Dark Elf’s Blog --- Блог про адалт - блоги

Поскольку WP - очень распространенная платформа, то нет ничего удивительного в том, что злые хакеры постоянно ищут и находят в нем дыры. Зазаботчики эти дыры регулярно затыкают, но находятся новые. Относительно недавно обнаруженный глюк в генераторе случайных чисел PHP ставит под удар многие CMS. В частности, позволяет перехватить админский пароль в WP. Подробности можете почитать на секьюрных сайтах, первоисточник тут  - suspect.org

Нас больше интересуют последствия и как с этим бороться. Итак, что злохакер может сделать, попав в админку WP. Естественно, он может устроить дефейс, написать кучу матерных постов, выковырять мылы юзеров. Но это - удел малолеток, начитавшихся всенародно любимого журнала. Остальные работают за деньги. Самый распространенный способ - установка редиректа на другой сайт. Причем не просто редиректа, а только тех юзверей, которые пришли с поисковиков. Поскольку настоящий админ никогда не заходит на свой блог из поисковика, то и обнаружит эту пакость очень и очень нескоро. Если редирект продвинутый, то не помогут ни серверные логи, ни счетчики. Последние несколько дней большое количество блогов было сломано и установлен редирект на sattan.org - реально это фид некой ППЦ. Таким образом злоумышленник получает чистый SE - траффик, причем по релевантным кеям и, соответственно, зарабатывает кучу бабла за чужой счет.Подробности и дальнейшие ссылки можно найти тут http://wordpress.org/support/topic/220840

Будем изгонять Сатану и по возможности заделаем некоторые дыры.

Как хорошо известно дорвейщикам, способов редиректа достаточно много, причем Сатана использует разные. Применительно к нашему случаю отметим следующие, которые злоумышленник может задействовать из админки.

1. Редирект через .htaccess - делается изменением структуры пермалинков
2. Редирект средствами PHP - редактированием шаблона
3. Редирект ява-скриптом - через редактирование шаблона или виджетов
4. Редирект при помощи установки левого плагина
5. Редирект изменением других скриптов, через предварительное изменение шаблона

Предположим, что нечисть появилась. Будем лечить.

1. Для начала поменяем свой пароль.
2. Проверяем .htaccess на всякие подозрительные редиректы. Можно просто установить дефолтные пермалинки, затем переключиться обратно на нужную структуру.
3. Проверяем виджеты на предмет посторонних ява-скриптов, удаляем лишнее.
4. Переключаемся на дефолтный шаблон. Заходим через FTP, удаляем все шаблоны, кроме дефолтного, заливаем снова нужные, переключаемся на нужный.
5. Деактивация всех плагинов, затем активация нужных
6. Заходим на наш блог через ссылку с SE, проверяем. Если помогло, то эта часть работы закончена.
7. Если не помогло. Дезактивируем все плагины, устанавливаем дефолтный шаблон, дефолтные пермалинки, желательно сделать бэкап базы. Копипастим все текстовые виджеты себе в блокнот, сохраняем у себя на компе, деактивируем эти виджеты. Копируем себе загруженные в WP картинки, если таковые имеются. Проверяем, что это действительно картики.
8. Заходим через FTP, удаляем все файлы и папки, относящиеся к WP, кроме wp-config.php
9. Проверяем wp-config.php на отсутствие лишнего кода. Он должен отличаться от идущего в дистрибутиве wp-config-sample.php только параметрами SQL (сервер,база,юзер,пароль) и, возможно, кодировкой, если используется не английский язык.
10. Берем самую новую версию версию WP и необходимых плагинов с официального сайта. То же самое делаем с необходимами темами. Распаковываем и заливаем все это и картинки через FTP. Заходим на /wp-admin/ , соглашаемся с обновлением баз, попадаем в админку.
11. Заходим на блог через SE. Проверяем. Если все работает правильно, то устанавливаем тему, плагины,пермалинки и восстанавливаем виджеты.
12. Если нет, и блог по-прежнему редиректится налево, что маловероятно, идем в phpMyadmin, открываем таблицу wp_options и ищем подозрительные плагины. Обычно они имеют расширения .bak .old .jpg удаляем, если таковые имеются. Смотрим также wp-users и удаляем все подозрительные записи.
13. Если и это не помогло, то единственный выход - сделать из админки экспорт контента, удалить блог и базу, затем отинсталлировать заново и импортировать контент.

А теперь будем предохраняться. Поскольку поставить заплатку на PHP мы не в силах, если сервер не выделенный, то сделаем то, что в наших силах.

1. Не будем делать юзернейм админа дефолтным (admin или administrator) - эксплойты, которыми пользуются злохакеры в основном ищут именно такого юзера. Чтобы еще больше сбить с толку, можно создать юзера admin с привилегиями простого читателя.
2. Изменить права доступа на все каталоги и все файлы на 644 или даже 444, кроме папки, куда грузятся картинки (777). При этом из админки будет невозможно редактировать темы и менять структуру пермалинков, но ведь и нужно это обычно бывает только один раз при первоначальной установке. Да и при необходимости можно на время поменять обратно.
3. Создать пустой файл index.html в папке plugins
4. Дополнительно можно закрыть админку средствами Апача, поставив пароль на /wp-admin/ через cPannel
5. Если всегда входите в админку с одного IP, допишите в .htaccess в папке /wp-admin/ (если его там нет, то создайте) следующее

order deny,allow

deny from all

allow from 123.456.789.123

В принципе, это отобьет желание большинства злоумышленников поглумиться над твоим бессмертным творением. Дополнительную информацию и дальнейшие ссылки можно найти на официальном блоге саппорта Вордпресса, ссылка была приведена выше.