Злом wordpress - і до мене добралися
Сьогодні хочу поговорити про злом wordpress. хе хе, зламувати ми нічого не будемо, ми ж чесні люди і заробляємо собі на хліб тільки своїми силами. Так що почнемо з передісторії.
Блог цей я створив вже ось як 8 місяців, давним давно, коли був (хоча за великим рахунком і залишаюся) нубом в сайтобудівництва. Ясна річ, що про захист свого блогу від подвійного проникнення шахраїв я навіть на замислювався. Час минав, блог я розвивав і сам розвивався разом з блогом, осягаючи основи просування сайтів і заробіток в інтернеті. Відвідуваність росла і мене це не могло не радувати. Так що seo плагіни ставте обов'язково.
Але останнім часом мене стало сильно напружувати стрімко зростаюча кількість сторінок в Гуглі. Зараз же воно перевалило вже за 1000, коли як в Яндексі все нормально, 190. Я звичайно ж задумався, що не так і поліз дивитися файл robots.txt, так як було очевидно, що пошукові боти залізли туди, куди їм давним давно це я заборонив. І що я бачу, першим рядком там йде херь типу Allow: / wp-content / uploads /, тобто пошуковим роботам хто - то відкрив доступ в папки завантаження. Ну думаю, не інакше як злом wordpress. зламали мене. Крім усього це я перегорнув проіндексовані сторінки в гуглі і побачив, що приблизно після 200 сторінки починаються зовсім невідомі мені файли якого - то форуму про автомобілі. Тут я зовсім охренел і поліз в папку uploads і що ж я там побачив - величезну купу файлів з розширенням html. Тобто зловмисники зламали мій wordpress блог і створили на моєму блозі свій форум. Ось думаю чому кількість сторінок в гуглі зростає з неймовірною силою, ці виродки постійно додають нові сторінки. Не розумію тільки, навіщо їм це потрібно.
Крім цих файлів я побачив незвичний файл j3.swf, начебто це повинен бути банер, давним давно коли ставив банер від джетсвапа - розширення було саме таке. Але не в цьому суть - я його вирішив перекинути з хостингу до себе на комп і подивитися, шо за звір такий, копіюю і мій Аваст заголосив на весь голос - ААА, Леха, Віруус, шо робити буим? Я йому кажу - гаси його, твою мать. Загалом файл цей я видалив, всі ліві файли в папці аплоадс теж видалив, залишив лише ті, які мої.
І відразу ж приступив до захисту wordpress блогу. Погуглити, інфу знайшов, так що ділюся. Виконав найнеобхідніші речі, хоча способів захисту wordpress блогу безліч.
Отже, в першу чергу встановив плагіни wordpress проти злому адмінки wordpress.
Anti-XSS attack
Плагін корисний, про нього багато написано, обов'язково встановіть, інакше дочекаєтеся.
Login LockDown
Цей плагін запобігає проникненню в адмінку wordpress, у нього є налаштування, типу якщо з 3 раз не зайшов, то тобі блокують доступ взагалі. Ви можете поставити стільки спроб, також час разлогініванія. Налаштування плагіна зрозумілі і гнучкі, обов'язково встановлюємо.
Якщо зловмисники знають вашу версію wordpress, то ламати вас їм легше в 100500 раз, так що необхідно стерти всю інформацію про вашу версії движка. Так що стираємо файли licence.txt і readme.txt, вони вам абсолютно не потрібні, а ось ублюдками допоможуть обов'язково. Стираємо дані файли з кореневої папки вашого блогу, зазвичай ця папка public.html.
Ну і міняєте свої логіни і паролі для входу в адмінку wordpress. у мене стояв пароль, які мені прийшов в листі, коли я тільки встановив wordpress на блог. Я його і не міняв, а даремно виявляється.
Крім цих дій професіонали рекомендують ще купу маніпуляцій, я ж вирішив на цьому поки що зупинитися. Подивимося на результати.
Заодно налаштував бекапи блогу, тому що стало страшно - адже так можна і блог втратити, це стільки роботи. Плагін wordpress database backup - автоматично генерує бекапи за розкладом і зберігає їх на хостинг або на пошту, як налаштуєте. Я налаштував, щоб отримувати бекапи кожен день на пошту. Так що тепер все в поряде.
Отже, раптовий апдейт поста. Ще 2 моїх вордпресс блогу зламані, причому вони розташовуються на різних хостингах, так що варіант з тим, що зламали хостинг - відпадає. Зайшов по фтп на другий блог і побачив файл index1.php. самі розумієте, що такого бути не може, витягаю його через фтп, Аваст видає картинку ім'я вірусу - PHP: Shell-AX (Trj), тип вірусу - троян. Ось такий підарастіческій троянець. Відповідно кількість сторінок на інших блогах теж збільшилася в рази)) Висновок - троян ломанувся пароль від фтп, який я зберіг в винде, ще висновок - ніколи не зберігайте паролі до фтп тотал командера і інших командер.
А ваш блог на wordpress ламали?