Взломали сайт на WordPress, что делать?

Взломали сайт на WordPress, что делать?

Пишу сайты, на последних 5 лет мои сайты слетали на 0 где то раз 5! Т.е. периодичность раз в год.
Вывод: сменить CMS? Не спешите с советом! % взломов есть у разных CMS.

Что рекомендуют разработчики WP?

https://ru.wordpress.org/support/article/faq-hacked/

Мои сайты слетали не на уровне одного домена, а на уровне учетной записи и «слетали» сразу все сайты одной учетки.
В последний раз у меня к моим ссылкам на сайте появились доп.страницы ( перенаправление) на ЧУЖОЙ сайт.
Часть сайтов ( шаблоны для показа клиентам ) у меня стоят без индексации в инете и они всегда целы…..если брать их по отдельности.

Проанализировав взломы и логи сайтов. Я принял кардинальное решение:

— Запрет на доступ к некоторым файлам и папкам на уровне сервера.

Перенаправление входа админа, после смена имени с «admin» на «24siteADMIN35#», НАПРИМЕР ( один из способов переименовать файл wp-login.php в HRENVAM.PHP ;-) ), и даже переименование папок WordPress. Сменил доступ и права к критическим файлам и папкам.

— Запрет доступа к сайту по IP из других стран.

Если ваш сайт рассчитан на определенный регион, то не зачем его светить по всему белу  ( отчасти «чёрному») свету. Я запрещаю вход всем странам на мои сайты, кроме стран, где есть мои клиенты.

Главное, что делаю я:

— С постоянной периодичностью архивирую сайты.

Обычно после обновления ( и до обновления ) Это экономит время при сбоях н асайте после вирусов или неудачного обновления ( бывает). Потому редко ставлю автоматическое обновление WordPress плагинов и тем.

— Анализирую LOGов и закрытие доступа к файлам

После анализа логов закрываю доступ к тем или иным ботам и файлам на сайте.

— Слежу за обновлениями и уязвимыми плагинами и темами

Анализ логов от плагина /wp-admin/admin.php?page=WordfenceTools&subpage=livetraffic

Примеры LOGов с уязвимостью:

Первый: Falkenstein, Germany 

прибыл из http://holter24online.ru/forum/wp-login.php и было заблокирован файрволом for Known malicious User-Agents в https://holter24-online.ru/
24.11.2024 08:11:09 (3 hours 37 mins ago)
IP: 5.9.40.90 Hostname: static.90.40.9.5.clients.your-server.de
Человек/бот: Человек
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Что значит этот log ?  Если на сайте есть форум, то вы могли выбрать не сильно защищенный плагин… проанализируйте это!

Второй  Amsterdam, The Netherlands 

осталось http://holter24-online.ru/wp-login.php и было заблокирован файрволом for Known malicious User-Agents в https://holter24-online.ru/wp-login.php
23.11.2024 11:35:41 (1 day ago)
IP: 194.145.209.154 Hostname: sad-bhaskara.194-145-209-154.plesk.page
Человек/бот: Человек
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Это попытка перебора логина и пароля…. Вход на моем сайте изменен и не wp-login.php!

Третий: Dnipro, Ukraine 

было заблокирован файрволом for Known malicious User-Agents в https://holter24-online.ru/wp-content/plugins/html5avmanager/lib/uploadify/uploadify.css
22.11.2024 05:49:49 (2 days 6 hours ago)
IP: 194.38.23.16 Hostname: 194.38.23.16
Человек/бот: Бот
ALittle Client
ЭТОТ БОТ «знает» уязвимость плагина /plugins/html5avmanager , А страна IP бота: Украина — комментарий тут излишен (для 2024 года)!  (((
И пытается его найти на моем сайте…. Таких обращений может быть множество.
ВЫВОД: у вас есть плагин из ЭТОГО списка — удалите его! СРОЧНО!!! найдите решение работы сайта без него!
Простой поиск в инете по фразе: уязвимость плагина html5avmanager и поиск выдает:

===Начало цитаты===

Компрометация системы в WordPress HTML5 AV Manager

Дата публикации: 07.06.2012
Всего просмотров: 1358
Опасность:  Высокая
Наличие исправления:  Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: WordPress HTML5 AV Manager Plugin 0.x
Уязвимые версии: WordPress HTML5 AV Manager 0.2.7, возможно другие версии.Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.Уязвимость существует из-за недостаточной проверки загружаемых файлов в сценарии wp-content/plugins/html5avmanager/lib/uploadify/custom.php. Удаленный пользователь может загрузить файл, содержащий PHP код, и выполнить его на системе с привилегиями Web сервера.URL производителя: http://wordpress.org/extend/plugins/html5avmanager/Решение: Способов устранения уязвимости не существует в настоящее время.

Подробнее: https://www.securitylab.ru/vulnerability/425463.php

===Конец цитаты===

Логи уязвимости можно получить и другими плагинами

Смотрите так же статьи по конкретной защите сайтов на WP.

Встретились с подобной проблемой?

Пишите, поставим защиты и там и там и в другом месте)))

Оцените статью
Добавить комментарии
Взломали сайт на WordPress, что делать?
Фишки и камни скрипта Flynax
× Спросить