Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security
По статистике 80% сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.
Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.
Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.
Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.
Группировка NeT.Defacer:
Группировка w4l3XzY3:
И таких бандформирований хаккеров — сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах — в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие — то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно — благо js скрипты майнеров известны уже лет 6-7.
Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.
Методы взлома сайтов
Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.
Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.
Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.
Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.
Как взломать WordPress сайт
Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.
Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.
Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.
Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).
Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.
Здесь как раз хорошо видно как происходит поиск доступов к шелам.
Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.
Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.
Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.
В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.
Защита Worpress сайта
Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.
Если вы уверены, что ваш сайт не взломан, то:
- Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
- Обновите пароли у всех администраторов сайта.
- Удалите лишних пользователей.
- Обновите движок Вордпресса до актуального.
- Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
- Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
- Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
- Физически удалите все неактивированные плагины.
- Обновите все плагины.
- Удалите все неиспользуемые темы
- Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
- Обновите тему до актуальной.
Далее, устанавливайте плагин iThemes Security и переходите к его настройке.
Настройка плагина iThemes Security
После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.
Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.
Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site.ru/puzo1234.
Остальное оставляем по умолчанию. Сохраняем настройки.
Этот модуль «Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт». Таким образом мы немного защитились от брутфорса.
Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.
Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config.php and .htaccess.»
Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.
Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.
Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».
Оставляем остальное по умолчанию.
Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.
Здесь выставьте значения, как указано на рисунке ниже:
Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.
Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.
Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).
здесь какой- то товарищ с retina — дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.
Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:
- Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле Включить черный список от сайта HackRepair.com
- Заполняем бан лист, собранными мною за этот месяц IP
Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.
Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.
Отбор кандидатов на блокирование имеет следующую логику:
(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.
(2) Реферрер подделан — какой то site.ru
(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 — в аннотации CIDR.
Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™. Поэтому данный IP мы блокировать не будем.
Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:
Надеюсь, что ваш логин на вход в админку — не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).
Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.
Переходим к следующему модулю «Тонкая подстройка системы«
Настраиваем модуль, согласно приведенному скрину.
Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.
Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:
- Ссылка для Windows Live Writer
- Ссылка EditURI
- Спам комментарий
- Редактор файлов
- XML-RPC — поставьте в положение «Отключить XML-RPC»
- Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
- Сообщения при неудачной попытке входа
- Отключает дополнительные пользовательские архивы
- Login with Email Address or Username — в положение «e/mail address only» — теперь авторизироваться можно будет только по e/mail.
Остальные модули настраивайте по своему усмотрению.
| Метки: |
Массовое заражение сайтов на WordPress
Не прошло трёх месяцев с того, как мы анонсировали услугу «Сайт в безопасности», как мир облетела новость о массовом взломе сайтов.
С начала сентября более двух миллионов сайтов на WordPress были взломаны. Злоумышленники загружают на сайты веб-шеллы, позволяющие им контролировать сайты и использовать их в своих целях. Зачем нужно взламывать сайты мы подробно рассказали в статье «Взлом сайта — вполне себе реальность».
Проблема заключается в найденной хакерами критической уязвимости в популярном плагине File Manager. Из-за небезопасного использования разработчиками плагина открытой библиотеки elFinder, злоумышленники имеют возможность загрузить на сайт файл изображения, в котором скрыт веб-шелл. Это используется для загрузки файла, содержащего в названии слова hard, find или x (например, hardfork.php, hardfind.php и x.php), который в свою очередь используется для встраивания вредоносного кода в файлы /wp-admin/admin-ajax.php и /wp-includes/user.php. После этого хакеры имеют доступ в панель управления сайтом через отправку POST-запроса к файлу wp-file-manager/lib/php/connector.minimal.php.
Примечательно, что хакеры после использования уязвимости защищают её при помощи пароля, который не позволяет перехватить управление сайтом коллегами.
Рекламафии удалось предотвратить заражение большинства реализованных проектов. Не обошлось без жертв: несколько клиентских сайтов были взломаны. В течение прошедшей недели нашими специалистами проделана большая работа по очистке инфицированных ресурсов от зловредных программ: очищен и проверен программный код, восстановлен уничтоженных контент, приняты меры по снижению риска взлома в дальнейшем.
Если вы работаете с Рекламафией — никаких мер принимать не нужно, потому что мы уже всё сделали. Вам по-умолчанию подключена услуга «Сайт в безопасности».
Самостоятельно для защиты от хакеров необходимо срочно обновить плагин File Manager до версии 6.9 и более.
Если ваш сайт уже взломан, также рекомендуем обратиться к специалистам. Мы тоже лечим сайты от вирусов в Калининграде и не только . Самостоятельно можете переустановить WordPress, сменить пароли администраторов и базы данных, восстановить содержание — иногда это помогает. Рекомендуем также установить плагин Wordfence Security — Firewall & Malware Scan, разработчики которого по нашим данным быстрее других среагировали на уязвимость и защитили своих пользователей от взлома.
Взломанные сайты WordPress защищаются злоумышленниками (Мнение специалиста WordFence
Уязвимость нулевого дня была недавно обнаружена в популярном плагине WordPress, и теперь киберпреступники, использующие эту уязвимость, начали защищать взломанные ими сайты от атак других злоумышленников.
Брешь в безопасности была впервые обнаружена охранной фирмой Defiant, которая зафиксировала атаки на более чем 1,7 млн сайтов WordPress, на которых были установлены уязвимые версии плагина File Manager. Однако за последнюю неделю количество атакованных сайтов превысило 2,6 миллиона.
В случае эксплуатации уязвимость позволяет злоумышленникам загружать вредоносные файлы PHP и выполнять произвольный код на сайтах WordPress, которые не обновлены до последней версии File Manager.
Разработчики плагина создали и выпустили патч для уязвимости с выпуском File Manager 6.9. К сожалению, многие владельцы сайтов еще не обновили плагин до последней версии, что сделало их сайты уязвимыми для атак.
Защита взломанных сайтов WordPress
Согласно новому отчету Defiant, в настоящее время многочисленные киберпреступники нацелены на сайты, на которых установлены уязвимые версии плагина File Manager. Тем не менее, инженер по обеспечению качества Wordfence Рам Галл объяснил, что двое из этих злоумышленников начали защищать взломанные сайты, сказав:
«Мы видели доказательства того, что в этих атаках принимали участие несколько злоумышленников, в том числе незначительные усилия злоумышленника, который ранее отвечал за атаки на миллионы сайтов, но два злоумышленника были наиболее успешными в использовании уязвимых сайтов, и в настоящее время оба злоумышленники защищают паролем уязвимые копии файла connector.minimal.php ».
Один из злоумышленников, известный под ником bajatax, – марокканский злоумышленник, известный тем, что крадет учетные данные пользователей с веб-сайтов электронной коммерции PrestaShop. После взлома сайта WordPress bajatax внедряет вредоносный код, который собирает учетные данные пользователя через Telegram, когда владелец сайта входит в систему, и эти учетные данные затем продаются лицу, предложившему наивысшую цену. Другой злоумышленник внедряет бэкдор, замаскированный под ICO-файл, в случайную папку, а также в корневой веб-сайт сайта, чтобы гарантировать, что они могут продолжить доступ к взломанному сайту.
Defiant заметил, что оба злоумышленника используют пароли для защиты уязвимого файла connector.minimal.php на ранее зараженных сайтах. Галл предоставил дополнительную информацию о том, как эти два злоумышленника защищают взломанные сайты WordPress, сказав:
«Наша команда по очистке сайтов вычистила ряд сайтов, скомпрометированных этой уязвимостью, и во многих случаях присутствуют вредоносные программы от нескольких злоумышленников. Вышеупомянутые злоумышленники добились наибольшего успеха благодаря своим усилиям по блокировке других злоумышленников, и коллективно используют в своих атаках несколько тысяч IP-адресов ».
Владельцы сайтов WordPress, у которых установлен плагин File Manager, должны немедленно обновить его до версии 6.9, чтобы не стать жертвой любых потенциальных атак, особенно сейчас, когда киберпреступники активизировали свои усилия.
Источник записи: https://www.techradar.com
Взлом сайта на WordPress. Что делать?
В жизни каждого блоговода случаются такие волнительные моменты, когда и не знаешь, что же случилось с твоим сайтом. Просто в один прекрасный день сайт перестает работать как надо. Вот самые распространенные симптомы. 1.Исчезает ваш шаблон и вместо него появляется какой-то корявый чужой. Причем записи тоже исчезают. Вы все это переустанавливаете и изменяет через админку, но вскоре опять появляется «корявая» чужая страница на вашем домене. 2.Блог вообще не открывается, а вместо него появляется текст с указаниями директории на хосте и таким вот добавлением wp-includes/l10n.php on line 521. 3.Просто банально, вместо вашего блога появился дорвей, очень вызывающего содержания. 4.Также бывают и такие случаи, когда ваш блог вроде бы и есть, и в том же состоянии, но вот посетители куда-то ушли. Посещаемость падает по 20-30% в день, причем на других хостах все нормально. Есть еще много других признаков, но так и ли иначе вы понимаете, что с сайтом что-то не так. Тили-дилим, тилим-дилим! Поздравляем ваш сайт взломан доморощенными хакерами. Теперь кто-то перепродает ваших юзеров, и издевается над вашими постами. Первое, что надо сделать это зайти в админку хоста и поменять пароль входа и пароли баз данных. Конечно, скорей всего дырка в ВП, но лучше не рисковать. Бывает так, что если вы устанавливали какие-то ресурсы для заработка. Сапа это, или Линкфилд, то есть вероятность, что какой-нибудь админ слил часть данных. Конечно, вы можете возразить, что ресурсы серьезные и такое на них не возможно, но авторитетные люди говорят, что 80% взломов осуществляется по «наводке». То есть преступникам хотя бы надо узнать ваш порт, логин. Используя данные бота Сапы, все это можно вычислить. Подбор пароля теперь является лишь небольшой проблемой. Теперь вернемся к WordPress. Система популярная, поэтому и часто взламывается. Взлом в основном идет через плагины. Вы устанавливаете не проверенные плагины и получаете на свой сайт жука, который и передает все, что нужно своему владельцу. Старайтесь не качать плагины от всюду. Пользуйтесь проверенными ресурсам, но и это не оградит вас от проблемы. Если все уже «сломано», сайты не фурычат, то сделайте бекап. Понять какие файлы у вас изменены можно через админку хостера. Как правило взлом происходит ночью. Вы в это время, ничего с сайтом не делаете, в лучшем случае заливаете посты. Поэтому посмотрите даты изменения системных файлом вордпресс. Индексы и другие. Вы сразу увидите массовую замену и изменение этих сайтов, которая приходится на дату, когда вы серьезных обновлений не делали. Если у вас есть свежий бекап, да еще где-нибудь на почте, то выбор прост. Сносите все нафиг и устанвливайте ВП заново. Потом восстанавливайте базы данных. Сайт будет выглядеть так, как и раньше. Самое главное названия страниц сохранятся. Вот если у вас есть только хостерский бекап или вы его сделали уже после взлома, то тут немного сложнее. Но все равно поправимо. Постарайтесь перезолить измененные файлы. Вычищайте заразу по дате изменения, меняя файлы из вашей «белой» версии на домашнем компе. И еще если такой версии нет, то переустанавливайте WordPress и заливайте базу. Есть и другие способы, несколько более сложные, но требующие специальных знаний. Да, и при взломе не забудьте обратиться в техподдержку хостера, там вам дадут полезные советы, может даже помогут вычистить сайт.
Защита от взлома сайта на WordPress | Вопросы-ответы на Wiki
<IfModule mod_rewrite.c>
RewriteEngine On
# Блокировка XSS
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Блокируем выставление переменной PHP GLOBALS через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Блокируем возможность изменять переменную _REQUEST через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Блокировка MySQL инъекций, RFI, base64, и др.(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
RewriteRule .* - [F]
</IfModule>Мой WordPress сайт сканируют на наличие уязвимостей – что делать?!
WPuse.ru 30.08.2020
Приветствую!
Вы посмотрели логи вашего сайта и обнаружили там подозрительную активность? Некие пользователи или вовсе боты просматривают технические папки WordPress, пытаясь найти файлы плагинов, которые у вас отсутствуют и т.п.
Вот список путей и файлов, которые сканируют «набегающие» на мои сайты боты:
controller.php wso.php /wp-content/plugins/analytics-counter/view/scripts/wpadm-ga.js /wp-content/plugins/dropbox-backup/template/js/admin-wpadm.js /wp-content/plugins/gallery-slider/readme.txt /wp-content/plugins/wp-handy-lightbox/readme.txt /wp-content/plugins/revslider/css/admin.css /wp-content/plugins/seo-keyword-page/readme.txt /wp-content/plugins/stats-wp/readme.txt /wp-includes/wp-inc.php /cms/admin/ /manager /adminzone /admin/login.php /mscms/ /administrator и так далее
Чем опасно сканирование ботом моего сайта?
Я понимаю ваши опасения, однако так было всегда. Даже на моих сайтах постоянно шерстят непонятные боты, в поисках различного рода уязвимых файлов движка WordPress и используемых плагинов. Вы спросите меня, можно ли их заблокировать, дабы обеспечить всестороннюю защиту сайта на WordPress? Можно заблокировать пользователя или бота с определённым IP адресом, это да. Однако особого смысла в этом нет – IP адреса почти всегда разные.
В интернете достаточно много «спецов», которые натравливают своих самописных ботов на сканирование сайтов на наличие наиболее распространённых уязвимостей движка WordPress и плагинов для него.
Найденные уязвимости используются для последующего взлома сайта, размещения на нём вредоносных модулей, перенаправления посетителей на иные ресурсы в корыстных целях и прочего.
Как защититься от взлома ботом сайта WordPress?
Совет тут один – всегда использовать последнюю версию движка WordPress! Ровно тоже необходимо соблюсти и в части используемых плагинов! Только так вы сможете обеспечить защиту WordPress от взлома и посягательств со стороны недоброжелателей.
Обновление движка и плагинов для него привносит, в числе прочих и закрытие найденных уязвимостей.
Я понимаю, что существует ситуации, когда вы заказали создание сайта. В остальные технические тонкости вы при этом не вдавались. А как-то обновив движок или плагин, сайт в итоге переставал работать правильно. Вы восстанавливали его работоспособность через службу поддержки вашего хостера и более зареклись ничего не трогать «от греха подальше».
Эта позиция утопична. Ваш сайт в конечном итоге взломают, он будет помечен поисковыми системами чёрной меткой «от греха подальше» 🙂 Пройдёт немало времени, пока вы сможете завоевать доверие поисковых систем вновь. Если до взлома вы получали наиболее количество посетителей из поисковых систем, то это может быть началом конца для вашего сайта…
Никогда не забывайте об этом, игнорируя техническое обслуживание вашего детища.
Если вы не готовы разбираться во всех тонкостях и касаться темы защиты сайта на WordPress от взлома, то эту задачу можно поручить, к примеру, компетентному фрилансеру.
Что ещё можно предпринять, дабы уберечься от взлома?
Изучать логи, выявлять подозрительную активность. Любой провайдер имеет возможность предоставить логи за определённый период. Другой момент заключается в том, что этот период часто ограничивается неделей.
Также можно поставить WordPress плагин, который показывает в панели администратора все страницы и файлы, на которые пытались перейти боты в процессе сканирования, но не находили там ничего и движком WordPress выдавалось в ответ, что такой страницы\файла не существует.
Данный плагин позволяет отследить участившиеся «набеги» и нетипичные запросы, по которым можно определить, что взломщик занялся попыткой взлома вашего сайта «в ручном режиме».
И никогда не забывайте делать бекап файлов и базы данных вашего сайта. Попросите, чтобы вам настроили этот функционал изначально!
У меня на этом всё. Если имеются какие-то вопросы, то вы можете изложить их в комментариях к данному материалу.
Пожертвование сайту WPuse.ru (cбор пожертвований осуществляется через сервис «ЮMoney»)Взлом WordPress с помощью атак Man-in-the-Middle
Подробное объяснение того, как злоумышленники используют Man-in-the-Middle (MitM) для взлома веб-сайтов WordPress и учетных данных. Эта статья предназначена только для образовательных целей.
Как и любое другое веб-приложение с формой входа, WordPress отправляет ваше имя пользователя и пароль в HTTP-запросе при входе в систему. По умолчанию HTTP не является зашифрованным протоколом. Это означает, что если ваш веб-сайт WordPress не использует HTTPS, обмен данными между вами и веб-сервером может быть перехвачен.
Хакеры со злым умыслом могут легко перехватить и изменить открытый (незашифрованный) HTTP-трафик вашего веб-сайта WordPress. Естественно, одной из самых интересных частей информации для злоумышленника будут ваши учетные данные администратора WordPress.
Программное обеспечение, используемое для проведения атак Man-in-the-Middle (MitM), свободно и широко доступно. В этой статье будут рассмотрены некоторые реальные примеры того, как MitM можно использовать для управления вашим сайтом WordPress. Затем он рекомендует, как лучше от них защититься.
Что такое атака «человек посередине» (MitM)?
Атака «человек посередине» (MitM) — это общий термин для атак, при которых хакер позиционирует себя как посредник между отправителем и получателем. Например, между вашим браузером и веб-сайтом, который вы посещаете. Это позволяет злоумышленнику подслушивать, а во многих случаях также изменять контент по мере его отправки и получения между двумя сторонами. В большинстве случаев, если они захватят учетные данные, они могут войти в систему и взломать ваш сайт WordPress.
Как атакующий попадает в середину?
Атаки типа Man-in-the-Middle (MitM) обычно (не всегда) предполагают, что злоумышленник находится в той же локальной сети (LAN), что и вы. Одна из наиболее распространенных атак MitM включает спуфинг ARP. Мельчайшие подробности спуфинга ARP выходят за рамки этой статьи. Однако результат успешной атаки с подменой ARP приведет к тому, что ваш сетевой коммутатор или маршрутизатор будет обманут , думая, что , что машина злоумышленника — это ваша машина, и наоборот.
Результатом этого является то, что вместо того, чтобы каждая сторона отправляла данные друг другу напрямую, они сначала отправляют их злоумышленнику. Чтобы все выглядело нормально, злоумышленник направляет трафик в правильное место назначения. Однако это дает злоумышленнику возможность проверять и даже изменять содержимое передачи.
Взлом веб-сайтов WordPress — кража паролей и учетных данных
Чтобы понять, как могут быть украдены учетные данные WordPress, давайте сначала рассмотрим HTTP-запрос, содержащий отправленные учетные данные с помощью встроенных в браузер инструментов разработчика.
Обратите внимание, что это , а не , атака «Человек посередине» (MitM), но это помогает проиллюстрировать, что искать в дальнейшем.
Теперь давайте посмотрим, что увидит злоумышленник при проверке незашифрованного HTTP-трафика. В этом примере мы используем Wireshare — бесплатный и популярный инструмент сетевого анализа.
Кража аутентификационных файлов cookie
Помимо кражи паролей / учетных данных WordPress, злоумышленник также может просто украсть ваш файл cookie аутентификации, чтобы выдать себя за вас.
Как файлы cookie связаны с аутентификацией?
HTTP — это протокол без сохранения состояния. В HTTP сервер не придает особого значения запросам, поступающим через один и тот же сокет TCP. Это означает, что если вы не хотите вводить пароль каждый раз, когда запрашиваете страницу, браузеру необходимо хранить временный токен. Этот токен известен как токен сеанса . Браузер автоматически отправляет этот токен с каждым запросом. К счастью, в браузерах есть для этого встроенный механизм — файлы cookie.Вот почему удаление файлов cookie вашего браузера приведет к выходу из всех веб-сайтов.
Это означает, что злоумышленнику даже не нужен ваш пароль, чтобы выдавать себя за вас. Единственное, что им нужно, — это получить ваш токен сеанса.
И снова та же информация доступна злоумышленнику в Wireshark.
Используя бесплатное расширение браузера, такое как Cookie-Editor, злоумышленник может легко использовать значение украденного файла cookie в своем браузере и начать просмотр администратора WordPress, как и вы.
Защита себя / своего сайта WordPress от атак MitM
Атаки типа Man-in-the-Middle, подобные показанной в этой статье, не требуют больших усилий для злоумышленника. Особенно в общедоступных или плохо защищенных сетях, таких как общедоступный Wi-Fi. К счастью, защитить себя от этих хакерских атак очень просто — не забудьте включить HTTPS на своем веб-сайте WordPress.
HTTPS шифрует трафик между вашим браузером и сервером.Если злоумышленнику пришлось попытаться прочитать содержимое HTTPS-трафика, все, что он увидел, — это бессмысленный, искаженный зашифрованный текст.
Дополнительные меры безопасности WordPress
Хотя вы, несомненно, должны включить HTTPS на своем веб-сайте в качестве вашего первого приоритета для предотвращения атак Man-in-the-Middle (MitM), ниже приведены хорошие последующие передовые методы, которые помогут укрепить защиту.
- Добавьте двухфакторную аутентификацию (2FA) для повышения безопасности механизма аутентификации вашего сайта WordPress.
- Обеспечьте соблюдение надежных паролей WordPress, чтобы значительно усложнить атаки с подборами паролей
- Вести журнал активности WordPress для отслеживания несанкционированного доступа к админке WordPress
- Установите монитор целостности файлов WordPress для обнаружения вредоносных изменений файлов в вашей установке WordPress.
- Настройте брандмауэр WordPress и защитное решение для предотвращения распространенных атак на веб-приложения.
Как взломать веб-сайт WordPress
W Добро пожаловать, друзья-энтузиасты безопасности! Сегодня я покажу вам, как взломать веб-сайт WordPress на примере CTF Mr. Robot. Я только что сам прошел через этот отличный CTF и многому научился в процессе. Я хотел повысить уровень своей игры «Анализ уязвимостей в Интернете» и начал с этого CTF.
Если вы действительно хотите изучить кибербезопасность, я настоятельно рекомендую прочитать мое огромное руководство для начинающих Начало работы с кибербезопасностью в 2019 году , где я научу вас, как начать, совершенно бесплатно! Также стоит ознакомиться со статьей из лучших книг о взломе в 2019 году.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ : Это «Как взломать веб-сайт WordPress» представляет собой Учебное пособие по этическому взлому, предназначенное для профессионалов в области безопасности. Не повторяю, не использует эти методы без письменного согласия принимающей стороны . Если вы используете это руководство в незаконном контексте, вас могут ждать законные обвинения и / или тюремное заключение. Используйте эти методы только в закрытых лабораторных условиях.
CTF — это так называемая игра «Захват флага», в которой ваша цель — собрать определенное количество флагов (или ключей, если на то пошло).CTF используются для отработки хакерских навыков в безопасной и законной среде. Я могу порекомендовать Vulnhub как ресурс для выбора отличных CTF.
Хорошо, приступим.
Шаг 1. Оценка того, использует ли веб-сайт WordPress
Если вы не знаете, использует ли веб-сайт WordPress или нет, в большинстве случаев есть очень простой способ узнать это.
Вы можете просто ввести: www.addressofthewebsite.com/wp-admin
Что в большинстве случаев вызовет графический интерфейс входа wp-admin, за исключением того, что администратор отключил его.
Еще один отличный способ проверить, работает ли на веб-сайте WordPress — использовать wpscan. Wpscan предустановлен как в Kali, так и в ParrotSec.
wpscan -u www.addressofyourtarget.com
В моем случае сканирование виртуальной машины Mr. Robot показывает следующее. Фрагмент результатов
Как видите, это ясно указывает на то, что сайт использует WordPress. Кроме того, он представляет 46 выявленных уязвимостей. Теперь большинство хостеров и последние версии WordPress по умолчанию блокируют подобное сканирование.Так что, скорее всего, это будет работать только с устаревшими версиями WordPress без какой-либо защиты от хостера.
Хорошо, пока все хорошо. Теперь мы можем проверить это, проверив, существует ли страница входа, перейдя по URL-адресу веб-сайта + / wp-admin, например: WordPress Login
И, конечно же, появляется маска входа.
Шаг 2. Получение кода с помощью Burpsuite
Теперь самое сложное — узнать имя пользователя. Вы можете начать с администратора, но WordPress обычно генерирует случайное имя пользователя, поэтому это может быть сложно понять, и вам может потребоваться дополнительное исследование цели.
В примере с мистером Роботом я знаю, что имя пользователя — Эллиот (нетрудно догадаться). Вы также можете попробовать запустить Hydra для нескольких списков имен пользователей, но сначала нам нужно использовать burpsuite, чтобы получить код со страницы входа.
Запустите burpsuite, набрав
sudo burpsuite
Создайте новый временный проект, используя настройки Burp по умолчанию.
Перейдите к Target -> Scope Tab и нажмите Add, чтобы включить страницу wp-login в область. Выберите Да во всплывающем диалоговом окне.Добавление сайта в область действия
Затем перейдите в меню настроек Firefox и прокрутите вниз, пока не найдете сетевой прокси. Щелкните «Настройки».
Выберите «Ручная настройка прокси» и введите IP 127.0.0.1 и порт 8080. Отметьте «Использовать этот прокси-сервер для всех протоколов». Нажмите OK. Добавление прокси
Назад в Burpsuite. Откройте вкладку прокси. Теперь вернемся на страницу входа в WP. Введите любое случайное имя пользователя и пароль и нажмите «Войти». Убедитесь, что Privacy Badger, uBlock Origins и NoScript отключены для сайта.
После того, как вы нажали кнопку входа в систему, вернитесь в Burpsuite и посмотрите на результат. Код захвата
log = root & pwd = 1234 & wp-submit = Log + In & redirect_to = http% 3A% 2F% 2F192.168.1.109% 2Fwp-admin% 2F & testcookie = 1
Теперь у нас есть кое-что, что мы можем скормить Гидре.
Шаг 3. Поиск правильного имени пользователя
Давайте немного повеселимся, чтобы дать вам представление о том, как вы можете узнать имя пользователя для своей цели. Виртуальная машина, которую мы используем в этом примере, как упоминалось выше, — это Mr.Робот тематический. Так что очень вероятно, что имя пользователя будет найдено в каких-то мелочах, связанных с мистером Роботом.
Сначала вернитесь в свой Burpsuite и закройте его. Сейчас он нам больше не нужен. Также вернитесь к настройкам прокси и снова отключите прокси.
Теперь я перехожу на страницу Mr. Robot Wikipedia: https://en.wikipedia.org/wiki/Mr._Robot
И я создам список имен пользователей с этой конкретной страницы, используя CeWL.
Откройте новое окно терминала и введите
sudo cewl -w usernames.txt -d1 -m4 https://en.wikipedia.org/wiki/Mr._Robot
Давайте разберемся с этим.
- -w usernames.txt — должно быть довольно ясно, это имя списка слов, который будет создан
- -d1 — Определяет глубину, с которой CeWL будет сканировать веб-сайт. 1 означает, что он останется именно на этом сайте и не будет открывать на нем никаких ссылок.
- -m4 — определяет минимальную длину слова, которое будет помещено в список
- https: // en.wikipedia.org/wiki/Mr._Robot — очевидно, веб-сайт, который мы собираемся сканировать.
Итак, как видите, вы можете применить эту технику к любому целевому релевантному веб-сайту.
Быстрый запуск
ls
Показывает нам, что наш usernames.txt был создан. Проверка вывода CeWL
В некоторых случаях вам повезет с помощью wpscan для перечисления имени пользователя, поэтому всегда попробуйте это:
wpscan --url http://www.targetwebsite.com --enumerate u
Теперь мы собираемся использовать Hydra для перебора этого списка на странице wp-login.являются заполнителями для наших опций -L и -p
Хорошо, давайте запустим эту команду, не так ли?
Hydra результаты
И, конечно же, мы получили ответ, что логин с именем пользователя elliot был успешным (чего не было, он просто подтвердил, что веб-форма не вернула неверное имя пользователя).
Значит, нам еще нужно придумать пароль.Но, по крайней мере, у нас есть имя пользователя.
Шаг 5 — Грубая форсировка пароля
Теперь мы могли бы также использовать Hydra для грубой силы пароля пользователя, но я предпочитаю использовать wpscan, поскольку синтаксис проще.
wpscan --url http://192.168.1.109/wp-login.php --passwords /usr/share/wordlists/rockyou.txt.gz --usernames elliot --wp-content-dir http: //192.168 .1.109 / wp-login.php
rockyou.txt.gz — это просто пример, замените его любым списком паролей, который вы хотите использовать.
И вуаля, мы получили имя пользователя и пароль. Получение пароля
Шаг 6 — Внедрение вредоносного кода в WordPress
Хорошо, теперь, когда у нас есть доступ администратора к WordPress, есть несколько способов. можно уйти отсюда. Я покажу вам один из самых простых.
На атакующем компьютере перейдите в Places -> File System -> usr -> share -> webshells -> php и откройте php-reverse-shell.php
Скопируйте все его содержимое: Скопируйте текст
сейчас в WordPress перейдите в Внешний вид -> Редактор и выберите 404.php шаблон. Это всего лишь пример, вы можете реализовать код разными способами.
Теперь вставьте сюда свой код, чтобы он выглядел примерно так: Отредактируйте строки, отмеченные желтым цветом.
Отредактируйте строки, отмеченные желтым, чтобы IP-адрес указывал на ваш атакующий компьютер, и выберите порт.
Шаг 7 — Запуск прослушивателя Netcat
Теперь снова на атакующем компьютере мы запускаем прослушиватель Netcat:
nc -lvp 443
Затем вы собираетесь открыть страницу 404, как будто ссылка: www.yourtargetwebsite.com/404Соединение установлено
И мы на месте! Мы не только взломали учетную запись администратора WordPress, но и получили доступ к самому серверу. Отсюда вам нужно использовать свои навыки, чтобы получить повышенный доступ, но теперь это не должно быть слишком сложно.
Как видите, CTF — отличный способ узнать что-то новое.
До следующего раза продолжайте взламывать!
* Все методы, представленные в обучающих материалах на ceos3c.com, предназначены исключительно для образовательных целей.
Все методы, изложенные здесь, предназначены для использования только в закрытых лабораторных условиях или с согласия другой стороны.
Если вы используете любой из этих методов в незаконных целях, Ceos3c не несет ответственности за возможные законные последствия.
Нравится:
Нравится Загрузка …
Как взломать сайт WordPress?
SQL-инъекция
SQL-инъекция — один из самых популярных типов атак, специально предназначенных для взлома веб-сайтов.Атаки с использованием SQL-инъекций используют преимущества внутренней базы данных на веб-сайте, вводя вредоносные команды, предназначенные для взлома системы. Из-за ошибок кодирования в серверной базе данных есть способы удалить, украсть или изменить целые объемы информации. Однако самый первый шаг к любой атаке SQLi — это выявить уязвимые веб-сайты и найти тот, который не закрыл ряд дыр в безопасности.
Как защитить сайт WordPress от взлома?
Всегда помните, чтобы человеческие ошибки не превратились в вашу собственную уязвимость.Это важно, потому что при управлении веб-сайтом WordPress есть человеческие недостатки, и, следовательно, вам придется подумать о выполнении следующих советов при работе с веб-сайтом WordPress.
Воздержитесь от использования общедоступного компьютера для входа в WordPress:
Если вы входите на свой сайт с общедоступного компьютера, вы фактически делаете свои учетные данные администратора уязвимыми для тех, кто использует тот же компьютер или других пользователей в сети. .Логин с двухфакторной аутентификацией:
Один из самых простых и чрезвычайно эффективных способов предотвращения атак грубой силы — это реализовать двухфакторную аутентификацию (2FA) для входа на ваш сайт WordPress. Они добавляют дополнительный уровень безопасности входа в систему, запрашивая дополнительное подтверждение личности, например секретные вопросы или код, сгенерированный мобильным устройством.Регулярно проверяйте пользователей с правами администратора:
Убедитесь, что вы время от времени проверяете пользователей для вашей области wp-admin и для SFTP (на пользовательском портале), чтобы гарантировать доступ только тем, кому все еще нужен доступ.Также хорошо убедиться, что пользователям вашего сайта предоставляется только необходимый им уровень доступа.Регулярно обновляйте WordPress Core:
Когда WordPress выпускает обновления безопасности, WP Engine гарантирует, что ваш сайт получит их. Когда обновления выпускаются, всегда полезно протестировать обновления на вашем промежуточном сайте. После этого следует создать обновление на вашем действующем веб-сайте, как только вы убедитесь, что все работает хорошо.Регулярно обновляйте темы и плагины:
Авторы плагинов и тем часто выпускают обновления безопасности. Эти обновления могут помочь оптимизировать плагин для методической работы с текущими версиями WordPress. Очень важно регулярно обновлять эти обновления плагинов и тем. Это устаревшее программное обеспечение считается причиной номер один вредоносного ПО или заражения на сайтах, поскольку они теряют свои функции безопасности по истечении срока его действия.
Получите максимальную безопасность, установив Comodo cWatch
cWatch предлагает наиболее эффективные функции безопасности для бизнеса. cWatch, разработанный Comodo, представляет собой инструмент проверки веб-безопасности, доступный в брандмауэре веб-приложений (WAF) через сеть безопасной доставки контента (CDN). Это чрезвычайно эффективный инструмент проверки безопасности веб-сайтов, созданный круглосуточно укомплектованным персоналом Центра управления кибербезопасностью (CSOC) сертифицированных аналитиков по безопасности и работающим на базе системы управления информацией и событиями безопасности (SIEM), которая может использовать данные с более чем 85 миллионов конечных точек для обнаружения и устранения угроз еще до их возникновения.
cWatch предлагает все нижеперечисленные функции веб-безопасности, которые помогут предотвратить и защитить ваш сайт WordPress от хакерских атак:
Ремонт с помощью взлома веб-сайта
Восстановление с помощью взлома веб-сайта предоставляет подробный отчет о тех областях, с которыми вам нужно иметь дело.Мгновенное удаление вредоносных программ
Позволяет вам быть в курсе вредоносных программ, которые продолжают атаковать ваш веб-сайт.24/7 Cyber Security Operation
Сертифицированные эксперты, использующие усовершенствованные технологии, чтобы помочь вам быстрее разрешать инциденты безопасности.Управляемый брандмауэр веб-приложений
Работает на всех веб-серверах, действуя как точка проверки клиентов для обнаружения и фильтрации содержимого, такого как встроенный вредоносный код веб-сайта.Сеть доставки реального контента
Обеспечивает более быструю доставку веб-контента за счет кэширования в глобальном центре обработки данных для предотвращения скачков трафика, обеспечения безопасности веб-сайта и сокращения расстояний.Ежедневное сканирование вредоносных программ и уязвимостей
Обеспечивает отправку ежедневного отчета для мониторинга безопасности веб-сайта.Удаление полного черного списка
После сканирования веб-сайта все черные списки будут удалены с вашего веб-сайта.Ускорение веб-сайта
Это позволяет вашему веб-сайту работать быстрее, чем раньше.Защита от ботов
Отслеживает законных пользователей веб-сайта, чтобы защитить их от надоедливой CAPTCHA или задержанных страниц.Защита от DDoS-атак
Это увеличивает трафик на вашем веб-сайте и не дает хакерам использовать уязвимости программного обеспечения.
11 основных причин, почему сайты WordPress взламываются (и как это предотвратить)
Недавно один из наших читателей спросил нас, почему взламывают сайты WordPress? Очень неприятно узнать, что ваш сайт WordPress был взломан. В этой статье мы поделимся основными причинами взлома сайта WordPress, чтобы вы могли избежать этих ошибок и защитить свой сайт.
Почему хакеры атакуют WordPress?
Во-первых, это не только WordPress. Все веб-сайты в Интернете уязвимы для попыток взлома.
Причина, по которой сайты WordPress являются распространенной целью, заключается в том, что WordPress является самым популярным в мире конструктором сайтов. Он обслуживает более 31% всех веб-сайтов, то есть сотни миллионов веб-сайтов по всему миру.
Эта огромная популярность дает хакерам простой способ находить менее безопасные веб-сайты, чтобы они могли использовать их.
У хакеров разные мотивы для взлома веб-сайта. Некоторые из них — новички, которые только учатся использовать менее безопасные сайты.
Некоторые хакеры имеют злонамеренные намерения, такие как распространение вредоносного ПО, использование сайта для атаки на другие сайты или рассылка спама в Интернете.
С учетом сказанного, давайте рассмотрим некоторые из основных причин взлома сайтов WordPress и способы предотвращения взлома вашего сайта.
1. Небезопасный веб-хостинг
Как и все веб-сайты, сайты WordPress размещаются на веб-сервере.Некоторые хостинговые компании не защищают свою хостинговую платформу должным образом. Это делает все веб-сайты, размещенные на их серверах, уязвимыми для попыток взлома.
Этого можно легко избежать, выбрав для своего сайта лучшего хостинг-провайдера WordPress. Это гарантирует, что ваш сайт размещен на безопасной платформе. Надлежащим образом защищенные серверы могут блокировать многие из наиболее распространенных атак на сайты WordPress.
Если вы хотите принять дополнительные меры предосторожности, мы рекомендуем использовать управляемого хостинг-провайдера WordPress.
2. Использование ненадежных паролей
Пароли — это ключи к вашему сайту WordPress. Убедитесь, что вы используете надежный уникальный пароль для каждой из следующих учетных записей, поскольку все они могут предоставить хакеру полный доступ к вашему веб-сайту.
- Ваша учетная запись администратора WordPress
- Аккаунт панели управления хостингом
- FTP аккаунтов
- База данных MySQL, используемая для вашего сайта WordPress
- Учетные записи электронной почты, используемые для учетной записи администратора или хостинга WordPress
Все эти учетные записи защищены паролями.Использование слабых паролей упрощает взлом паролей хакерам с помощью некоторых основных средств взлома.
Этого можно легко избежать, используя уникальные и надежные пароли для каждой учетной записи. Ознакомьтесь с нашим руководством по лучшему способу управления паролями для начинающих WordPress, чтобы узнать, как управлять всеми этими надежными паролями.
3. Незащищенный доступ к администратору WordPress (каталог wp-admin)
Панель администратора WordPress дает пользователю доступ для выполнения различных действий на вашем сайте WordPress.Это также наиболее часто атакуемая область сайта WordPress.
Если оставить его незащищенным, хакеры могут попробовать разные подходы к взлому вашего сайта. Вы можете усложнить им задачу, добавив уровни аутентификации в свой административный каталог WordPress.
Сначала вы должны защитить паролем вашу админку WordPress. Это добавляет дополнительный уровень безопасности, и любой, кто пытается получить доступ к администратору WordPress, должен будет предоставить дополнительный пароль.
Если вы запускаете сайт WordPress с несколькими авторами или пользователями, то вы можете установить надежные пароли для всех пользователей на своем сайте.Вы также можете добавить двухфакторную аутентификацию, чтобы хакерам было еще труднее войти в вашу админку WordPress.
4. Неправильные права доступа к файлу
Права доступа к файлам — это набор правил, используемых вашим веб-сервером. Эти разрешения помогают вашему веб-серверу контролировать доступ к файлам на вашем сайте. Неправильные права доступа к файлам могут дать хакеру доступ для записи и изменения этих файлов.
Все ваши файлы WordPress должны иметь разрешение 644.Все папки на вашем сайте WordPress должны иметь права доступа к файлам 755.
См. Наше руководство о том, как исправить проблему с загрузкой изображений в WordPress, чтобы узнать, как применять эти разрешения для файлов.
5. WordPress не обновляется
Некоторые пользователи WordPress боятся обновлять свои сайты WordPress. Они опасаются, что это приведет к поломке их веб-сайта.
Каждая новая версия WordPress исправляет ошибки и уязвимости. Если вы не обновляете WordPress, значит, вы намеренно оставляете свой сайт уязвимым.
Если вы боитесь, что обновление сломает ваш сайт, вы можете создать полную резервную копию WordPress перед запуском обновления. Таким образом, если что-то не работает, вы можете легко вернуться к предыдущей версии.
6. Не обновляются плагины или тема
Как и в случае с основным программным обеспечением WordPress, обновление вашей темы и плагинов не менее важно. Использование устаревшего плагина или темы может сделать ваш сайт уязвимым.
Недостатки и ошибки безопасности часто обнаруживаются в плагинах и темах WordPress.Обычно авторы тем и плагинов быстро исправляют их. Однако, если пользователь не обновит свою тему или плагин, он ничего не сможет с этим поделать.
Обязательно обновляйте тему WordPress и плагины.
7. Использование простого FTP вместо SFTP / SSH
Учетные записиFTP используются для загрузки файлов на ваш веб-сервер с помощью FTP-клиента. Большинство хостинг-провайдеров поддерживают FTP-соединения с использованием разных протоколов. Вы можете подключиться, используя простой FTP, SFTP или SSH.
Когда вы подключаетесь к своему сайту с помощью простого FTP, ваш пароль отправляется на сервер в незашифрованном виде. За ним можно шпионить и легко украсть. Вместо использования FTP всегда следует использовать SFTP или SSH.
Вам не нужно менять FTP-клиент. Большинство FTP-клиентов могут подключаться к вашему веб-сайту через SFTP или SSH. Вам просто нужно изменить протокол на «SFTP — SSH» при подключении к вашему сайту.
8. Использование администратора в качестве имени пользователя WordPress
Не рекомендуется использовать admin в качестве имени пользователя WordPress.Если ваше имя пользователя администратора — admin, вы должны немедленно изменить его на другое имя пользователя.
Для получения подробных инструкций ознакомьтесь с нашим руководством о том, как изменить свое имя пользователя WordPress.
9. Обнуленные темы и плагины
В Интернете есть множество веб-сайтов, которые бесплатно распространяют платные плагины и темы WordPress. Иногда легко поддаться искушению использовать на своем сайте эти отмененные плагины и темы.
Загрузка тем и плагинов WordPress из ненадежных источников очень опасна.Они не только могут поставить под угрозу безопасность вашего веб-сайта, но также могут быть использованы для кражи конфиденциальной информации.
Вы всегда должны загружать плагины и темы WordPress из надежных источников, таких как веб-сайт разработчиков плагинов / тем или официальные репозитории WordPress.
Если вы не можете себе позволить или не хотите покупать плагин или тему премиум-класса, то для этих продуктов всегда есть бесплатные альтернативы. Эти бесплатные плагины могут быть не так хороши, как их платные аналоги, но они выполнят свою работу и, самое главное, сохранят безопасность вашего сайта.
Вы также можете найти скидки на многие популярные продукты WordPress в разделе предложений на нашем веб-сайте.
10. Отсутствие защиты конфигурации WordPress. Файл wp-config.php
.Файл конфигурации WordPress wp-config.php содержит учетные данные для входа в базу данных WordPress. Если он будет скомпрометирован, он раскроет информацию, которая может дать хакеру полный доступ к вашему сайту.
Вы можете добавить дополнительный уровень защиты, запретив доступ к файлу wp-config с помощью.htaccess. Просто добавьте этот небольшой код в свой файл .htaccess.
<файлы wp-config.php> заказ разрешить, запретить отрицаю от всех
11. Не изменять префикс таблицы WordPress
Многие эксперты рекомендуют изменить префикс таблиц WordPress по умолчанию. По умолчанию WordPress использует wp_ в качестве префикса для таблиц, которые он создает в вашей базе данных. У вас есть возможность изменить его во время установки.
Рекомендуется использовать более сложный префикс.Из-за этого хакерам будет сложнее угадать имена таблиц вашей базы данных.
Подробные инструкции см. В нашем руководстве по изменению префикса базы данных WordPress для повышения безопасности.
Очистка взломанного сайта WordPress
Очистка взломанного сайта WordPress может быть очень болезненной. Однако это можно сделать.
Вот несколько ресурсов, которые помогут вам начать очистку взломанного сайта WordPress:
Бонусный совет
Для обеспечения надежной безопасности мы используем Sucuri на всех наших сайтах WordPress.Sucuri предоставляет услуги по обнаружению и удалению вредоносных программ, а также брандмауэр веб-сайта, который защитит ваш сайт от наиболее распространенных угроз.
Узнайте, как Sucuri помог нам заблокировать 450 000 атак WordPress за 3 месяца
Мы надеемся, что эта статья помогла вам узнать основные причины взлома сайта WordPress. Вы также можете ознакомиться с нашим полным руководством по безопасности WordPress, чтобы защитить свой сайт WordPress.
Если вам понравилась эта статья, то подпишитесь на наш канал YouTube для видеоуроков по WordPress.Вы также можете найти нас в Twitter и Facebook.
Как взломать WordPress в 2021 году — Инструменты для взлома
Возможность взломать WordPress делает вас
лучшим разработчикомНет сомнений. WordPress — это огромная цель, на самом деле мега , цель для хакеров.
Ключевой момент, который нужно понимать в отношении всего, что связано со взломом, заключается в следующем: типичный взлом остается незамеченным в течение 174 дней!
Вы можете в это поверить !?
Большинство этих взломов, на мой взгляд, является результатом уязвимости в WordPress, другими словами, WordPress является шлюзом для взлома.
Что мы подразумеваем под «взломом WordPress»
Давайте проясним, что мы имеем в виду под широким термином: взлом WordPress. Этот термин относится к деформации веб-сайтов. Это оно; это и есть. Чтобы взломать CMS или любой другой веб-сайт
Взломать веб-сайт WordPress и получить доступ к веб-приложению, работающему с системой управления контентом «WordPress», намного проще, чем вы думаете.
Почему это большая сделка?
По состоянию на конец 2019 года 33% веб-приложений в Интернете работают на WordPress, поэтому очевидно, что это основная цель для хакеров.
Главное, что нужно знать о последствиях для безопасности WordPress, это то, что неопытные веб-мастера часто портят настройки CMS и делают ее уязвимой для хакеров, в то время как для того, чтобы усилить WordPress, не требуются сверхсовременные технические навыки. .
Важно понять, что, если вы следуете определенным «правилам», вы можете сделать установку WordPress жесткой и безопасной.
Конечно, возможность взломать раздел администратора WordPress (обычно расположенный по адресу «wp-admin») — это не то же самое, что защита доступа r00t, для этого вам нужно будет попасть на сервер, который выходит за рамки этого мини-урока.
Хорошие новости
В этом ресурсе я также продемонстрирую, как безопасно защитить свой сайт от этих взломов и убедиться, что ваша установка WordPress свободна от таких попыток взлома в Интернете, поэтому хорошая новость заключается в том, что после прочтения этого руководства вы быть в гораздо более безопасном месте.
С точки зрения предотвращения (я объясню это ниже), самое важное, что вы можете сделать, на самом деле безумно просто: измените свое имя пользователя с «admin» на что-то более сложное и, что неудивительно, убедитесь, что что ваш пароль невероятно сложен.Да, я знаю, что вам сказали ad nuseum о важности обеспечения безумно надежного пароля, но правда в том, что это почти все, что вам нужно для предотвращения взлома вашего веб-сайта WordPress. Я бы сказал, что 98% все «скрипт-кидди» хаки.
Выполнение описанного выше (наряду с другими методами защиты от взлома, перечисленными ниже) сведет на нет этот «админский взлом WordPress», упомянутый в этом сообщении.
Kali Linux — ваш друг
Инструменты взлома, необходимые для этого взлома, — это WPScan и надежная установка Linux (операционная система).Хотя Kali Linux не обязательно должна быть платформой Linux, она предпочтительна просто потому, что она поставляется со всеми необходимыми инструментами для выполнения этого взлома WordPress.
Другими инструментами, которые можно использовать для WordPress Brute Force, являются THC Hydra, Tamper Data и Burp Suite. Есть масса других инструментов, которые вы можете использовать, но, по сути, только что упомянутые могут считаться самыми популярными хакерскими инструментами для этой задачи.
Также следует отметить, что этот прием относительно прост и не требует кодирования.
Помимо перечисленных выше инструментов, вам также понадобится достойный WordPress «Грубая сила, список словарей».
Убедитесь, что ваша цель работает под управлением WordPress
Этот туториал посвящен взлому WordPress, поэтому давайте убедимся, что наша жертва действительно использует WordPress!
Прежде чем мы углубимся в то, как (с использованием Kali Linux и WPScan), нам просто нужно убедиться, что наша жертва действительно запускает WordPress. Для этого есть три простых и быстрых способа проверки.
- Просмотрите исходный код любой HTML-страницы через любой браузер, затем нажмите CTRL + F, введите «тема», и если вы увидите кучу веб-ресурсов, подобных приведенному ниже, то ваша жертва почти наверняка использует WordPress в качестве своей CMS.
- Еще один способ доказать, что веб-сайт использует WordPress — ввести /wp-admin.php после домена. Если он показывает общую административную панель входа в WordPress, тогда не потребуется ученый-ракетчик, чтобы установить, что наша цель действительно использует WordPress.
- И еще один способ мгновенно проверить это — установить расширение Chrome под названием «BuiltWith», в котором перечислены технологии, лежащие в основе веб-приложения.
Посмотрите, насколько «сложна» цель
Теперь, когда вы установили, что цель действительно использует WordPress, следующая задача — подтвердить, с кем вы имеете дело. Если вы видите какие-либо дополнительных функций безопасности , которые были реализованы, такие как форма Captcha, или любая другая форма механизма защиты от роботов, это, конечно же, говорит вам, что веб-мастер знает, насколько легко можно взломать в WordPress как пользователь и принял превентивные меры.
Дополнительные функции и меры безопасности (которые, честно говоря, в большинстве случаев встречаются довольно редко; особенно для относительно низкого уровня трафика), с которыми вы можете столкнуться, были настроены для предотвращения атак грубой силы (что мы и будем отображается чуть ниже по странице).
Итак, если вы видите, что возникают неожиданные препятствия, вам придется использовать немного другой подход, и этот учебник вам в этом не поможет.
Предполагая, что они простые — что дальше?
Следующим на повестке дня стоит проверка того, что используется имя пользователя «admin».Для этого просто введите «admin» и введите любой бессмысленный пароль, и если вы получите следующее сообщение об ошибке, то вы знаете, что существует имя пользователя с именем «admin», которое, что неудивительно, вероятно, имеет «права администратора». Опять же, как сноска, если у вас есть учетная запись, в которой используется администратор, я бы посоветовал вам либо удалить ее, либо быстро изменить.
Когда вы знаете имя пользователя, значит, вы готовы к работе!
Генри «HMFIC»
Я Генри, автор этого сайта.Я занимаюсь Growth Hacking с 2002 года, да, так долго …
Недавние сообщения
ссылка на Как получить 50 тысяч подписчиков в Linkedin за ПЯТЬ секунд ссылка на Be Negative, Use Negative LanguageБудьте отрицательными, используйте отрицательный язык
Это немного безумие, но по какой-то причине мы, люди, предпочитаем негативные новости. Дело не в том, что мы «предпочитаем» плохие новости, просто мы более страстно и безотлагательно реагируем на негативные новости…
Как взломать сайт WordPress с помощью WPScan
Этот учебник в категории «Взлом WordPress» научит вас сканировать веб-сайты WordPress на наличие уязвимостей, перечислять учетные записи пользователей WordPress и пароли методом перебора. Перечисление пользователей WordPress — это первый шаг в атаке методом грубой силы для получения доступа к учетной записи WordPress. WPScan имеет возможность сканировать целевой веб-сайт, чтобы получить список имен учетных записей.В этом руководстве мы также рассмотрим, как скрыть имена пользователей от WPScan, чтобы вы могли избежать перечисления учетных записей пользователей и ограничить эффективность попыток грубой силы. Мы завершим это руководство демонстрацией того, как подобрать пароли root с помощью WPScan в Kali Linux. WPScan — это автоматический сканер уязвимостей WordPress черного ящика. Этот инструмент необходим любому разработчику WordPress для поиска уязвимостей и решения проблем, прежде чем они будут использованы хакерами. Вместе с Nikto, отличным инструментом оценки веб-серверов, этот инструмент должен быть частью любого теста на проникновение, нацеленного на веб-сайт или блог WordPress.
WPScan предустановлен в следующих дистрибутивах Linux:
Последней версией является WPScan 2.8, и в настоящее время в базе данных содержится:
- Всего уязвимых версий: 98
- Всего уязвимых плагинов: 1.076
- Всего уязвимых тем: 361
- Всего уязвимостей версии: 1.104
- Всего уязвимостей плагинов: 1.763
- Всего уязвимостей тем: 443
Операционная система Windows в настоящее время не поддерживается WPScan.Последнюю версию можно загрузить на следующем веб-сайте (Linux и Mac): https://wpscan.org/
Обновление WPScan
Запустите следующую команду, чтобы обновить базу данных уязвимостей WPScan:
wpscan –обновить
Сканирование уязвимостей WordPress
После обновления базы данных уязвимостей используйте следующую команду для сканирования целевого веб-сайта на предмет самых популярных и недавних уязвимостей:
wpscan –url [URL-адрес wordpress]
Как перечислить пользователей WordPress
Инструмент перечисления пользователей WordPress используется для получения списка зарегистрированных пользователей WordPress для целевого хоста.Перечисление пользователей — это первый шаг, когда злоумышленник хочет получить доступ к определенной цели путем грубой силы. Инструмент перечисления сканирует цель на сообщениях, страницах и настраиваемых типах авторов и имен пользователей.
Используйте следующую команду для перечисления пользователей WordPress:
wpscan –url [wordpress url] –enumerate u
Как подобрать пароль root
Используйте следующую команду для перебора пароля для пользователя root:
wpscan –url [url wordpress] –wordlist [путь к списку слов] –username [имя пользователя для грубой силы] –threads [количество используемых потоков]
Как избежать перечисления пользователей WordPress
Если вы хотите избежать перечисления пользователей WordPress, вам следует избегать использования имени пользователя в качестве псевдонима и отображаемого имени, которое публично отображается в WordPress.Наилучший вариант — выбрать имя пользователя администратора, состоящее из случайных символов, и использовать другой псевдоним. WPScan сканирует имена пользователей в URL-адресах, поэтому, если вы не используете имя пользователя, оно не может быть просканировано WPScan. Другой способ предотвратить перечисление пользователей — использовать другую учетную запись для публикации сообщений и ответов на ответы.
Как избежать подбора пароля Wordpres
Лучший способ удержать злоумышленников, использующих методы грубой силы, — это ограничить попытки входа в систему и IP-адрес.Для WordPress доступно несколько плагинов для ограничения количества попыток входа в систему для определенного имени пользователя и IP, например Wordfence. В последних версиях WordPress есть возможность по умолчанию ограничивать попытки входа в систему. Убедитесь, что вы ограничили количество записей максимум 3 и значительно увеличили время блокировки после 2 блокировок (что составляет 6 попыток ввода пароля).
Видеоурок по взломуWordPress
Спасибо за просмотр и, пожалуйста, подпишитесь на мой канал YouTube, чтобы получить больше уроков по взлому 🙂
Аргументы перечисления
Fin под обзором аргументов перечисления, которые можно использовать для сканирования:
–числить | -e [опции] Перечисление.
option:
u — имена пользователей от id 1 до 10
u [10-20] usernames from id 10 to 20 (вы должны написать [] символов)
p — плагины
vp — только уязвимые плагины
ap — все плагины (могут занимает много времени)
tt — timthumbs
t — themes
vt — только уязвимые темы
at — все темы (может занять много времени)
Допускается несколько значений: «-e tt, p» будет перечислять timthumbs и плагины
Если вы хотите узнать больше о тестировании на проникновение в Интернет, вы можете пройти любой из этих онлайн-курсов:
Курсы по взлому онлайн
Тестер проникновения в Интернет
Вы изучите инструменты, методики и приемы взлома.Это как практический, так и теоретический пошаговый курс. Подробнее…
Как стать независимым исследователем безопасности
Если вы веб-разработчик, Bug Hunter или любой исследователь ИТ-безопасности, то этот курс вам очень поможет.
Подробнее …
3 шага, чтобы это произошло
Злоумышленники всегда ищут пути на ваш сайт WordPress, используя уязвимости. Взлом вашего веб-сайта — это проблема для всех пользователей WordPress и владельцев онлайн-бизнеса.Продолжайте читать, чтобы узнать, что вы можете сделать, чтобы защитить свой веб-сайт WordPress от взлома, и шаги, которые вы можете предпринять в случае взлома.
Несколько лет назад мы переехали в этот большой старый фермерский дом на много акров земли. Мы знали, что потребуется некоторая работа, чтобы дом и недвижимость были в идеальном состоянии. Поначалу безопасность не была нашей самой большой проблемой, так как у меня была большая красивая шоколадная лаборатория, которая всегда меня поддерживала. Но Рокко был из тех собак, которые лают на незнакомцев, пока они не будут достаточно близко, чтобы лизать их до смерти.Я узнал об этом в первый раз, когда к нашей двери подошел незнакомец.
Видите ли, хотя я вырос в пригороде Питтсбурга, я знал своих соседей, ходил в школу со многими членами моей общины и активно участвовал в жизни района. Но, оказавшись в странном месте, я быстро понял, что хотя большинство людей имели в виду хорошие, некоторые — нет. Проактивность — это ключ к обеспечению безопасности и сохранности вещей, в то же время давая вам душевное спокойствие, что вы достаточно защищены от плохих вещей.
Используя эту трехэтапную практику безопасности: идентификация, защита и восстановление, вы тоже можете быть спокойны.
1 — Определите свои потребности
Первое, что вам нужно сделать для обеспечения безопасности вашего веб-сайта WordPress, — это определить ваши потребности в активах. На вашем веб-сайте много элементов, включая домены, хостинг, темы и плагины для запуска. Независимо от того, разрабатываете ли вы свой сайт дизайнером WordPress или делаете это самостоятельно, это элементы, которые вам понадобятся, прежде чем вы сможете создать свой сайт.
Домен
Доменные имена — это путь в наше онлайн-пространство. После того, как вы выберете идеальное название компании, вам понадобится доменное имя, которое позволит людям легко найти вас в Интернете.
Чтобы купить доменное имя, вам нужно будет сделать это через регистратора доменных имен. Это компании, которые управляют доменными именами, и они должны быть аккредитованы ICANN (Интернет-корпорация по присвоению имен и номеров), которая является некоммерческой организацией, которой делегирована ответственность за управление системой доменных имен.
Есть несколько вещей, на которые следует обратить внимание при регистрации своего доменного имени, включая надстройки ценообразования, комиссию за передачу (потому что вы, возможно, не захотите навсегда оставаться со своим первоначальным регистратором), поддержку клиентов, а также дропшиппинг или автоматический -обновление.
Но мы не говорим о регистрации доменного имени, мы говорим о безопасности. Итак, давайте обсудим некоторые лучшие практики регистрации доменов.
Зарегистрируйте свое доменное имя. Я видел некоторых дизайнеров и разработчиков, которые зарегистрируют для вас доменное имя. Вот в чем проблема: у вас не будет полного доступа к учетной записи. Не то чтобы каждый, кто так поступает, ненадежен, но подумайте, что случится, если вы расстанетесь с этим человеком. Дадут ли они вам доступ?
Защитите вашу конфиденциальность. Когда ваша личная информация доступна в базе данных WHOIS, ваш уровень риска повышается. Используя частную регистрацию, вы уменьшаете этот риск, потому что любой, кто выполняет поиск в WHOIS, увидит имя вашей прокси-службы. Защита конфиденциальности также помогает предотвратить нежелательные предложения или рассылку спама.
Хостинг
Всегда полезно выбрать качественный хост для очевидной производительности. Но это еще лучшее решение по простой причине безопасности.
Ваш провайдер веб-хостинга должен инвестировать в безопасность вашего веб-пространства не меньше, чем вы.Многие из ведущих учетных записей хостинга, такие как Siteground и WPEngine, предлагают приложения и инструменты для обеспечения безопасной работы вашего сайта.
Для обеспечения максимальной безопасности вот несколько вещей, которые вы хотите найти:
- Регулярное резервное копирование и точки восстановления
- Выполняет регулярный мониторинг сети
- Поддержка по телефону или в чате 24/7/365
- Новейшее оборудование SSD, включая поддержку для PHP7 и HTTP / s
- SSL, межсетевой экран и предотвращение DDoS-атак
- Использует не менее 128, но AES-шифрование
- Письменные политики на случай нарушения
После выбора хоста вы хотите быть уверены, что у вас есть доступ к файловую систему и базу данных через SFTP, SSH, PHPMyAdmin или cPanel.
Вы также захотите сохранить эту информацию под рукой как часть ваших сетевых записей. При работе с разработчиком или поставщиком услуг по обслуживанию им потребуется доступ, чтобы поддерживать ваш сайт в отличном состоянии.
Темы
Каждая установка WordPress поставляется с темой по умолчанию, которая предназначена для работы с версией фреймворка, но многие люди предпочитают заменять ее той, которая больше соответствует их бизнес-потребностям. Сделать такой выбор — это больше, чем просто красивая тема; вы должны быть функциональными, хорошо запрограммированными и постоянно обновленными.
Выбирая новую тему или предлагая разработчику создать для вас новую тему, вы захотите следовать этим рекомендациям.
Найдите надежный источник . В WordPress есть официальный каталог тем, и там есть несколько хороших вариантов, включая тему Astra. Но часто выбирается тема премиум-класса, поэтому вы должны быть уверены, что внимательно прочитали отзывы, варианты поддержки и условия. StudioPress — поставщик тем премиум-класса, который отлично справляется с кодированием, обновлениями и поддержкой.
Выполнить проверку безопасности . Themecheck.info — это сервис, который позволяет вам проверять темы на безопасность и качество кода. Вы можете не только проверить интересующую вас тему, но и увидеть другие, загруженные пользователями. Если ваша тема отображается зеленым цветом, все готово.
Плагин
Плагины — это то, что добавляет функциональности вашему сайту WordPress, и их очень много. Если вы добавляете магазин или личный кабинет, вы, вероятно, добавите плагин для этого.И вам, вероятно, понадобится плагин для SEO, публикации в социальных сетях и даже безопасности.
Каталог плагинов WordPress является отправной точкой для большинства людей. У него есть тысячи доступных плагинов, и это здорово, но решение о выборе идеального плагина может быть немного сложным. У вас также есть выбор из дополнительных плагинов (например, Gravity Forms), которых нет в репозитории.
Выбирая плагин, вы должны спросить себя:
- Имеет ли плагин большую базу для установки, обычно определяемую количеством загрузок?
- Есть ли отзывы пользователей и какой средний рейтинг?
- Активно ли разработчик поддерживает и обновляет плагин?
- Перечисляет ли поставщик условия обслуживания или использования?
- С какой версией WordPress он совместим?
- Какие отзывы или вопросы поддержки задаются?
- Улучшит ли это взаимодействие с пользователем?
Вы хотите держаться подальше от старых версий плагина или тех, которые могут быть несовместимы с последней версией WordPress.Производительность также является важным фактором, потому что безопасный плагин не обязательно означает быстрый плагин.
2 — Защита
Хакеры обычно используют уязвимости вашего сайта, такие как слабые пароли, легко угадываемые имена пользователей администратора и устаревшие ценные бумаги в вашей теме или плагинах. С помощью нескольких простых вещей, которые вы можете сделать для поддержания [ссылка здесь] своего сайта, вы можете избавить себя от многих забот.
Плагин безопасности
Первое, что вам нужно сделать, это установить плагин безопасности, который поможет отслеживать активность и контроль конфиденциальности на вашем веб-сайте WordPress.Двумя из наших фаворитов являются iThemes Security (доступный в нашем пакете обслуживания и Shield, недорогой (24 доллара США в год) плагин). Эти плагины помогут вам включить двухэтапную аутентификацию, обеспечить защиту от грубой силы, отслеживать изменения основных файлов и некоторые параметры управления пользователями. .
Плагин безопасности не предназначен для 100% гарантии полной безопасности, но он дает вам душевное спокойствие и дает вам спокойствие на сайте.
Надежные учетные данные для входа
Защита вашего сайта WordPress начинается с непростой проверки ваших учетных данных угадать.Никогда не используйте имя администратора, адрес вашего сайта или другие легко угадываемые имена в качестве имени пользователя. Но еще важнее использовать надежный пароль для учетных записей пользователей WordPress.
Вам доступно множество инструментов для паролей, в том числе вариант WordPress, Secure Password Generator или LastPass, также есть функция генерации пароля, и для этого вам не нужна учетная запись. Попробуйте прямо сейчас. Постарайтесь сделать пароль длиной не менее 12 символов, потому что чем длиннее, тем лучше.
Вы также можете рассмотреть возможность использования многофакторной аутентификации, о которой мы упоминали выше в области подключаемых модулей безопасности.Многофакторность добавляет еще один уровень, такой как установка флажка, отправка текстового сообщения или добавление слова или кода. Идея состоит в том, что боты не могут выполнить второй шаг, поскольку они автоматически генерируют случайные имена пользователей и пароли.
Запуск обновлений
Вам необходимо поддерживать свой веб-сайт в актуальном состоянии в соответствии с фреймворком WordPress, вашей темой (ами) и плагинами. Запуск обновлений позволяет вашим файлам включать самую последнюю версию, которая обычно содержит исправления безопасности и исправления.
По умолчанию на каждом сайте WordPress включены автоматические обновления для второстепенных основных выпусков и файлов переводов.Эти автоматические обновления можно отключить. Тем не менее, автоматические обновления для второстепенных основных выпусков — один из лучших способов гарантировать актуальность вашего сайта и обеспечить безопасность в дальнейшем. По этой причине категорически не рекомендуется отключать автоматические обновления.
Автоматические обновления не распространяются на вашу тему или плагин, поэтому очень важно регулярно запускать обновления или иметь план обслуживания, чтобы у вас не было старых файлов на сервере.
Установите SSL
Многие люди упускают из виду важность SSL и HTTPS.Даже Google изменил свои правила, пометив сайты, на которых они не были безопасными, в результатах поиска. HTTPS не предназначен для электронной коммерции и интернет-магазинов. Идея SSL заключается в защите информации вашего пользователя, включая сведения, которые они предоставляют в ваших контактных формах.
SSL-сертификаты можно получить (и добавить) бесплатно на большинстве веб-хостов, и существует три типа сертификатов.
- Расширенная проверка (EV SSL) требует расширенной проверки бизнеса. Он подтверждает право собственности на домен и информацию об организации, а также юридическое существование организации.
- Подтвержденная организация (OV SSL) проверяет право собственности на домен, а также информацию об организации, включенную в сертификат, такую как имя, город, штат и страна.
- Подтверждение домена (DV SSL) подтверждает, что домен зарегистрирован, и кто-то с правами администратора знает о запросе сертификата и одобряет его.
Правильно установленный ваш SSL-сертификат будет
- Более безопасная и безопасная передача данных между серверами с меньшей вероятностью перехвата
- Дает вам свободу от сообщений с предупреждениями безопасности
- Мгновенно защищает ваш сайт и посетителей
- Повышенное доверие со стороны клиентов
3 — Обнаружение и реагирование
Обнаружение
Попытки входа в систему методом грубой силы
Попытки входа в систему методом грубой силы представляют собой автоматизированные сценарии, которые предназначены для использования слабых учетных данных пользователя для получения доступа к вашему сайту.Мониторинг этих попыток имеет решающее значение, и у вас должны быть действующие политики для защиты от них. Вы можете сделать следующее:
- Реализовать политику блокировки, которая заблокирует кого-либо на определенный период времени после нескольких неудачных попыток входа в систему.
- Используйте тест «запрос-ответ», чтобы предотвратить автоматическую отправку страницы входа, например бесплатную reCAPTCHA.
- Принудительное использование надежных паролей
- Мониторинг и уведомление с помощью вашего подключаемого модуля безопасности.
Вредоносные перенаправления
Вредоносные перенаправления создают бэкдор в вашей установке WordPress, используя FTP, wp-admin или другие протоколы для внедрения кодов перенаправления на веб-сайт. Обычно это происходит для того, чтобы хакер мог использовать ваш сайт для генерации рекламных показов.
Как правило, вредоносное перенаправление WordPress обнаруживается через сайт, когда посетитель перенаправляется на любую другую страницу вместо страницы или любого веб-сайта, который он запросил. Если хакеры добавляют какой-либо вредоносный сценарий, его часто называют так, чтобы он выглядел как законный файл, как часть файлов WordPress на веб-сайте.Обычно эти файлы скрывают в папке загрузок, но я нашел их в папке плагинов, папках тем и даже в основной папке wp-includes.
Вам необходимо удалить вредоносные сценарии, которые вызывают перенаправление веб-сайтов на вредоносные сайты. Если вы обнаружили, что перенаправлены на вас, лучше всего нанять разработчика или службу очистки WP, поскольку эти файлы можно хорошо скрыть.
Ваш ответ
Вы сделали все возможное, чтобы предотвратить взлом вашего сайта WordPress.Но вещи случаются, и взломанные сайты тоже. Что делать, если вы думаете, что хакер взломал ваш сайт?
Мой лучший совет — нанять профессионала, но, возможно, это не ваша первая мысль. Обычно это паника. Это сэкономит ваше время и душевные страдания, если профессионал займется этим отсюда, потому что есть некоторые вещи, которые вам нужно сделать.
Запустить сканирование безопасности
Первый шаг и в большинстве случаев он дает положительный результат, но не всегда. Если вы заметили, что что-то пошло не так, первое, что нужно сделать, — это сохранять спокойствие.При правильном резервном копировании еще не все потеряно, и это еще не конец света. Ну вот, пойдем дальше.
Восстановите резервную копию
Причина, по которой у вас есть резервная копия вашего сайта, — это дополнительная защита, когда что-то пойдет не так. Нет ничего более плохого, чем взлом вашего сайта. Проблема с резервными копиями в том, что если вы не знаете, когда это произошло, возможно, вы восстанавливаете поврежденную версию. Рекомендуется связаться с вашим хостингом, чтобы узнать, что это за последняя резервная копия вашего сайта. Часто это день или неделя, но иногда вам везет, и у них есть более старая версия.
При выполнении резервного копирования сайта или при выполнении резервного копирования поставщиком обслуживания убедитесь, что выполняются следующие условия:
- Имейте как базу данных, так и полную резервную копию файлов сайта.
- Резервные копии проверяются, чтобы убедиться в отсутствии повреждений данных.
- Посмотрите на свой сайт, чтобы убедиться, что все в порядке.
- Не храните файлы на сервере, чтобы, если что-то случится на стороне сервера, ваши резервные файлы остались нетронутыми
Удалить вредоносный код
Если резервная копия недоступна или вы не уверены, что она тоже не повреждена , вам нужно будет найти взлом, чтобы исправить это.Часть исправления влечет за собой необходимость найти и удалить все поврежденные файлы. Начните с того, что задайте себе эти четыре вопроса.
- Можете ли вы войти в свою панель управления WordPress с помощью / wp-admin или wp-login?
- Ваш веб-сайт отправляет вас на другие веб-сайты?
- Есть ли на вашем сайте незаконные ссылки?
- Google отправил вам эхо-запрос и пометил ваш веб-сайт как небезопасный?
Если вы ответили утвердительно на любой из этих вопросов, обратитесь к своему хосту, чтобы помочь вам найти поврежденные файлы, или попросите их восстановить ваш сайт до состояния, которое, как вы знаете, было подходящим.
После удаления вредоносных файлов вам также необходимо сбросить ключи SALT, просмотреть свою базу данных и обновить все пароли. Я также рекомендую вам переустановить основной файл WordPress для дополнительного уровня исправления.
Найти файлы и папки и посмотреть, что также было затронуто, не для слабонервных, и я считаю, что вам нужно остановиться и нанять кого-то, кто разбирается в удалении хакерских атак.
Удаление черного списка
Google — самая популярная поисковая система с самым высоким рейтингом, поэтому попадание в черный список с ее помощью — большое дело.Черный список означает, что вы удалены из индекса или помечены предупреждением. Если Google заносит ваш сайт в черный список, он теряет около 95% своего органического трафика. Каждый раз, когда пользователь посещает какой-либо сайт, занесенный в черный список, появляется предупреждающее сообщение с большим красным всплывающим экраном, предупреждающим о том, что впереди могут быть проблемы.
Если вы обнаружите, что ваш веб-сайт внесен в черный список Google, вам следует выполнить следующие действия, чтобы удалить свой сайт из черного списка Google или удалить предупреждение о черном списке Google.
Чтобы запросить проверку проблемы безопасности у Google:
- Перейдите на вкладку «Проблемы безопасности» в Search Console.
- Просмотрите проблемы, чтобы убедиться, что все проблемы устранены или устранены.
- Установите флажок, чтобы подтвердить, что я устранил эти проблемы.
- Щелкните Request a Review.
- Заполните информацию как можно подробнее о том, какие шаги были предприняты для очистки сайта.
Заключение
Наличие плана безопасности — это первый шаг к хорошей помощи веб-сайту, но наличие плана восстановления гарантирует, что вы сразу же восстановите и заработаете. Пресечение хакеров может показаться трудоемким, но с опытным поставщиком услуг по обслуживанию WordPress это можно снять с вашей тарелки и переложить на них.