Подписка на обновления
Популярно
Ленина 154847 Россия, Москва +7 (495) 752-58-92
 

Последствия взлома блога и защита wordpress


Вредоносный код на блоге и защита wordpress

Как часто вы редактируете свои старые статьи? Думаю, что очень редко. Я тоже редко это делал. А зря. Как то понадобилось мне отредактировать ссылку в старой статье.  Открываю в редакторе и вижу лишний скрипт, который к ссылке не имеет никакого отношения.Так же код был в некоторых местах перед закрывающим тегом </p>.

Здрасьте, приехали. А как же защита wordpress, которую я применял до этого момента и считал её надежной? Выражаясь словами героя известного мультфильма оказалось, что "Маловато будет!"

Последствия взлома

В коде ссылки присутствовал следующий код

Причем этот код виден только в редакторе в режиме кода. В визуальном режиме, так же как и при просмотре сайта, код  не виден. Открыв рандомно несколько старых статей, в каждой в коде ссылок обнаружил этот странный скрипт.

Для поиска других вариантов использовал плагин Search Regex. В итоге нашел еще

Был еще четвертый вариант, но я его удалил без сохранения. Причем левая часть "<script src=" была ссылкой

Интересно:  Защита комментариев от спама без плагинов за десять минут

В некоторых файлах движка были строки

Лучший хостинг

Код вируса в php файлах

Антивирус хостинга Virusdie определил как зараженные файлы

  • header.php
  • custom-header.php
  • admin-footer.php
  • admin-header.php
  • menu-header.php
  • index.html

Так же был заражен файл плагина UpdraftPlus. В итоге данный плагин был удален. Либо дыра в плагине, либо не его вина. Проще снести и не рисковать.

Антивирус хостинга обозначил вирус как PHP.BlacoleRef.  Все файлы были вылечены антивирусом хостера.

Поиск мусора в статьях плагином Search Regex

Как уже написано выше, в коде статей был обнаружен посторонний скрипт. В сети пишут, что скриптов появляется несколько вариантов

Интересно:  Настырный спамер не смог зарегистрироваться на блоге более 100 раз. Я доволен

Просматривать код всех статей блога - дело не благодарное и долгое. С учетом того, что скрипты попадаются не только в ссылках, но и просто в тексте, есть риск пропустить заразу. У себя на блоге удалял этот мусор плагином Search Regex, который позволяет искать нужный текст и заменять его на другой.

Плагин wordpress Search Regex

Достаточно в первое поле ввести код скрипта, а следующее поле оставить пустым.Нажать поиск-замена. Таким образом плагин найдет все вхождения этой гадости и заменит на пустое место. Для поиска разных вариантов этой гадости можно в поле поиска ввести часть скрипта "src="//" и плагин найдет все варианты этих скриптов в ваших статьях.

В общем весь мусор из статей блога был удален. Однако через дней пять он снова появился. Повторное сканирование блога антивирусом хостера результатов не дал. В ручную просматривать все папки сайта на предмет лишних файлов дело муторное. Сайт был дополнительно проверен антивирусами Aibolit и Manul (от Яндекса). Оба антивируса обматерили файл index.2.php в папке "webstat.none" с шеллом внутри. Написал хостеру, что их антивирус не нашел файл с шелом. Файл удален - пока тихо.

Интересно:  Надежная защита wordpress от спама в комментариях

Отслеживание попыток взлома

Попытки взлома идут постоянно. Если вы думаете, что ваш блог мало посещаем и хакерам не нужен, вы глубоко ошибаетесь.

Лог плагина SEO Redirection Free

Это лог плагина SEO Redirection Free. На скрине только первая страничка лога. Запросы на наличие определенных плагинов, тем и файлов на сайте. Так что хватает козлов, желающих воспользоваться плодами вашего труда в своих целях. Этот лог очень облегчает поиск "левых" файлов на вашем сайте, особенно сразу после заражения.

Защита wordpress

Если у вас еще не установлены плагины для защиты wordpress, обязательно сделайте это. Иначе будете чистить сайт от вирусни до бесконечности. Вот некоторые из популярных плагинов

  • Acunetix Secure WordPress
  • Lockdown WP Admin
  • Wordfence Security

И не забывайте обновляться. Защита и своевременное закрытие уязвимостей - залог здоровья ваших блогов.


С уважением Денис Иванов, автор блога dendrblog.ru



Статья помогла? Поблагодари автора, он ведь старался


Комментариев:9
  1. Денис:

    Просто удалить вредоносный код не достаточно, если он проник, значит где-то есть дыра. Когда у меня появлялась такая бяка, то в первую очередь менял пароль от админки, от БД и панели хостера. Затем заменял все файлы движка на чистые из дистрибутива. Еще хороший вариант — поставить двухфакторную аутентификацию при доступе к wp-admin.

    Айболитом пользовался, хороший скрипт, хотя иногда ругается даже на оригинальные файлы WP, а Манул почему-то не пошел на моем хостинге — крутится проверка и бес толку, пол часа ждал и удалил не получив результата.

    Ждите .....
    Ответить
    1. Денис Иванов:

      У меня Manul без проблем отработал.
      Заражение сайта как то само собой подразумевает смену паролей доступа. Файлы движка можно менять не все. Плагин Wordfence Security например сканирует файлы движка и плагинов и сравнивает их с оригинальными. Если не совпадает, можно заменить автоматически.
      Яндекс по ходу из-за из-за этой заразы меня под АГС закинул. Сейчас АГС снят. Тиц вернулся. Даже с двойным приростом.

      Ждите .....
      Ответить
  2. Елена:

    А у меня тоже недавно была в чем-то похожая ситуация. Причем, не сама бяку нашла, а девушка одна написала — мол, у меня на сайте от вас проблемы, а понять, в чем дело, мы не можем. Стала искать и… А я-то все понять не могу, чем Яндекс недоволен!
    В общем, присоединяюсь к Вам, контролировать процесс надо регулярно.

    Ждите .....
    Ответить
    1. Денис Иванов:

      Без контроля никуда. Постоянно какая-нибудь гадость пролезть пытается. Периодически запускается антивирус на поиск.

      Ждите .....
      Ответить
  3. Максим Бойко:

    Совсем не хочется проблем… Тоже пользуюсь различными защитными «штучками». Очень жаль, если какой-нибудь козёл гадостей наделает.

    Ждите .....
    Ответить
    1. Денис Иванов:

      Очень обидно, когда вкладываешь в свое детище душу, время, финансы. И какая то сволочуга будет гадить.

      Ждите .....
      Ответить
  4. Олег:

    Здравствуйте! Прочитал вашу статью – очень интересно и грамотно написано. Давно хотел что-то подобное узнать. У меня у самого есть свой блог (ему полгода), и у меня до сих пор нет плагина для защиты WordPress. Я особо так и не думал, что мой молодой блог будет кому-то интересен. Ведь даже посещаемость у него смешная. А тут такое делается. Нужно будет срочно менять ситуацию, ставить какой-нибудь толковый плагин. Ведь действительно, разных плагинов слишком много и все они обещают «золотые горы», но в действительности не все так просто. А вручную чистить все старые статьи неохота. А какой из трех перечисленных вами плагинов самый лучший?

    Ждите .....
    Ответить
  5. Галина:

    Да уж, приятного мало в таких ситуациях. Вылечить сайт от заражения — жутко нудная задача. Бывало такие задачи пачками сыпались (мол, давайте, скорее-быстрее-немедленно чините, клиент плачет). Тут и Айболитом пробежишься, и Манулом, и антивирусом от хостинга (если таковой есть). И то, бывали случаи, что с первого раза проблема не решалась: вычистишь сайт, а он через пару месяцев снова весь черти на что похож. 

    И ведь чаше всего страдает как раз не Вордпресс, а Джумла (хотя, соотношение и тех и других сайтов на поддержке у нас одинаковым было).

    Ждите .....
    Ответить
    1. Денис Иванов:

      Недолюбливаю джумлу. Слишком там всё запутано. Начинал с этой cms. Пока более-менее разобрался — чуть мозг не закипел. (:dash:) После неё с wordpress подружился намного легче.

      Ждите .....
      Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить комментарий", Вы автоматически соглашаетесь с политикой конфиденциальности и даете свое согласие на обработку персональных данных. Ваши данные не будут переданы третьим лицам.

Политика конфиденциальности

Воровство контента карается табуреткой по голове.

© 2018 Блог Дениса Иванова