Содержание
2 Примера взлома и лечения Вордпресс
Вы не ожидаете этого, и затем это — Бум! — случается. Ваш сайт взломали. Это может случиться с каждым, и однажды это случилось со мной.
В одном случае IP, на котором находился сайт, был занесен в списки вредоносных и е-мейлы не доходили до адресатов. В другом случае хостинг изолировал сайт и отключил возможность отправлять е-мейлы.
В случае взлома страдает не только зараженный сайт, но и другие сайты на том же IP, все сайты теряют репутацию у поисковиков. Компьютеры посетителей оказываются под угрозой заражения. Настоящий кошмар.
В этой статье вы узнаете, как найти заражение и удалить его с сайта, и как удалить сайт из списков вредоносных сайтов.
Содержание:
- Как хакеры взламывают сайты
- Что случилось с сайтами
- Как хакеры взламывают сайты
- Базовые требования к безопасности сайта
- Типичный взлом сайта
- Тестирование и очистка сайта после взлома
- Сервисы проверки сайта на наличие вредоносного ПО
- Удаление вредоносного кода
- Обновите ПО, смените пароли, ключи и соли
- Как удалить сайт и IP из черных списков
- Плагины для очистки сайта
Как хакеры взламывают сайты
Существует много способов взломать сайт. Простые способы — подбор логина и пароля и известные уязвимости в устаревшем ПО, описание которых находится в открытом доступе. Более сложные — бэкдоры, фишинг, xss-атаки, sql-инъекции и многие другие.
В данный момент на Вордпрессе работает около 36% всех сайтов в Интернете, это более 100 млн. сайтов. Около 60% всех сайтов, использующих CMS, используют Вордпресс. Такая популярность привлекает хакеров, то есть, если они найдут какую-то уязвимость в Вордпресс, они смогут получить тот или иной контроль над большим количеством сайтов.
Хакеры создают ботов, которые автоматически обходят сотни тысяч сайтов и сканируют их на наличие устаревшего ПО, описание уязвимостей которого находится в открытом доступе. Когда бот находит сайт с устаревшим софтом, он использует имеющуюся у него методику взлома этого ПО, отсылает сообщение хакеру и идет дальше.
Обычно после взлома взломщики публикуют свою рекламу на сайте, начинают рассылать спам по своим базам или спискам подписчиков взломанного сайта, или взломанный сайт работает в качестве редиректа посетителей на сайты хакеров.
Тогда ссылка на взломанный сайт появляется в интернет-спаме, поисковики это видят и понижают сайт в поисковой выдаче.
Хакеры не используют свои сайты для рассылки спама или для создания сети редиректов на свои сайты, потому что их сайты попадут в спам-фильтры и под санкции поисковых систем.
Вместо этого они взламывают чужие сайты и используют их. После того, как взломанные сайты попадают в фильтры и под санкции, хакеры оставляют эти сайты, взламывают другие и пользуются ими.
Что случилось с сайтами
На первом сайте хакеры взломали устаревшую версию Вордпресс. Хотя на сайте были сложные логин и пароль, на нем не был установлен плагин безопасности, который мог бы предупредить об изменении в файлах.
На втором сайте хакеры создали бэкдор, создали еще одного пользователя, опубликовали несколько статей со ссылками на что-то фармацевтическое и начали рассылать спам по своим базам.
На первом сайте удалось найти инфицированные файлы и вылечить их, на втором сайте сделали бэкап и восстановили сайт до состояния, которое было до заражения.
На обоих сайтах после восстановления были заменены пароли к сайту, FTP, хостингу и ключи и соли.
Как хакеры взламывают сайты
4 основных способа, которыми хакеры взламывают сайты:
- Слабые пароли
- Устаревшее ПО
- Небезопасные темы и плагины
- Уязвимости в ПО хостинга
Существует много других способов, но эти способы самые распространенные.
Подбор логина и пароля
По умолчанию в Вордпресс нет ограничений на количество попыток ввести логин и пароль. Если вы оставите как есть, хакер может пробовать подбирать правильную комбинацию неограниченное количество раз. Это называется brute force attack, атака грубой силой или атака методом перебора паролей.
Вы можете ограничить количество попыток авторизации с помощью плагина, например Login LockDown. Еще один способ — перенесите страницу авторизации на новый адрес, например сайт.ru/login
.
Устаревшая версия ПО
Описания уязвимостей устаревших версий Вордпресс, плагинов и тем находятся в Интернете. У ботов есть эти описания. Когда они находят сайт с устаревшей версией ПО, они взламывают этот сайт по уже имеющемуся алгоритму.
Чтобы обезопасить сайт от таких атак, всегда используйте последнюю версию софта.
Бэкдоры
Хакер сохраняет файл со специальным скриптом на сервере, который позволяет ему заходить на сайт в любое время, при этом хакер не пользуется стандартной страницей входа, а заходит на сайт через созданный им бэкдор.
Чтобы замаскировать созданный файл, хакеры называют его так, чтобы он выглядел как часть ядра Вордпресс, например, users-wp.php, php5.php, sunrise.php или что-нибудь подобное.
Если у вас не установлен какой-нибудь плагин, который предупреждает об изменениях в файлах, может быть довольно трудно определить, что вредоносный файл был добавлен. Есть несколько признаков, которые могут дать понять, что сайт был взломан.
Если вы открываете фронтэнд или бэкэнд сайта, и видите сообщение в браузере, что посещение этого сайта может быть небезопасно, то ваш сайт может быть взломан.
Если вы видите такое сообщение, то ваш сайт мог быть взломан.
Другой признак — антивирус на компьютере показывает сообщение, что посещение этого сайта может быть опасно. Бэкдоры могут запускать вредоносный код, или вирусы, например трояны, когда посетитель заходит на сайт.
Еще один признак — е-мейлы, которые вы отправляете с сервера, возвращаются обратно с SMTP ошибкой 550. От некоторых серверов, которым вы отправляли е-мейл может вернуться более подробное описание проблемы. Например, ссылка на сайты, которые поместили ваш сайт или ваш IP в список сайтов, содержащих вредоносное ПО.
Базовые требования к безопасности сайта
Эти требования — необходимый минимум для безопасности сайта.
- Регулярно обновляйте Вордпресс, скрипты, плагины и темы.
- Используйте сложные логины и пароли.
- Установите плагин для ограничения попыток авторизации.
- Выбирайте плагины и темы от проверенных авторов.
- Используйте надежный хостинг.
- Настройте автоматический бэкап всех файлов и базы данных.
Читайте Минимальная безопасность сайта.
Типичные взломы сайтов
Хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. В большинстве случаев сайты взламываются автоматически хакботами.
Фармацевтические взломы
Если вы видите на своем сайте ссылки на другие сайты, которые вы не добавляли, или вас или ваших посетителей перенаправляет на другие сайты, это называется фармацевтические или фарма хаки.
Текст или ссылки указывают на полулегальные спам сайты, которые продают поддельные часы, кошельки, Виагру и тому подобное.
Хакер добавляет скрипты в файлы сайта, обычно в хедер, иногда в другие части страниц. Эти ссылки или текст могут быть скрыты или незаметны для посетителей, но видны поисковым системам.
Введите в поисковике запрос site:ваш-сайт.ru
, и посмотрите, как ваш сайт выглядит в поиске.
В поисковой выдаче вы должны видеть только название страниц и их описание. Если вы видите что-то подобное, значит, ваш сайт взломали.
Попробуйте вставить ссылку на какую-нибудь страницу вашего сайта в Фейсбук, ВКонтакте или Вотсапп. Если вы увидите что-то постороннее в описании или названии, это значит, что ваш сайт взломан.
Вредоносные редиректы
Хакер вставляет скрипт в файл .htaccess или другие главные файлы сайта, который перенаправляет посетителей на другие страницы или другой сайт. Это называется вредоносный редирект.
Не заметить такой взлом очень сложно, потому что вместо загрузки вашего сайта загрузится другой сайт.
Иногда редирект может быть не таким очевидным, если взломанный файл использует стили вашей темы. Тогда вы увидите большое количество рекламы на странице, которая выглядит похожей на ваш сайт.
Редиректы могут быть настроены только с некоторых страниц сайта или со всего сайта целиком.
Тестирование и очистка сайта после взлома
Перед тем, как вы начнете что-то делать, сделайте полный бэкап всего сайта и базы данных. Даже несмотря на то, что сайт взломан, позже вам может понадобиться какая-то информация.
Чтобы не допустить заражения других сайтов, некоторые хостинги могут отключить или удалить ваш сайт, когда узнают, что сайт взломан, особенно на дешевых тарифах виртуальных хостингов.
Если логи событий находятся не в основной папке сайта, то сохраните их на компьютер, так как они хранятся на сервере несколько дней, после чего заменяются новыми.
После того, как вы сохранили бэкап и логи на компьютер, можно начинать лечение сайта.
Проверьте сайт в этих сервисах:
Даже если вы точно знаете, что сайт взломали, проверьте его еще раз в этих сервисах. Вы можете найти еще какие-то вирусы, кроме тех, которые вы уже нашли.
- Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
- Sucuri Site Check — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
- Norton Safe Web – сканер сайта от Norton.
- Quttera – сканирует сайт на наличие вредоносного ПО.
- 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
- VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
- Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
- Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
- Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.
Проверьте сайт во всех сервисах, так как они сканируют немного по-разному и находят разные типы инфекций. Также просканируйте свой компьютер.
В статье Как проверить и вылечить от вирусов Вордпресс сайт описан способ найти вредоносный код в файлах сайта, используя команды в SSH терминале.
Начните с поиска файлов, измененных в течение последних 2-х дней:
find /путь/к/вашему/сайту/папка/ -mtime -2 -ls
Замените /путь/к/вашему/сайту/папка/
на путь к вашей папке, и пройдите поиском по каждой папке.
Если вы ничего не нашли, увеличьте поиск до 5 дней:
find /путь/к/вашему/сайту/папка/ -mtime -5 -ls
Если вы снова ничего не нашли, увеличивайте интервал поиска, пока не найдете изменения. Не забывайте, что обновления ПО тоже изменения.
Еще одна команда, которую вы можете использовать для поиска — «grep». Эта команда поможет найти вредоносный код, который добавил хакер.
После того, как вы нашли файлы, в которых хакер сделал изменения, вы можете попробовать найти в них повторяющиеся фрагменты, например, base64
или hacker was here
.
grep -ril base64 *
Замените base64
на повторяющееся сочетание, которое вы нашли в измененных файлах. Результат покажет вам список файлов, в которых встречается это сочетание.
Хакеры часто используют эти функции:
- base64
- str_rot13
- gzuncompress
- eval
- exec
- create_function
- system
- assert
- stripslashes
- preg_replace (/e/)
- move_uploaded_file
Если вы хотите увидеть содержание этих файлов, используйте этот запрос:
grep -ri base64 *
Замените base64
на значение, которое вы нашли в измененных файлах.
Более аккуратный запрос может быть таким:
grep —include=*.php -rn . -e «base64_decode»
Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.
Более простой способ:
Скопируйте сайт с сервера, удалите все что можно безопасно удалить, заархивируйте целиком или разделите на архивы и проверьте архивы на VirusTotal или 2ip. Также можно проверить на компьютере антивирусом. Перенесите все зараженные файлы из архива в отдельную папку.
После того, как вы нашли файлы с внедренным код, их можно восстановить или удалить.
Удаление вредоносного кода
- Если вы нашли файл бэкдора, в котором находится только скрипт хакера, удалите этот файл.
- Если вы нашли вредоносный код в файле Вордпресс, темы или плагина, удалите этот файл и скачайте новый из репозитария Вордпресс или с сайта разработчика.
- Если вы нашли вредоносный код в файле, который вы создавали, удалите хакерский код и сохраните файл.
- Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
Очистите сайт и просканируйте его еще раз на интернет сервисах проверки.
Обновите ПО, смените пароли, ключи и соли
После того, как вы удалили вредоносный код, обновите Вордпресс, плагины и темы. Смените пароли на сайте и на хостинге. Подумайте о смене пароля к е-мейлу и базе данных (в файле wp-config.php и на хостинге).
Смените ключи и соли, это сделает все cookies, которые хранятся в браузерах пользователей, в том числе хакеров, недействительными для авторизации на сайте.
Генератор ключей и солей находится на сайте Вордпресс. Скопируйте новые ключи и вставьте их в файл wp-config в этом месте:
Перед изменением файла wp-config сделайте его бэкап. Сохраните файл, закачайте обратно на сервер.
Как удалить сайт и IP из черных списков
После того, как вы очистили сайт, он все еще может находиться в списках сайтов, содержащих вредоносное ПО или в спам списках. Сначала нужно узнать, на каких сайтах ваш сайт или IP занесены в черный список.
Здесь вы можете узнать, занесен ли ваш сайт в списки malware или phishing сайтов Гугл.
https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru
Замените ваш-сайт.ru
на ваш адрес.
Проверьте сайт на сервисах Unmask Parasites, Spamhaus и 2ip.ru. Спамхаус показывает на каких сайтах IP сайта внесен в списки вредоносных, так что вы можете узнать, на каких сайтах вам нужно перенести IP из черных списков.
http://www.spamhaus.org/query/ip/123.45.67.890
Замените 123.45.67.890
на IP сайта. Узнать IP.
Spamhaus покажет сайты, которые занесли ваш IP в список вредоносных.
Когда какой-то сайт заносит IP в черный список, он отображается красным.
Откройте красные ссылки в новом окне и следуйте инструкциям. У всех сайтов инструкции могут быть разными, поэтому читайте внимательно.
Обычно запрос проверки делается в несколько кликов, и занимает около 2 дней. Некоторые сайты не предупреждают о переносе IP из черного списка в белый список, поэтому вы можете вернуться на Спамхаус через несколько дней, и проверить снова.
На некоторых сайта можно запросить проверку только один раз, поэтому убедитесь, что сайт полностью очищен, иначе ваш IP может остаться в черных списках надолго.
Плагины, которые помогут очистить сайт
Если вы хотите найти хак с помощью плагина, попробуйте использовать эти плагины:
Некоторые большие плагины могут помочь найти место взлома, но обычно бесплатные версии предназначены только для защиты сайта.
Если ваш сайт еще не взломали, установите один из этих плагинов:
Sucuri Security
В платной версии Sucuri предлагает защиту самого высокого класса — файрвол на уровне DNS, который сканирует каждый запрос к сайту. Ускорение сайта с помощью кеширования и подключения к собственному CDN, и бесплатное восстановление сайта, если сайт был взломан. Также сервис проверяет, что сайт не занесен в черные списки.
В бесплатной версии плагин сравнивает файлы ядра Вордпресс и файлы в репозитарии Вордпресс, ведет логи событий, имеет несколько основных настроек безопасности. В случае появления подозрительной активности плагин посылает сообщение на е-мейл.
У плагина есть главная панель, в которой сообщается, что файлы на сервере соответствуют файлам в репозитарии Вордпресс, на сайте не обнаружено вредоносного кода, сайт не занесен в черные списки и показаны логи событий. Это очень удобный инструмент для наблюдения за безопасностью сайта.
Wordfence
Один из самых известных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, поэтому все новые угрозы попадают в базу данных. Через 30 дней база обновляется в бесплатной версии.
В Wordfence есть функция обнаружения изменений или добавления файлов. Когда существующий файл обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.
В Вордфенсе есть функция сканирования файлов на своем сервере, встроенный файрвол на уровне сайта и множество других функций.
iThemes Security
iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.
Бесплатная версия хорошо защищает чистый сайт, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.
Еще одна крутая функция этого плагина — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.
All in One WP Security & Firewall
Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол, защищает файлы сайта и базу данных. В платной версии есть сканер сайта на наличие вредоносного ПО.
Проверяет файлы и базу данных, сообщает, были ли какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подсказки — описания.
Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт. На мой взгляд, лучший бесплатный плагин.
Security Ninja
Один из самых простых, но мощных премиум плагинов безопасности. В бесплатной версии проверяет сайт на наличие типичных уязвимостей и предлагает инструкции по устранению этих уязвимостей.
В платной версии добавляется сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.
Весь плагин можно настроить за 15 минут. Плагин платный, но имеет лайф-тайм лицензию.
VaultPress
Плагин безопасности и бэкап плагин в одном от Automattic, часть разработчиков которого являются разработчиками Вордпресс. Есть бесплатная и премиум версия.
Регулярные бэкапы дают возможность восстановить сайт в случае взлома. Дополнительные инструменты безопасности защитят ваш сайт, если обновитесь до премиум версии.
В премиум версии есть функция ежедневного сканирования сайта на наличие вредоносного кода, вирусов, троянов и прочей заразы. Также помогает очищать сайт после заражения.
Theme Check
Этот плагин проверяет код на правильность в теме, которую вы используете. Он сравнивает код темы на соответствие последним стандартам Вордпресс. Если что-то не соответствует этим стандартам или выглядит подозрительным, плагин сообщает об этом.
Если вы выбираете тему для использования, проверьте ее этим плагином.
Plugin Security Scanner
Плагин проверяет темы и плагины на наличие уязвимостей, описание которых он берет в базе WPScan Vulnerability Database.
Плагин сканирует сайт раз в 24 часа, и посылает сообщение администратору сайта, если находит уязвимость в теме или плагине.
Для работы плагина нужно зарегистрироваться в базе WPScan Vulnerability и получить токен, который вставляется в настройках плагина.
Plugin Check
Аналогично с предыдущим плагином, этот плагин проверяет установленные плагины на соответствие стандартам Вордпресс.
Плагин скорее проверяет код на правильность, чем на наличие вредоносного ПО, но это уже хорошо. Большое количество взломов происходит по причине неправильного кода.
Хотя это хороший плагин, но он давно не обновлялся.
Восстанавливать сайт труднее, чем настроить защиту сайта до взлома. Если ваш сайт еще не взломали, установите один из этих плагинов и читайте Руководство по безопасности Вордпресс.
Приглашаю вас на курс Безопасность Вордпресс за 2 вечера. Настроил и забыл. В этом курсе вы настроите автоматическую безопасность Вордпресс с помощью плагинов и нескольких ручных настроек.
Читайте также:
- Чек-лист: Что делать, если сайт взломали
- Как проверить и вылечить от вирусов Вордпресс сайт
- Как найти и удалить бэкдоры на Вордпресс сайте
- Как найти следы взлома в логах сервера
- Как зайти в админку Вордпресс после взлома сайта
Надеюсь, статья была полезна. Оставляйте комментарии.
Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security
По статистике 80% сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.
Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.
Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.
Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.
Группировка NeT.Defacer:
Группировка w4l3XzY3:
И таких бандформирований хаккеров — сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах — в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие — то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно — благо js скрипты майнеров известны уже лет 6-7.
Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.
Методы взлома сайтов
Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.
Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.
Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.
Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.
Как взломать WordPress сайт
Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.
Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.
Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.
Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).
Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.
Здесь как раз хорошо видно как происходит поиск доступов к шелам.
Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.
Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.
Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.
В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.
Защита Worpress сайта
Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.
Если вы уверены, что ваш сайт не взломан, то:
- Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
- Обновите пароли у всех администраторов сайта.
- Удалите лишних пользователей.
- Обновите движок Вордпресса до актуального.
- Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
- Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
- Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
- Физически удалите все неактивированные плагины.
- Обновите все плагины.
- Удалите все неиспользуемые темы
- Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
- Обновите тему до актуальной.
Далее, устанавливайте плагин iThemes Security и переходите к его настройке.
Настройка плагина iThemes Security
После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.
Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.
Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site.ru/puzo1234.
Остальное оставляем по умолчанию. Сохраняем настройки.
Этот модуль «Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт». Таким образом мы немного защитились от брутфорса.
Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.
Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config.php and .htaccess.»
Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.
Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.
Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».
Оставляем остальное по умолчанию.
Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.
Здесь выставьте значения, как указано на рисунке ниже:
Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.
Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.
Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).
здесь какой- то товарищ с retina — дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.
Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:
- Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле Включить черный список от сайта HackRepair.com
- Заполняем бан лист, собранными мною за этот месяц IP
Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.
Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.
Отбор кандидатов на блокирование имеет следующую логику:
(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.
(2) Реферрер подделан — какой то site.ru
(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 — в аннотации CIDR.
Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™. Поэтому данный IP мы блокировать не будем.
Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:
Надеюсь, что ваш логин на вход в админку — не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).
Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.
Переходим к следующему модулю «Тонкая подстройка системы«
Настраиваем модуль, согласно приведенному скрину.
Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.
Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:
- Ссылка для Windows Live Writer
- Ссылка EditURI
- Спам комментарий
- Редактор файлов
- XML-RPC — поставьте в положение «Отключить XML-RPC»
- Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
- Сообщения при неудачной попытке входа
- Отключает дополнительные пользовательские архивы
- Login with Email Address or Username — в положение «e/mail address only» — теперь авторизироваться можно будет только по e/mail.
Остальные модули настраивайте по своему усмотрению.
Взлом WordPress. Атаки хакеров 2020 новые данные от xakep.ru
По информации от xakep.ru в плагине File Manager, которым пользуются более 700 000 ресурсов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. Спустя всего несколько часов после раскрытия информации о баге эксперты из таиландской компании NinTechNet сообщили о первых атаках на эту уязвимость.
Суть проблемы заключается в том, что плагин содержит дополнительный файловый менеджер, известный как elFinder — это библиотека с открытым исходным кодом, которая обеспечивает работу основных функций плагина, а также предоставляет пользовательский интерфейс. Уязвимость возникает из-за того, как реализована имплементация elFinder в данном случае.
Так, в File Manager расширение файла библиотеки connector.minimal.php.dist изменено на .php, чтобы его можно было запускать напрямую, даже если файл connector не используется самим файловым менеджером. В такие библиотеки часто включены файлы примеров, которые не предназначены для использования прямо «из коробки», без настройки управления доступом. В итоге данный файл не имеет прямых ограничений доступа, а значит, к нему может получить доступ кто угодно.
Исследователи NinTechNet пишут, что злоумышленники используют эксплоит для загрузки на сайты файлов изображений, в которых скрытых веб-шеллы. В итоге атакующие могут использовать удобный интерфейс, который позволяет им запускать команды в каталоге plugins/wp-file-manager/lib/files/, где находится плагин File Manager. И хотя проблема не позволяет хакерам выполнять команды вне названного каталога, атакующие могут нанести немалый ущерб, загрузив на уязвимый сайт скрипты, которые способны выполнять действия в других частях уязвимого ресурса.
Не пропустите нашу новую публикацию, она поможет вам глубже изучить вопрос безопасности: Разбираемся, движок WordPress безопасен или нет?
По данным NinTechNet, в настоящее время хакеры используют баг для загрузки на сайты скрипта hardfork.php, а затем применяют его инъекций кода в скрипты /wp-admin/admin-ajax.php и /wp-includes/user.php. При этом отмечается, что злоумышленники стремятся защитить уязвимый файл паролем (connector.minimal.php), чтобы другие хак-группы не могли воспользоваться уязвимостью на уже зараженных сайтах.
«В ближайшие несколько часов или дней мы увидим, что именно они будут делать дальше. Ведь если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они собираются вернуться и снова посетить зараженные ресурсы», — говорят специалисты NinTechNet.
Эксперты из ИБ-компании Wordfence уже посвятили этой волне атак собственный отчет. За последние несколько дней компания заблокировала более 450 000 попыток эксплуатации данной уязвимости. Исследователи пишут, что злоумышленники пытаются внедрить на сайты различные файлы. В некоторых случаях эти файлы были пустыми (очевидно, хакеры лишь тестировали уязвимость), другие вредоносные файлы носили имена hardfork.php, hardfind.php и x.php.
«Плагин файлового менеджера, подобный этому, позволяет злоумышленникам манипулировать файлами и загружать новые по своему выбору прямо из панели управления WordPress. Потенциально это также позволяет сразу повысить привилегии.
Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к уязвимому плагину и загрузить веб-шелл, чтобы выполнить дальнейшие действия на сервере и развить свою атаку с помощью другого эксплоита», — пишет специалистка Wordfence Хлоя Чемберленд (Chloe Chamberland).
Проблема уже была исправлена в File Manager версий от 6.0 до 6.8. Официальная статистика WordPress показывает, что в настоящее время уязвимы примерно 52% установок плагина, то есть около 350 000 сайтов.
Не пропустите эту информацию — это действительно важно: Что делать если ваш сайт на WordPress испытывает техническую проблему?
Атаки хакеров начались 28 апреля 2020
Как сообщает эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) продолжается атака перебором паролей против WordPress, MySQL. Виредонос Stealthworker, активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.
Среди потенциальных объектов атак — сайты на WordPress, а так же Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.
Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordPressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик.
AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти, говорит Михаил Зайцев, эксперт по информационной безопасности
Хотим поделиться с вами ценной информацией, узнайте, какие 10 лучших плагинов безопасности WordPress мы применяем для защиты сайтов
Не ждите когда вас взломают!
Закажите апгрейд вашего сайта на WordPress прямо сейчас!
Оставить заявку
Новость от cnews.ru на 28 мая: уже миллион сайтов на WordPress атакован с 24 тыс. IP-адресов
Злоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.
Хакеры пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.
«Вероятнее всего, злоумышленники ведут «ковровую бомбардировку» в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от не поддерживаемых».
Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress, обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь. Для защиты сайтов наших клиентом мы применяем 10 лучших плагинов безопасности WordPress
Информация от xakep.ru на 28 апреля:
Специалисты Wordfence обратили внимание, что некая хак-группа развернула масштабную кампанию против сайтов на WordPress. Используя различные известные уязвимости, злоумышленники предприняли попытки атак на почти миллион ресурсов за прошедшую неделю.
Атаки начались 28 апреля 2020 года и привели к тридцатикратному увеличению объема вредоносного трафика, отслеживаемого компанией. Группировка использует для атак более 24 000 различных IP-адресов и уже попыталась взломать более 900 000 сайтов под управлением WordPress. Атаки достигли своего пика в прошлое воскресенье, 3 мая 2020 года, когда хакеры предприняли более 20 000 000 попыток взлома 500 000 различных доменов.
Ценные рекомендации в новой статье: Надежная защита и обслуживание сайта на WordPress
Исследователи пишут, что в основном группировка полагается на эксплуатацию разнообразных XSS-уязвимостей и с их помощью внедряет вредоносный JavaScript-код на сайты, а затем перенаправляет входящий трафик ресурсов на вредоносные сайты. Также используемая злоумышленниками малварь проверяет, не вошел ли посетитель как администратор, чтобы с помощью его учетной записи попытаться автоматически создать бэкдор.
Wordfence рассказывает, что злоумышленники применяют в своей кампании следующие уязвимости:
- XSS-уязвимость в плагине Easy2Map, который был удален из репозитория WordPress еще в августе 2019 года. Попытки эксплуатации этой уязвимости составляют более половины от общего числа атак, хотя плагин установлен менее чем на 3000 сайтах;
- Уязвимость XSS в плагине Blog Designer, которая была исправлена в 2019. Данные плагин используется примерно 1000 ресурсов, но эта уязвимость уже использовалась в ходе других вредоносных кампаний;
- Баг в плагине WP GDPR Compliance, исправленный в конце 2018 года. Помимо прочего, проблема позволяла злоумышленникам изменять домашний URL сайта. Хотя данный плагин насчитывает более 100 000 установок, аналитики подсчитали, что в настоящее время лишь 5000 из них по-прежнему уязвимы.
- Уязвимость в плаигне Total Donations, позволяющая изменять домашний URL сайта. Данный плагин был удален с Envato Marketplace в начале 2019 года, и в настоящее время насчитывается менее 1000 «живых» установок.
- XSS-уязвимость в теме Newspaper, которая была исправлена в далеком 2016 году. В прошлом эту проблему тоже эксплуатировали хакеры.
Также, по мнению экспертов Wordfence, в будущем стоящая за атаками группировка может разработать новые эксплоиты и расширить свой арсенал, что повлечет за собой атаки и на другие уязвимости на сайты на WordPress.
Источник: xakep.ru
Вашему сайту требуется поддержка, обслуживание, хостинг?
Напишите нам прямо сейчас, всегда рады помочь!
Оставить заявку
← Поделиться с друзьями !
Взлом версий WordPress до 4.7 в ноябре
Сайты WordPress в ноябре 2019 года стали жертвами широко распространенного вредоносного ПО для редиректа на рекламу. Многие владельцы веб-сайтов WordPress связывались с нами для решения проблемы. Она заключалась в редиректе на рекламу с сайта и даже с панели администратора. Часто главная страница оставалась нетронутой, чтобы владельцы дольше не могли обнаружить взлом.
Выполняя зачистки на этих сайтах, мы могли бы найти сходство в их хакерской манере. Все эти сайты оказались заражены одним и тем же вредоносным ПО. Это вредоносное ПО перенаправляло их сначала на вредоносный домен с именем buyittraffic [.com], а затем, наконец, на домен с именем cuttraffic [.com] или puttraffic [.com] или importtraffic [.com].
Во многих случаях мы также видим, что веб-сайты перенаправляют сначала на clicks.worldctraffic [.com], top.worldctraffic [.com], red.toupandgoforward [.com] или ticker.trasnaltemyrecords [.com] перед направлением на один из вышеуказанные сайтов.
Как хакеры заразили ваш сайт?
Подходя к вопросу о том, как хакеры смогли заразить такое количество сайтов.
Причина не столь очевидна, но мы подозреваем, что причиной может быть уязвимая версия Вордпресса. Все взломанные сайты были на 3-4 версиях WordPress.
При выполнении очистки мы смогли найти файл adminer.php в корневой папке всех затронутых веб-сайтов. Поэтому можно с уверенностью предположить, что хакеры используют сценарий администратора для доступа и заражения базы данных.
Сочетание вышеуказанной информации с тем фактом, что версии WP до 4.6.3 имеют серьезную уязвимость. Эта уязвимость позволяет злоумышленникам читать локальные файлы на сервере (например, wp-config.php на WordPress). Эти файлы содержат учетные данные базы данных, которые можно использовать для доступа к базе данных.
Таким образом, мы рекомендуем вам проверить файл adminer.php или ad.php на вашем сервере и удалить его. Распаковав бекап на новую базу данных и чистую установку Вордпресс – полностью решаем проблему в кратчайшие сроки.
Как избежать заражения?
Если вы ведете ваш сайт сами:
- Вовремя обновляйте плагины, шаблон и версию WordPress.
- Обязательно установите плагин безопасности.
Если у вас сайт компании или интернет-магазин – предлагаем вам обезопасить бизнес раз и навсегда с нашей техподдержкой на индивидуальных условиях.
Защита от взлома сайта на WordPress | Вопросы-ответы на Wiki
RewriteEngine On # Блокировка XSS RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR] # Блокируем выставление переменной PHP GLOBALS через URL RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Блокируем возможность изменять переменную _REQUEST через URL RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) # Блокировка MySQL инъекций, RFI, base64, и др. RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR] RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR] RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR] RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR] RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR] RewriteCond %{QUERY_STRING} ftp\: [NC,OR] RewriteCond %{QUERY_STRING} http\: [NC,OR] RewriteCond %{QUERY_STRING} https\: [NC,OR] RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR] RewriteCond %{QUERY_STRING} ^(.(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$ RewriteRule .* - [F]
Если сайт WordPress взломан, что делать и как проверить?
Ваш сайт ведет себя странно, появился спам или вредоносная реклама?
Или, возможно, вы потеряли доступ к своему сайту WordPress? Или Google заблокировал ваш сайт и он более не доступен в поиске? Если Ваш сайт на WordPress взломан. Как проверить и что делать? Это уже хорошо, потому что Вы точно теперь знаете, что ваш сайт надо лечить и восстанавливать. Большинство владельцев зараженных сайтов даже и не догадываются, что сайт давно является источником вирусов и несет угрозу для каждого, кто его посетит. В мире насчитывается более 18 млн. зараженных сайтов и лишь 15-20% из них попадают в черный список Гугл и блокируются. Остальные продолжают свою работу.
Скорее всего Ваш сайт взломан.
Более того — наверняка это случилось очень давно, так как вирусы и вредоносные программы, попавшие на сайт часто долго дремлют и не показывают своей активности. Хакерам для своих целей и задач — нужно как можно больше одновременно зараженных сайтов. Несколько сайтов с вредоносным кодом не помогут хакерам проводить свои массовые атаки и распространять свой вирус далее по сети.
Да и если Гугл и другие браузеры уже отреагировали на ваш зараженный сайт путем блокировки его, это точный показатель, что заражение сайта произошло довольно давно, потому что поисковой системе нужно не мало времени, чтобы обнаружить вредоносный код на сайте. Хакеры могут здорово навредить вашему бизнесу в интернете, начиная от простой спам-рекламы до перенаправления ваших пользователей на другие небезопасные ресурсы.
После обнаружения чего, Гугл отправит Ваш сайт в черный список и заблокирует его показ в поиске. При переходе на сайт браузер будет блокировать вход, выдавая предупреждение об опасности, а провайдер хостинга вышлет вам предупреждение и ограничит доступ к сайту до полного удаления вредоносного кода. Даже если у вас подключен SSL сертификат и сайт работает через HTTS.
Что необходимо сделать чтобы вылечить свой сайт?
Первое — перестать нервничать) — Ваш сайт можно вылечить. Начнем с обычной, более точной проверки сайта на взлом и наличие вирусов.
Как проверить, что мой сайт взломан?
Начнем с признаков взлома сайта:
- — Появились всплывающие окна на сайте, которые не были созданы вами или вашей командой.
- — Ваш сайт перенаправляет пользователей на другой вам неизвестный сайт.
- — Спам-реклама на вашем веб-сайте с контентом для взрослых, наркотиками, азартными играми или другой любой незаконной деятельностью.
- — Ваш сайт ранжируется по ключевым словам спама в Google Analytics или другом инструменте аналитики.
- — Ваши посетители блокируются в браузере с предупреждением от Google: «Сайт содержит вредоносное ПО”
- — Вы получили электронное письмо от вашего веб-хостинга, что на вашем сайте присутствует вредоносный код.
Эти признаки указывают на взлом, хотя надо признаться, что иногда это бывает ложной тревогой. Поэтому обязательно необходимо убедится в этом и тщательно проверить сайт.
Самый простой и эффективный способ — использовать сканер вредоносных программ.
Хороший онлайн сканер автоматически показывает вредоносный код. Самый сложный и рискованный способ проверки сайта WordPress, — это сделать ручную проверку. Это опасно, потому что вы будете взаимодействовать с файлами и папками WordPress. Способы, как проверить взломан ли ваш сайт:
1. Сканирование вашего сайта с помощью сканера вредоносных программ
Один вариантов сканеров — MalCare — сканер вредоносных программ.
- — MalCare находит новые типы вредоносных программ, анализируя при этом поведение кодов.
- — Он находит самые скрытые вредоносные программы, проверяя каждый файл вашего сайта.
- — Не замедляет работу вашего сайта во время сканирования.
- Как мы упоминали ранее, MalCare проверяет поведение кода, а не просто полагается на структуру и сопоставление с образцом, чтобы выяснить, является ли код вредоносным или нет. Это гарантирует, что он не делает слепого заключения о том, что код является вредоносным, и помогает уменьшить количество ложных срабатываний.
Чтобы просканировать веб-сайт с помощью MalCare, необходимо:
- — Установить плагин безопасности MalCare на свой веб-сайт.
- — Затем в панели инструментов вашего сайта (в админке) выберите MalCare .
- — На странице MalCare введите URL-адрес веб-сайта и бесплатно запустите сканирование на наличие вредоносных программ. Если он обнаружит, что ваш сайт взломан, вы получите уведомление с количеством и месторасположением найденных зараженных файлов.
2. Проверьте Google Search Console на наличие «проблем безопасности»
Поисковая консоль Google помогает отслеживать трафик и производительность вашего веб-сайта. Он также предупреждает вас, если обнаружит какие-либо проблемы безопасности на вашем сайте. Это означает, что если на вашем сайте есть вредоносная программа, консоль поиска обнаружит ее. Что нужно сделать:
- — Войдите в свою учетную запись Google Search Console .
- — В меню слева выберите пункт «Вопросы безопасности» .
- — Если ваш сайт взломан, вы увидите предупреждение о том, что на сайте обнаружено нежелательное программное обеспечение . Очень важно: вам необходимо настроить консоль поиска Google, чтобы она могла обнаруживать проблемы с безопасностью. Для этого необходимо, если Вы еще не делали этого пройти этап подтверждения владения сайтом.
3. Проверьте свой сайт с помощью инструмента безопасного просмотра Google
Вставьте адрес своего сайта (домен) WordPress в инструмент безопасного просмотра Google, и он покажет вам проблемы, обнаруженные на сайте, если такие есть. Инструмент довольно надежный, потому это от самого Google. Он проверит ваш сайт на наличие вредоносных программ и, обнаружив, сообщит вам об этом.
4. Проверьте предупреждения от провайдеров хостинга, поисковых систем и браузеров.
Если ваш сайт WordPress взломан (и вы не знаете что делать и как проверить), вполне вероятно, что вы получили предупреждающие письма или уведомления от вашего хостинг-провайдера. Поисковые системы и интернет-браузеры, такие как Google, Yahoo и Bing, также будут отображать предупреждающие сообщения на вашем сайте и в результатах поиска, чтобы предупредить посетителей о том, что ваш сайт взломан. То есть Вы потеряете свои показатели в поисковой выдаче и ваш сайт может полностью исчезнуть на время с поиска Google.
Хостинг провайдер
Хостинг-провайдеры обслуживают тысячи сайтов. Чтобы обеспечить безопасность своей платформы, они сканируют все веб-сайты, которые они размещают, на необходимость поиска возможных вредоносных действий. Один взломанный веб-сайт может негативно повлиять на другие веб-сайты на платформе хостинга и поставить под угрозу целый бизнес провайдера.
Поэтому, когда они обнаруживают взломанный веб-сайт, они немедленно приостанавливают учетную запись хостинга и выдают владельцу сайта уведомление об исправлении веб-сайта. Чтобы узнать, обнаружил ли ваш хостинг-провайдер взлом, проверьте свою электронную почту или уведомления на панели управления вашей учетной записью в кабинете провайдера в своей учетной записи.
Поисковые системы
Как и хостинг провайдеры, поисковые системы также регулярно сканируют сайты на наличие вредоносных программ. Обнаружив взломанный сайт, они заносят его в черный список и ограничивают пользователям просмотр сайта. Взломанные сайты подвергают своих пользователей риску, заставляют их загружать вредоносное программное обеспечение или делиться своей конфиденциальной информацией. Примерно так будет выглядеть страница в браузере для пользователя, который пытается открыть зараженный сайт.
Чтобы узнать, находится ли ваш сайт в черном списке, вам нужно:
— откройте браузер в режиме инкогнито и откройте https://www.google.com/.
— затем поместите адрес своего сайта (домен) в поиск Google и нажмите Enter
— перейдите по любой ссылке, которую вы увидели в результатах поиска, которая ведет на одну из ваших страниц сайта. Не забудьте перед этим выйти из админ панели Вашего сайта.
Если ваш сайт занесен в черный список, Google запретит вам доступ к нему и Вы увидите одно из сообщений:
- — Сайт содержит вредоносное ПО
- — Опасность фишинговой атаки
- — Вы посещаете фишинговый сайт
Если сайт в черном списке — это верный признак взломанного сайта.
Интернет браузеры
Как и веб-хостинг поисковые системы, интернет-браузеры также заинтересованы в защите своих пользователей. Если они обнаруживают взломанный сайт, они пытаются запретить пользователям посещать сайт. Они делают это, отображая предупреждения в результатах поиска. Например, в Google Chrome вы увидите такое предупреждение: «Этот сайт возможно был взломан» или «Этот сайт может нанести вред вашему компьютеру»
5. Вручную изучить зараженные файлы (опасно)
Когда хакеры проникают на ваш сайт, они вносят изменения на вашем сайте. Чаще всего они пытаются сделать это так, чтобы не быть обнаруженными, чтобы они могли и далее продолжать использовать ресурсы вашего сайта в течение длительного времени. Они прячут вредоносные программы в местах, где вы вряд ли сможете их найти, таких как критические файлы WordPress, с которыми обычно никто не хочет возиться. Если ваш сайт взломан, есть большая вероятность, что хакер спрятал вредоносное ПО в таких файлах. Их изучение поможет вам выяснить, действительно ли ваш сайт взломан.
Но будьте осторожны. Обработка важных файлов WordPress — дело рискованное. Одна ошибка может сломать весь ваш сайт, поэтому сохраните резервную копию сайта перед этим (часто такая возможность есть в вашем личном кабинете хостинга). Мы рекомендуем вам пропустить этот метод, если вы не разработчик или не разбираетесь во внутренней работе CMS WordPress.
Какие файлы и папки требуют особого внимания:
— папка плагинов и тем
— htaccess
— wp-config
Откройте эти файлы и найдите ключевые слова в них, такие как, например «eval» или «base64_decode», они часто являются частью вредоносного ПО.
Как исправить взломанный сайт
Теперь, когда вы обнаружили, что ваш сайт взломан, его необходимо почистить и вылечить. Чем дольше ваш сайт будет взломан, тем больше будет ущерб.
Существуют различные способы очистки вашего сайта, однако мы рассмотрели только самый эффективный способ — использование плагина безопасности для CMS WordPress. Это один из самых простых и надежных способов для обычного пользователя.
Один из плагинов — удаление вредоносных программ MalCare, способный очистить сайт от вирусов за 5 минут.
Что нужно сделать:
— просканировать сайт на наличие вирусов или вредоносного кода. Плагин сделает это автоматически перед установкой.
— после найдите кнопку “Автоочистка”
— после обновления MalCare немедленно начнет чистку вашего сайта.
Обнаружение и устранение уязвимости, вызвавшей взлом
Очистка вашего сайта — это всего лишь половина работы. После вам необходимо выявить и устранить уязвимости, которые позволили хакерам взломать ваш сайт и заразить его. А поиск уязвимостей часто лучше доверить профессионалам в кибербезопасности, так как обычному пользователю будет просто недостаточно навыков и знаний для этого. Например заказать услугу круглосуточной защиты сайта от Datami.ua
Существует два распространенных типа уязвимостей, которые вызывают взлом.
Первый — это уязвимые плагины и темы, слабые учетные данные .
Что нужно сделать: обновить или удалить уязвимые плагины и темы. Устаревшие плагины и темы могут быть уязвимы и могут быть использованы для проникновения на ваш сайт. Поэтому мы рекомендуем вам обновить все устаревшее программное обеспечение, которое включает в себя не только плагины и темы, но и целое ядро WordPress . Если вы используете пиратские темы и плагины (обычно взломанные кем-то когда-то и непонятно где), мы настоятельно рекомендуем деактивировать и удалить их со своего веб-сайта.
Пиратское программное обеспечение обычно заражено вредоносным ПО, которое при установке на веб-сайте WordPress позволяет хакерам получить доступ к вашему сайту.
Второй: используйте надежное имя пользователя и пароль
Один из самых распространенных методов взлома веб-сайтов хакерами — это атаки методом «грубой силы» . В этом типе атаки они используют ботов, чтобы попытаться угадать правильную комбинацию имен пользователей и паролей, чтобы получить доступ к вашему сайту. Сайты с легко угадываемыми именами пользователей (например, admin, John, user и т. Д.) И паролями (например, password123, admin1234, user1234) легко взломать за несколько минут.
Как удалить сайт из черного списка Google и возобновить хостинг
Если ваш веб-сайт занесен в черный список, вы должны сообщить Google, что вы очистили свой веб-сайт, чтобы они могли приступить к удалению из черного списка. Вам нужно будет отправить сайт на проверку и наше руководство по удалению черного списка Google , который поможет вам в этом.
И если ваш сайт приостановлен, вам нужно будет связаться с вашим хостинг-провайдером и сообщить им, что вы очистили свой сайт. Они проверят, так ли это на самом деле.
После того, как вы предприняли все вышеперечисленные шаги по исправлению вашего сайта, осталось сделать только одну очень важную вещь. Вы должны убедиться, что ваш сайт никогда более не будет взломан.
Защитите свой сайт от взлома
Чтобы защитить сайт WordPress от будущих попыток взлома, мы настоятельно рекомендуем вам установить плагин безопасности WordPress, который выполняет 3 основных задачи: сканирование, очистка и защита веб-сайта. Если вы установите плагин безопасности на свой сайт, он будет сканировать ваш сайт каждый день и очищать его. Если ваш сайт взломан — принимать меры для защиты вашего сайта от попыток взлома в будущем. Вы можете выбрать плагин безопасности сайта из нашего списка из лучших WordPress плагин безопасности.
Регулярно обновляйте свой сайт
Со временем каждая тема или плагин получают уязвимости WordPress . Чтобы исправить это, разработчики быстро выпускают новые обновления, чтобы устранить уязвимости. Поэтому своевременное обновления крайне важно для безопасности сайта. Узнайте, как безопасно обновить ваш сайт .
Скачивать темы и плагины только с доверенных сайтов
Многие используют пиратские темы и плагины. Потому что это бесплатно, но в конце концов это будет дороже.
Большинство пиратских плагинов или тем содержат вредоносные программы. Поэтому, когда вы устанавливаете и активируете пиратское программное обеспечение на своем веб-сайте, вредоносное ПО также активируется вместе с ним. Вредоносный код действует как бэкдор, который дает хакерам доступ к вашему сайту. Более того, пиратское (взломанное) программное обеспечение для WordPress не получает обновлений от разработчиков. Когда в программном обеспечении обнаруживается уязвимость, без его обновления невозможно исправить программное обеспечение. А ПО не обновляется. Лучше всего избегать использования пиратских тем WordPress и плагинов на вашем сайте. Используйте плагины и темы только с официального сайта WordPress или надежных торговых площадок, таких как ThemeForest, CodeCanyon, Evanto и др.
Дополнительная внутренняя защита сайта
WordPress рекомендует принять определенные меры для усиления безопасности вашего сайта. Для реализации этих мер вам необходимо иметь технические знания для работы с WordPress. Работа со взломанным сайтом — это дорого, долго и очень затратно по времени. Важно обеспечить меры безопасности на вашем сайте до того, как его могут взломать. Один из лучших способов сделать это — подключить круглосуточную защиту сайта от всех возможных угроз. Он сканирует ваш сайт ежедневно и предупреждает вас, когда обнаруживает подозрительные действия на вашем сайте.
- Ваш Datami.ua.
WooCommerce взлом WordPress админ — CodeRoad
Я сделал чистую установку WordPress на своем сервере и добавил плагин WooCommerce. Теперь некоторые страницы в админ-панели отображаются неправильно (Dashboard, Media, WooCommerce и т. д.).
Это чистая установка, активен только плагин WooCommerce.
У вас есть какие-нибудь идеи, почему это происходит?
Спасибо
wordpress
woocommerce
Поделиться
Источник
Andrei
10 декабря 2013 в 21:02
2 ответа
3
Итак, здесь VERY мало информации, так что вот общее руководство по отладке «WordPress Broke».
Отключите WooCommerce и посмотрите, вернется ли WordPress в нормальное состояние. Если это так, то вам придется переустановить WooCommerce. Вот где пригодились бы http://docs.woothemes.com/document/known-conflicts
Если он все еще сломан без каких-либо плагинов, вам необходимо проверить права доступа к каталогу, структуру файлов и структуру URL.
99% времени chrome devtools будет вашим лучшим другом для отладки этих проблем. Похоже, что вы не загружаете некоторые файлы core CSS, поэтому давайте посмотрим, есть ли у вас ошибка 404, 403 или 500, когда chrome запрашивает их.
- Откройте chrome и перейдите к администратору WordPress
- Щелкните правой кнопкой мыши в любом месте страницы и «Inspect Element»
- Найдите красный значок ошибки с правой стороны (top/bottom) и нажмите на него, чтобы использовать консоль.
- Вы, вероятно, увидите там неудачные запросы. Убедитесь, что запросы направлены на правильные URL-адреса, такие как: http://yourdomain.com/wp-admin/load-styles.php или http://yourdomain.com/wp-includes/js/thickbox/thickbox.css
- Если это действительно URLs и вы проверили, что файлы существуют на сервере, то вам необходимо проверить разрешения каталога: http://codex.wordpress.org/Changing_File_Permissions
С наилучшими пожеланиями, дайте мне знать, как все пройдет.
Поделиться
edhurtig
27 декабря 2013 в 22:30
0
Я уже довольно давно сталкиваюсь с этой проблемой. Вы можете попробовать добавить специализированную тему с поддержкой WooCommerce, например BootFrame Core theme. Или любые другие темы, поддерживающие WooCommerce -> https://wordpress.org/themes/search/woocommerce/ . Однажды я использовал WooCommerce, установил плагин перед изменением любой темы и должен был создать новую DB, потому что та, которую я сделал раньше, была повреждена из-за того, что тема не работала с WooCommerce. Это просто редкий случай, но такое может случиться.
Поделиться
mrtix
08 марта 2017 в 11:00
Похожие вопросы:
Woocommerce / WordPress-добавить кнопку на страницу заказа / товара в админ-панели
Мне нужно добавить кнопку и / или текст как на страницу заказа, так и на страницу продукта админ-панели woocommerce. На самом деле это оба типа /wp-admin/post.php , но, очевидно, разные типы…
Woocommerce: получить список атрибутов в админ-панели WordPress
Мне нужно отобразить список атрибутов Woocommerce на странице Woocommerce добавить категорию в админ-панели WordPress, как пользовательские поля. У меня есть функция function…
wordpress взлом виагры в заголовке
Я вижу взлом в заголовке моего сайта WordPress для виагры в скрытом div, но я не знаю, где его удалить. Я просмотрел некоторые файлы php, но не вижу кода. Я вижу взлом на мобильном телефоне…
WordPress: в списке всех продуктов (Woocommerce) — как Показать описание продукта
У меня есть веб-магазин WordPress Woocommerce с ~ 30 тысячами продуктов, и не все из них имеют описание. Мне нужен способ увидеть описание продукта из списка продуктов в админ-панели WordPress (даже…
Показывая WordPress серверной WooCommerce поддержки пользователей роли
Может быть, кто-то знает, как связать регистрацию WooCommerce и регистрацию wordpress? Например, пользователь должен иметь возможность публиковать посты и т. д. Проблема в том, что стандартная…
woocommerce api интегрироваться в wordpress
Я должен реализовать в wordpress api в woocommerce году. Я отношу это многом сайте настройки БТ мне не понятно как реализовать https://woothemes.github.io/woocommerce-rest-api-docs/v2.html#version…
Отключить Bootstrap в админ-панели WordPress
Я установил woocommerce, и вкладки данных продукта невидимы из-за конфликта стилей начальной загрузки. Я не знаю, почему wordpress берет стили в очереди и применяет их к админ-панели. Как я могу…
Woocommerce и WordPress плагин
WordPress и woocommerce экспертов. Я разрабатываю плагин с WordPress, но этот плагин также будет нуждаться в Woocommerce плагине, поэтому мне нужно иметь woocommerce в моем плагине, и когда я…
Удалить заголовок из админ-панели WooCommerce
Используя тему витрины магазина, я хочу удалить панировочные сухари при входе в админ-панель WooCommerce |Products Store Activity| Inbox| Orders| Stock| Reviews| Notices| панировочных сухарей….
WooCommerce ‘Product Image’ область отсутствует в админ-панели
Я использую WooCommerce 4.41, и область ‘product image’ исчезла в админ-панели, оставив меня неспособным загружать новые изображения. Ранее загруженные изображения все еще находятся на переднем…
FAQ Мой сайт взломали
Взлом может стать одним из самых неприятных переживаний, которые вы испытаете на пути к Интернету. Однако, как и в большинстве случаев, прагматический подход может помочь вам сохранить рассудок. А также выходя за рамки проблем с минимальным влиянием.
Взлом — это очень неоднозначный термин, который сам по себе не дает понимания того, что именно произошло. Чтобы получить необходимую помощь на форумах, убедитесь, что понимаете конкретные симптомы, которые заставляют вас думать, что вас взломали.Они также известны как индикаторы взлома (IoC).
Пара IoC, которые являются явными индикаторами взлома, включают:
- Веб-сайт внесен в черный список Google, Bing и т. Д.
- Хост отключил ваш веб-сайт
- Веб-сайт отмечен как распространяющий вредоносное ПО
- Читатели жалуются, что их настольные антивирусные программы отмечают ваш сайт
- Сообщили, что ваш веб-сайт используется для атаки на другие сайты
- Неавторизованное поведение уведомления (т.е.д., создание новых пользователей и т. д.…)
- Вы можете визуально увидеть, что ваш сайт был взломан, когда вы открываете его в браузере
Не все взломы одинаковы, поэтому при работе на форумах, пожалуйста, сохраните это разум. Если вы сможете лучше понять симптомы, команды будут лучше оснащены для оказания помощи.
Ниже вы найдете серию шагов, которые помогут вам начать работу после взлома. Они не являются всеобъемлющими, поскольку было бы непрактично учитывать каждый сценарий, но они предназначены для того, чтобы помочь вам продумать процесс.
Наверх ↑
Сохраняйте спокойствие.
При решении проблемы безопасности как владелец веб-сайта вы, вероятно, испытываете чрезмерный стресс. Часто это самый уязвимый из тех, что вы оказались в сети, и это противоречит тому, что все вам говорили: «Эй, WordPress — это просто !!»
Хорошая новость в том, что еще не все потеряно! Да, вы можете потерять немного денег. Да, вы можете подвергнуться удару по своему бренду. Да, ты поправишься.
Итак, да, сделайте шаг назад и успокойтесь. Это позволит вам более эффективно контролировать ситуацию и восстановить свое присутствие в сети.
Документ.
Первым действенным шагом, который вы должны предпринять после компрометации, является документирование. Найдите минутку, чтобы записать, что вы переживаете, и, если возможно, время. Несколько вещей, о которых следует помнить:
- Что вы видите, что заставляет вас думать, что вас взломали?
- Когда вы заметили эту проблему? Какой часовой пояс?
- Какие действия вы предприняли за последнее время? Был установлен новый плагин? Вы меняли тему? Изменить виджет?
Вы создаете базовый план для того, что распознается как отчет об инциденте.Планируете ли вы реагировать на инциденты самостоятельно или привлечь профессиональную организацию, этот документ со временем окажется бесценным.
Рекомендую также уделить время аннотации деталей вашей хост-среды. Это потребуется в какой-то момент в процессе реагирования на инцидент.
Просканируйте свой веб-сайт.
При сканировании вашего веб-сайта у вас есть несколько различных способов сделать это: вы можете использовать внешние удаленные сканеры или сканеры уровня приложения.Каждый из них разработан, чтобы смотреть и сообщать о разных вещах. Ни одно решение не является лучшим подходом, но вместе вы значительно улучшите свои шансы.
Сканеры на основе приложений (плагины):
Удаленные сканеры (краулеры):
В репозитории WP также есть ряд других связанных плагинов безопасности. Аннотированные выше существуют уже давно, и за каждым из них стоят сильные сообщества.
Просканируйте вашу локальную среду.
Помимо сканирования вашего веб-сайта, вы должны начать сканирование вашей локальной среды. Во многих случаях источник атаки / заражения начинается на вашем локальном компьютере (например, ноутбуке, настольном компьютере и т. Д.). Злоумышленники локально запускают троянов, которые позволяют им перехватывать информацию о доступе для входа к таким вещам, как FTP и / wp-admin, что позволяет им входить в систему как владелец сайта.
Убедитесь, что вы выполнили полное сканирование на наличие вирусов и вредоносных программ на вашем локальном компьютере. Некоторые вирусы хорошо обнаруживают антивирусные программы и скрываются от них.Так что, может быть, попробуй другой. Этот совет распространяется как на машины с Windows, OS X и Linux.
Уточните у своего хостинг-провайдера.
Взлом мог затронуть не только ваш сайт, особенно если вы используете общий хостинг. Стоит проконсультироваться с вашим хостинг-провайдером, если они предпринимают какие-то шаги или нуждаются в них. Ваш хостинг-провайдер также может подтвердить, является ли взлом фактическим взломом или, например, потерей обслуживания.
Одним из очень серьезных последствий взлома в наши дни является занесение в черный список электронной почты.Кажется, это происходит все чаще и чаще. Поскольку веб-сайты используются для рассылки спама, органы «черного списка» электронной почты помечают IP-адреса веб-сайтов, и эти IP-адреса часто связаны с тем же сервером, который используется для электронной почты. Лучшее, что вы можете сделать, это посмотреть на поставщиков услуг электронной почты, таких как Google Apps, когда дело касается потребностей вашего бизнеса.
Помните о черных списках веб-сайтов.
Проблемы с черным списком Google могут нанести ущерб вашему бренду. В настоящее время они вносят в черный список от 9 500 до 10 000 веб-сайтов в день.Это число растет с каждым днем. Существуют различные формы предупреждений, от больших всплывающих страниц, предупреждающих пользователей держаться подальше, до более тонких предупреждений, которые появляются на страницах результатов вашей поисковой системы (SERP).
Хотя Google является одним из наиболее известных, существует ряд других объектов черного списка, таких как Bing, Yahoo и широкий спектр приложений Desktop AntiVirus. Поймите, что ваши клиенты / посетители веб-сайта могут использовать любое количество инструментов, и любой из них может вызвать проблему.
Рекомендуется зарегистрировать свой сайт на различных онлайн-консолях для веб-мастеров, например:
Улучшите контроль доступа.
Вы часто будете слышать, как люди говорят об обновлении таких вещей, как пароли. Да, это очень важная часть, но это одна маленькая часть гораздо большей проблемы. Когда дело доходит до контроля доступа, нам нужно улучшить нашу общую позицию. Это означает использование сложных, длинных и уникальных паролей для начинающих. Лучшая рекомендация — использовать генератор паролей, подобный тем, что есть в таких приложениях, как 1Password и LastPass.
Помните, что это включает в себя изменение всех точек доступа. Когда мы говорим о точках доступа, мы имеем в виду такие вещи, как FTP / SFTP, WP-ADMIN, CPANEL (или любую другую панель администратора, которую вы используете на своем хосте) и MYSQL.
Это также выходит за рамки вашего пользователя и должно включать всех пользователей, имеющих доступ к среде.
Также рекомендуется рассмотреть возможность использования какой-либо формы двухфакторной / многофакторной системы аутентификации. В самой простой форме он вводит и требует второй формы аутентификации при входе в ваш экземпляр WordPress.
Некоторые из доступных плагинов, которые помогут вам в этом, включают:
Сбросить весь доступ.
После того, как вы обнаружите взлом, одним из первых шагов, которые вы захотите сделать, является блокировка вещей, чтобы вы могли минимизировать любые дополнительные изменения. В первую очередь следует начать с пользователей. Вы можете сделать это, принудительно сбросив глобальный пароль для всех пользователей, особенно администраторов.
Вот плагин, который может помочь на этом этапе:
Вы также хотите удалить всех пользователей, которые могут активно входить в WordPress.Вы делаете это, обновляя секретные ключи в wp-config. Здесь вам нужно будет создать новый набор: генератор ключей WordPress. Возьмите эти значения, а затем замените значения в вашем файле wp-config.php новыми. Это заставит любого, кто все еще может войти в систему, выйти из системы.
Создайте резервную копию.
Надеюсь, у вас есть резервная копия вашего веб-сайта, но если нет, сейчас хорошее время для ее создания. Резервное копирование является критически важным элементом продолжения вашей работы, и вы должны активно планировать его дальнейшие действия.Вы также должны спросить своего хоста, какова его политика в отношении резервного копирования. Если у вас есть резервная копия, вы сможете выполнить восстановление и сразу приступить к криминалистической работе.
Примечание: важно регулярно делать резервные копии своей базы данных и файлов. Если это когда-нибудь повторится.
В любом случае, прежде чем перейти к следующему этапу очистки, рекомендуется сделать еще один снимок среды. Даже если он заражен, в зависимости от типа взлома, воздействия могут вызвать множество проблем, и в случае катастрофического сбоя у вас, по крайней мере, будет плохая копия для справки.
Найдите и удалите хак.
Это будет самая сложная часть всего процесса. Обнаружение и удаление взлома. Точные шаги, которые вы предпримете, будут зависеть от ряда факторов, включая, помимо прочего, указанные выше симптомы. То, как вы подойдете к проблеме, будет зависеть от ваших технических навыков работы с веб-сайтами и веб-серверами.
Чтобы помочь в этом процессе, мы включили ряд различных ресурсов, которые должны помочь вам в этом процессе:
Может возникнуть соблазн все очистить и начать заново.В некоторых случаях это возможно, но во многих случаях это просто невозможно. Однако вы можете переустановить определенные элементы сайта, не обращая внимания на его ядро. Вы всегда должны быть уверены, что переустанавливаете ту же версию программного обеспечения, которую использует ваш веб-сайт, если вы выберете старую или новую версию, вы, скорее всего, убьете свой веб-сайт. При переустановке не используйте параметры переустановки в WP-ADMIN. Используйте приложение FTP / SFTP, чтобы перетащить версии.Это окажется намного более эффективным в долгосрочной перспективе, поскольку эти установщики часто перезаписывают только существующие файлы, а взломы часто вводят новые файлы … Вы можете безопасно заменить следующие каталоги:
С этого момента рекомендуется более тщательно обновлять и заменять файлы при перемещении по wp-content, поскольку он содержит файлы вашей темы и плагинов.
Единственный файл, который вам обязательно захочется посмотреть, — это ваш файл .htaccess. Это один из наиболее распространенных файлов, независимо от типа заражения, который чаще всего обновляется и используется для злонамеренных действий.Этот файл часто находится в корне вашей установочной папки, но также может быть встроен в несколько других каталогов той же установки.
Независимо от типа заражения, существуют некоторые распространенные файлы, за которыми следует следить в процессе исправления. В их числе:
- index.php
- header.php
- footer.php
- function.php
В случае изменения эти файлы обычно могут отрицательно повлиять на все запросы страниц, что делает их высокой мишенью для злоумышленников.
Используйте сообщество
Мы часто забываем, но мы являемся платформой, основанной на сообществе, это означает, что если у вас возникнут проблемы, кто-то из сообщества может помочь вам. Если у вас мало денег или вы просто ищете руку помощи, вам стоит начать с форума WordPress.org Hacked or Malware.
Обновление!
После того, как вы очистились, вам следует обновить установку WordPress до последней версии программного обеспечения.Старые версии более подвержены взлому, чем новые.
Снова смени пароли!
Помните, вам нужно изменить пароли для вашего сайта после , убедившись, что ваш сайт чист. Так что, если вы изменили их только после обнаружения взлома, измените их снова сейчас. Снова не забываем использовать сложные, длинные и уникальные пароли.
Вы можете рассмотреть возможность изменения учетной записи и пароля пользователя базы данных. Когда вы их изменили, не забудьте улучшить их до wp-config.php файл.
Криминалистика.
Криминалистика — это процесс понимания того, что произошло. Как проникли злоумышленники? Цель состоит в том, чтобы понять вектор атаки, который использовал злоумышленник, чтобы убедиться, что они не смогут злоупотребить им снова. Во многих случаях владельцам веб-сайтов очень сложно выполнить такой анализ из-за отсутствия технических знаний и / или доступных данных. Если у вас есть необходимые метаданные, существуют такие инструменты, как OSSEC и splunk, которые могут помочь вам синтезировать данные.
Защитите свой сайт.
Теперь, когда вы успешно восстановили свой сайт, защитите его, применив некоторые (если не все) рекомендуемые меры безопасности.
Не могу войти в панель администратора WordPress
Бывают случаи, когда злоумышленник захватывает вашу учетную запись администратора. Это не повод для паники, есть несколько разных вещей, которые вы можете сделать, чтобы восстановить контроль над своей учетной записью. Вы можете выполнить следующие действия, чтобы сбросить пароль
Инструменты, такие как phpMyAdmin и Adminer, часто доступны через вашего хостинг-провайдера.Они позволяют вам войти в свою базу данных напрямую, минуя экран администрирования и сбрасывая пользователя в таблице пользователей wp_users
.
Если вы не хотите связываться с хешами паролей или не можете это понять, просто обновите свой адрес электронной почты и вернитесь к экрану входа в систему, нажмите «Забыли пароль» и дождитесь письма.
Используете контроль версий?
Если вы используете контроль версий, это может быть очень удобно, чтобы быстро определить, что изменилось, и вернуться к предыдущей версии веб-сайта.Из терминала или командной строки вы можете сравнить свои файлы с версиями, хранящимися в официальном репозитории WordPress.
$ svn diff.
Или сравните конкретный файл:
$ svn diff / path / to / filename
Наверх ↑
Что делать, если у вашего сайта проблемы
Сайт WordPress взломан. Если такое случается с вами, возникает соблазн паниковать. В этом посте я помогу вам определить, был ли ваш сайт взломан, расскажу, как его очистить, и помогу сделать его более безопасным.
Наконец, я дам вам несколько советов, как предотвратить повторный взлом вашего сайта WordPress в будущем.
Готовы? Сделайте глубокий вдох, и приступим.
Взломанный WordPress: признаки того, что ваш сайт WordPress находится под угрозой
Ваш сайт WordPress не работает должным образом. Но как узнать, что проблема возникла из-за взлома? Давайте посмотрим на некоторые признаки того, что ваш сайт был взломан:
- Вы не можете войти.
- Ваш сайт был изменен без вашего участия (например, домашняя страница была заменена статической страницей или был добавлен новый контент).
- Ваш сайт перенаправляется на другой сайт.
- Когда вы или другие пользователи пытаетесь получить доступ к вашему сайту, вы получаете предупреждение в своем браузере.
- При поиске своего сайта Google выдает предупреждение о том, что он мог быть взломан.
- Вы получили уведомление от плагина безопасности о взломе или неожиданном изменении.
- Ваш хостинг-провайдер предупредил вас о необычной активности в вашей учетной записи.
Давайте рассмотрим каждый из них более подробно.
Вы не можете войти
Если вы не можете войти на свой сайт, это может быть признаком того, что ваш сайт был взломан. Однако более вероятно, что вы просто забыли свой пароль. Поэтому, прежде чем вы решите, что вас взломали, попробуйте сбросить пароль. Если не можете, это предупреждающий знак. Даже если вы это сделаете, возможно, вас взломали, и вам придется провести дополнительное расследование.
Хакеры иногда удаляют пользователей или меняют пароли пользователей, чтобы предотвратить доступ. Если вам не удается сбросить пароль, возможно, ваша учетная запись была удалена, что является признаком взлома.
Ваш сайт изменился
Одна из форм взлома — замена домашней страницы статической. Если ваш сайт выглядит совершенно по-другому и не использует вашу тему, вероятно, он был взломан.
Изменения могут быть более тонкими, возможно, добавление ложного контента или ссылок на сомнительные сайты. Если ваш нижний колонтитул заполнен ссылками, которые вы не добавляли, и особенно если эти ссылки скрыты или имеют крошечный размер шрифта, вас могли взломать.
Прежде чем предположить, что вас взломали, посоветуйтесь с другими администраторами или редакторами сайта, чтобы убедиться, что они случайно не внесли изменения.
Если ваша тема не из авторитетного источника и вы недавно обновляли ее, это может быть причиной.
Ваш сайт перенаправляет
Иногда хакеры добавляют скрипт, который перенаправляет людей на другой сайт, когда они посещают ваш. Скорее всего, это будет тот сайт, на который вы не хотите, чтобы ваши пользователи попадали на него.
Это случилось со мной, когда школьный сайт, которым я управлял, перенаправлял на сайт знакомств. Как вы понимаете, мой клиент был недоволен, и ему пришлось бросить все, что я делал, и сразу исправить это.Оказалось, что это небезопасность на сервере, а не на моем сайте, что является одной из причин использовать только качественный хостинг. Я как можно скорее сменил хостинг-провайдера и почти сразу устранил взлом.
Предупреждения браузера
Если ваш браузер предупреждает о взломе вашего сайта, это может быть признаком взлома вашего сайта. Это также может быть связано с каким-то кодом в теме или плагине, который вам нужно удалить, или проблемой с доменами или SSL.
Обратитесь к совету с предупреждением в вашем браузере, чтобы помочь вам диагностировать проблему.
Предупреждения поисковых систем
При поиске своего сайта, если он был взломан, Google может отобразить предупреждение. Это может означать, что карта сайта была взломана, что повлияет на способ сканирования вашего сайта Google. Или это может быть более серьезная проблема: вам нужно будет выполнить приведенную ниже диагностику, чтобы точно выяснить, что произошло.
Предупреждение Google — этот сайт мог быть взломан
Почему взламывают сайты WordPress
Существует множество причин, по которым сайты WordPress взламывают, но вот обзор наиболее распространенных факторов .
1. Небезопасные пароли
Это одна из самых частых причин взлома. Самый часто используемый пароль в мире — это «пароль». Безопасные пароли необходимы не только для вашей учетной записи администратора WordPress, но и для всех ваших пользователей и всех аспектов вашего сайта, включая FTP и хостинг.
2. Устаревшее программное обеспечение
Плагины и темы
, а также сам WordPress подлежат обновлениям безопасности, которые необходимо применить к вашему сайту. Если вы не обновляете свои темы, плагины и версию WordPress, вы делаете свой сайт уязвимым.
3. Небезопасный код
Плагины и темы, полученные не из авторитетных источников, могут создавать уязвимости на вашем сайте. Если вам нужны бесплатные темы или плагины WordPress, установите их из официального каталога тем.
При покупке тем и плагинов премиум-класса обязательно проверьте репутацию поставщика и получите рекомендации от людей и источников, которым вы доверяете. Никогда не устанавливайте плагины с нулевым кодом, которые представляют собой плагины премиум-класса с бесплатных сайтов, предназначенные для причинения вреда или сбора информации.
Как взломали WordPress?
Если вы хотите узнать больше о том, как взламывают сайты WordPress (и не торопитесь с шагами, которые нужно предпринять, если ваш собственный сайт был взломан), вот основные маршруты, по которым хакеры могут попасть на ваш сайт:
- Бэкдоры — обходят обычные методы доступа к вашему сайту, например через скрипты или скрытые файлы. Примером может служить уязвимость Tim Thumb в 2013 году.
- Pharma hacks — эксплойт, используемый для вставки мошеннического кода в устаревшие версии WordPress.
- попыток входа в систему методом грубой силы — когда хакеры используют автоматизацию для использования слабых паролей и получения доступа к вашему сайту.
- Вредоносные перенаправления — когда бэкдоры используются для добавления вредоносных перенаправлений на ваш сайт.
- Межсайтовый скриптинг (XSS) — наиболее распространенная уязвимость, обнаруживаемая в плагинах WordPress, эти скрипты внедрения, которые затем позволяют хакеру отправить вредоносный код в браузер пользователя.
- Отказ в обслуживании (DoS) — когда ошибки или ошибки в коде веб-сайта используются для перегрузки веб-сайта и прекращения его работы.
Если у вас есть сайт электронной торговли, обязательно прочтите наше подробное руководство по предотвращению мошенничества в электронной торговле.
Все это звучит довольно пугающе, но есть шаги, которые вы можете предпринять, чтобы защитить свой сайт WordPress от них. Во-первых, давайте рассмотрим действия, которые необходимо предпринять при взломе вашего сайта.
Сайт WordPress взломан: что делать (пошаговое руководство)
Если ваш сайт размещен на Kinsta, у нас есть гарантия отсутствия взлома, что означает, что мы проработаем ваш сайт и удалим взлом.Если вы работаете с другим хостинг-провайдером, вам нужно будет привлечь их, но, возможно, вам придется сделать большую часть этого самостоятельно.
Гарантия отсутствия взлома Kinsta
Действия, которые вам необходимо предпринять, будут зависеть от того, каким образом ваш сайт был взломан, и вам, возможно, не придется выполнять все эти действия. Мы пройдем следующие шаги:
- Не паникуйте
- Перевести сайт в режим обслуживания
- Сброс паролей
- Воспользуйтесь службой удаления вредоносных программ Kinsta
- Обновить плагины и темы
- Удалить пользователей
- Удалить ненужные файлы
- Очистите карту сайта
- Переустановите плагины и темы
- Переустановите ядро WordPress
- Очистите базу данных
Шаг 1. Не паникуйте
Я знаю, что худшее, что вы можете сказать тому, кто паникует, — это «не паникуйте».Но вам нужно иметь ясную голову, если вы собираетесь диагностировать и устранить проблему.
Если вы не можете правильно мыслить, просто переведите свой сайт в режим обслуживания и оставьте его на несколько часов, пока не почувствуете себя спокойнее. Что, опять же, звучит легче сказать, чем сделать, но здесь это очень важно.
Шаг 2. Переведите сайт в режим обслуживания
Вы не хотите, чтобы посетители находили ваш сайт в взломанном состоянии, и вы также не хотите, чтобы они видели, как ваш сайт будет выглядеть, пока вы его исправляете.
Так что переведите его в режим обслуживания, если можете.
Если вы не можете войти на свой сайт WordPress прямо сейчас, это будет невозможно, но как только сможете, вернитесь и сделайте это.
Плагин, такой как Coming Soon Page и Maintenance Mode, позволит вам перевести ваш сайт в режим обслуживания, чтобы он выглядел так, как будто он проходит плановое обслуживание, а не исправляется после взлома.
Скоро появится страница и плагин режима обслуживания
Как только вы это сделаете, вы можете немного расслабиться, зная, что люди не видят, что происходит.
Вы можете настроить плагин, чтобы добавить логотип и настроить цвета, или вы можете просто ввести небольшой пояснительный текст и оставить все как есть.
Теперь вы видите свой сломанный сайт, но не видите других людей.
Шаг 3. Используйте службу удаления вредоносных программ Kinsta
Чтобы избавить себя от всех описанных ниже действий, вы можете приобрести услугу удаления вредоносных программ Kinsta за единовременную плату в размере 100 долларов США при переходе на Kinsta. Важно: если вы являетесь клиентом Kinsta, это включено в ваш тарифный план!
Если вы не хотите или не можете себе этого позволить, читайте дальше, чтобы узнать, как очистить взломанный сайт.
Шаг 4. Сброс паролей
Поскольку вы не знаете, какой пароль был использован для доступа к вашему сайту, важно изменить их все, чтобы хакер не смог их снова использовать. Это не ограничивается паролем WordPress: сбросьте пароль SFTP, пароль базы данных и пароль у вашего хостинг-провайдера.
Убедитесь, что другие пользователи-администраторы тоже сбрасывают свои пароли.
Шаг 5. Обновите плагины и темы
Следующий шаг — убедиться, что все ваши плагины и темы обновлены.Перейдите в Личный кабинет > Обновления на своем сайте и обновите все, что устарело.
Подпишитесь на информационный бюллетень
Хотите узнать, как мы увеличили наш трафик более чем на 1000%?
Присоединяйтесь к 20 000+ других, которые получают нашу еженедельную рассылку с инсайдерскими советами по WordPress!
Подпишитесь сейчас
Вы должны сделать это перед попыткой любых других исправлений, потому что, если плагин или тема делают ваш сайт уязвимым, любые другие исправления, которые вы вносите, могут быть отменены уязвимостью.Поэтому убедитесь, что все обновлено, прежде чем продолжить.
Шаг 6. Удаление пользователей
Если на ваш сайт WordPress были добавлены неизвестные вам учетные записи администратора, пора их удалить. Перед тем как сделать это, узнайте у всех авторизованных администраторов, что они не изменили данные своего аккаунта, а вы их просто не узнаете.
Перейдите на экран Users в админке WordPress и щелкните ссылку Administrator над списком пользователей.Если там есть пользователи, которых не должно быть, установите флажок рядом с ними, затем выберите Удалить в раскрывающемся списке Массовые действия .
Шаг 7. Удалите ненужные файлы
Чтобы узнать, есть ли в вашей установке WordPress какие-либо файлы, которых не должно быть, вам необходимо установить плагин безопасности, такой как WordFence, который просканирует ваш сайт и сообщит вам, есть ли там какие-либо файлы, которых не должно быть. , или воспользуйтесь службой безопасности, например Sucuri.
Если вы используете тарифный план Kinsta, вам не нужно устанавливать дополнительные плагины безопасности.Это помешает настройке вашего сайта и может повлиять на производительность. Вместо этого подайте заявку в службу поддержки, и мы исправим ваш сайт.
Шаг 8. Очистите файл Sitemap и повторно отправьте его в Google
Одной из причин того, что сайт помечается красным флажком поисковыми системами, может быть взлом файла sitemap.xml. В одном случае, который мы зафиксировали в Kinsta, карта сайта была заражена ложными ссылками и посторонними символами.
Вы можете восстановить карту сайта с помощью плагина SEO, но вам также нужно будет сообщить Google, что сайт был очищен.Добавьте свой сайт в Google Search Console и отправьте в Google отчет о файлах Sitemap, чтобы сообщить им, что вам нужно сканировать сайт. Это не гарантирует, что ваш сайт будет просканирован немедленно и может занять до двух недель. Вы ничего не можете сделать, чтобы ускорить это, так что вам придется набраться терпения.
Шаг 9. Переустановите плагины и темы
Если на вашем сайте все еще возникают проблемы, вам необходимо переустановить все плагины и темы, которые вы еще не обновили. Деактивируйте и удалите их со страниц Themes (вот как безопасно удалить тему WordPress) и Plugins страниц, а затем переустановите их.Если вы еще не перевели свой сайт в режим обслуживания, сделайте это в первую очередь!
Если вы купили плагин или тему у поставщика плагинов или тем и не знаете, насколько они безопасны, самое время подумать, следует ли вам продолжать их использовать. Если вы загрузили бесплатную тему / плагин из любого места, кроме плагинов WordPress или каталогов тем, не переустанавливайте его . Вместо этого установите его из каталога темы или плагина или купите легитимную версию. Если вы не можете себе этого позволить, замените его бесплатной темой / плагином из каталога тем или плагинов, который выполняет ту же или аналогичную работу.
Если это не решит проблему, поищите на страницах поддержки все свои темы и плагины. Возможно, проблемы возникают у других пользователей, и в этом случае вам следует удалить эту тему или плагин, пока уязвимость не будет устранена.
Шаг 10. Переустановите WordPress Core
.
Если все остальное не помогло, вам придется переустановить сам WordPress. Если файлы в ядре WordPress были скомпрометированы, вам необходимо заменить их чистой установкой WordPress.
Загрузите чистый набор файлов WordPress на свой сайт через SFTP, убедившись, что вы перезаписали старые. Рекомендуется сначала сделать резервную копию файлов wp-config.php и .htaccess на случай, если они будут перезаписаны (хотя этого и не должно быть).
Если вы использовали автоматический установщик для установки WordPress, не используйте его снова, так как он перезапишет вашу базу данных и вы потеряете свой контент. Вместо этого используйте SFTP только для загрузки файлов. Если вы используете Kinsta и наш установщик WordPress, вам все равно не нужно беспокоиться об этом шаге, поскольку мы заменим ядро WordPress для вас в рамках нашей службы по устранению взломов.
Шаг 11. Очистите базу данных
, ваша база данных была взломана, вам тоже нужно очистить ее. Рекомендуется очистить базу данных, поскольку в чистой базе данных будет меньше устаревших данных и она будет занимать меньше места, что сделает ваш сайт быстрее.
Как узнать, взломана ли ваша база данных? Если вы используете подключаемый модуль или службу безопасности, запуск сканирования с его помощью сообщит вам, была ли база данных скомпрометирована (или вам может быть отправлено предупреждение).В качестве альтернативы вы можете использовать плагин, например NinjaScanner, который будет сканировать вашу базу данных.
Плагин WP-Optimize позволит вам очистить вашу базу данных и оптимизировать ее для будущего.
Как предотвратить взлом вашего сайта WordPress
Итак, вы очистили свой сайт и сбросили пароли, чтобы он стал немного безопаснее, чем раньше.
Но вы можете сделать больше, чтобы предотвратить взлом в будущем и избежать повторения того же.
1.Убедитесь, что все пароли надежны
Если вы еще этого не сделали, убедитесь, что все пароли, относящиеся к вашему веб-сайту, а не только пароль администратора WordPress, сброшены, и что вы используете надежные пароли.
Плагин безопасности позволит вам заставить пользователей использовать безопасные пароли, или, если вы используете Kinsta, он встроен в ваш план хостинга.
Вы также можете добавить на свой сайт двухфакторную аутентификацию, чтобы хакерам было сложнее создать учетную запись.
2.Обновляйте свой сайт
Очень важно поддерживать ваш сайт в актуальном состоянии. Каждый раз, когда ваша тема, плагины или сам WordPress обновляются, вы должны запускать это обновление, поскольку оно часто будет включать исправления безопасности.
Вы можете включить автоматические обновления, отредактировав файл wp-config.php или установив плагин, который сделает это за вас. Если вы не хотите этого делать, потому что сначала хотите протестировать обновления, подключаемый модуль безопасности уведомит вас, когда вам нужно запустить обновление.
Когда вы обновляете свой сайт, убедитесь, что вы делаете это правильно, создавая резервную копию и тестируя обновления на промежуточном сервере, если он у вас есть.Планы Kinsta включают автоматическое резервное копирование и промежуточную среду для всех сайтов.
3. Не устанавливайте небезопасные плагины или темы
При установке плагинов WordPress в будущем убедитесь, что они протестированы с вашей версией WordPress и что вы загружаете их из надежного источника.
Всегда устанавливайте бесплатные плагины и темы через каталоги тем и плагинов: не поддавайтесь соблазну получить их со сторонних сайтов. Если вы покупаете премиальные темы или плагины, проверьте репутацию поставщика плагинов и попросите рекомендаций.
4. Очистите установку WordPress
Если у вас установлены, но не активированы какие-либо темы или плагины, удалите их. Если у вас есть какие-либо файлы или старые установки WordPress в вашей среде хостинга, которые вы не используете, пора их удалить. Удалите все базы данных, которые вы тоже не используете.
Если на вашем сервере есть старые неиспользуемые установки WordPress, они будут особенно уязвимы, так как вы вряд ли будете поддерживать их в актуальном состоянии.
5. Установите SSL на свой сайт
SSL повысит уровень безопасности вашего сайта и является бесплатным.Тарифы Kinsta включают SSL без дополнительных затрат. Если ваш хостинг-провайдер не предоставляет бесплатный SSL, вы можете использовать плагин SSL Zen, чтобы добавить бесплатный Let’s Encrypt SSL.
6. Избегайте дешевого хостинга
Дешевый хостинг означает, что вы будете делить пространство на сервере с сотнями других клиентов. Это не только замедлит работу вашего сайта, но также увеличит шансы того, что один из этих сайтов небезопасен для сервера.
Дешевые хостинг-провайдеры с меньшей вероятностью будут тщательно следить за безопасностью серверов или помогать вам, если ваш сайт взломан.Качественный хостинг-провайдер, такой как Kinsta, предоставит вам гарантию отсутствия взлома и приложит все усилия, чтобы обеспечить безопасность вашего сайта.
7. Настройте брандмауэр
Плагин безопасности или служба, такая как Cloudflare или Sucuri, позволят вам настроить брандмауэр для вашего сайта. Это добавит дополнительный барьер для хакеров и снизит вероятность взлома и DDoS-атак на ваш сайт.
Здесь, в Kinsta, все сайты WordPress наших клиентов защищены межсетевым экраном корпоративного уровня Google. Мы также предоставляем пользователям простой в использовании инструмент IP Deny в MyKinsta для блокировки вредоносных IP-адресов.
8. Установите подключаемый модуль безопасности
Если вы установите плагин безопасности на свой сайт, он уведомит вас о любой подозрительной активности. Это может включать несанкционированный вход или добавление файлов, которых там не должно быть.
Опять же, обратитесь к предупреждению, предоставленному плагином, чтобы выяснить, в чем проблема.
Напоминание. Если ваш сайт размещен на Kinsta, вам не нужно устанавливать плагины безопасности. Это потому, что Kinsta предоставляет все необходимые функции безопасности.
9. Рассмотрим службу безопасности
Если вы не являетесь пользователем Kinsta, вы можете подумать о такой службе безопасности, как Sucuri, которая будет следить за вашим сайтом и исправлять его, если вас снова взломают.
Сукури
Это недешево, но если ваш веб-сайт важен для вашего бизнеса, он окупится. Существуют разные планы, которые предлагают разное время выполнения исправлений безопасности. Sucuri будет следить за вашим сайтом, предупреждать вас о нарушениях безопасности и исправлять их за вас.Это означает, что вам не нужно снова очищать свой сайт самостоятельно.
Кроме того, планы хостинга Kinsta включают в себя функции безопасности, включая обнаружение DDoS, мониторинг времени безотказной работы, аппаратные стены и гарантию отсутствия взлома, что означает, что если ваш сайт будет взломан, мы очистим его за вас. Если вы перейдете на Kinsta, мы бесплатно перенесем ваш сайт и очистим его, если в будущем он будет взломан. Обязательно ознакомьтесь с нашим тщательно отобранным списком лучших плагинов для миграции WordPress.
OMG … Ваш сайт взломан! 😭😱 Что делать дальше, чтобы очистить его? Вот все шаги, которые вы должны отметить в списке восстановления, чтобы полностью избавить свой сайт от взлома ✅Нажмите, чтобы твитнуть
Сводка
Взломать ваш сайт — неприятное занятие. Это означает, что ваш сайт недоступен для пользователей, что может повлиять на ваш бизнес. Это будет означать, что вы должны предпринять быстрые действия, которые повлияют на вашу другую деятельность.
Вот краткое описание шагов, которые необходимо предпринять, если ваш сайт взломан:
- Сброс паролей.
- Обновите плагины и темы.
- Удалите пользователей, которых не должно быть.
- Удалите ненужные файлы.
- Очистите карту сайта.
- Переустановите плагины и темы, а также ядро WordPress.
- При необходимости очистите базу данных.
И помните: выполнение описанных выше шагов во избежание взлома избавит вас от необходимости делать все это снова в будущем: стоит поддерживать ваш сайт как можно более безопасным.
Экономьте время, деньги и повышайте производительность сайта с помощью:
- Мгновенная помощь от экспертов по хостингу WordPress, 24/7.
- Интеграция Cloudflare Enterprise.
- Глобальный охват аудитории с 28 центрами обработки данных по всему миру.
- Оптимизация с помощью нашего встроенного мониторинга производительности приложений.
Все это и многое другое в одном плане без долгосрочных контрактов, поддержки миграции и 30-дневной гарантии возврата денег. Ознакомьтесь с нашими планами или поговорите с отделом продаж, чтобы найти план, который подходит именно вам.
6 плагинов WordPress, взломанных хакерами
Ни одна система управления контентом (CMS) не может сравниться с WordPress по популярности.Это бесспорный чемпион в своей нише, занимающий внушительные 63,5% рынка CMS. Кроме того, 37 процентов всех веб-сайтов в Интернете используют WordPress.
Благодаря своей гибкой структуре, которая подходит практически для любого контекста в Интернете — от небольших личных блогов и новостных агентств до сайтов, управляемых крупными брендами — неудивительно, что эта CMS годами создавала рябь в области веб-экосистемы.
Что киберпреступники думают об этом шумихе? Вы уже догадались — они не прочь по ней прыгнуть.Однако, в отличие от веб-мастеров, их мотивация гораздо менее благоприятна.
Положительным моментом является то, что ядро WordPress должным образом защищено с разных сторон с помощью регулярных исправлений уязвимостей. Команда безопасности WordPress сотрудничает с проверенными исследователями и хостинговыми компаниями, чтобы обеспечить немедленное реагирование на возникающие угрозы. Чтобы усилить защиту, не полагаясь на гигиену обновлений владельцев сайтов, WordPress запускает автоматические фоновые обновления с версии 3.7, выпущенной в 2013 году.
Плохая новость заключается в том, что сторонние плагины могут быть легкой добычей для злоумышленников. Неудивительно, что плагины со многими активными установками — большая приманка. Используя их, эти субъекты могут сократить путь и значительно увеличить потенциальную поверхность атаки.
Лазейки, недавно обнаруженные в популярных плагинах WordPress, охватывают весь спектр от ошибок удаленного выполнения и повышения привилегий до подделки межсайтовых запросов и ошибок межсайтового скриптинга.
Подробнее от наших экспертов-участников Существует 5 основных типов предпринимателей.Кто ты?
Файловый менеджер
В начале сентября исследователи финского провайдера веб-хостинга Seravo обнаружили лазейку в безопасности в File Manager, плагине WordPress, установленном как минимум на 600 000 сайтов. Классифицируемая как уязвимость удаленного выполнения кода нулевого дня, эта критическая ошибка позволяла неаутентифицированному злоумышленнику получить доступ к области администрирования, запустить вредоносный код и загрузить изворотливые сценарии на любой сайт WordPress, на котором запущен файловый менеджер версий от 6.0 и 6,8.
К чести создателя плагина, исправленная версия (File Manager 6.9) была выпущена всего через несколько часов после того, как аналитики безопасности сообщили об этой уязвимости. Однако согласно статистике активных версий файлового менеджера, эта сборка в настоящее время используется только на 52,3 процента сайтов WordPress, на которых работает плагин. Это означает, что более 300 000 сайтов по-прежнему уязвимы для взлома, поскольку их владельцы не спешат обновлять плагин до последней исправленной версии.
Когда белые шляпы обнаружили этот недостаток, он уже использовался в реальных атаках, пытаясь загрузить вредоносные файлы PHP в каталог «wp-content / plugins / wp-file-manager / lib / files /» на незащищенных веб-сайтах.На момент написания этой статьи более 2,6 миллиона экземпляров WordPress были проверены на наличие устаревших версий файлового менеджера.
Более того, похоже, что различные киберпреступные банды ведут войну из-за веб-сайтов, которые по-прежнему остаются малоизвестным продуктом. Один из элементов этого соперничества сводится к указанию пароля для доступа к файлу подключаемого модуля с именем «connector.minimal.php», который является основной панелью запуска для удаленного выполнения кода в итерациях диспетчера файлов без исправлений.
Другими словами, как только злоумышленники попадают в уязвимую установку WordPress, они блокируют использование уязвимого компонента другими злоумышленниками, которые также могут иметь бэкдорный доступ к тому же сайту.Говоря об этом, аналитики наблюдали попытки взлома веб-сайтов с помощью ошибки плагина File Manager, исходящие от колоссальных 370 000 различных IP-адресов.
Конструктор страниц
Плагин WordPress для компоновщика страниц от SiteOrigin установлен более миллиона раз. В начале мая поставщик услуг безопасности Wordfence сделал обескураживающее открытие: этот чрезвычайно популярный компонент WordPress подвержен ряду уязвимостей, связанных с подделкой межсайтовых запросов (CSRF), которые можно использовать для получения повышенных привилегий на сайте.
Ошибочные функции плагина «Live Editor» и «builder_content» позволяют злоумышленнику зарегистрировать новую учетную запись администратора или открыть бэкдор для доступа к уязвимому сайту по своему желанию. Если хакер достаточно компетентен, он может воспользоваться этой уязвимостью для захвата сайта.
SiteOrigin выпустил исправление в течение дня после уведомления об этих недостатках. Однако проблема будет ощущаться повсюду, пока веб-мастера не применит патч — к сожалению, обычно это занимает довольно много времени.
GDPR Согласие на использование файлов cookie
Этот плагин является одним из самых мощных в экосистеме WordPress, он установлен и активно используется более чем на 800 000 сайтов. Он позволяет веб-мастерам соблюдать Общие правила защиты данных (GDPR) Европейского Союза с помощью настраиваемых уведомлений о политике в отношении файлов cookie.
В январе прошлого года эксперты по безопасности обнаружили, что GDPR Cookie Consent версии 1.8.2 или более ранней были подвержены серьезной уязвимости, которая позволяла злоумышленникам выполнять межсайтовые сценарии (XSS) и атаки с повышением привилегий.
Ошибка прокладывает путь хакеру к изменению, публикации или удалению любого контента на уязвимом веб-сайте WordPress даже с разрешениями подписчика. Другой неблагоприятный сценарий сводится к внедрению вредоносного кода JavaScript, который может вызывать перенаправления или показывать посетителям нежелательную рекламу. Хорошей новостью является то, что разработчик, WebToffee, выпустил исправленную версию 10 февраля.
Дубликатор
Duplicator входит в список 100 лучших плагинов WordPress с более чем одним миллионом активных установок и в общей сложности 20 миллионами загрузок.Его основная функция — это перенос или клонирование сайта WordPress из одного места в другое. Кроме того, это позволяет владельцам сайтов легко и безопасно создавать резервные копии своего контента.
В феврале аналитики безопасности Wordfence выявили уязвимость, позволяющую злоумышленнику загружать произвольные файлы с сайтов, на которых работает Duplicator версии 1.3.26 и старше. Например, злоумышленник может использовать эту ошибку, чтобы загрузить содержимое файла «wp-config.php», который, помимо прочего, содержит учетные данные администратора сайта.К счастью, уязвимость была исправлена через два дня после того, как поставщику было сообщено об уязвимости.
Site Kit от Google
Серьезная ошибка в Site Kit от Google, плагине, активно используемом более чем на 700 000 сайтов, позволяет злоумышленнику захватить связанную с ним консоль поиска Google и нарушить присутствие сайта в Интернете. Получая несанкционированный доступ владельца через эту уязвимость, злоумышленник может изменять карты сайта, исключать страницы из результатов поиска Google, внедрять вредоносный код и организовывать мошенничество с использованием черной шляпы SEO.
Одним из аспектов этой лазейки является то, что плагин имеет грубую имплантацию проверки ролей пользователя. В довершение всего, он предоставляет URL-адрес, используемый Site Kit для связи с Google Search Console. В совокупности эти недостатки могут подпитывать атаки, ведущие к эскалации привилегий и сценариям после эксплуатации, упомянутым выше.
Уязвимость была обнаружена Wordfence 21 апреля. Хотя автор плагина выпустил обновленную версию (Site Kit 1.8.0) 7 мая, в настоящее время он установлен только на 12,9% (около 90 000) сайтов WordPress, на которых работает Site Kit. Поэтому сотни тысяч владельцев сайтов еще не применили его, чтобы оставаться в безопасности.
Клиент InfiniteWP
Этот плагин имеет более 300 000 активных установок по одной причине: он позволяет владельцам сайтов управлять несколькими сайтами со своего собственного сервера. Обратной стороной использования этих льгот является то, что злоумышленник может обойти аутентификацию с помощью критической уязвимости, обнаруженной WebARX в январе.
Чтобы запустить такую атаку, хакер может использовать глючные функции клиента InfiniteWP, называемые «add_site» и «readd_site». Поскольку у этих объектов не было надлежащих элементов управления аутентификацией, злоумышленник мог использовать специально созданную полезную нагрузку в кодировке Base64 для входа в панель администратора WordPress без необходимости вводить действительный пароль. Для доступа достаточно имени администратора. Обновление, устраняющее эту уязвимость, пришло на следующий день после обнаружения.
Что с этим делать
Плагины
расширяют функциональность сайта WordPress, но могут быть смешанными. Даже самые популярные плагины WordPress могут иметь недостатки, которые допускают различные виды нечестной игры, ведущие к захвату сайта и краже данных.
Хорошая новость в том, что авторы плагинов быстро реагируют на эти недостатки и выпускают исправления. Однако эти обновления бесполезны, если владельцы сайтов не сделают свою домашнюю работу и не соблюдают безопасные методы.
Следующие советы помогут вам не допустить, чтобы ваш сайт WordPress превратился в малоизвестный плод:
- Применить обновления . Это основная мера противодействия взломам WordPress. Убедитесь, что на вашем сайте установлена последняя версия ядра WordPress. Не менее важно установить обновления для своих плагинов и тем, как только они будут выпущены.
- Используйте надежные пароли . Укажите пароль, который выглядит как можно более случайным и состоит не менее чем из 10 символов.Включите специальные символы, чтобы поднять планку для злоумышленников, которые могут попытаться подобрать ваши данные аутентификации.
- Следуйте принципу минимальных привилегий . Не давайте авторизованным пользователям больше разрешений, чем им нужно. Роли администратора или редактора могут быть избыточными для некоторых пользователей. Если привилегий подписчика или участника достаточно, придерживайтесь их.
- Ограничить прямой доступ к файлам PHP . Хакеры могут отправлять специально созданные запросы HTTP или GET / POST к PHP-компонентам ваших плагинов и тем, чтобы обойти механизмы аутентификации и проверки ввода.Чтобы избежать этих атак, укажите правила, которые запускают страницу с ошибкой при таких попытках.
- Удалить неактивных пользователей . Просмотрите список пользователей, зарегистрированных на вашем сайте, и удалите неактивные учетные записи.
- Отключить перечисление пользователей . Чтобы злоумышленники не просматривали список пользователей вашего сайта и не пытались воспользоваться ошибками в их конфигурации, перейдите в файл .htaccess и отключите там функцию перечисления пользователей.
- Добавить плагин безопасности .Убедитесь, что плагин поставляется с брандмауэром веб-приложений (WAF), который отслеживает подозрительный трафик и блокирует целевые атаки, совмещающие известные уязвимости и уязвимости нулевого дня.
Также имейте в виду, что осведомленность — это половина дела, поэтому неплохо быть активным веб-мастером и быть в курсе отчетов об ошибках, выпускаемых Wordfence и аналогичными ресурсами в сфере безопасности.
Читать дальшеКак нейтрализовать угрозы квантовой безопасности
Как очистить взломанный сайт WordPress с помощью Wordfence
Если ваш сайт был взломан, Don’t Panic.
В этой статье описывается, как очистить ваш сайт, если он был взломан и заражен вредоносным кодом, бэкдорами, спамом, вредоносными программами или другими неприятностями. Эта статья была обновлена 27 августа 2019 г. и добавлены дополнительные ресурсы, помогающие избавиться от определенных типов инфекций. Эта статья написана Марком Маундером, основателем Wordfence. Я также являюсь аккредитованным исследователем безопасности, разработчиком WordPress, и я владею и управляю многими собственными веб-сайтами на WordPress, включая этот.Даже если вы не используете WordPress, в этой статье есть несколько инструментов, которые можно использовать, чтобы очистить свой сайт от инфекции.
Если вы используете WordPress и вас взломали, вы можете использовать Wordfence для очистки большей части вредоносного кода с вашего сайта. Wordfence позволяет сравнивать ваши взломанные файлы с исходными файлами ядра WordPress, а также с исходными копиями тем и плагинов WordPress в репозитории. Wordfence позволяет вам увидеть, что изменилось, и дает вам возможность восстанавливать файлы одним щелчком мыши и выполнять другие действия.
Если вы подозреваете, что вас взломали, сначала убедитесь, что вы действительно были взломаны. Иногда администраторы сайтов в панике связываются с нами, думая, что их взломали, когда их сайт просто плохо себя ведет, происходит сбой при обновлении или возникает какая-то другая проблема. Иногда владельцы сайтов могут видеть спамерские комментарии и не отличить их от взлома.
Ваш сайт был взломан, если:
- Вы видите, что в верхнем или нижнем колонтитуле вашего сайта появляется спам, содержащий рекламу таких вещей, как порнография, наркотики, незаконные услуги и т. Д.Часто он будет вставлен в содержимое вашей страницы, не задумываясь о его презентации, поэтому он может выглядеть как темный текст на темном фоне и быть не очень заметным для человеческого глаза (но поисковые системы могут его видеть).
- Вы выполняете поиск site: example.com (замените example.com своим сайтом) в Google и видите страницы или контент, которые вы не узнаете и которые выглядят вредоносными.
- Вы получаете сообщения от ваших пользователей о том, что они перенаправляются на вредоносный или рассылающий спам веб-сайт.Обратите на них особое внимание, потому что многие взломы обнаруживают, что вы являетесь администратором сайта, и не покажут вам спам, а только покажут спам вашим посетителям или сканерам поисковых систем.
- Вы получаете сообщение от вашего хостинг-провайдера о том, что ваш сайт делает что-то злонамеренное или рассылает спам. Например, если ваш хост сообщает вам, что он получает сообщения о спаме, содержащем ссылку на ваш веб-сайт, это может означать, что вас взломали. В этом случае хакеры рассылают откуда-то спам и используют ваш веб-сайт в качестве ссылки для перенаправления людей на принадлежащий им веб-сайт.Они делают это, потому что включение ссылки на ваш веб-сайт позволит избежать спам-фильтров, в то время как включение ссылки на их собственный веб-сайт попадет в спам-фильтры.
- Wordfence обнаруживает многие из этих и других проблем, о которых я здесь не упоминал, поэтому обращайте внимание на наши предупреждения и реагируйте соответствующим образом.
Как только вы убедитесь, что вас взломали, немедленно создайте резервную копию своего сайта. Используйте FTP, систему резервного копирования вашего хостинг-провайдера или плагин резервного копирования, чтобы загрузить копию всего вашего веб-сайта.Причина, по которой вам нужно это сделать, заключается в том, что многие хостинг-провайдеры немедленно удаляют весь ваш сайт , если вы сообщаете, что он был взломан, или если они обнаруживают вредоносный контент. Звучит безумно, но в некоторых случаях это стандартная процедура для предотвращения заражения других систем в их сети.
Убедитесь, что вы также создали резервную копию базы данных вашего веб-сайта. Резервное копирование файлов и базы данных должно быть вашим первым приоритетом. Сделав это, вы можете спокойно переходить к следующему этапу очистки своего сайта, зная, что у вас есть хотя бы копия взломанного сайта и вы не потеряете все.
Вот правила дорожного движения при уборке вашего участка:
- Обычно вы можете удалить что-нибудь в каталоге wp-content / plugins /, и вы не потеряете данные и не сломаете свой сайт. Причина в том, что это файлы плагинов, которые вы можете переустановить, и WordPress автоматически определит, удалили ли вы плагин, и отключит его. Просто убедитесь, что удалили целые каталоги в wp-content / plugins, а не только отдельные файлы. Например, если вы хотите удалить плагин Wordfence, вы должны удалить wp-content / plugins / wordfence и все в этом каталоге, включая сам каталог.Если вы удалите только несколько файлов из плагина, вы можете оставить свой сайт неработоспособным.
- Обычно у вас есть только один каталог тем, который используется для вашего сайта в каталоге wp-content / themes. Если вы знаете, что это за каталог, вы можете удалить все остальные каталоги тем. Будьте осторожны, если у вас есть «дочерняя тема». вы можете использовать два каталога в wp-content / themes.
- В каталоги wp-admin и wp-includes очень редко добавляются новые файлы. Поэтому, если вы обнаружите что-то новое в этих каталогах, с высокой вероятностью будет вредоносным.
- Остерегайтесь старых установок WordPress и резервных копий. Мы часто видим зараженные сайты, когда кто-то говорит: «Но я постоянно обновлял свой сайт и установил плагин безопасности, так почему меня взломали?» Иногда случается, что вы или разработчик создаете резервную копию всех файлов вашего сайта в подкаталоге, например / old /, который доступен из Интернета. Эта резервная копия не поддерживается, и даже несмотря на то, что ваш основной сайт безопасен, хакер может проникнуть туда, заразить его и получить доступ к вашему основному сайту из установленного им бэкдора.Таким образом, никогда не оставляет старые установки WordPress лежащими рядом с , и если вас взломают, сначала проверьте их, потому что, вероятно, они полны вредоносных программ.
Если у вас есть SSH-доступ к вашему серверу, войдите в систему и выполните следующую команду, чтобы увидеть все файлы, которые были изменены за последние 2 дня. Обратите внимание, что точка указывает текущий каталог. Это приведет к тому, что приведенная ниже команда будет искать в текущем каталоге и всех подкаталогах недавно измененные файлы. (Чтобы узнать, какой у вас текущий каталог в SSH, введите «pwd» без кавычек).
найти. -mtime -2 -ls
Или вы можете указать конкретный каталог:
найти / home / yourdirectory / yoursite / -mtime -2 -ls
Или вы можете изменить поиск, чтобы отображать файлы, измененные за последние 10 дней:
найти / home / yourdirectory / yoursite / -mtime -10 -ls
Мы предлагаем вам выполнить поиск, указанный выше, и постепенно увеличивать количество дней, пока вы не начнете видеть измененные файлы. Если вы сами ничего не меняли с тех пор, как вас взломали, очень вероятно, что вы увидите файлы, которые изменил хакер.Затем вы можете отредактировать их самостоятельно, чтобы очистить взлом. Это, безусловно, самый эффективный и простой способ узнать, какие файлы были заражены, и его используют все профессиональные службы очистки сайтов.
Еще один полезный инструмент в SSH — grep. Например, для поиска файлов, содержащих base64 (обычно используемый хакерами), вы можете выполнить следующую команду:
grep -ril base64 *
Это просто список имен файлов. Вы можете опустить опцию «l», чтобы увидеть фактическое содержимое файла, в котором встречается строка base64:
grep -ri base64 *
Имейте в виду, что «base64» также может встречаться в легитимном коде.Прежде чем что-либо удалять, убедитесь, что вы не удаляете файл, который используется темой или плагином на вашем сайте. Более точный поиск может выглядеть так:
grep --include = *. Php -rn. -e "base64_decode"
Эта команда рекурсивно ищет во всех файлах, которые заканчиваются на .php, строку «base64_decode» и печатает номер строки, чтобы вам было легче найти контекст, в котором эта строка встречается.
Теперь, когда вы знаете, как использовать «grep», мы рекомендуем вам использовать grep в сочетании с «find».Что вам нужно сделать, так это найти файлы, которые были недавно изменены, посмотреть, что было изменено в файле, и если вы найдете обычную строку текста, такую как «здесь был плохой хакер», то вы можете просто выполнить grep во всех своих файлах для этого текста следующим образом:
grep -irl «здесь был плохой хакер» *
, и вы увидите все зараженные файлы, содержащие текст «здесь был плохой хакер».
Если вы очистите много зараженных сайтов, вы начнете замечать закономерности, в которых обычно находится вредоносный код. Одним из таких мест является каталог загрузок в установках WordPress.Приведенная ниже команда показывает, как найти все файлы в каталоге загрузок, которые НЕ являются файлами изображений. Вывод сохраняется в файле журнала с именем «uploads-non-binary.log» в вашем текущем каталоге.
найти public_html / wp-content / uploads / -type f -not -name "* .jpg" -not -name "* .png" -not -name "* .gif" -not -name "* .jpeg"> uploads-non-binary.log
Используя два простых инструмента командной строки «grep» и «find», вы можете очистить зараженный веб-сайт целиком. Как это просто! Бьюсь об заклад, на этом этапе вы готовы начать свой собственный бизнес по очистке сайтов.
Теперь, когда в вашем арсенале есть несколько мощных инструментов и вы уже выполнили базовую очистку, давайте запустим Wordfence и проведем полное сканирование, чтобы очистить свой сайт. Этот шаг важен, потому что Wordfence выполняет очень продвинутый поиск инфекций. Например:
- Мы знаем, как должны выглядеть все основные файлы WordPress, темы с открытым исходным кодом и плагины с открытым исходным кодом, поэтому Wordfence может определить, заражен ли один из ваших исходных файлов , даже если это новая инфекция, которую никто никогда раньше не видел.
- Мы ищем сигнатуры инфекций с использованием сложных регулярных выражений, и наша база данных известных инфекций постоянно обновляется. Вы не можете сделать это с помощью простых инструментов командной строки unix или cPanel.
- Мы ищем URL-адреса вредоносных программ с помощью списка безопасного просмотра Google.
- Мы используем множество других источников данных, например SpamHaus, для поиска вредоносных программ и инфекций в вашей системе.
Как очистить взломанный сайт с помощью Wordfence:
- Обновите свой сайт до последней версии WordPress.Если вы используете версию WordPress до WordPress 5.x.x, то мы рекомендуем вам прочитать эту статью перед обновлением до последней версии WordPress.
- Обновите все свои темы и плагины до новейших версий.
- Измените все пароли на сайте, особенно пароли администратора.
- Сделайте еще одну резервную копию и сохраните ее отдельно в резервной копии, которую мы рекомендовали вам сделать выше. Теперь у вас есть зараженный сайт, но на нем установлена последняя версия всего.Если вы что-нибудь сломаете при очистке сайта с помощью Wordfence, вы можете вернуться к этой резервной копии, и вам не нужно будет повторять все шаги, описанные выше.
- Перейдите на страницу сканирования Wordfence.
Щелкните ссылку «Параметры и расписание сканирования». Включите опцию сканирования «Высокая чувствительность». Если сканирование занимает слишком много времени или не завершается, разверните раздел «Общие параметры». Отмените выбор параметров «Проверять файлы вне вашей установки WordPress» и «Проверять изображения, двоичные и другие файлы, как если бы они были исполняемыми». Сохраните изменения и попробуйте новое сканирование. - Когда появятся результаты, вы можете увидеть очень длинный список зараженных файлов. Не торопитесь и медленно просмотрите список.
- Изучите все подозрительные файлы и либо отредактируйте их вручную, чтобы очистить их, либо удалите файл. Помните, что отменить удаления нельзя. Но если вы сделали резервную копию, которую мы рекомендовали выше, вы всегда можете восстановить файл, если удалите не то.
- Посмотрите на все измененные файлы ядра, темы и плагинов.Используйте параметр Wordfence, чтобы увидеть, что изменилось между исходным файлом и вашим файлом. Если изменения выглядят вредоносными, воспользуйтесь функцией Wordfence для восстановления файла.
- Медленно перемещайтесь по списку, пока он не станет пустым.
- Запустите еще одно сканирование и убедитесь, что ваш сайт чист.
- Если вам все еще нужна помощь, мы предлагаем коммерческую услугу по уборке сайта. Вы можете узнать больше, отправив электронное письмо по адресу [email protected] с темой «Платная уборка сайта».
Отправьте его нам по электронной почте по адресу samples @ wordfence.com, и мы сообщим вам. Если ваш файл конфигурации WordPress wp-config.php заражен, не отправляйте нам копию этого файла, предварительно не удалив учетные данные для доступа к базе данных, а также уникальные ключи и соли аутентификации.
Если вы не получили ответа, возможно, ваша почтовая система или наша система отказались от сообщения, считая его вредоносным из-за вашего вложения. Поэтому, пожалуйста, отправьте нам сообщение без вложения, чтобы сообщить нам, что вы пытаетесь отправить нам что-то, и мы постараемся помочь вам в этом.
В Учебном центре Wordfence есть ряд статей, которые помогут вам. Вот список статей, которые помогут вам с определенными типами инфекций:
Вам необходимо удалить свой сайт из списка безопасного просмотра Google. Прочтите этот документ Google о том, как очистить свой сайт. Вот шаги:
- Первый вход в Инструменты Google для веб-мастеров.
- Добавьте свой сайт, если вы еще этого не сделали.
- Подтвердите свой сайт, следуя инструкциям Google.
- На главной странице Инструментов для веб-мастеров выберите свой сайт.
- Щелкните Состояние сайта , а затем щелкните Вредоносное ПО .
- Щелкните Запросить обзор .
Выход из списка безопасного просмотра Google — это большой шаг, но, возможно, вам еще предстоит поработать. Вам необходимо вести список всех антивирусных продуктов, которые говорят о заражении вашего сайта. Сюда могут входить такие продукты, как антивирус ESET, McAfee’s Site Advisor и другие. Посетите веб-сайты каждого производителя антивируса и найдите их инструкции по удалению вашего сайта из их списка опасных сайтов.Производители антивирусов часто называют это «белым списком», поэтому поиск в Google таких терминов, как «белый список», «удаление сайта», «ложное срабатывание» и название продукта обычно приводит вас к месту, откуда вы можете удалить свой сайт.
Перейдите по следующему URL-адресу и замените example.com адресом своего сайта.
http://www.google.com/safebrowsing/diagnostic?site=http://example.com/
Вы можете включить подкаталог, если он есть на вашем сайте. Появившаяся страница очень проста, но содержит подробную информацию о текущем статусе вашего сайта, почему он внесен в список вредоносных программ или фишинга Google (список безопасного просмотра Google состоит из двух списков) и что делать дальше.
Поздравляю, если вам удалось очистить свой сайт. Теперь вам нужно убедиться, что его снова не взломают. Вот как:
- Установите Wordfence и регулярно просматривайте свой сайт WordPress.
- Убедитесь, что WordPress и все плагины и темы обновлены. Это самая важная вещь, которую вы можете сделать для защиты своего сайта.
- Убедитесь, что вы используете надежные пароли, которые сложно угадать.
- Избавьтесь от всех старых установок WordPress, лежащих на вашем сервере.
- Подпишитесь на нашу рассылку предупреждений о безопасности, чтобы получать уведомления о важных обновлениях безопасности, связанных с WordPress.
- Аутентифицируйте свой сайт в Wordfence Central, чтобы упростить управление безопасностью вашего сайта.
Ваш сайт WordPress взломали? Не паникуйте и выполните следующие действия.
(Последнее обновление: 11 января 2021 г.)
WordPress — самый популярный в мире способ создания веб-сайтов. Из 10 миллионов сайтов в Интернете почти 30% работают на WordPress.Неудивительно, что компания, стоящая за WordPress, то есть Automattic, имеет высококвалифицированную и опытную команду программистов, которая называется «WordPress Core Team». Эти ведущие мировые эксперты отвечают за защиту основного программного обеспечения WordPress от хакеров и вредоносных атак.
Как вы знаете, вы можете устанавливать в WordPress различные темы и плагины для расширения функциональности вашего сайта. В некоторых редких случаях есть вероятность, что одна из ваших тем или плагинов может иметь лазейку в безопасности, которую хакеры могут использовать для доступа к вашему сайту.Фактически, более 50% атак в WordPress происходят через плагины.
В этом сообщении блога мы расскажем вам о признаках, по которым можно узнать, был ли взломан ваш веб-сайт WordPress. Кроме того, мы расскажем о некоторых стратегиях защиты вашего веб-сайта от взлома, о том, какие шаги предпринять, если он был взломан, и о том, какие меры вы можете предпринять для предотвращения атак в будущем.
Поскольку большинство шагов, описанных в этой статье, можно выполнить бесплатно, мы рекомендуем вам ознакомиться с каждым советом, которым мы поделились, и реализовать его на своем веб-сайте WordPress сегодня.
Приступим…
5 признаков взлома вашего сайта WordPress
Когда ваш сайт WordPress взломают, вы, вероятно, сразу узнаете об этом. Но вы также можете не осознавать этого довольно долгое время. Итак, вот 5 основных признаков, на которые следует обратить внимание, чтобы узнать, действительно ли ваш сайт WordPress был взломан.
1. Вы не можете войти в систему
Это очевидно. Если вы не можете войти в свою панель управления WordPress, это означает, что вас взломали (если только ваш коллега не разыграл вас).Для этого может быть много причин, но главная причина, по которой это происходит, заключается в том, что ваше имя пользователя является одним из следующих:
- админ
- Администратор
- администратор
- тест
- корень
Если это ваш случай, немедленно измените свое имя пользователя, поскольку учетные записи WordPress с такими именами часто становятся целью хакеров.
2. Вы столкнулись с резким падением трафика
Если ваш веб-сайт работал очень хорошо, а теперь у него внезапное падение трафика, скорее всего, ваш сайт WordPress был взломан.Это потому, что злоумышленники создают бэкдор в вашей файловой системе WordPress и заменяют код своими собственными скриптами и файлами.
Таким образом, они перенаправляют трафик, приходящий на ваш сайт, в другие места, где рассылается спам, крадут личную информацию входящих посетителей и другими способами сеют хаос.
Кроме того, как только Google обнаруживает, что ваш сайт заражен и ведет себя некорректно, он заносит ваш сайт в черный список из поисковой системы, пока вы не защитите свой сайт.
Все это приводит к внезапному падению трафика.
3. Ваша домашняя страница подверглась вандализму
Большинство хакеров действуют в секрете, но некоторые хакеры любят заявлять о себе, когда успешно взламывают веб-сайт. Если ваша домашняя страница подверглась вандализму, и вы четко видите имя хакера или какое-либо объявление о том, что ваш сайт был взломан, вам необходимо действовать немедленно.
Причина, по которой это происходит в основном, заключается в том, что хакеры хотят удержать ваш сайт в заложниках в обмен на деньги или другое требование.
4. Вы видите всплывающие окна и другую рекламу, которую не размещали там
Если вы видите, что ваш сайт WordPress стал медленным и не отвечает, а теперь на нем появляются всплывающие окна, боковая панель и другие виды рекламы, это может быть верным признаком того, что ваш сайт был взломан.
Обычно такие взломы не выполняются хакерами.
Скорее, это автоматическая атака, которая проникла в вашу основную систему WordPress либо через слабо защищенную тему, либо через небезопасный плагин.
Что делает этот вид взлома гениальным (и опасным), так это тот факт, что реклама не будет отображаться для зарегистрированных пользователей или пользователей, которые имеют доступ к вашему сайту напрямую. Скорее всего, реклама будет отображаться только для тех посетителей, которые приходят на ваш сайт через Google или другой реферальный сайт.
Это может сделать практически невозможным узнать, что ваш сайт взламывали в течение длительного времени.
Кроме того, реклама приводит ваших посетителей на сайты со спамом, что может нанести ущерб не только вашему сайту и его трафику, но и вашей репутации.
5. Необычная активность в журналах вашего сервера
Если есть один чрезвычайно эффективный способ узнать, взломан ли ваш сайт, — это посмотреть журналы вашего сервера.
Они расположены в вашей cPanel, к которой можно получить доступ, войдя в свою учетную запись хостинга. В cPanel под статистикой вы найдете два вида журналов:
- Журналы доступа: эти журналы показывают, кто с какого IP обращался к вашему WordPress.
- Журналы ошибок: эти журналы показывают, какие ошибки произошли во время модификации ваших системных файлов WordPress.
Используя информацию из журналов вашего сервера, вы можете понять, был ли взломан ваш сайт WordPress. А поскольку в этих журналах также хранятся записи обо всех IP-адресах, используемых для доступа к вашему веб-сайту, вы можете занести в черный список или заблокировать те IP-адреса, которые не относятся к вашему местоположению или неизвестны.
Какие шаги вам следует предпринять?
Ваш сайт WordPress может быть взломан, если вы не предпримете серьезных шагов для повышения безопасности своего сайта.И даже если он будет взломан, все же рекомендуется принять меры, чтобы это больше никогда не повторилось.
В этом разделе мы обсудим, какие превентивные меры вы должны предпринять как до взлома вашего сайта WordPress, так и после его восстановления.
Что нужно сделать, прежде чем ваш сайт WordPress будет взломан
Давайте начнем с того, что сначала рассмотрим меры предосторожности, которые вы должны предпринять, чтобы хакеры не взломали ваш сайт WordPress.
1. Обновите WordPress до последней версии.
По данным WordPress, только на 64,9% сайтов установлена последняя версия WordPress, а на 36,1% сайтов нет. Поскольку WordPress поддерживает миллионы и миллионы веб-сайтов, это представляет серьезную угрозу безопасности для значительного их числа.
Причина, по которой так много веб-сайтов не обновляется, заключается в сбивающей с толку системе обновления WordPress.
Видите ли, WordPress выпускает второстепенные и основные выпуски своего программного обеспечения.Например, сейчас последняя версия WordPress 4.9.8.
Если в будущем они выпустят небольшое обновление, например 4.9.9, программное обеспечение обновится автоматически. Но если они выпустят крупное обновление, скажем, 5.0., Вам придется вручную обновить программное обеспечение самостоятельно, войдя в панель управления WordPress.
Многие люди не могут обновить свой WordPress до последней версии, потому что они не знают об этом или забывают об этом. Это подвергает их множеству угроз безопасности, поскольку каждое новое обновление содержит новые исправления ошибок и патчи безопасности.
2. Всегда создавать резервные копии.
Хотя многие люди осознают важность резервного копирования своих веб-сайтов, к сожалению, большинство из них на самом деле этого не делают.
Независимо от того, сколько мер безопасности вы предпримете, ваш сайт WordPress может быть взломан. И как только ваш сайт будет заражен хакерами, внедрившими свой вредоносный код и файлы, есть шанс, что ваш сайт больше не сможет вернуться к своему прежнему состоянию.
В этом случае абсолютно необходимо иметь последнюю резервную копию вашего сайта. Для этого вы можете использовать ряд известных плагинов WordPress, таких как BackupBuddy и Jetpack, оба из которых имеют разные планы оплаты в зависимости от требований. Jetpack входит в состав оптимизированных планов WordPress для HostPapa.
3. Установите лучшие плагины безопасности WordPress.
В целом WordPress чрезвычайно безопасен. Но многие плагины и модные темы, которые вы устанавливаете на него, не работают.Они обеспечивают шлюз внутри вашего веб-сайта, который ищут хакеры. Прежде чем вы это узнаете, ваш сайт взломан и внесен в черный список Google.
По этой причине важно регулярно проверять свои сайты WordPress на наличие вредоносных программ и других вредоносных форм кода. Кроме того, не менее важно активно отслеживать свой веб-сайт на предмет любых входящих угроз.
Для этого необходимо установить плагин безопасности WordPress.
На данный момент два лучших плагина в этом отношении — Wordfence или Sucuri.Оба обеспечивают отличные функции безопасности, такие как запланированное сканирование вредоносных программ, мониторинг IP в реальном времени, обнаружение спама и многое другое. У обоих этих плагинов безопасности есть разные планы, на которые вы можете подписаться, и ни один из них не стоит больше 200 долларов в год, чтобы вы начали.
Действия, которые необходимо предпринять после взлома вашего сайта WordPress
Если ваш сайт WordPress был взломан, не паникуйте и выполните следующие действия, чтобы вернуть его в нормальное состояние.
1.Получите резервную копию своего сайта.
Первый шаг, который вы должны сделать после взлома вашего сайта, — это поискать любые резервные копии вашего сайта. Если ваша резервная копия хранилась на том же сервере, что и ваш веб-сайт, весьма вероятно, что резервной копии там больше нет или она была повреждена. Вот почему никогда не стоит хранить резервную копию вашего сайта в том же месте, где вы храните свой сайт WordPress.
Есть три вероятных места, где у вас может быть резервная копия вашего веб-сайта WordPress:
- Внутри вашего плагина резервного копирования WordPress. Если вы установили плагин резервного копирования WordPress, скорее всего, они сохранили резервную копию вашего сайта в собственном облачном сервисе или в облачном сервисе, таком как Google Диск или Dropbox.
- В личном кабинете в облаке . Проверьте свой Google Диск, Dropbox или другие облачные сервисы, если у вас есть резервная копия вашего веб-сайта вручную, которую вы, возможно, разместили там сами.
- У вашего хостинг-провайдера. Если вы не инвестировали в плагин резервного копирования WordPress или поленились создавать резервные копии своего веб-сайта вручную, последняя ставка — обратиться к своему хостинг-провайдеру, поскольку весьма вероятно, что они также регулярно создают резервную копию вашего веб-сайта на своем сервере.
Если вам удастся найти резервную копию в одном из этих мест, все готово. Все, что вам нужно сделать, это восстановить свой веб-сайт либо вручную, либо с помощью одного из плагинов, в котором вы создали резервную копию, либо попросив об этом вашего хостинг-провайдера.
2. Удалите все неиспользуемые / устаревшие темы и плагины.
Как мы уже упоминали выше, темы и плагины — один из самых простых способов получить доступ к вашему сайту хакерам. Чем больше у вас ненужных и неиспользуемых плагинов, тем более уязвимым вы оставляете свой сайт для ничего не подозревающих атак.
Вот почему при восстановлении резервной копии вы должны выполнить три важных шага:
- Первое, что вам нужно сделать, это просмотреть список плагинов и тем, которые у вас есть, и удалить те, которые вы давно не использовали, особенно деактивированные.
- Еще одна важная вещь, которую вы должны сделать, — это обратить внимание на плагины и темы, которые не обновлялись долгое время. Поскольку чем дольше тема или плагин остаются без обновления, тем больше дыр в безопасности они оставляют в вашем сервере WordPress.
- Последнее, что вам нужно проверить, это то, использует ли ваш сайт бесплатную тему или нет. Если вы используете бесплатную тему, рассмотрите возможность обновления до платной версии или другой платной темы, поскольку они обеспечивают лучшую безопасность вашего сайта WordPress.
Многие люди считают, что, поскольку они отключили плагин или тему, они не могут нанести вред их серверной части WordPress. Но это совершенно неверно. Плагин, даже если он деактивирован, по-прежнему установлен на вашем сервере и занимает место, что означает, что хакеры все еще могут получить к нему доступ.
И, наконец, как только вы удалите все ненужные плагины и темы, обновите те, которые вы планируете сохранить, до их последних версий.
3. Обновите все свои имена пользователей и пароли.
И последнее, что вам нужно сделать, это обновить имя пользователя и пароль WordPress. Поскольку ваш сайт WordPress был недавно взломан, это хорошая идея, поскольку это лучший способ защитить себя от будущих атак.
Вот что вы можете сделать, чтобы укрепить свою регистрационную информацию WordPress:
- Часто меняйте пароль для входа в WordPress каждые несколько недель.
- Прекратите использовать имя пользователя по умолчанию, например, «admin» или подобное. Вместо этого используйте уникальное имя пользователя.
- Создайте надежный пароль с помощью такой службы, как LastPass, и сохраните в нем свой пароль для максимальной безопасности.
Эти советы не только применимы к вашей информации для входа в WordPress, они также полезны, если вы хотите обновить свою учетную запись хостинга или пароль учетной записи FTP.
Еще один способ защитить свой веб-сайт от повторных атак — это скрыть каталог «wp-admin» и ограничить количество попыток входа в систему, которые могут быть сделаны для входа в ваш WordPress.Обе эти вещи можно сделать с помощью плагинов WPS Hide Login и WPS Limit Login Attempts.
3 полезных совета, которые вы можете использовать, чтобы защитить свой сайт WordPress от дальнейших атак
«Лучше перестраховаться, чем сожалеть»…
Это предложение почти клише, но в случае WordPress оно не может быть более правдивым. Создание вашего веб-сайта требует много времени, денег и энергии. Но одна простая атака злонамеренного хакера может мгновенно вывести его из строя.
Вот почему, чтобы убедиться, что ничего подобного не произойдет, вот несколько советов, которые вы можете использовать, чтобы сделать свой сайт WordPress более безопасным.
Совет №1: Включите двухфакторную аутентификацию.
Если вы поделились паролем к своему бэкэнду WordPress с несколькими людьми, вам следует включить двухфакторную аутентификацию для каждого из них (включая себя).
Двухфакторная аутентификация гарантирует, что даже если ваши данные для входа в WordPress станут известны кем-то, ни один хакер не сможет войти в вашу панель управления, если вы не знаете, что была предпринята попытка.
Совет № 2: Приобретите брандмауэр и сертификат SSL.
Брандмауэр заблокирует любой подозрительный сетевой трафик от проникновения на ваш сайт WordPress. И даже если на ваш сайт попадет какой-то вредоносный трафик, сертификат SSL зашифрует конфиденциальную информацию на вашем сайте, поэтому никто не сможет получить к нему доступ. Таким образом, ваш сайт будет защищен с обеих сторон.
Чтобы получить сертификат SSL и брандмауэр для своего веб-сайта, вам необходимо подписаться на один из более премиальных планов в составе ваших плагинов безопасности WordPress.А если вы не хотите, вы можете приобрести сертификат SSL у своего хостинг-провайдера отдельно.
Совет № 3: Тщательно выбирайте своего хостинг-провайдера .
Убедитесь, что вы размещаете свой веб-сайт у хорошего хостинг-провайдера. Это потому, что они несут ответственность за безопасность вашего сайта на своих серверах.
Но печальная правда в том, что многие хостинг-провайдеры не могут обеспечить высокий уровень безопасности, необходимый для обеспечения безопасности вашего сайта. По данным WPWhiteSecurity, 41% веб-сайтов были взломаны из-за уязвимости безопасности на платформе, на которой размещался сайт.
Вот почему вам следует провести исследование и выбрать хостинг-провайдера, который имеет хорошую репутацию надежного поставщика услуг и делает все возможное, чтобы защитить ваш сайт на своих серверах.
Приняв эти меры предосторожности и следуя советам и стратегиям, изложенным в этой статье, вы можете быть уверены, что шансы взлома вашего веб-сайта резко снизятся. И даже если его взломают, вы, наконец, можете быть уверены в том, что независимо от того, насколько сильна атака на ваш сайт, вы всегда сможете вернуть ему былую славу.
Ваш сайт когда-нибудь взламывали? Что ты сделал? Расскажите нам в комментариях.
Почему взламывают сайты WordPress и как этого избежать
Взлом — это процесс обнаружения недостатков в системе и их использования для обхода мер безопасности. «Этичные» хакеры используют этот процесс, чтобы узнать о системе и найти ее слабые места. Однако злонамеренный взлом или взлом «черной шляпы» также являются обычным явлением. Его часто используют для взлома веб-сайтов.
Есть много причин, по которым хакеры нацелены на сайты WordPress.Одна из них — это огромная популярность платформы. Зная эти причины, вы лучше поймете, как защитить свой сайт.
В этой статье мы разберем причины, по которым люди взламывают веб-сайты. Затем мы поговорим о том, почему WordPress так сильно нагревается. Давайте поговорим о безопасности WordPress!
Почему люди взламывают веб-сайты
Каждый день взламывают тысячи веб-сайтов. Сайты WordPress составляют непропорционально большой процент этих сайтов, поскольку на них работает более 30% Интернета.
Многие люди думают, что их сайты защищены от атак, потому что они не содержат ценной и конфиденциальной деловой информации. Однако есть много других причин, по которым сайты взламывают, например:
- для распространения вредоносных программ,
- добавление полосы пропускания к бот-сетям, которые часто используются для атак типа «отказ в обслуживании» (DDoS),
- черная шляпа поисковой оптимизации (SEO),
- активизм / хактивизм,
- просто для практики и развлечения.
Дело в том, что ни один веб-сайт не исключен на 100% из-за возможности стать объектом таргетинга.Как только он появится в сети, он будет атакован.
4 причины, по которым сайты WordPress становятся таргетированными
Как будто всех перечисленных выше причин недостаточно, сайты WordPress получают дополнительное внимание со стороны злоумышленников. Давайте поговорим о том, почему это так.
1. WordPress — самая популярная CMS
Как мы упоминали ранее, WordPress поддерживает более 30% Интернета. По состоянию на 2018 год в Интернете было более 1,5 миллиарда веб-сайтов (хотя не все из них были активными). Это означает, что чуть менее трети из них используют WordPress.
В некоторых аспектах это отличная новость. Это означает, что разработка WordPress вряд ли скоро остановится, и у вас всегда будет отличное сообщество, которое поможет вам. Проблема в том, что такая же популярность также означает, что WordPress является эквивалентом джекпота для хакеров.
Представьте на секунду, что кто-то обнаружил уязвимость в популярном плагине WordPress. Как уже случалось в прошлом, такой эксплойт может затронуть миллионы веб-сайтов. Конечно, сами плагины — не единственная проблема, которая подводит нас к следующему пункту.
2. Многим веб-сайтам WordPress не хватает базовой защиты
Есть много способов защитить свой сайт от атак. Хорошая новость заключается в том, что многие передовые методы безопасности не так сложно реализовать, как вы думаете.
Без двухфакторной аутентификации
Взять двухфакторную аутентификацию (2FA). Используя плагин двухфакторной аутентификации WordPress, это можно реализовать за считанные минуты. Кроме того, это резко снижает шансы злоумышленников получить доступ к вашему сайту, даже если они украли учетные данные пользователя.
Не знаком с 2FA? Обратитесь к нашему введению в двухфакторную аутентификацию для WordPress.
Без усиления безопасности и защиты
Точно так же установка и настройка плагина безопасности WordPress не займет много времени. Два наших фаворита, MalCare и Sucuri, включают в себя всевозможные функции, от брандмауэра до сканирования вредоносных программ.
Нет записей и журналов активности
Еще один простой способ обеспечения безопасности WordPress — это ведение журнала активности WordPress.Это позволяет отслеживать практически все, что происходит на вашем сайте, от неудачных попыток входа в систему до изменений в файлах вашего сайта:
Проблема в том, что большинство людей не находят времени, чтобы узнать об основных мерах безопасности WordPress. Они не считают, что их сайт находится под угрозой. Если вы не хотите, чтобы ваш веб-сайт попадал в важную статистику взломов, воспользуйтесь указанными выше рекомендациями по обеспечению безопасности.
3. Слабые пароли широко распространены
Когда дело доходит до обеспечения безопасности веб-сайта WordPress, пароли пользователей WordPress являются первой линией защиты.Если кто-то угадает ваши учетные данные администратора, он получит полные права администратора на вашем веб-сайте — не лучшее место для этого.
Ситуация более неизбежна, чем вы думаете — пользователи всегда используют слабые пароли. Объясните своим пользователям, что такое надежный пароль. Например, сосредоточьтесь на длине, а не на сложном сочетании символов. Длинные пароли сложнее подобрать и взломать. И всегда используйте менеджер паролей, чтобы вам и вашим пользователям не приходилось запоминать длинные пароли.
Внедрение надежных политик паролей WordPress
Точно так же разумно реализовать политику надежных паролей для пользователей вашего веб-сайта.Сделайте это с помощью подключаемого модуля Password Policy Manager, который позволяет настраивать срок действия пароля, историю паролей, сложность пароля и несколько других политик.
Политики надежных паролей — это эффективный способ обеспечить безопасность вашего веб-сайта и научить посетителей использовать безопасные пароли.
4. Использование устаревшего ядра WordPress, плагинов и другого программного обеспечения
Довольно часто устаревшее программное обеспечение имеет уязвимости. Поэтому, когда администраторы WordPress используют устаревшее ядро, плагины, темы и другое программное обеспечение, они открывают дыры в безопасности для использования хакерами.К сожалению, они делают это довольно часто; устаревшее уязвимое программное обеспечение — одна из наиболее частых причин взлома веб-сайтов WordPress.
Злоумышленники это знают. Фактически, у них есть множество бесплатных инструментов и скриптов для сканирования, которые они часто используют для массовой идентификации и эксплуатации уязвимых веб-сайтов WordPress.
Подводя итоги
WordPress невероятно популярен. Он прост в использовании, очень универсален, и с его помощью вы можете создавать потрясающие веб-сайты. Однако обратная сторона заключается в том, что из-за этих положительных моментов WordPress становится мишенью для злых умыслов.Базовые методы обеспечения безопасности могут значительно уменьшить этот негативный эффект.
Давайте вспомним четыре основные причины, по которым веб-сайты WordPress так часто подвергаются атакам:
- Самая популярная CMS в мире.
- Многие веб-сайты WordPress не соблюдают элементарных правил безопасности.
- Использование слабых паролей является обычным явлением.
- Часто используется устаревшее программное обеспечение.
Как это остановить
Чтобы закончить положительный момент, вот несколько советов, которым вы должны следовать, чтобы противостоять вышеуказанным проблемам:
- Используйте плагин брандмауэра / безопасности для веб-сайтов WordPress,
- Установите плагин двухфакторной аутентификации (2FA),
- Вести журнал всего, что происходит на вашем WordPress,
- Установите плагин для обеспечения соблюдения политик надежных паролей,
- Запустить монитор целостности файлов WordPress,
- Сделайте резервную копию вашего сайта WordPress.
Взлом WordPress с помощью атак Man-in-the-Middle
Подробное объяснение того, как злоумышленники используют Man-in-the-Middle (MitM) для взлома веб-сайтов и учетных данных WordPress. Эта статья предназначена только для образовательных целей.
Как и любое другое веб-приложение с формой входа, WordPress отправляет ваше имя пользователя и пароль в HTTP-запросе при входе в систему. По умолчанию HTTP не является зашифрованным протоколом. Это означает, что если ваш веб-сайт WordPress не использует HTTPS, связь между вами и веб-сервером может быть перехвачена.
Хакеры со злым умыслом могут легко перехватить и изменить открытый (незашифрованный) HTTP-трафик вашего веб-сайта WordPress. Естественно, одной из самых интересных частей информации для злоумышленника будут ваши учетные данные администратора WordPress.
Программное обеспечение, используемое для проведения атак Man-in-the-Middle (MitM), свободно и широко доступно. В этой статье будут рассмотрены несколько реальных примеров того, как MitM можно использовать для управления вашим веб-сайтом WordPress. Затем он рекомендует, как лучше от них защититься.
Что такое атака «человек посередине» (MitM)?
Атака «человек посередине» (MitM) — это общий термин для атак, при которых хакер позиционирует себя как посредник между отправителем и получателем. Например, между вашим браузером и веб-сайтом, который вы посещаете. Это позволяет злоумышленнику подслушивать, а во многих случаях также изменять контент по мере его отправки и получения между двумя сторонами. В большинстве случаев, если они захватят учетные данные, они могут войти в систему и взломать ваш сайт WordPress.
Как атакующий попадает в центр?
Атаки типа Man-in-the-Middle (MitM) обычно (не всегда) предполагают, что злоумышленник находится в той же локальной сети (LAN), что и вы. Одна из наиболее распространенных атак MitM включает спуфинг ARP. Мельчайшие подробности спуфинга ARP выходят за рамки этой статьи. Однако в результате успешной атаки с подменой ARP ваш сетевой коммутатор или маршрутизатор будет обманут , думая, что , что машина злоумышленника — это ваша машина, и наоборот.
Результатом этого является то, что вместо того, чтобы каждая сторона отправляла данные друг другу напрямую, они сначала отправляют их злоумышленнику. Чтобы все выглядело нормально, злоумышленник направляет трафик в правильное место назначения. Однако это дает злоумышленнику возможность проверять и даже изменять содержимое передачи.
Взлом веб-сайтов WordPress — кража паролей и учетных данных
Чтобы понять, как могут быть украдены учетные данные WordPress, давайте сначала рассмотрим HTTP-запрос, содержащий отправленные учетные данные с помощью встроенных в браузер инструментов разработчика.
Обратите внимание, что это , а не атака «Человек посередине» (MitM), но это помогает проиллюстрировать, что искать в дальнейшем.
Теперь давайте посмотрим, что увидит злоумышленник при проверке незашифрованного HTTP-трафика. В этом примере мы используем Wireshare — бесплатный и популярный инструмент сетевого анализа.
Кража аутентификационных файлов cookie
Помимо кражи паролей / учетных данных WordPress, злоумышленник также может просто украсть ваш файл cookie аутентификации, чтобы выдать себя за вас.
Как файлы cookie связаны с аутентификацией?
HTTP — это протокол без сохранения состояния. В HTTP сервер не придает особого значения запросам, поступающим через один и тот же сокет TCP. Это означает, что если вы не хотите вводить пароль каждый раз, когда запрашиваете страницу, браузеру необходимо хранить временный токен. Этот токен известен как токен сеанса . Браузер автоматически отправляет этот токен с каждым запросом. К счастью, в браузерах есть для этого встроенный механизм — файлы cookie.Вот почему удаление файлов cookie вашего браузера приведет к выходу из всех веб-сайтов.
Это означает, что злоумышленнику даже не нужен ваш пароль, чтобы выдавать себя за вас. Единственное, что им нужно, — это получить ваш токен сеанса.
И снова та же информация доступна злоумышленнику в Wireshark.
Используя бесплатное расширение браузера, такое как Cookie-Editor, злоумышленник может легко использовать значение украденного файла cookie в своем браузере и начать просматривать страницу администратора WordPress, как и вы.
Защита себя / своего сайта WordPress от атак MitM
Атаки типа Man-in-the-Middle, подобные показанной в этой статье, не требуют больших усилий для злоумышленника. Особенно в общедоступных или плохо защищенных сетях, таких как общедоступный Wi-Fi. К счастью, защитить себя от этих хакерских атак очень просто — не забудьте включить HTTPS на своем веб-сайте WordPress.
HTTPS шифрует трафик между вашим браузером и сервером.Если злоумышленник попытается прочитать содержимое HTTPS-трафика, все, что он увидит, — это бессмысленный, искаженный зашифрованный текст.
Дополнительные меры по усилению безопасности WordPress
Хотя вы, несомненно, должны включить HTTPS на своем веб-сайте в качестве вашего первого приоритета для предотвращения атак Man-in-the-Middle (MitM), ниже приведены передовые практики, когда речь идет о безопасности и усилении защиты WordPress.
- Добавьте двухфакторную аутентификацию (2FA) для повышения безопасности механизма аутентификации вашего веб-сайта WordPress.