Поддержка Проблемы и решения Взломан сайт — запись в wp_options

  • Решено jurvrn

    (@jurvrn)


    взломан сайт, первый раз удалили запись в siteurl и home, поменял пароль от базы данных, через 3 дня снова!
    появилась такая запись, может кто знает какой плагин её пишет?
    https://destinywall.org/letsgo.js?source=324643&

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 15 ответов — с 1 по 15 (всего 22)
  • Киньте список ваших плагинов. Есть десятки плагинов, через которые можно взломать.
    Кстати, из последних находок:
    Yuzo related posts
    Easy WP SMTP (если не обновили)
    Yellowpencil (нет в оф. библиотеке, платный, но популярен)
    Впрочем, помимо этих могут найтись и еще варианты. Если у вас устаревший ВП, плагины, которые давно не обновлялись, то риск быть взломанным довольно высокий.

    Yellowpencil (нет в оф. библиотеке, платный, но популярен)

    https://ru.wordpress.org/plugins/yellow-pencil-visual-theme-customizer/

    при входе в админ панель получается вот что «https://destinywall.org/letsgo.js?source=324643&/wp-admin/»
    все обновил, вот список (с 1 — это те, что пытался отключить, не сработало видимо):
    akismet/
    bb-date-and-years-shortcode/
    better-font-awesome1/
    booking1/
    chatbro1/
    clearfy1/
    clock-widget1/
    clockwp-widget1/
    current-date-and-time1/
    date-and-time-widget1/
    democracy-poll/
    dobsondev-shortcodes1/
    dyamar-polls1/
    fancy-clock1/
    insert-php-code-snippet1/
    live-clock-date1/
    livemesh-siteorigin-widgets1/
    loco-translate/
    megamenu/
    mobile-menu1/
    plugins-garbage-collector1/
    poeditor1/
    shortcode-for-current-date1/
    simple-ajax-chat1/
    site-clock1/
    siteorigin-panels1/
    so-css1/
    so-widgets-bundle1/
    spider-event-calendar1/
    visual-form-builder1/
    widgets-for-siteorigin1/
    wise-chat1/
    world-clock-widget1/
    wp-polls/
    yellow-pencil-visual-theme-customizer/

    Модератор Yui

    (@fierevere)

    永子

    с 1 — это те, что пытался отключить, не сработало видимо

    не сработало
    нужно их удалить из папки plugins/
    а) удалить
    б) переместить в другую папку
    в) назначить нечитаемые права (000 например)

    через 30 минут опять запись в базу, теперь переместил плагины с 1 в другую папку.
    В админ панель зашел. Из плагинов переместил:
    better-font-awesome
    booking
    chatbro
    clearfy
    clock-widget
    clockwp-widget
    current-date-and-time
    date-and-time-widget
    dobsondev-shortcodes
    dyamar-polls
    fancy-clock
    insert-php-code-snippet
    live-clock-date
    livemesh-siteorigin-widgets
    mobile-menu
    plugins-garbage-collector
    poeditor
    shortcode-for-current-date
    simple-ajax-chat
    site-clock
    siteorigin-panels
    so-css
    so-widgets-bundle
    spider-event-calendar
    visual-form-builder
    widgets-for-siteorigin
    wise-chat
    world-clock-widget
    yellow-pencil-visual-theme-customizer
    Всё это возникло после недавнего обновления (давно не обновлял)
    Похоже что это yellow-pencil ?

    yellow-pencil-visual-theme-customizer

    https://yellowpencil.waspthemes.com/docs/important-security-update/

    известно об этом стало еще 10 апреля.

    я сюда обращался 5 дней назад, мне Yui (@fierevere) посоветовала создать новую тему.
    tuxfighter (@tuxfighter) спасибо!

    нужно ли менять все пароли? от базы и от админ.панели?

    нужно ли менять все пароли? от базы и от админ.панели?

    нет

    jurvrn,

    нужно ли менять все пароли? от базы и от админ.панели?

    Учитывая специфику атаки, вы себя лишний раз подстрахуете, если поменяете пароли от БД и от админпанели — это раз. Два — тщательно проверьте настройки сайта и особенно вкладку «Пользователи», там не должно быть неизвестных вам аккаунтов. Если на сайте у вас более одного легитимного пользователя, то поменять пароли лучше всем.

    пользователь у меня один — я, админ

    пользователь у меня один — я, админ

    Хорошая новость, но для подстраховки пароли лучше всё же поменять.

    так и сделал, спасибо. Отделался малой проблемой. А как так можно что плагин имел доступ к базе данных?! На будущее как подстраховаться?

    jurvrn,

    Отделался малой проблемой.

    Повезло 🙂

    А как так можно что плагин имел доступ к базе данных?!

    Ммм.. Ну так-то плагины вообще имеют доступ к базе данных, тут вопрос немного в ином заключается. Говоря простым языком, качество кода скачет от плагина к плагину (и от автора к автору, соответственно), уследить абсолютно за всем невозможно физически, поэтому и получается так, что в репо WordPress попадает немалое количество недоработанных/небезопасных плагинов, далее уже вопрос выявления этих недоработок и их устранения как можно скорее. Иногда бывает и так, что способы и инструменты эксплуатации уязвимостей оказываются в общем доступе и начинается волна взломов, как было последние 2 недели с теми же плагинами «Easy WP SMTP», «Social Warfare», «Yuzo Related Posts» и «Yellow Pencil». На этот случай как раз и есть коммьюнити, чтобы и проконсультировать, и помочь, и дать какие-то советы на будущее.

    На будущее как подстраховаться?

    Зависит от уровня паранойи 🙂 Делайте бэкапы (желательно хранить их не локально), если не хотите вникать в разные тонкости и нюансы, то подумайте об использовании WAF (Web Application Firewall). Это не даст вам 100% гарантий, но всё же часть самых бредовых атак отвалится сама собой. Защиту нужно прорабатывать под каждый конкретный проект, просто «ставить плагин» я не посоветую, даже если это якобы «плагин безопасности» («Wordfence Security», «iThemes Security», «All In One WP Security & Firewall»

    Делайте бэкапы (желательно хранить их не локально)

    а где: в облаке каком-нибудь?

    WAF (Web Application Firewall)

    дайте безопасную ссылку )

    в репо WordPress попадает немалое количество недоработанных/небезопасных плагинов

    это их хакеры взламывают? ведь автор плагина врядли в него заложил бы подобные вещи как запись левых страниц в базу
    паранойи нет, но не хочу чтобы результат моего хобби за год работы исчез )

    jurvrn,

    а где: в облаке каком-нибудь?

    Да, к примеру, в облаке. Есть плагины готовые, которые это сделают в автоматическом режиме, надо только настроить и протестировать: «BackWPup – WordPress Backup Plugin», «UpdraftPlus WordPress Backup Plugin», «WordPress Backup and Migrate Plugin – Backup Guard», «Backup by Supsystic».

    дайте безопасную ссылку )

    Не дам 🙂 Потому что:

    Защиту нужно прорабатывать под каждый конкретный проект

    это их хакеры взламывают? ведь автор плагина врядли в него заложил бы подобные вещи как запись левых страниц в базу

    Бывает всякое. И WordPress тут не исключение: бывали случаи, когда в плагинах находили закладки, бывало и такое, что плагины выкупались у разработчиков и уже новые владельцы внедряли в плагины закладки. Бывает и такое, что выкатывается новая версия самого WordPress’а, которая содержит критические уязвимости, после этого выкатывается экстренный патч-обновление, бывало даже, что принудительный.

    паранойи нет, но не хочу чтобы результат моего хобби за год работы исчез )

    Тогда в первую очередь бэкапы, своевременное обновление движка и плагинов, вменяемый хостинг. Если будете следить за этим, то уже в принципе будете жить довольно неплохо.

Просмотр 15 ответов — с 1 по 15 (всего 22)
  • Тема «Взломан сайт — запись в wp_options» закрыта для новых ответов.