Взломан сайт — запись в wp_options
-
взломан сайт, первый раз удалили запись в siteurl и home, поменял пароль от базы данных, через 3 дня снова!
появилась такая запись, может кто знает какой плагин её пишет?
https://destinywall.org/letsgo.js?source=324643&
Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]
-
Киньте список ваших плагинов. Есть десятки плагинов, через которые можно взломать.
Кстати, из последних находок:
Yuzo related posts
Easy WP SMTP (если не обновили)
Yellowpencil (нет в оф. библиотеке, платный, но популярен)
Впрочем, помимо этих могут найтись и еще варианты. Если у вас устаревший ВП, плагины, которые давно не обновлялись, то риск быть взломанным довольно высокий.Yellowpencil (нет в оф. библиотеке, платный, но популярен)
https://ru.wordpress.org/plugins/yellow-pencil-visual-theme-customizer/
при входе в админ панель получается вот что «https://destinywall.org/letsgo.js?source=324643&/wp-admin/»
все обновил, вот список (с 1 — это те, что пытался отключить, не сработало видимо):
akismet/
bb-date-and-years-shortcode/
better-font-awesome1/
booking1/
chatbro1/
clearfy1/
clock-widget1/
clockwp-widget1/
current-date-and-time1/
date-and-time-widget1/
democracy-poll/
dobsondev-shortcodes1/
dyamar-polls1/
fancy-clock1/
insert-php-code-snippet1/
live-clock-date1/
livemesh-siteorigin-widgets1/
loco-translate/
megamenu/
mobile-menu1/
plugins-garbage-collector1/
poeditor1/
shortcode-for-current-date1/
simple-ajax-chat1/
site-clock1/
siteorigin-panels1/
so-css1/
so-widgets-bundle1/
spider-event-calendar1/
visual-form-builder1/
widgets-for-siteorigin1/
wise-chat1/
world-clock-widget1/
wp-polls/
yellow-pencil-visual-theme-customizer/с 1 — это те, что пытался отключить, не сработало видимо
не сработало
нужно их удалить из папки plugins/
а) удалить
б) переместить в другую папку
в) назначить нечитаемые права (000 например)через 30 минут опять запись в базу, теперь переместил плагины с 1 в другую папку.
В админ панель зашел. Из плагинов переместил:
better-font-awesome
booking
chatbro
clearfy
clock-widget
clockwp-widget
current-date-and-time
date-and-time-widget
dobsondev-shortcodes
dyamar-polls
fancy-clock
insert-php-code-snippet
live-clock-date
livemesh-siteorigin-widgets
mobile-menu
plugins-garbage-collector
poeditor
shortcode-for-current-date
simple-ajax-chat
site-clock
siteorigin-panels
so-css
so-widgets-bundle
spider-event-calendar
visual-form-builder
widgets-for-siteorigin
wise-chat
world-clock-widget
yellow-pencil-visual-theme-customizer
Всё это возникло после недавнего обновления (давно не обновлял)
Похоже что это yellow-pencil ?yellow-pencil-visual-theme-customizer
https://yellowpencil.waspthemes.com/docs/important-security-update/
известно об этом стало еще 10 апреля.
я сюда обращался 5 дней назад, мне Yui (@fierevere) посоветовала создать новую тему.
tuxfighter (@tuxfighter) спасибо!нужно ли менять все пароли? от базы и от админ.панели?
нужно ли менять все пароли? от базы и от админ.панели?
нет
jurvrn,
нужно ли менять все пароли? от базы и от админ.панели?
Учитывая специфику атаки, вы себя лишний раз подстрахуете, если поменяете пароли от БД и от админпанели — это раз. Два — тщательно проверьте настройки сайта и особенно вкладку «Пользователи», там не должно быть неизвестных вам аккаунтов. Если на сайте у вас более одного легитимного пользователя, то поменять пароли лучше всем.
пользователь у меня один — я, админ
пользователь у меня один — я, админ
Хорошая новость, но для подстраховки пароли лучше всё же поменять.
так и сделал, спасибо. Отделался малой проблемой. А как так можно что плагин имел доступ к базе данных?! На будущее как подстраховаться?
jurvrn,
Отделался малой проблемой.
Повезло 🙂
А как так можно что плагин имел доступ к базе данных?!
Ммм.. Ну так-то плагины вообще имеют доступ к базе данных, тут вопрос немного в ином заключается. Говоря простым языком, качество кода скачет от плагина к плагину (и от автора к автору, соответственно), уследить абсолютно за всем невозможно физически, поэтому и получается так, что в репо WordPress попадает немалое количество недоработанных/небезопасных плагинов, далее уже вопрос выявления этих недоработок и их устранения как можно скорее. Иногда бывает и так, что способы и инструменты эксплуатации уязвимостей оказываются в общем доступе и начинается волна взломов, как было последние 2 недели с теми же плагинами «Easy WP SMTP», «Social Warfare», «Yuzo Related Posts» и «Yellow Pencil». На этот случай как раз и есть коммьюнити, чтобы и проконсультировать, и помочь, и дать какие-то советы на будущее.
На будущее как подстраховаться?
Зависит от уровня паранойи 🙂 Делайте бэкапы (желательно хранить их не локально), если не хотите вникать в разные тонкости и нюансы, то подумайте об использовании WAF (Web Application Firewall). Это не даст вам 100% гарантий, но всё же часть самых бредовых атак отвалится сама собой. Защиту нужно прорабатывать под каждый конкретный проект, просто «ставить плагин» я не посоветую, даже если это якобы «плагин безопасности» («Wordfence Security», «iThemes Security», «All In One WP Security & Firewall»
Делайте бэкапы (желательно хранить их не локально)
а где: в облаке каком-нибудь?
WAF (Web Application Firewall)
дайте безопасную ссылку )
в репо WordPress попадает немалое количество недоработанных/небезопасных плагинов
это их хакеры взламывают? ведь автор плагина врядли в него заложил бы подобные вещи как запись левых страниц в базу
паранойи нет, но не хочу чтобы результат моего хобби за год работы исчез )jurvrn,
а где: в облаке каком-нибудь?
Да, к примеру, в облаке. Есть плагины готовые, которые это сделают в автоматическом режиме, надо только настроить и протестировать: «BackWPup – WordPress Backup Plugin», «UpdraftPlus WordPress Backup Plugin», «WordPress Backup and Migrate Plugin – Backup Guard», «Backup by Supsystic».
дайте безопасную ссылку )
Не дам 🙂 Потому что:
Защиту нужно прорабатывать под каждый конкретный проект
это их хакеры взламывают? ведь автор плагина врядли в него заложил бы подобные вещи как запись левых страниц в базу
Бывает всякое. И WordPress тут не исключение: бывали случаи, когда в плагинах находили закладки, бывало и такое, что плагины выкупались у разработчиков и уже новые владельцы внедряли в плагины закладки. Бывает и такое, что выкатывается новая версия самого WordPress’а, которая содержит критические уязвимости, после этого выкатывается экстренный патч-обновление, бывало даже, что принудительный.
паранойи нет, но не хочу чтобы результат моего хобби за год работы исчез )
Тогда в первую очередь бэкапы, своевременное обновление движка и плагинов, вменяемый хостинг. Если будете следить за этим, то уже в принципе будете жить довольно неплохо.
- Тема «Взломан сайт — запись в wp_options» закрыта для новых ответов.