Привет всем, случилась со мной не давно интересная история, о которой решил написать.
Одним прекрасным утром, вовремя завтрака решил я проверить статистику, и как всегда полез в Яндекс Метрику. И увидел странность,которая меня насторожила. На одном свежем МС, появился трафик, и прямые заходы на страницы которых я не создавал.
Завтрак был забыт и я полез разбираться.
moban.html и итальянские панталоны
На новосозданных страницах я увидел кучу ссылок и заголовки на итальянском языки, про какие то панталоны.
Все генерированные страницы лежали в каталоге categoryl, а сам каталог находился в корне сайта.
Так же в корне лежал файлик mvf.php, который как я понял и являлся тем самым шеллом ,создающий новые страницы.
Был подправлен файл .htaccess, где в правилах прописали редерикт на спамные записи.
Устраняем последствия взлома WordPress
- Итак по пунктам что я сделал, и что помогло:
- Полностью удалил каталог categoryl
- Удалил файл mvf.php
- Перезаписал файл .htaccess
- Обновил Wordpess до последней версии, таким образом перезаписал все возможно измененные системные файлы ВП
- Изменил пароль на учетной записи Администратора
- Поставил плагин Sucuri Security, который помогает отследить изменения в системных файлах, а так же логирует последние действия в системе, и попытки авторизации
- Sucuri показал, что файлы все в порядке, но постоянно идет попытки авторизоваться под учетной записью Администратора. Вот собственно и ответ, как меня взломали, обычный брутфорс.
Brute force(Brute, брутфорс) — вариант атаки,когда идет грубый подбор, по заранее составленному словарю украденных или популярных паролей
Поэтому я поменял страницу авторизации Wp, сделать это можно через файл function.php темы, но я не стал заморачиваться и поставил плагин от Webcraftic (можете так в поиске и вбить). Настройки элементарные, две кнопки что включают плагин, и поле где указываете новый адрес страницы авторизации.
Внимание! Запомните новый адрес, иначе не сможете зайти в Консоль управления! - Однако, даже после смены страницы авторизации, попытки логина не прекратились! Кто-то упорно ломился не пойми куда!
А все потому что в WordPress по умолчанию включена функция XML-RPC. Нужна она для удаленного обращения к сайту, авторизации, внесения правок в статьи, выкладка новых записей и т.д. без использования браузера. По сути одна большая дыра в безопасности сайта.Проверить активна ли у вас эта функция можно по ссылке: XML-RPC Validator
Закрыть эту брешь мне помог плагин Disable XML-RPC (Там есть еще один похожий плагин Disable XML-RPC Pingback — он не подходит!). После этого сайт заработал как надо, и попытки взлома прекратились.
Выводы
А выводы очень просты, не нужно забывать про безопасность сайт и относиться к ней халатно. Кроме перебора паролей, через XML-RPC можно так же осуществлять атаки типа DDOS, и класть сайты. А это для Сео очень паршиво, потому что ведет к вылету страниц из индекса, и повышению количества отказов.
Надеюсь статья будет полезна, если остались вопросы задавайте их в комментариях.
Оставить комментарий