Защита WordPress: бэкдоры, фарма-хаки и редиректы. Как удалить редиректы с сайта wordpress


WordPress: Первая помощь если обнаружен вредоносный мобильный редирект.

В прошлый понедельник закончилась моя полугодовая эпопея борьбы с вредоносным мобильным редиректом, обнаруженным Яндексом на двух моих проектах.(Вот моя история в двух частях...)Вредоносный мобильный редиректКартинка отсюда: http://rebill.me/showthread.php?t=1804там еще много других картинок и слов о вредоносном мобильном редиректе.

В одно далеко не прекрасное утро я получила вот такое письмо от Яндекс.Вебмастер:

Здравствуйте, ***!

На страницах вашего сайта **** обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных.В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.

---С уважением,Яндекс.Вебмастерhttp://webmaster.yandex.ru

Я не сразу смогла поверить, что на моем проекте существует вредоносный код, гораздо легче было считать, что это Яндекс со своим поведенческим (бихевиористским) алгоритмом ошибся и возвел напраслину на мой набирающий популярность проект... Почитав внимательнее информацию на вкладке "Безопасность", посмотрев какие комментарии выдает Яндекс при моей попытке перейти с результатов поиска на мой зараженный сайт я поняла, что речь идет о вредоносном мобильном редиректе.Стала экспериментировать на мобильных устройствах: с поисковой системы Google зашла на главную страницу своего сайт, перешла на страницу с контентом и ... была перенаправлена на какой-то невнятный сайт с адресом типа aloobe.com с единственной кнопкой "НЕОБХОДИМО СРОЧНО ОБНОВИТЬ Adobe Player" - это стало доказательством, что Яндекс был прав, а неправа была я...

Бог знает, чего мне стоила борьба с этим вредоносным мобильным редиректом, борьба за чистоту своих проектов... Перечитаны горы литературы, удалены виджеты и плагины, сменены темы, в порыве отчаяния я даже поменяла хостера, проверенного годами, поиски вредоносного редиректа велись как внутри Базы Данных, так и в фолдерах обслуживающих проекты.

В конечном итоге все оказалось до смешного просто, но об этом я расскажу вам в следующем материале, а сегодня я расскажу вам о плагине, который закрыл собою брешь. Я отправила сайт на перепроверку, Яндек перестал помечать мой сайт как зараженный, вернулись читатели и больше этой проблемы на моих проектах не было! Вернее, проблема оставалась (потому что поиски её решения у меня заняли полгода), но она была изолирована от моих читателей и уже никто из посетителей моих сайтов не мог попасть в лапы к жуликам.

Плагин называется Verve Mobile. На этом я собиралась дать ссылку на плагин и завершить пост, но от этого плагина на wordpress.org осталось одно обсуждение:http://wordpress.org/support/plugin/verve-mobile-plugin.

Чтобы достойно закончить эту статью, я сохранила этот популярный плагин. Вы можете скачать его здесь. Конечно, я не смогу обеспечить его поддержку, но у меня на проектах он работает без проблем, распознавая мобильные устройства и отдавая им контент сайта в специальном шаблоне "для просмотра с мобильных устройств".

Единственный обнаруженный мной недостаток плагина, при активированном плагине я не могла для авторизации на сайтах использовать OpenId своего сайта. Этот недостаток я обошла дективируя Verve Mobile на несколько минут, которые нужны для авторизации с применением OpenId.

Как установить плагин из архива читайте здесь: WordPress: Устанавливаем плагин из zip-архива.

PS Прежде чем устанавливать плагин убедитесь, что .htaccess файл расположенный в корневой директории вашего сайта содержит помимо записе WordPress'а:

# BEGIN WordPress

RewriteEngine OnRewriteBase /RewriteRule ^index\.php$ - [L]RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L]

# END WordPress

только то что вы туда по каким-то причинам вписали самостоятельно и ничего лишнего и необъяснимого.

Если вы нашли в файле .htaccess какие-то сомнительные перенаправления, уберите из него все лишнее - это скорее всего станет решением проблемы вредоносного мобильного ридеректа. Будьте внимательны и прокрутите файл .htaccess до конца, иногда злоумышленники добавляют туда ОЧЕНЬ МНОГО пустых строк, чтобы их код переадресации не был виден на первой странице.

Продолжение следует...

wordpress4you.russianblogger.ru

Дырка в WordPress 3.7 или как удалить мобильный редирект

Дырка в WordPress 3.7 или как удалить мобильный редирект

До сегодняшнего дня думал, что WordPress более-менее защищенный движок от взлома, но как оказалось в нем тоже есть уязвимости…

Сегодня утром, на нескольких моих сайтах, которые работали на WordPress 3.7, появился мобильный редирект, который перенаправлял всех пользователей зашедших с мобильного телефона на платник, предлагающий обновить flvплеер, естественно не бесплатно, но об этом ничего не было сказано.

Сразу после уведомления ЯВМ, я принялся за поиск редиректа. В первую очередь проверил файлы .htaccess, они оказались чистыми, после чего проверил все файлы шаблона, и тоже ничего не удалось найти. Пробовал искать код в последних измененных файлах движка, но там тоже не было ничего подозрительного.

Найти зацепку мне помог серверный антивирус ai-bolit, который выявил зараженные части движка.

http://webdomainservice.net/rudomains

 

Код мобильного редиректа находился тут /wp-includes/template-loader.php в закодированном виде. Код появился, каким-то чудесным образом, так как подключения по FTP\SSHили авторизаций на сервере в тот день не было. Исходя из этого, можно предположить, что в WP есть какая-то дыра, которую, к сожалению, найти не удалось.

Удаление мобильного редиректа и меры безопасности в WordPress

Если вы столкнулись с той же проблемой что и я, то можете не переживать, а просто обновитьWordPress до текущей версии, разработчики должны были исправить эту уязвимость в новой версии.

После обновления проверьте сайт на вирусы с помощью онлайн сканера Доктор веб и при помощи серверного скрипта ai-bolit, обратите внимание, что скрипт некоторые функции движка считает за вирусы. Вот столько критических замечаний он находит в чистом движке:

http://webdomainservice.net/rudomains

После обновления и проверки на вирусы желательно сменить все пароли, вдруг вирус к вам попал не из-за уязвимости CMS.

seomolot.ru

Защита WordPress: бэкдоры, фарма-хаки и редиректы

Время от времени в сети всплывают истории о взломанных WordPress-сайтах. Взлом может быть вызван разными причинами – начиная «дырявыми» плагинами и заканчивая старыми версиями WP или фарма-атаками. Как уже неоднократно говорилось, если у вас есть свой собственный веб-сайт на WordPress, вы должны предпринять все усилия, чтобы гарантировать его безопасность и защищенность от разнообразных злоумышленников.

Когда речь идет о безопасности WordPress, одних лишь действий мало – многое нужно просто держать в памяти, чтобы в случае чего знать, как поступить. В данной статье я опишу некоторые самые популярные проблемы безопасности, укажу на известные вредоносные программы, а также предложу существующие инструменты защиты для WP.

Краткий обзор

Очень часто система WordPress подвергается критике из-за недостаточной защищенности. По данному вопросу можно дискутировать бесконечно. Стоит признать лишь один факт: защита зависит не только от программного обеспечения, но и от действий самого пользователя. Конечный пользователь должен вовремя обновлять систему, использовать только проверенные плагины и темы, загруженные либо из официального хранилища WordPress, либо с сайтов компаний-разработчиков. Только в таком случае можно гарантировать высокую защиту.

Почему же именно WordPress выступает целью большинства атак?

Для начала, как уже было отмечено, многие пользователи просто не обновляют вовремя систему. Что уж тут говорить про случайных пользователей, когда многие крупные компании и лидеры рынка не всегда это делают! Нужен живой пример? Хорошо. В прошлом году было взломано агентство Reuters. Когда они задумались, почему их сайт был взломан, то обнаружили, что виной всему послужила используемая версия системы — WordPress 3.1.1 (актуальной на тот момент была версия 3.4.1).

При обнаружении каких-либо уязвимостей или хаков команда разработчиков WP тут же выпускает обновление защиты. После этого вся ответственность лежит на пользователе – он должен вовремя обновить свою сборку.

Защита WordPress - важная задача

Защита WordPress — важная задача

Вторая причина проблем с безопасностью – использование «левых» тем или плагинов. В официальном хранилище WordPress есть много разных проверенных решений, которые подойдут большей части пользователей. Данные темы хороши в плане безопасности – чистый код, постоянные обновления и т.д. Проблема появляется при установке плагинов и тем с непроверенных сайтов. Вы не только не получаете регулярных обновлений от разработчиков, но и рискуете безопасностью своего ресурса. Очень важно регулярно обновлять темы и плагины.

Наконец, третья, и самая главная причина атак – высокая популярность WordPress. WP – одна из самых используемых в мире систем управления контентом, что, естественно, привлекает внимание хакеров. Логика проста: если вы являетесь злоумышленником, вам очень удобно взломать программное обеспечение, на котором работает значительное число сайтов. Ведь если вы сможете найти «дыру» в нем, перед вами откроется масштабное поле для дальнейших действий! Именно по этой причине хакеры чаще всего ломают Windows и Mac, нежели UNIX и Linux.

Защита WordPress: введение

Разговаривать о различных проблемах безопасности не так просто, как может показаться на первый взгляд. Развитие различных атак идет вместе с развитием веб-технологий. Взлом может иметь под собой различные причины: политические мотивы, ради простого удовольствия, возможно, ради определенной финансовой выгоды (к примеру, вредоносная программа DNS Changer принесла своим тайным создателям более 14 миллионов долларов).

К тому же, как только появляется новая проблема, связанная с безопасностью, она тут же затрагивает миллионы пользователей, распространяясь практически мгновенно. К примеру, на долю Blackhole Exploit Kit приходится 28% всех веб-угроз, выявленных Sophos, и 91% всех угроз, выявленных AVG.

Защита кода - важная деталь в безопасности данных

Защита кода — важная деталь в безопасности данных

Термины «эволюция» и «популярность» могут применяться и к потенциальным угрозам для WordPress. Мы посмотрим на три самых популярных проблем с безопасностью: бэкдоры, фарма-хаки и вредоносные редиректы.

Бэкдоры

Бэкдоры – это то, что использует взломщик для получения доступа к вашему веб-сайту (через FTP, SFTP или даже через wp-admin).

Очевидно, бэкдоры могут отразиться катастрофическими последствиями – они способны повлиять не только на ваш сайт, но и на все другие сайты, расположенные на вашем сервере, причинив урон сети мультисайтов.

Чаще всего бэкдоры тщательно кодируются и шифруются. Сегодня дело дошло до того, что некоторые бэкдоры могут внешне напоминать вполне легитимный и чистый код. Иногда бэкдоры могут находиться в вашей базе данных.

Проникновение бэкдоров зачастую происходит через устаревшее программное обеспечение или подозрительные скрипты. Помните фиаско скрипта TimThumb? Да, это была бэкдор-атака, затронувшая многочисленные сайты WordPress.

wp-security-camera-logo-448x597Самый простой способ определить расположение бэкдора – посмотреть на файлы, содержащиеся в папке с WordPress. Естественно, среди них не должно быть файлов, которые точно не принадлежат к сборке. Всякие php3.php или crucial-wp.php – явный признак взлома.

Вы должны знать, что если вы нашли .php-файл в папке с вашими загрузками (/uploads), это, по всей вероятности, говорит о бэкдор-атаке.

Однако бывает и так, что бэкдоры скрываются в легитимных файлах. Выявить это очень тяжело. Чтобы бороться с ними, был придуман инструмент Sucuri SiteCheck, который позволяет детектировать большую часть бэкдор-угроз.

Удалить или обезвредить бэкдор значительно проще, нежели его выявить. Минимизировать риск бэкдор-атак можно путем ограничения доступа к основным файлам вашей сборки. Хороший вариант – использование двухфакторной идентификации или ограничение доступа к панели администратора на основе IP.

Плюс ко всему, вы можете запретить неавторизированную запись или выполнение PHP, добавив в свой .htaccess следующий код:

<Files *.php> Deny from All </Files>

Кроме того, если у вас есть доступ к терминалу на вашем сервере, вы можете поискать, к примеру, команды “eval” – если такие команды скрыты в “base64_decode”, это говорит о присутствии бэкдора.

Фарма-хаки

Фарма-хак – это понятие относится скорее к спаму, нежели к вредоносным программам. Вам приходит постоянный спам про Виагру, Левитру и другие «фармацевтические препараты». Распространение любого спама – это плохо. Поисковые системы могут наложить санкции на ваш сайт.

Фарма хак опасен тем, что виден он только поисковым системам. После такого взлома ваш веб-сайт помечается в Google как «несущий потенциальную угрозу». CrackUnit.com, некогда популярный сайт, был взломан именно с помощью фарма-хака (взгляните на предложение препарата Zopiclone).

Пример фарма-хака

Пример фарма-хака

Фарма-хак охватывает самые популярные страницы вашего сайта. В итоге, если вы просмотрите свой сайт, то не найдете ничего необычного. Спам-сообщения будут видны только в поисковой выдаче.

Как определить, что ваш сайт был взломан с помощью фарма-хака?

Чаще всего фарма-хак состоит из двух частей: вредоносный код в каком-либо из ваших плагинов и хак в базе данных. Как и бэкдоры, фарма-хаки используют функции eval() и base64_decode(), хотя в случае с фарма-хаками эти функции хранятся в базе данных WP в виде закодированных строк.

Таким образом, фарма-хак использует два бэкдора: один из них хранится в каком-либо из ваших плагинов, другой – в базе данных. В базе данных спам прячется в таблице wp_options.

Так как сам взлом происходит в двух местах вашего сайта, то и очистка от него также будет двухступенчатой.

Для начала вам стоит убедиться в том, что ваши плагины являются чистыми. Зачастую фарма-хак поражает Akismet (только потому, что практически каждая сборка имеет этот плагин, активный или неактивный). Начать поиск бэкдора лучше именно с этого плагина. Ищите файлы с подозрительными именами, в частности, с псевдо-расширениями, такими как .akismet.cache.php или akismet.old.php. Псевдо-имена файлов могут содержать в себе также class-akismet.php или что-то похожее. Удалите любые подозрительные файлы, и повторите этот шаг для всех остальных плагинов.

Можете удалить вообще все плагины (и переустановить их позже, после очистки базы данных). Чистые плагины – гарантия того, что непосредственная опасность устранена. Теперь осталось перейти ко второму этапу очистки.

Шаг второй – очистка базы данных (лучше создать резервную копию БД на всякий случай). Самый простой способ очистки состоит в следующем.

Переходим к phpMyAdmin и выбираем зараженную базу данных.

Ищем в ней таблицу wp_options.

wp-options

Выбираем поле option_name.

option-name-search

Теперь используем поиск для выявления вредоносных строк, таких как:

Правда, учтите, что rss_use_language, rss_excerpt_length и rss_use_excerpt – это вполне легитимные записи WP.

Если вышеупомянутые классы были найдены, и они содержат в себе всякий мусор, просто удалите их.

Другой вариант очистки заключается в использовании терминальных команд, таких как grep, для поиска спама, однако эти команды работают только в случае с незашифрованными хаками, поэтому шансы на успех довольно малы.

Вредоносные редиректы

Как и следует из названия, вредоносные редиректы перенаправляют пользователей к некоторым веб-сайтам. Стоит отметить, что такие редиректы могут влиять как на ваш основной домен, так и на поддомены. Перенаправление не всегда может вести к вредоносному сайту. Зачастую редирект просто переносит людей на сайт, заполненный рекламными объявлениями; такой сайт может не содержать в себе никакого вредоносного кода. Правда, терять трафик тоже не хочется, верно?

Кроме того, перенаправление может осуществляться и в пределах вашего сайта. Скажем, посетители, заглянув на wordpressblog.com, могут быть перенаправлены к wordpressblog.com/new.php. Контент файла new.php может состоять из различных рекламных объявлений или из вредоносного кода.

Чаще всего причиной редиректов является устаревшая версия WP с угрозами безопасности, которые позволяют хакерам получить доступ к файлам системы с помощью бэкдоров. Как и во всех остальных случаях, бэкдоры могут быть внедрены через FTP, SFTP или панель администратора WordPress. Как только доступ будет получен, можно легко разместить код редиректа на сайте.

Обнаружить редирект не так трудно. Чаще всего редиректы скрываются в файле .htaccess. Найдите что-то похожее в нем:

RewriteRule (.*)$ http://site-url.com/something

Также редиректы могут содержаться в основных файлах WP: index.php, header.php, footer.php и т.д. Правда, чаще всего они закодированы, потому их сложно найти.

Самое простое решение, позволяющее установить, является ли ваш сайт жертвой вредоносного редиректа, заключается в использовании Sucuri SiteCheck. Фактически SiteCheck не только проверяет URL-редиректы, но и сканирует ваш веб-сайт на наличие других хаков и вредоносных программ: бэкдоров, троянов, фарма-хаков и т.д. С помощью SiteCheck можно узнать, находится ли ваш сайт в черном списке разнообразных программ и сервисов: Google Safe Browsing, Sophos, Norton Safe Web, McAfee Site Advisor, Phish Tank и нескольких других.

В том случае, если редирект находится в файле .htaccess, вам необходимо вручную проверить его и удалить соответствующие строки.

Полезные инструменты и ресурсы

Теперь, когда мы рассмотрели основные проблемы безопасности, давайте перейдем к полезным инструментам и плагинов.

Помимо Sucuri SiteCheck есть очень полезный онлайн-инструмент, позволяющий определять «здоровье» вашего сайта — Unmask Parasites.

unmask-parasites

Unmask Parasites предоставит вам всю необходимую информацию о потенциальных угрозах, которые могут быть скрыты в вашей сборке WP. Также данный инструмент позволяет проверить, присутствует ли ваш сайт в черном списке различных сервисов, таких как Google Safe Browsing.

Плагины для WordPress

Sucuri Security: SiteCheck Malware Scanner

Sucuri Security: SiteCheck Malware Scanner – плагин для WordPress, позволяющий просканировать ваш веб-сайт с помощью онлайн-сканера Sucuri прямо из панели администратора. Помимо стандартной онлайн-проверки, плагин также помогает выявить определенные проблемы, связанные с конкретным сайтом, пометить потенциальные угрозы (маскировка IP, отправка писем через PHP, вредоносные загрузки и т.д.).

sucuri-plugin

Если касаться конкретно WP, то плагин позволяет провести верификацию версии WordPress, защитить каталог /uploads, ограничить доступ к /wp-content и /wp-include, провести проверку последних версий PHP.

Duo Two-Factor Authentication

Плагин Duo Two-Factor Authentication добавляет двухуровневую аутентификацию при входе в систему. На первом шаге может запрашиваться пароль, а на втором пользователям необходимо будет войти в Duo Security (вы можете определять, какие пользователи смогут сделать это: администраторы, редакторы, авторы и т.д.).

duo-security

Как только плагин будет установлен и настроен, ваши пользователи смогут генерировать одноразовый пасс-код, чтобы войти в систему. Пасс-код может быть отправлен разными путями – это напоминает двухуровневый процесс верификации Google.

WebsiteDefender WordPress Security

Плагин WebsiteDefender WordPress Security помогает вам управлять настройками безопасности для своего сайта WP. С его помощью можно убирать версию WP с любых публичных страниц, добавлять или скрывать мета-теги, отключать сообщения об ошибках в PHP или базе данных. Также плагин позволяет переименовывать табличный префикс для базы данных, генерировать пароли и т.д. Расширенные функции доступны при получении платного аккаунта с WebsiteDefender.

website-defender-plugin

Другие плагины от того же самого разработчика — WP Security Scan и Secure WordPress.

Theme Check

Theme Check поможет вам проверить, отвечает ли ваша тема последним стандартам кодирования WordPress.

Plugin Check

По аналогии с темами, Plugin Check позволяет проверить аутентичность кода ваших плагинов.

Что вы думаете по поводу вышеупомянутых проблем, связанных с безопасностью? Можете что-то посоветовать? Тогда просьба поделиться вашим мнением в комментариях!

Источник: wpmu.org

oddstyle.ru


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта