что ваш сайт надо лечить и восстанавливать. Большинство владельцев зараженных сайтов даже и не догадываются, что сайт давно является источником вирусов и несет угрозу для каждого, кто его посетит. В мире насчитывается более 18 млн. зараженных сайтов и лишь 15-20% из них попадают в черный список Гугл и блокируются. Остальные продолжают свою работу. 

Скорее всего Ваш сайт взломан.

Более того — наверняка это случилось очень давно, так как вирусы и вредоносные программы, попавшие на сайт часто долго дремлют и не показывают своей активности. Хакерам для своих целей и задач — нужно как можно больше одновременно зараженных сайтов. Несколько сайтов с вредоносным кодом не помогут хакерам проводить свои массовые атаки и распространять свой вирус далее по сети.
Да и если Гугл и другие браузеры уже отреагировали на ваш зараженный сайт путем блокировки его, это точный показатель, что заражение сайта произошло довольно давно, потому что поисковой системе нужно не мало времени, чтобы обнаружить вредоносный код на сайте. Хакеры могут здорово навредить вашему бизнесу в интернете, начиная от простой спам-рекламы до перенаправления ваших пользователей на другие небезопасные ресурсы.

После обнаружения чего, Гугл отправит Ваш сайт в черный список и заблокирует его показ в поиске. При переходе на сайт браузер будет блокировать вход, выдавая предупреждение об опасности, а провайдер хостинга вышлет вам предупреждение и ограничит доступ к сайту до полного удаления вредоносного кода. Даже если у вас подключен SSL сертификат и сайт работает через HTTS.


Что необходимо сделать чтобы вылечить свой сайт?

Первое — перестать нервничать) — Ваш сайт можно вылечить. Начнем с обычной, более точной проверки сайта на взлом и наличие вирусов.
Как проверить, что мой сайт взломан?
Начнем с признаков взлома сайта:

    1. — Появились всплывающие окна на сайте, которые не были созданы вами или вашей командой.
    2. — Ваш сайт перенаправляет пользователей на другой вам  неизвестный сайт.
    3. — Спам-реклама на вашем веб-сайте с контентом для взрослых, наркотиками, азартными играми или другой любой незаконной деятельностью.
    4. — Ваш сайт ранжируется по ключевым словам спама в Google Analytics или другом инструменте аналитики.
    5. — Ваши посетители блокируются в браузере с предупреждением от Google: «Сайт содержит вредоносное ПО
    6. — Вы получили электронное письмо от вашего веб-хостинга, что на вашем сайте присутствует вредоносный код.
      Эти признаки указывают на взлом, хотя надо признаться, что иногда это бывает ложной тревогой. Поэтому обязательно необходимо убедится в этом и тщательно проверить сайт.

Самый простой и эффективный способ — использовать сканер вредоносных программ.

Хороший онлайн сканер автоматически показывает вредоносный код. Самый сложный и рискованный способ проверки сайта WordPress, — это сделать ручную проверку. Это опасно, потому что вы будете взаимодействовать с файлами и папками  WordPress. Способы, как проверить взломан ли ваш сайт:

1. Сканирование вашего сайта с помощью сканера вредоносных программ

Один вариантов сканеров — MalCare — сканер вредоносных программ.

  • — MalCare находит новые типы вредоносных программ, анализируя при этом поведение кодов. 
    • — Он находит самые скрытые вредоносные программы, проверяя каждый файл вашего сайта.
    • — Не замедляет работу вашего сайта во время сканирования.
    • Как мы упоминали ранее, MalCare проверяет поведение кода,  а не просто полагается на структуру и сопоставление с образцом, чтобы выяснить, является ли код вредоносным или нет. Это гарантирует, что он не делает слепого заключения о том, что код является вредоносным, и помогает уменьшить количество ложных срабатываний.

    • Чтобы просканировать веб-сайт с помощью MalCare, необходимо:

  1. — Установить плагин безопасности MalCare на свой веб-сайт.
  2. — Затем в панели инструментов вашего сайта (в админке) выберите MalCare .
  3. — На странице MalCare введите URL-адрес веб-сайта и бесплатно запустите сканирование на наличие вредоносных программ. Если он обнаружит, что ваш сайт взломан, вы получите уведомление с количеством и месторасположением найденных зараженных файлов.

2. Проверьте Google Search Console на наличие «проблем безопасности»

Поисковая консоль Google помогает отслеживать трафик и производительность вашего веб-сайта. Он также предупреждает вас, если обнаружит какие-либо проблемы безопасности на вашем сайте. Это означает, что если на вашем сайте есть вредоносная программа, консоль поиска обнаружит ее. Что нужно сделать:

  1. — Войдите в свою учетную запись Google Search Console . 
  2. — В меню слева выберите пункт «Вопросы безопасности» .
  3. — Если ваш сайт взломан, вы увидите предупреждение о том, что  на сайте обнаружено нежелательное программное обеспечение . Очень важно: вам необходимо настроить консоль поиска Google, чтобы она могла обнаруживать проблемы с безопасностью. Для этого необходимо, если Вы еще не делали этого пройти этап подтверждения владения сайтом.

3. Проверьте свой сайт с помощью инструмента безопасного просмотра Google

Вставьте адрес своего сайта (домен) WordPress в инструмент безопасного просмотра Google,  и он покажет вам проблемы, обнаруженные на сайте, если такие есть. Инструмент довольно надежный, потому это от самого Google. Он проверит ваш сайт на наличие вредоносных программ и, обнаружив, сообщит вам об этом.

4. Проверьте предупреждения от провайдеров хостинга, поисковых систем и браузеров.

Если ваш сайт WordPress взломан (и вы не знаете что делать и как проверить), вполне вероятно, что вы получили предупреждающие письма или уведомления от вашего хостинг-провайдера. Поисковые системы и интернет-браузеры, такие как Google, Yahoo и Bing, также будут отображать предупреждающие сообщения на вашем сайте и в результатах поиска, чтобы предупредить посетителей о том, что ваш сайт взломан. То есть Вы потеряете свои показатели в поисковой выдаче и ваш сайт может полностью исчезнуть на время с поиска Google. 

Хостинг провайдер

Хостинг-провайдеры обслуживают тысячи сайтов. Чтобы обеспечить безопасность своей платформы, они сканируют все веб-сайты, которые они размещают, на необходимость поиска возможных вредоносных действий. Один взломанный веб-сайт может негативно повлиять на другие веб-сайты на платформе хостинга и поставить под угрозу целый бизнес провайдера.
Поэтому, когда они обнаруживают взломанный веб-сайт, они  немедленно приостанавливают учетную запись хостинга и выдают владельцу сайта уведомление об исправлении веб-сайта. Чтобы узнать, обнаружил ли ваш хостинг-провайдер взлом, проверьте свою электронную почту или уведомления на панели управления вашей учетной записью в кабинете провайдера в своей учетной записи.

Поисковые системы

Как и хостинг провайдеры, поисковые системы также регулярно сканируют сайты на наличие вредоносных программ. Обнаружив взломанный сайт, они заносят его в черный список и ограничивают пользователям просмотр сайта. Взломанные сайты подвергают своих пользователей риску,  заставляют их загружать вредоносное программное обеспечение или делиться своей конфиденциальной информацией. Примерно так будет выглядеть страница в браузере для пользователя, который пытается открыть зараженный сайт.

 Чтобы узнать, находится ли ваш сайт в черном списке, вам нужно:
— откройте браузер в режиме инкогнито и откройте https://www.google.com/.
— затем поместите адрес своего сайта (домен) в поиск Google и нажмите Enter
— перейдите по любой ссылке, которую вы увидели в результатах поиска, которая ведет на одну из ваших страниц сайта. Не забудьте перед этим выйти из админ панели Вашего сайта.

Если ваш сайт занесен в черный список, Google запретит вам доступ к нему и Вы увидите одно из сообщений:
    • — Сайт содержит вредоносное ПО
    • — Опасность фишинговой атаки
    • — Вы посещаете фишинговый сайт

Если сайт в черном списке — это верный признак взломанного сайта.

Интернет браузеры

Как и веб-хостинг поисковые системы, интернет-браузеры также заинтересованы в защите своих пользователей. Если они обнаруживают взломанный сайт, они пытаются запретить пользователям посещать сайт. Они делают это, отображая предупреждения в результатах поиска. Например, в Google Chrome вы увидите такое предупреждение: «Этот сайт возможно был взломан» или «Этот сайт может нанести вред вашему компьютеру»

5. Вручную изучить зараженные файлы (опасно)

Когда хакеры проникают на ваш сайт, они вносят изменения на вашем сайте. Чаще всего они пытаются сделать это так, чтобы не быть обнаруженными, чтобы они могли и далее продолжать использовать ресурсы вашего сайта в течение длительного времени. Они прячут вредоносные программы в местах, где вы вряд ли сможете их найти, таких как критические файлы WordPress, с которыми обычно никто не хочет возиться. Если ваш сайт взломан, есть большая вероятность, что хакер спрятал вредоносное ПО в таких файлах. Их изучение поможет вам выяснить, действительно ли ваш сайт взломан.

Но будьте осторожны. Обработка важных файлов WordPress — дело рискованное. Одна ошибка может сломать весь ваш сайт, поэтому сохраните резервную копию сайта перед этим (часто такая возможность есть в вашем личном кабинете хостинга). Мы рекомендуем вам пропустить этот метод, если вы не разработчик или не разбираетесь во внутренней работе CMS WordPress.
Какие файлы и папки требуют особого внимания:
— папка плагинов и тем
— htaccess
— wp-config
Откройте эти файлы и найдите ключевые слова в них, такие как, например «eval» или «base64_decode», они часто являются частью вредоносного ПО.

Как исправить взломанный сайт
Теперь, когда вы обнаружили, что ваш сайт взломан, его необходимо почистить и вылечить. Чем дольше ваш сайт будет взломан, тем больше будет ущерб.
Существуют различные способы очистки вашего сайта, однако мы рассмотрели только самый эффективный способ — использование плагина безопасности для CMS WordPress. Это один из самых простых и надежных способов для обычного пользователя.
Один из плагинов —  удаление вредоносных программ MalCare, способный очистить сайт от вирусов за 5 минут.
Что нужно сделать:
— просканировать сайт на наличие вирусов или вредоносного кода. Плагин сделает это автоматически перед установкой.
— после найдите кнопку “Автоочистка”
— после обновления MalCare немедленно начнет чистку вашего сайта.

Обнаружение и устранение уязвимости, вызвавшей взлом

Очистка вашего сайта — это всего лишь половина работы. После вам необходимо выявить и устранить уязвимости, которые позволили хакерам взломать ваш сайт и заразить его. А поиск уязвимостей часто лучше доверить профессионалам в кибербезопасности, так как обычному пользователю будет просто недостаточно навыков и знаний для этого. Например заказать услугу круглосуточной защиты сайта от Datami.ua

Существует два распространенных типа уязвимостей, которые вызывают взлом.
Первый — это уязвимые плагины и темы, слабые учетные данные .
Что нужно сделать: обновить или удалить уязвимые плагины и темы. Устаревшие плагины и темы могут быть уязвимы и могут быть использованы для проникновения на ваш сайт. Поэтому мы рекомендуем вам обновить все устаревшее программное обеспечение,  которое включает в себя не только плагины и темы, но и целое ядро ​​WordPress . Если вы используете пиратские темы и плагины (обычно взломанные кем-то когда-то и непонятно где), мы настоятельно рекомендуем  деактивировать и удалить  их со своего веб-сайта.
Пиратское программное обеспечение обычно заражено вредоносным ПО, которое при установке на веб-сайте WordPress позволяет хакерам получить доступ к вашему сайту.

Второй: используйте надежное имя пользователя и пароль

Один из самых распространенных методов взлома веб-сайтов хакерами — это атаки методом «грубой силы» . В этом типе атаки они используют ботов, чтобы попытаться угадать правильную комбинацию имен пользователей и паролей, чтобы получить доступ к вашему сайту. Сайты с легко угадываемыми именами пользователей (например, admin, John, user и т. Д.)  И паролями (например, password123, admin1234, user1234)  легко взломать за несколько минут.

Как удалить сайт из черного списка Google и возобновить хостинг

Если ваш веб-сайт занесен в черный список, вы должны сообщить Google, что вы очистили свой веб-сайт, чтобы они могли приступить к удалению из черного списка. Вам нужно будет отправить сайт на проверку и наше руководство по удалению черного списка Google , который поможет вам в этом.

И если ваш сайт приостановлен, вам нужно будет связаться с вашим хостинг-провайдером и сообщить им, что вы очистили свой сайт. Они проверят, так ли это на самом деле.
После того, как вы предприняли все вышеперечисленные шаги по исправлению вашего сайта, осталось сделать только одну очень важную вещь. Вы должны убедиться, что ваш сайт никогда более не будет взломан.

Защитите свой сайт от взлома
Чтобы защитить сайт WordPress от будущих попыток взлома, мы настоятельно рекомендуем вам установить плагин безопасности WordPress, который выполняет 3 основных задачи: сканирование, очистка и защита веб-сайта.  Если вы установите плагин безопасности на свой сайт, он будет сканировать ваш сайт каждый день и очищать его. Если ваш сайт взломан — принимать меры для защиты вашего сайта от попыток взлома в будущем. Вы можете выбрать плагин безопасности сайта из нашего списка из лучших WordPress плагин безопасности.

  • Регулярно обновляйте свой сайт

Со временем каждая тема или плагин получают уязвимости WordPress . Чтобы исправить это, разработчики быстро выпускают новые обновления, чтобы устранить уязвимости. Поэтому своевременное обновления крайне важно для безопасности сайта. Узнайте, как безопасно обновить ваш сайт . 

Скачивать темы и плагины только с доверенных сайтов

Многие используют пиратские темы и плагины. Потому что это бесплатно, но в конце концов это будет дороже. 

Большинство пиратских плагинов или тем содержат вредоносные программы. Поэтому, когда вы устанавливаете и активируете пиратское программное обеспечение на своем веб-сайте, вредоносное ПО также активируется вместе с ним. Вредоносный код действует как бэкдор,  который дает хакерам доступ к вашему сайту. Более того, пиратское (взломанное) программное обеспечение для WordPress не получает обновлений от разработчиков. Когда в программном обеспечении обнаруживается уязвимость, без его обновления невозможно исправить программное обеспечение. А ПО не обновляется. Лучше всего избегать использования пиратских тем WordPress и плагинов на вашем сайте. Используйте плагины и темы только с официального сайта WordPress или надежных торговых площадок, таких как ThemeForest, CodeCanyon, Evanto и др.

  • Дополнительная внутренняя защита сайта

    WordPress рекомендует  принять определенные меры для усиления безопасности вашего сайта. Для реализации этих мер вам необходимо иметь технические знания для работы с WordPress. Работа со взломанным сайтом — это дорого, долго и очень затратно по времени. Важно обеспечить меры безопасности на вашем сайте до того, как его могут взломать. Один из лучших способов сделать это — подключить круглосуточную защиту сайта от всех возможных угроз. Он сканирует ваш сайт ежедневно и предупреждает вас, когда обнаруживает подозрительные действия на вашем сайте.

  • Ваш Datami.ua.

Sucuri Security — аудит, сканер вредоносных программ и усиление безопасности — плагин WordPress

Дополнительную информацию о плагине Sucuri Security WordPress можно найти в нашей базе знаний.

Что такое аудит безопасности?

Это, пожалуй, самая недоиспользуемая функция безопасности. Это процесс мониторинга всех событий, связанных с безопасностью, в вашей установке WordPress. Проблема в том, что составляет событие безопасности. По мнению Сукури, любое изменение, происходящее в приложении, может быть отнесено к категории событий безопасности, и поэтому мы стараемся записать его.

Это важно, потому что дает вам, владельцу веб-сайта, возможность внимательно следить за различными изменениями, происходящими в вашей среде. Кто авторизуется? Какие изменения вносятся?

Эта функция регистрирует все действия в облаке Sucuri для безопасного хранения. Это гарантирует, что злоумышленник не сможет стереть ваши криминалистические данные и предотвратить дальнейший анализ безопасности после компрометации. Если злоумышленник сможет обойти ваши меры безопасности, ваши журналы безопасности будут храниться в Центре управления безопасностью Sucuri (SOC).

Эта функция особенно важна для администраторов веб-сайтов / системных администраторов и экспертов по безопасности, которые хотят понять, что происходит на их веб-сайтах и ​​когда это происходит.

Что такое мониторинг целостности файлов

Безопасность Мониторинг целостности файлов играет важную роль в обеспечении безопасности. Это процесс сравнения известного товара с текущим состоянием. Если текущее состояние отличается от заведомо исправного, значит, у вас проблема.Это основа многих систем обнаружения вторжений на хост. Это то, что мы встроили в плагин.

Он создаст известный товар сразу после установки плагина. Это будут все каталоги в корне установки, включая плагины, темы и файлы ядра.

Что такое удаленное сканирование на вредоносное ПО?

Эта функция поддерживается нашим механизмом сканирования, который можно найти в нашем бесплатном сканере безопасности — SiteCheck. Важно потратить некоторое время, чтобы понять, как работает этот сканер.Существуют ограничения в отношении того, как работает этот сканер, вы можете найти дополнительную информацию в разделе часто задаваемых вопросов.

Что такое мониторинг черного списка?

Другой очень интересной особенностью сканера вредоносных программ безопасности является то, что он проверяет различные механизмы списков блокировки, в том числе следующие:

  • Sucuri Labs
  • Безопасный просмотр Google
  • Нортон
  • СРЕДНИЙ
  • Phish Tank
  • ESET
  • McAfee Site Advisor
  • Яндекс
  • SpamHaus
  • Bitdefender

Это одни из самых крупных компаний, занимающихся блокировкой, каждая из которых может напрямую влиять на репутацию вашего бренда в Интернете.За счет синхронизации с их средами мы можем сообщить вам при сканировании, не помечает ли какой-либо из них ваш веб-сайт как проблему, связанную с безопасностью. Если они это сделают, то с помощью нашего продукта для обеспечения безопасности веб-сайтов мы сможем помочь вам выйти из черного списка безопасности.

Что такое эффективное усиление безопасности

В мире повышения безопасности легко потеряться. В Sucuri мы очищаем сотни веб-сайтов в день, многие из которых имеют различные конфигурации усиления безопасности, которые вы найдете в различных презентациях по безопасности WordPress.В этом разделе мы добавляем те, которые мы считаем наиболее эффективными, и которые дополняют весь набор продуктов Sucuri.

Какие меры безопасности после взлома?

Независимо от того, насколько хороша ваша позиция безопасности, иногда невозможно предотвратить неизбежное. Когда это происходит, мы включили раздел, который поможет вам разобраться в трех ключевых вещах, которые вы должны сделать после компромисса.

Какие уведомления безопасности

Наличие всех этих функций безопасности было бы бесполезно, если бы вы не были уведомлены о проблемах.Вот почему мы сделали доступными предупреждения системы безопасности. Мы также расширили количество различных событий, связанных с безопасностью, чтобы предоставить владельцам веб-сайтов большую гибкость в отношении того, о чем они хотят знать. Как владелец веб-сайта, у вас есть возможность сделать эти предупреждения системы безопасности как можно более тихими или шумными.

Что такое межсетевой экран сайта (премиум)

Это, безусловно, самая крутая функция безопасности, которую Sucuri может предложить обычным владельцам веб-сайтов. Это брандмауэр для веб-сайтов корпоративного уровня, обеспечивающий наилучшую защиту, на которую можно надеяться.Он защищает ваш сайт от различных атак, в том числе:

  • Атаки отказа в обслуживании (DOS / DDOS)
  • Использование уязвимостей программного обеспечения
  • Патчи раскрытия информации о нулевом дне
  • Атаки грубой силы на ваши механизмы контроля доступа

В сочетании с рядом функций, таких как:

  • Оптимизация производительности
  • Расширенные функции контроля доступа
  • Отказоустойчивость и резервирование

Это , не включенный в качестве бесплатного варианта подключаемого модуля , но интегрированный, так что при покупке вы можете активировать.Если вы предпочитаете использовать продукт Sucuri Firewall отдельно, у вас есть возможность использовать плагин Website Firewall WordPress Security в автономном режиме.

Плагин Sucuri WordPress Security создан командой, известной своим проактивным подходом к безопасности. Он построен с использованием информации, собранной из тысяч и тысяч случаев исправления, миллионов уникальных сканирований доменов и десятков миллионов блокировок атак на безопасность веб-сайтов.

Что делает этот плагин, чего не делают другие плагины безопасности?

Несколько других подключаемых модулей безопасности предоставляют функции мониторинга активности, но немногие делают их хорошо.Мониторинг активности в этом плагине не имеет себе равных, он связывает активность с Sucuri Security Operations Center (SOC), обеспечивая ее безопасное хранение.

Этот плагин безопасности также использует другой подход к плагинам безопасности, удаляя из него то, что мы относим к категории ненужных функций для обычного конечного пользователя веб-сайта. Мы сузили ключевые функции, которые, по нашему мнению, наиболее подходят любому владельцу веб-сайта, и интегрировали их в этот плагин.

Если я установлю плагин Sucuri Security, получу ли я учетную запись Sucuri?

Нет, это бесплатный плагин, который мы предлагаем бесплатно.Это не означает, что вы получаете бесплатную учетную запись.

Если у меня есть плагин премиум-класса, нужен ли мне бесплатный плагин?

Премиум-плагин устарел еще в 2014 году. Все основные функции были объединены в бесплатный плагин. Если вы все еще используете (старый) плагин премиум-класса, рассмотрите возможность его удаления и установки (нового) бесплатного плагина с рынка плагинов WordPress. Обратите внимание, что вам нужно будет сгенерировать новый ключ API, поскольку новая служба API не поддерживает старую.

Нужны ли мне продукты Sucuri, если у меня есть этот плагин?

Да. Этот плагин дополняет ваши существующие наборы инструментов безопасности. Он не предназначен для замены продуктов Sucuri Website Security или Firewall.

Где мне получить поддержку для этого плагина?

Лучше всего пообщаться с нами через форум поддержки. Если вы являетесь клиентом, вы можете отправить заявку здесь.

Ваш плагин конфликтует с WordFence?

Плагин не работает, но могут быть проблемы с нашими сканерами.Если вы получаете сообщение об ошибке «Не удается должным образом просканировать ваш сайт», скорее всего, плагин WordFence блокирует наш сканер как недействительный поисковый робот. Вам нужно будет внести наш IP-адрес в белый список на панели инструментов WordFence.

Каковы ограничения удаленного сканера вредоносных программ?

Поскольку сканер вредоносных программ безопасности является удаленным, он не может видеть вещи, которые находятся на сервере, но не отображаются в браузере. Если вы заинтересованы в этом, мы рекомендуем вам подписаться на наш продукт для обеспечения безопасности веб-сайтов.Сюда входят такие вещи, как фишинговые страницы, бэкдоры, почтовые скрипты и т. Д.

Ваш плагин не обнаружил это вредоносное ПО?

Это происходит, см. Ограничения удаленного сканера выше. Это не следует путать с нашим продуктом для обеспечения безопасности веб-сайтов. Если у вас есть вредоносное ПО и вы являетесь его клиентом, отправьте заявку, чтобы мы помогли вам очиститься.

Если вы не являетесь клиентом и хотите поделиться тем, что нашли, отправьте его по адресу labs @ Sucuri.сеть.

Плагин не выполняет сканирование вредоносных программ / безопасности на уровне приложений, так что это не редкость.

Можно ли включить брандмауэр веб-сайта бесплатно?

Нет, это не так. Для включения вы должны подписаться на службу брандмауэра веб-сайта.

Повлияет ли этот плагин на производительность моего сайта?

Мы улучшаем производительность кода с каждым выпуском. Однако из-за различий между хостинг-провайдерами бывают случаи, когда плагин может повлиять на скорость отклика веб-сайта после установки.Такие вещи, как HTTP-запросы, проверки SSL-сертификатов и DNS-запросы, являются одними из немногих вещей, которые, в зависимости от того, как настроен ваш веб-сервер, замедляют работу вашего веб-сайта.

Сохраняются ли журналы в моей базе данных?

Нет, это не так.

Есть ли проблемы с установкой вашего плагина на каких-либо хостах?

Не то, чтобы мы об этом знали.

Нужен ли мне этот плагин для использования службы брандмауэра веб-сайта?

Нет, не требуется.Брандмауэр веб-сайта работает в облаке без необходимости в установке чего-либо. Этот плагин помогает только видеть и управлять сервисом из панели управления WordPress.

Какую информацию собирает Сукури?

Мы серьезно относимся к вашей конфиденциальности. Для пользователей бесплатных плагинов без ключа API Sucuri не собирает никакой информации. После активации ключа API Sucuri сохранит некоторую информацию, например журналы. Пожалуйста, ознакомьтесь с нашими Условиями использования и Политикой конфиденциальности.Пожалуйста, напишите на [email protected], если у вас есть другие вопросы о вашей конфиденциальности.

Взлом WordPress с помощью атак Man-in-the-Middle

Подробное объяснение того, как злоумышленники используют Man-in-the-Middle (MitM) для взлома веб-сайтов и учетных данных WordPress. Эта статья предназначена только для образовательных целей.

Как и любое другое веб-приложение с формой входа, WordPress отправляет ваше имя пользователя и пароль в HTTP-запросе при входе в систему. По умолчанию HTTP не является зашифрованным протоколом.Это означает, что если ваш веб-сайт WordPress не использует HTTPS, связь между вами и веб-сервером может быть перехвачена.

Хакеры со злым умыслом могут легко перехватить и изменить открытый (незашифрованный) HTTP-трафик вашего веб-сайта WordPress. Естественно, одной из самых интересных частей информации для злоумышленника будут ваши учетные данные администратора WordPress.

Программное обеспечение, используемое для проведения атак Man-in-the-Middle (MitM), свободно и широко доступно.В этой статье будут рассмотрены некоторые реальные примеры того, как MitM можно использовать для управления вашим сайтом WordPress. Затем он рекомендует, как лучше от них защититься.

Что такое атака «человек посередине» (MitM)?

Атака «Человек посередине» (MitM) — это общий термин для атак, при которых хакер позиционирует себя как посредник между отправителем и получателем. Например, между вашим браузером и веб-сайтом, который вы посещаете. Это позволяет злоумышленнику подслушивать, а во многих случаях также изменять контент по мере его отправки и получения между двумя сторонами.В большинстве случаев, если они захватят учетные данные, они могут войти в систему и взломать ваш сайт WordPress.

Как атакующий попадает в середину?

Атаки типа Man-in-the-Middle (MitM) обычно (не всегда) предполагают, что злоумышленник находится в той же локальной сети (LAN), что и вы. Одна из наиболее распространенных атак MitM включает спуфинг ARP. Мельчайшие подробности спуфинга ARP выходят за рамки этой статьи. Однако результат успешной атаки с подменой ARP приведет к тому, что ваш сетевой коммутатор или маршрутизатор будет обманут , думая, что , что машина злоумышленника — это ваша машина, и наоборот.

В результате каждая сторона не отправляет данные друг другу напрямую, а сначала отправляет их злоумышленнику. Чтобы все выглядело нормально, злоумышленник перенаправляет трафик по законному назначению. Однако это дает злоумышленнику возможность проверять и даже изменять содержимое передачи.

Взлом веб-сайтов WordPress — кража паролей и учетных данных

Чтобы понять, как могут быть украдены учетные данные WordPress, давайте сначала рассмотрим HTTP-запрос, содержащий отправленные учетные данные с помощью встроенных в браузер инструментов разработчика.

Обратите внимание, что это , а не атака Man-in-the-Middle (MitM), но это помогает проиллюстрировать, что нужно искать позже.

Теперь давайте посмотрим, что увидит злоумышленник при проверке незашифрованного HTTP-трафика. В этом примере мы используем Wireshare — бесплатный и популярный инструмент сетевого анализа.

Кража аутентификационных файлов cookie

Помимо кражи паролей / учетных данных WordPress, злоумышленник также может просто украсть ваш файл cookie аутентификации, чтобы выдать себя за вас.

Как файлы cookie связаны с аутентификацией?

HTTP — это протокол без сохранения состояния. В HTTP сервер не придает особого значения запросам, поступающим через один и тот же сокет TCP. Это означает, что если вы не хотите вводить свой пароль каждый раз, когда запрашиваете страницу, браузеру необходимо хранить временный токен. Этот токен известен как токен сеанса . Браузер автоматически отправляет этот токен при каждом запросе. К счастью, в браузерах есть для этого встроенный механизм — файлы cookie.Вот почему удаление файлов cookie вашего браузера приведет к выходу из всех веб-сайтов.

Это означает, что злоумышленнику даже не нужен ваш пароль, чтобы выдавать себя за вас. Единственное, что им нужно, — это получить ваш токен сеанса.

И снова та же информация доступна злоумышленнику в Wireshark.

Используя бесплатное расширение браузера, такое как Cookie-Editor, злоумышленник может легко использовать значение украденного файла cookie в своем браузере и начать просмотр администратора WordPress, как и вы.

Защита себя / своего сайта WordPress от атак MitM

Атаки типа Man-in-the-Middle, подобные показанной в этой статье, не требуют больших усилий для злоумышленника. Особенно в общедоступных или плохо защищенных сетях, таких как общедоступный Wi-Fi. К счастью, защитить себя от этих хакерских атак очень просто — не забудьте включить HTTPS на своем веб-сайте WordPress.

HTTPS шифрует трафик между вашим браузером и сервером.Если злоумышленнику пришлось попытаться прочитать содержимое HTTPS-трафика, все, что он увидел, — это бессмысленный, искаженный зашифрованный текст.

Дополнительные меры по усилению безопасности WordPress

Хотя вы, несомненно, должны включить HTTPS на своем веб-сайте в качестве вашего первого приоритета для предотвращения атак Man-in-the-Middle (MitM), ниже приведены передовые методы, когда речь идет о безопасности и усилении защиты WordPress.

  1. Добавьте двухфакторную аутентификацию (2FA) для повышения безопасности механизма аутентификации вашего сайта WordPress.
  2. Обеспечьте использование надежных паролей WordPress, чтобы значительно усложнить атаки с подборами паролей
  3. Вести журнал активности WordPress для отслеживания несанкционированного доступа к админке WordPress
  4. Установите монитор целостности файлов WordPress для обнаружения вредоносных изменений файлов в вашей установке WordPress.
  5. Настройте брандмауэр WordPress и защитное решение для предотвращения распространенных атак на веб-приложения.

Взломанный сайт WordPress? — WhatArmy

«Зачем кому-то взламывать мой сайт? Там ничего нет. Мы часто слышим это от наших клиентов и новых клиентов, которые обращаются к нам с какой-либо формой вредоносного кода на своем сайте. По правде говоря, вам не нужно быть корпоративным гигантом, храня данные кредитных карт или номера социального страхования на своем сайте. Малые предприятия часто становятся жертвами хакеров. Взлом на этом уровне не является личным, по большей части он автоматизирован.

Почему?

На взломе даже небольших веб-сайтов можно заработать много денег, особенно на обычных сайтах большого объема (сотни сайтов одновременно). По словам Дженни Маккиннон из wpmudev, только на WordPress происходит более 90 978 атак в минуту, в то время как служба безопасного просмотра Google ежедневно заносит в черный список до 70 000 веб-сайтов на предмет заражения вредоносным ПО или фишинговых атак.

Только WordPress имеет более 90 978 атак в минуту

Когда хакеры ищут сайты WordPress в этом объеме, они запускают инструменты автоматизации для сканирования сайтов на предмет конкретных уязвимостей.Затем они массово атакуют эти сайты. Получив доступ к ряду сайтов, они могут зарабатывать деньги с помощью фишинговых страниц, вредоносной рекламы, SEO-спама, побочных загрузок.

  • SEO-спам:
    Вы никогда не думали, что SEO может стать опасным, но хакеры могут использовать ваш веб-сайт для искусственного завышения своего рейтинга в Google. Это одна из самых частых атак, которые мы наблюдаем на сайтах малого бизнеса. Как? Одним из показателей, используемых Google при определении рейтинга ключевых слов, является количество имеющихся у вас обратных ссылок (других веб-сайтов, ссылающихся на ваш) и ключевых терминов, используемых в этих ссылках.
  • После взлома на ваш сайт вводится серия обратных ссылок, ваш контент может быть перезаписан, существующие ссылки переписаны, а в серьезных случаях на ваш сервер могут быть добавлены целые новые сайты и целевые страницы. «Прелесть» этого в том, что по большей части все происходит за кадром. Таким образом, этот взлом может остаться незамеченным, пока однажды ваш собственный рейтинг в Google не упадет и ваш сайт не попадет в черный список. Или как библиотека на скриншоте из нашего поиска — вы начинаете рейтинг бесплатных онлайн-казино (или того хуже).
  • Вредоносная реклама или вредоносная реклама:

    Это в значительной степени то, на что это похоже — распространение вредоносных программ через поддельную рекламу. Таким образом, если вы являетесь подлинным или законным блогом или сайтом с подлинной и законной рекламой, скрытие вредоносной рекламы позволяет более широкой аудитории просматривать вредоносное ПО и взаимодействовать с ним. «Хорошая» новость для небольших компаний в том, что эти атаки обычно происходят на уровне рекламной сети, поэтому, хотя вы будете размещать вредоносный контент, ваш веб-сайт не будет скомпрометирован в истинном смысле этого слова.

  • Drive-by Загрузки:

    Здесь посетитель загружает программу, не осознавая этого. Эти мошенничества обычно выглядят как законные предупреждения / предупреждения с вашего компьютера, но когда вы нажимаете на них, они инициируют загрузку, а контент обычно является вредоносным.

Что это значит для меня?

Что ж, безопасность — это сложная задача сегодня, и если вы думаете: «Цель была взломана, как я могу оставаться в безопасности?» вы не ошиблись.Следует иметь в виду, что небольшие взломы веб-сайтов в большинстве случаев представляют собой крупномасштабные автоматизированные атаки. У организации есть список веб-сайтов WordPress, использующих скомпрометированный плагин, и они систематически подвергаются атакам с использованием инструментов автоматизации, или сайты нацелены на использование слабых паролей. Хотя это может показаться неутешительным, это означает, что разумные меры безопасности могут иметь большое значение для вашей защиты.

разумные меры безопасности могут иметь большое значение для вашей защиты.

  1. Используйте уникальный пароль, отличный от «Password123»
  2. Используйте уникальное имя пользователя — избегайте очевидных значений по умолчанию, таких как Admin, Test, User. Кроме того, в названиях отделов, таких как Продажи, Выставление счетов, Финансы, последний (приношу свои извинения заранее, если это относится к вам), ваше имя не используется, если оно довольно распространено — я обращаюсь ко всем вам, Майк и Джон.
  3. Используйте разные пароли для разных веб-сайтов и служб. Если кто-то украл ключ от вашей машины, он также не сможет проникнуть в ваш дом, ваш сейф, ваш офис, ваш сарай и т. Д.
  1. Регулярно обновляйте свой WordPress, плагины, темы и PHP. Когда разработчик объявляет, что выпустил исправление безопасности и обновляет его как можно скорее — он также объявил каждому хакеру, что все сайты, использующие их плагин, скомпрометированы, И они дали карту для взлома. Недавнее исследование WordFence.com указали, что примерно 55,9% всех атак связаны с плагинами, а 16,1% — с атаками на пароли сайтов
  2. Не используйте брошенные плагины.Если исходный разработчик вашего подключаемого модуля не обновлял последние 6 месяцев, подумайте о том, чтобы заменить его чем-то более современным. WordPress выпускает новую версию каждые 3-4 месяца, по крайней мере, плагины должны вносить изменения, чтобы быть совместимыми с WordPress — в идеале они также делают постоянные обновления безопасности.
  1. Инвестируйте в разумные меры безопасности для защиты посетителей. SSL может показаться некрасивым, но это простой способ сообщить вашим посетителям, что вы принимаете меры предосторожности, когда дело касается безопасности.
  2. Инвестируйте в сканирование на вредоносное ПО.Вы можете задаться вопросом, почему это поможет, поскольку в тот момент, когда это полезно, вы обнаруживаете, что все остальное не удалось. Сканирование безопасности означает, что если что-то произойдет, это будет быстро выявлено и решено. Вместо того, чтобы обнаружить, что ваш сайт был взломан, потому что Google внес вас в черный список или клиент увидел неприемлемую рекламу; вы узнаете момент, когда это произойдет.

Но меня уже взломали

Если вас взломали, нужно предпринять несколько шагов. Если у вас нет технических знаний, обратитесь в службу, чтобы помочь вам очистить ваш сайт.
При поиске кого-то, кто может помочь, ключевой вопрос: удалят ли они вредоносный код ИЛИ отследят, как произошел взлом, и отремонтируют его?

Это важно, потому что, если вы просто очистите сайт, очень вероятно, что вас снова взломают. Если ваш пароль был взломан или вы используете слабый плагин, они будут снова использованы, и вам придется повторить процесс очистки. Так что обязательно найдите причину того, как вас взломали

обязательно найдите причину того, как вас взломали

Другая часть очистки — сброс всех ваших паролей.Это, вероятно, будет раздражать, но если кто-то ворвался в ваш дом, вы, вероятно, замените свои замки — это почти то же самое.

Затем обновите все, что может быть обновлено, и переустановите чистые версии вашей основной установки WordPress и плагинов. Никогда не бывает 100% шансов удалить весь вредоносный код с сайта, не прочитав каждую строчку кода. Излишне говорить, что это было бы очень дорого, и когда вы закончили, было бы дешевле восстановить. Вместо этого мы рекомендуем заменить то, что можно легко заменить, обновленными версиями: WordPress, плагины и темы.

Наконец, записывайтесь на мониторинг. Осведомленность о том, что что-то происходит, снижает стоимость очистки и ее влияние на ваш сайт. Кроме того, если вас взломали, вы явно попали в чей-то список уязвимых сайтов WordPress, и могут быть предприняты дополнительные попытки.

хакеров используют критическую уязвимость, затрагивающую> 350 000 сайтов WordPress

Хакеры активно используют уязвимость, которая позволяет им выполнять команды и вредоносные сценарии на веб-сайтах, где запущен File Manager, плагин WordPress с более чем 700 000 активных установок, сообщили исследователи во вторник.Сообщение об атаках пришло через несколько часов после того, как брешь в системе безопасности была исправлена.

Злоумышленники используют эксплойт для загрузки файлов, содержащих веб-оболочки, скрытые в изображении. Оттуда у них есть удобный интерфейс, который позволяет им запускать команды в plugins / wp-file-manager / lib / files /, каталоге, в котором находится плагин File Manager. Хотя это ограничение не позволяет хакерам выполнять команды над файлами за пределами каталога, хакеры могут нанести еще больший ущерб, загрузив сценарии, которые могут выполнять действия в других частях уязвимого сайта.

NinTechNet, фирма по обеспечению безопасности веб-сайтов из Бангкока, Таиланд, была одной из первых, кто сообщил об атаках в «дикой природе». В сообщении говорилось, что хакер использовал уязвимость для загрузки скрипта под названием hardfork.php, а затем использовал его для внедрения кода в скрипты WordPress /wp-admin/admin-ajax.php и /wp-includes/user.php.

Бэкдор уязвимых сайтов в масштабе

В электронном письме генеральный директор NinTechNet Джером Бруанде написал:

Еще слишком рано говорить о последствиях, потому что, когда мы поймали атаку, хакеры просто пытались взломать веб-сайты.Однако мы заметили одну интересную вещь: злоумышленники вводили код для защиты паролем доступа к уязвимому файлу (connector.minimal.php), чтобы другие группы хакеров не могли воспользоваться уязвимостью на уже зараженных сайтах.

Все команды можно запускать в папке / lib / files (создавать папки, удалять файлы и т. Д.), Но самая важная проблема заключается в том, что они также могут загружать скрипты PHP в эту папку, а затем запускать их и делать все, что они хотят, с блог.

Пока что они загружают «FilesMan», еще один файловый менеджер, часто используемый хакерами. Этот сильно запутан. В ближайшие несколько часов и дней мы точно увидим, что они будут делать, потому что, если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они ожидают, что они снова вернутся, чтобы посетить зараженные сайты.

Между тем, сотрудник службы безопасности веб-сайтов

Wordfence заявила в своем собственном посте, что за последние несколько дней она заблокировала более 450 000 попыток эксплойтов.В сообщении говорилось, что злоумышленники пытаются внедрить различные файлы. В некоторых случаях эти файлы были пустыми, скорее всего, при попытке исследовать уязвимые сайты и, в случае успеха, позже внедрить вредоносный файл. Загружаемые файлы имели имена, включая hardfork.php, hardfind.php и x.php.

Реклама

«Плагин файлового менеджера, подобный этому, позволит злоумышленнику манипулировать или загружать любые файлы по своему выбору прямо из панели управления WordPress, потенциально позволяя им повышать привилегии сразу в административной области сайта», — сказала Хлоя Чемберленд, исследователь охранная фирма Wordfence, пишет во вторник.«Например, злоумышленник может получить доступ к административной области сайта, используя скомпрометированный пароль, затем получить доступ к этому плагину и загрузить веб-оболочку, чтобы выполнить дальнейшее перечисление сервера и потенциально усилить свою атаку с помощью другого эксплойта».

52% от 700 000 = вероятность повреждения

Плагин File Manager помогает администраторам управлять файлами на сайтах, на которых работает система управления контентом WordPress. Плагин содержит дополнительный файловый менеджер, известный как elFinder, библиотеку с открытым исходным кодом, которая обеспечивает основные функции плагина, а также пользовательский интерфейс для его использования.Уязвимость возникает из-за того, как плагин реализовал elFinder.

«Суть проблемы началась с того, что подключаемый модуль File Manager переименовал расширение файла connector.minimal.php.dist библиотеки elFinder в .php, чтобы его можно было запускать напрямую, даже если файл коннектора не использовался Сам файловый менеджер, — пояснил Чемберленд. «Такие библиотеки часто включают файлы примеров, которые не предназначены для использования« как есть »без добавления элементов управления доступом, и этот файл не имеет прямых ограничений доступа, что означает, что к файлу может получить доступ кто угодно.Этот файл можно было использовать для запуска команды elFinder и был подключен к файлу elFinderConnector.class.php . «

Разработчики File Manager доверили исследователю Вилле Корхонену из охранной фирмы Seravo обнаружение уязвимости и первое сообщение о ней. Исследователи, заявившие, что они обнаружили уязвимость в рамках своей обычной «службы поддержки WordPress», опубликовали здесь свою собственную рецензию.

Сал Агилар, подрядчик, который устанавливает и защищает сайты WordPress, обратился в Twitter, чтобы предупредить об атаках, которые он видит.

«Вот дерьмо !!!» он написал. «Уязвимость WP File Manager СЕРЬЕЗНА. Она быстро распространяется, и я вижу, что заражаются сотни сайтов. Вредоносное ПО загружается в / wp-content / plugins / wp-file-manager / lib / files».

Недостаток безопасности есть в версиях диспетчера файлов от 6.0 до 6.8. Статистика WordPress показывает, что в настоящее время уязвимы около 52 процентов установок. Поскольку более половины установленной базы File Manager, насчитывающей 700 000 сайтов, уязвимы, вероятность повреждения высока.Сайты, на которых работает любая из этих версий, следует как можно скорее обновить до 6.9.

Обновлено: добавлен последний абзац.

Изображение листинга: StickerGiant / Flickr

Ваш сайт WordPress взломали? Не паникуйте и выполните следующие действия.

(Последнее обновление: 11 января 2021 г.)

WordPress — самый популярный в мире способ создания веб-сайтов. Из 10 миллионов сайтов в Интернете почти 30% работают на WordPress.Неудивительно, что компания, стоящая за WordPress, то есть Automattic, имеет высококвалифицированную и опытную команду программистов, которая называется «WordPress Core Team». Эти ведущие мировые эксперты отвечают за защиту основного программного обеспечения WordPress от хакеров и вредоносных атак.

Как вы знаете, вы можете устанавливать в WordPress различные темы и плагины для расширения функциональности вашего сайта. В некоторых редких случаях есть вероятность, что одна из ваших тем или плагинов может иметь лазейку в безопасности, которую хакеры могут использовать для доступа к вашему сайту.Фактически, более 50% атак в WordPress происходят через плагины.

В этом сообщении блога мы расскажем вам о признаках, по которым можно узнать, был ли взломан ваш веб-сайт WordPress. Кроме того, мы расскажем о некоторых стратегиях защиты вашего веб-сайта от взлома, о том, какие шаги предпринять, если он был взломан, и о том, какие меры вы можете предпринять для предотвращения атак в будущем.

Поскольку большинство шагов в этой статье можно реализовать бесплатно, мы рекомендуем вам ознакомиться с каждым советом, которым мы поделились, и реализовать его на своем веб-сайте WordPress сегодня.

Приступим…

5 признаков взлома вашего сайта WordPress

Когда ваш сайт WordPress взломают, вы, вероятно, сразу узнаете об этом. Но вы также можете не осознавать этого довольно долгое время. Итак, вот 5 основных признаков, на которые следует обратить внимание, чтобы узнать, действительно ли ваш сайт WordPress был взломан.

1. Вы не можете войти в систему

Это очевидно. Если вы не можете войти в свою панель управления WordPress, это означает, что вас взломали (если только ваш коллега не разыграл вас).Для этого может быть много причин, но основная причина, по которой это происходит, заключается в том, что ваше имя пользователя является одним из следующих:

  • админ
  • Администратор
  • администратор
  • тест
  • корень

Если это ваш случай, немедленно измените свое имя пользователя, поскольку учетные записи WordPress с такими именами часто становятся целью хакеров.

2. Вы столкнулись с резким падением трафика

Если ваш веб-сайт работал очень хорошо, а теперь у него внезапное падение трафика, скорее всего, ваш сайт WordPress был взломан.Это потому, что злонамеренные хакеры создают бэкдор в вашей файловой системе WordPress и заменяют код своими собственными скриптами и файлами.

Таким образом, они перенаправляют трафик, приходящий на ваш сайт, в другие места, где рассылается спам, крадут личную информацию входящих посетителей и другими способами сеют хаос.

Кроме того, как только Google обнаруживает, что ваш сайт заражен и ведет себя некорректно, он заносит ваш сайт в черный список из поисковой системы, пока вы не защитите свой сайт.

Все это приводит к внезапному падению трафика.

3. Ваша домашняя страница подверглась вандализму

Большинство хакеров действуют в секрете, но некоторые хакеры любят заявлять о себе, когда успешно взламывают веб-сайт. Если ваша домашняя страница подверглась вандализму, и вы четко видите имя хакера или какое-либо объявление о том, что ваш сайт был взломан, вам необходимо действовать немедленно.

Причина, по которой это происходит в основном, заключается в том, что хакеры хотят удержать ваш сайт в заложниках в обмен на деньги или другое требование.

4. Вы видите всплывающие окна и другую рекламу, которую не размещали там

Если вы видите, что ваш сайт WordPress стал медленным и не отвечает, а теперь на нем появляются всплывающие окна, боковая панель и другие виды рекламы, это может быть верным признаком того, что ваш сайт был взломан.

Обычно такие взломы не выполняются хакерами.

Скорее, это автоматическая атака, которая проникла в вашу основную систему WordPress либо через слабо защищенную тему, либо через небезопасный плагин.

Что делает этот вид взлома гениальным (и опасным), так это тот факт, что реклама не будет отображаться для зарегистрированных пользователей или пользователей, которые имеют доступ к вашему сайту напрямую. Скорее всего, реклама будет отображаться только для тех посетителей, которые приходят на ваш сайт через Google или другой реферальный сайт.

Это может сделать практически невозможным узнать, что ваш сайт взламывали в течение длительного времени.

Кроме того, реклама приводит ваших посетителей на сайты со спамом, что может нанести ущерб не только вашему сайту и его трафику, но и вашей репутации.

5. В журналах вашего сервера наблюдается необычная активность

Если есть один чрезвычайно эффективный способ узнать, взломан ли ваш сайт, — это посмотреть журналы вашего сервера.

Они расположены в вашей cPanel, к которой можно получить доступ, войдя в свою учетную запись хостинга. В cPanel под статистикой вы найдете журналы двух типов:

  1. Журналы доступа: эти журналы показывают, кто с какого IP обращался к вашему WordPress.
  2. Журналы ошибок: эти журналы показывают, какие ошибки произошли во время модификации ваших системных файлов WordPress.

Используя информацию из журналов вашего сервера, вы можете понять, был ли взломан ваш сайт WordPress. А поскольку в этих журналах также хранятся записи обо всех IP-адресах, используемых для доступа к вашему веб-сайту, вы можете занести в черный список или заблокировать те IP-адреса, которые не относятся к вашему местоположению или неизвестны.

Какие шаги вам следует предпринять?

Ваш сайт WordPress может быть взломан, если вы не предпримете серьезных шагов для повышения безопасности своего сайта.И даже если он будет взломан, все же рекомендуется принять меры, чтобы это никогда не повторилось.

В этом разделе мы обсудим, какие превентивные меры вы должны предпринять как до взлома вашего сайта WordPress, так и после его восстановления.

шагов, которые необходимо предпринять, прежде чем ваш сайт WordPress будет взломан

Давайте начнем с того, что сначала рассмотрим меры предосторожности, которые вы должны предпринять, чтобы хакеры не взломали ваш сайт WordPress.

1. Обновите WordPress до последней версии.

По данным WordPress, только на 64,9% сайтов установлена ​​последняя версия WordPress, а на 36,1% сайтов нет. Поскольку WordPress поддерживает миллионы и миллионы веб-сайтов, это представляет серьезную угрозу безопасности для значительного их числа.

Причина, по которой так много веб-сайтов не обновляется, заключается в сбивающей с толку системе обновления WordPress.

Видите ли, WordPress выпускает второстепенные и основные выпуски своего программного обеспечения.Например, сейчас последняя версия WordPress 4.9.8.

Если в будущем они выпустят небольшое обновление, например 4.9.9, программное обеспечение обновится автоматически. Но если они выпустят крупное обновление, скажем, 5.0., Вам придется вручную обновить программное обеспечение самостоятельно, войдя в панель управления WordPress.

Многие люди не могут обновить свой WordPress до последней версии, потому что они не знают об этом или забывают об этом. Это подвергает их множеству угроз безопасности, поскольку каждое новое обновление содержит новые исправления ошибок и патчи безопасности.

2. Всегда создавать резервные копии.

Хотя многие люди осознают важность резервного копирования своих веб-сайтов, к сожалению, большинство из них на самом деле этого не делают.

Независимо от того, сколько мер безопасности вы предпримете, ваш сайт WordPress может быть взломан. И как только ваш сайт будет заражен хакерами, внедрившими свой вредоносный код и файлы, есть шанс, что ваш сайт больше не сможет вернуться к своему прежнему состоянию.

В этом случае абсолютно необходимо иметь последнюю резервную копию вашего сайта. Для этого вы можете использовать ряд известных плагинов WordPress, таких как BackupBuddy и Jetpack, оба из которых имеют разные планы оплаты в зависимости от требований. Jetpack входит в состав оптимизированных планов WordPress для HostPapa.

3. Установите лучшие плагины безопасности WordPress.

В целом WordPress чрезвычайно безопасен. Но многие плагины и модные темы, которые вы устанавливаете на него, не работают.Они обеспечивают шлюз внутри вашего веб-сайта, который ищут хакеры. Прежде чем вы это узнаете, ваш сайт взломан и занесен в черный список Google.

По этой причине важно регулярно проверять свои сайты WordPress на наличие вредоносных программ и других вредоносных форм кода. Кроме того, не менее важно активно отслеживать свой веб-сайт на предмет любых входящих угроз.

Для этого необходимо установить плагин безопасности WordPress.

На данный момент два лучших плагина в этом отношении — Wordfence или Sucuri.Оба обеспечивают отличные функции безопасности, такие как запланированное сканирование вредоносных программ, мониторинг IP в реальном времени, обнаружение спама и многое другое. У обоих этих плагинов безопасности есть разные планы, на которые вы можете подписаться, и ни один из них не стоит больше 200 долларов в год, чтобы вы начали.

Действия, которые необходимо предпринять после взлома вашего сайта WordPress

Если ваш сайт WordPress был взломан, не паникуйте и выполните следующие действия, чтобы вернуть его в нормальное состояние.

1.Получите резервную копию своего сайта.

Первый шаг, который вы должны сделать после взлома вашего сайта, — это поискать любые резервные копии вашего сайта. Если ваша резервная копия хранилась на том же сервере, что и ваш веб-сайт, весьма вероятно, что резервной копии там больше нет или она была повреждена. Вот почему никогда не стоит хранить резервную копию вашего сайта в том же месте, где вы храните свой сайт WordPress.

Есть три вероятных места, где у вас может быть резервная копия вашего веб-сайта WordPress:

  • Внутри вашего плагина резервного копирования WordPress. Если вы установили плагин резервного копирования WordPress, скорее всего, они сохранили резервную копию вашего сайта в собственном облачном сервисе или в облачном сервисе, таком как Google Диск или Dropbox.
  • В личном кабинете в облаке . Проверьте свой Google Диск, Dropbox или другие облачные сервисы, если у вас есть резервная копия вашего веб-сайта, которую вы, возможно, создали сами.
  • У вашего хостинг-провайдера. Если вы не инвестировали в плагин резервного копирования WordPress или поленились делать резервную копию своего веб-сайта вручную, последнее, что вам нужно сделать, — это связаться с вашим хостинг-провайдером, поскольку весьма вероятно, что они также регулярно создают резервную копию вашего веб-сайта на своем сервере.

Если вам удастся найти резервную копию в одном из этих мест, все готово. Все, что вам нужно сделать, это восстановить свой веб-сайт либо вручную, либо с помощью одного из плагинов, в котором вы создали резервную копию, либо попросив об этом вашего хостинг-провайдера.

2. Удалите все неиспользуемые / устаревшие темы и плагины.

Как мы уже упоминали выше, темы и плагины — один из самых простых способов получить доступ к вашему сайту хакерам. Чем больше у вас ненужных и неиспользуемых плагинов, тем более уязвимым вы оставляете свой сайт для ничего не подозревающих атак.

Вот почему при восстановлении резервной копии вы должны выполнить три важных шага:

  • Первое, что вам нужно сделать, это просмотреть список имеющихся у вас плагинов и тем и удалить те, которые вы давно не использовали, особенно деактивированные.
  • Еще одна важная вещь, которую вам следует сделать, — это обратить внимание на плагины и темы, которые не обновлялись долгое время. Поскольку чем дольше тема или плагин остаются без обновления, тем больше дыр в безопасности они оставляют в вашем бэкэнде WordPress.
  • Последнее, что вы хотите проверить, это то, использует ли ваш сайт бесплатную тему или нет. Если вы используете бесплатную тему, подумайте о том, чтобы перейти на ее платную версию или другую платную тему, поскольку они обеспечивают лучшую безопасность вашего сайта WordPress.

Многие люди полагают, что, поскольку они отключили плагин или тему, это не может нанести вред их серверной части WordPress. Но это совершенно неверно. Плагин, даже если он деактивирован, по-прежнему установлен на вашем сервере и занимает место, что означает, что хакеры могут получить к нему доступ.

И, наконец, как только вы удалите все ненужные плагины и темы, обновите те, которые вы планируете сохранить, до их последних версий.

3. Обновите все свои имена пользователей и пароли.

И последнее, что вам нужно сделать, это обновить имя пользователя и пароль WordPress. Поскольку ваш сайт WordPress был недавно взломан, это хорошая идея, поскольку это лучший способ защитить себя от будущих атак.

Вот что вы можете сделать, чтобы укрепить свою регистрационную информацию WordPress:

  • Часто меняйте пароль для входа в WordPress каждые несколько недель.
  • Прекратите использовать имя пользователя по умолчанию, например, «admin» или подобное. Вместо этого используйте уникальное имя пользователя.
  • Создайте надежный пароль с помощью такой службы, как LastPass, и сохраните в нем свой пароль для максимальной безопасности.

Эти советы не только применимы к вашей информации для входа в WordPress, они также полезны, если вы хотите обновить свою учетную запись хостинга или пароль учетной записи FTP.

Еще один способ защитить свой веб-сайт от повторных атак — это скрыть каталог «wp-admin» и ограничить количество попыток входа в систему, которые могут быть сделаны для входа в ваш WordPress.Обе эти вещи можно сделать с помощью плагинов WPS Hide Login и WPS Limit Login Attempts.

3 полезных совета, которые вы можете использовать, чтобы защитить свой сайт WordPress от дальнейших атак

«Лучше перестраховаться, чем сожалеть»…

Это предложение почти клише, но в случае WordPress оно не может быть более правдивым. Создание вашего веб-сайта требует много времени, денег и энергии. Но одна простая атака злонамеренного хакера может мгновенно вывести его из строя.

Вот почему, чтобы убедиться, что ничего подобного не произойдет, вот несколько советов, которые вы можете использовать, чтобы сделать свой сайт WordPress более безопасным.

Совет №1: Включите двухфакторную аутентификацию.

Если вы поделились паролем к своему бэкэнду WordPress с несколькими людьми, вам следует включить двухфакторную аутентификацию для каждого из них (включая себя).

Двухфакторная аутентификация гарантирует, что даже если ваши данные для входа в WordPress станут известны кем-то, ни один хакер не сможет войти в вашу панель управления без вашего ведома о том, что была предпринята попытка.

Совет № 2: Приобретите брандмауэр и сертификат SSL.

Брандмауэр заблокирует любой подозрительный сетевой трафик от проникновения на ваш сайт WordPress. И даже если на ваш сайт попадет какой-то вредоносный трафик, сертификат SSL зашифрует конфиденциальную информацию на вашем сайте, поэтому никто не сможет получить к нему доступ. Таким образом, ваш сайт будет защищен с обеих сторон.

Чтобы получить сертификат SSL и брандмауэр для своего веб-сайта, вам необходимо подписаться на один из более премиальных планов в составе ваших плагинов безопасности WordPress.А если вы не хотите, вы можете приобрести сертификат SSL у своего хостинг-провайдера отдельно.

Совет № 3: Тщательно выбирайте своего хостинг-провайдера .

Убедитесь, что вы размещаете свой веб-сайт у хорошего хостинг-провайдера. Это потому, что они несут ответственность за безопасность вашего сайта на своих серверах.

Но печальная правда в том, что многие хостинг-провайдеры не могут обеспечить высокий уровень безопасности, необходимый для обеспечения безопасности вашего сайта. По данным WPWhiteSecurity, 41% веб-сайтов были взломаны из-за уязвимости безопасности на платформе, на которой размещался сайт.

Вот почему вам следует провести исследование и выбрать хостинг-провайдера, который имеет хорошую репутацию надежного поставщика услуг и делает все возможное, чтобы защитить ваш сайт на своих серверах.

Приняв эти меры предосторожности и следуя советам и стратегиям, изложенным в этой статье, вы можете быть уверены, что шансы взлома вашего веб-сайта резко снизятся. И даже если его взломают, вы, наконец, можете быть уверены в том, что независимо от того, насколько сильна атака на ваш сайт, вы всегда сможете вернуть ему былую славу.

Ваш сайт когда-нибудь взламывали? Что ты сделал? Расскажите нам в комментариях.

Удаление взлома сайта WordPress

Я имел дело с довольно большим количеством взломов и заражений веб-сайтов WordPress, особенно в последнее время. Хотя существует практически неограниченное количество способов взлома вашего сайта, я собираюсь сосредоточиться на некоторых наиболее вероятных и методах, которые я использовал для исправления 95% сайтов, которые я видел взломанными.

Все эти методы предполагают, что у вас все еще есть доступ к панели администратора WordPress.В противном случае вы можете рассмотреть возможность восстановления сайта из резервной копии. Это может потребовать разговора с вашим хозяином в зависимости от вашей ситуации. Если вы не вносите много изменений на свой сайт, это также может быть хорошим решением, поскольку вы можете просто восстановить свой сайт до того, как он был взломан.

После того, как я обнаружил, что существует взлом (или даже если я подозреваю), я предпринял следующие шаги.

  1. На сервере перейдите к плагинам -> добавить новые и выполните поиск «Wordfence». Нажмите «Установить сейчас» рядом с «Wordfence Security».”Активируйте его, когда закончите. Если вы не можете сделать это из бэкэнда, вы всегда можете загрузить плагин, извлечь файлы локально и загрузить в каталог wp-content / plugins с помощью FTP.
  2. Нам нужно что-то быстро настроить. Перейдите в Wordfence -> Параметры и прокрутите вниз до «Сканы для включения». Убедитесь, что установлены флажки «Проверять файлы темы на наличие изменений в версиях репозитория», «Проверять файлы подключаемых модулей на наличие изменений в версиях репозитория» и «Проверять основные файлы на наличие изменений в версиях репозитория».Сохранить изменения. При желании вы можете проверить сканирование файлов вне WordPress, если вы хотите быть действительно тщательным, но это часто занимает на гораздо больше времени, чем на .
  3. Перейдите в Wordfence -> Сканировать и запустите сканирование Wordfence. В зависимости от ваших настроек это обычно занимает от 20 секунд до 10 или 15 минут.
  4. Проанализируйте результаты и в большинстве случаев выполните рекомендуемые действия.

По сути, вы ищете вредоносный код. Если результаты находят файлы и говорят: «Этот файл содержит вредоносный код», скорее всего, вы захотите выполнить рекомендованное действие и удалить его.Если основные файлы WordPress были изменены, исправьте их. Если есть файлы, которые не являются частью плагина или ядра, но находятся в этих папках, удалите их.

Вам не нужно беспокоиться об уведомлениях со степенью серьезности «Предупреждение» (желтый восклицательный знак), особенно если это просто файл .txt, поскольку они не могут запускать скрипты. Разработчики плагинов часто изменяют этот файл, не выпуская новую версию, поэтому появляется это уведомление. Иногда они также вносят незначительные изменения в файлы PHP, позволяя Wordfence решить, является ли это серьезной проблемой, и действовать дальше.Вы также можете просмотреть, как файл был изменен. Если некоторые переменные были переименованы или незначительно изменен код, это, вероятно, не имеет большого значения. Если есть большие строки бессмысленного текста, особенно в сочетании с декодированием base64 или функциями eval, это, вероятно, злонамеренно.

Часто это все, что нужно. Обновите все свои плагины и темы и продолжайте сканирование, чтобы узнать, нужно ли вам делать больше.

Восстановление основных файлов WordPress

Это не всегда нужно, но часто бывает хорошей идеей восстановить все основные файлы WordPress.В основном это включает в себя удаление папок wp-includes и wp-admin, а также всех файлов в корневом каталоге, которые не нужны или являются частью WordPress, за исключением wp-config.php. Вы также можете восстановить его, но вам нужно создать резервную копию и записать имена пользователей, пароли и другую информацию, чтобы вы могли создать новую.

  1. Загрузите последнюю версию WordPress.
  2. Разархивируйте его на свой локальный компьютер.
  3. Заархивируйте все в новый файл, кроме папки wp-content.Большинство операционных систем могут делать это изначально, в противном случае 7-Zip — лучшая бесплатная программа для бизнеса.
  4. Загрузите этот файл в корневую папку своего веб-сайта с помощью FTP или онлайн-менеджера файлов через cPanel вашего хостинга или аналогичным образом.
  5. Сделайте резервную копию всего сайта. Плагин «BackUpWordpress» отлично справляется со своей задачей, но вы также можете заархивировать все, используя SSH или свой онлайн-файловый менеджер.
  6. Удалите папки wp-includes и wp-admin, а также все файлы, связанные с WordPress, в корне.
  7. Разархивируйте загруженный вами файл со всеми основными файлами.
  8. Протестируйте свой сайт! Если вы удалили wp-config.php, вам будет предложено настроить новый сайт. Введите информацию о своей базе данных и т. Д., И все будет хорошо.

Поиск вредоносного кода с помощью SSH

Чтобы узнать об основах подключения по SSH, ознакомьтесь с моим сообщением в блоге по этой теме.

  1. Подключитесь к серверу с помощью SSH.
  2. Узнайте, какой у вас корневой каталог. Команда «pwd» даст вам полный путь к вашему текущему каталогу.«Ls» перечислит все файлы и папки, в которых вы находитесь. Если вы видите папку httpdocs или public_html, вы, вероятно, захотите перейти к ней с помощью cd httpdocs. Измените «httpdocs» на имя папки, к которой вы хотите перейти. После того, как вы используете «ls» и увидите свою установку WordPress (wp-admin, wp-content, wp-includes и т. Д.), Используйте «pwd», и он предоставит вам полный путь к корню вашего сайта. Скопируйте это.
  3. Поочередно запускайте следующие скрипты, заменяя путь на путь вашего сайта.
      egrep -Rl 'функция.* для. * strlen. * isset '/ путь / к / вашему / сайту
egrep -Rl '\ $ GLOBALS. * \\ x | function. * для. * strlen. * isset' / путь / к / вашему / сайту
egrep -Rl 'isset. * eval' / путь / к / вашему / сайту
  4. Просмотрите содержимое всех обнаруженных файлов. Если они содержат сценарии eval или base64, которые в основном представляют собой длинные строки символов, например: [php] eval (‘KD819DNIKEULSDF8983NHKWED7BN3HJ1RHJK1R12JKSDLQUBYU3’) [/ php]

    Тогда это скорее всего вредоносный код. Если это все, что есть в файле, вероятно, все это следует удалить.Если есть обычный файл, который не вызывает подозрений по отношению к остальной его части, вы можете просто удалить подозрительную часть, которая, вероятно, находится прямо вверху, но может быть скрыта, скрывая ее несколькими сотнями строк справа.

    Обратите внимание, что некоторые законные плагины действительно законно используют eval и base64, особенно плагины, работающие с транзакциями по кредитным картам и паролями. Если в одном плагине есть несколько файлов, которые это делают, и Wordfence не уловил его, я уверен, что все в порядке. Вы всегда можете скачать новую копию плагина и сравнить файлы, чтобы быть уверенным.

Поиск остальной части сервера

Если у вас есть другие веб-сайты на вашем хостинг-сервере, вы захотите выполнить на них те же действия. Инфекции могут легко распространяться и распространяются. Если один из ваших сайтов был заражен, держу пари, что и другие тоже.

Вы можете проделать все те же процессы для других сайтов. Используя поиск по SSH, вы также можете просто выполнить поиск в корне всех ваших веб-сайтов сразу, чтобы получить представление о том, насколько он распространился.

Предотвращение повторения взломов

  1. Обновление.
  2. Обновление.
  3. Будьте в курсе.

Вот и все. Обновите WordPress, обновите свои плагины и обновите свои темы. Уязвимости постоянно обнаруживаются, и автоматические взломы могут легко воспользоваться ими для взлома вашего сайта.

Также очень важно проверять ваши премиум-плагины, чтобы убедиться, что они обновлены. Они не всегда предупреждают вас и, как правило, являются самой большой мишенью. По моему опыту, следующие плагины, скорее всего, будут скомпрометированы и наиболее важны для обновления:

Revolution Slider
Gravity Forms
Visual Composer

Так что вперед и Google, какая самая последняя версия этих плагинов, и сравните ее с тем, что есть на вашем сайте.

Также убедитесь, что вы обновили ВСЕ сайты на своем сервере. Вы в безопасности настолько, насколько безопасно ваше самое слабое звено!

Есть много других вещей, которые вы можете сделать для защиты вашей установки и сервера от взлома. И они могут быть отличным выбором, но, по моему опыту, 95% взломов можно предотвратить, просто обновляя их. Вы должны обновлять все как минимум ежемесячно, чтобы предотвратить проблемы. Мы предлагаем очень разумную услугу, когда я просматриваю и обновляю ваш сайт ежемесячно, а также решаю любые проблемы с обновлением, которые могут возникнуть.Так что для тех из вас, кто не хочет делать это самостоятельно, я могу убедиться, что это сделано и что все делается правильно.

О Брайане Джонсоне

Брайан Джонсон (Brian Johnson) — разработчик и дизайнер веб-сайтов, живущий в Миннеаполисе, штат Миннесота, со страстью к коду и WordPress. Он тратит свои дни на создание веб-сайтов WordPress для малого бизнеса, разработку нового кода вместе с онлайн-сообществом и живую жизнь.