Восстановление WordPress из git repo repositories

git clone my-url for github or bitbucket ./

Ранее в статье реальная ситуация, где сайт подвергался атаке и манипуляции злоумышленниками, что используют учетные записи самого сервиса John041521@wordpress.com.

Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 6 Подставной пользователь в вашей базе данных и время.

Нашей задачей стояло изучить поведение сломанного сайта, и отключить перед новым годом доступ к базе данных и убрать все ссылки постов. По нашему мнению, наш ресурс использовался для не качественного продвижения запрещенных материалов в Азии.

После того как мы убедились в том, что наша база данных стабильна от 28-29 декабря, но файлы сайта по прежнему не стабильны. Принято решение полностью удалить все файлы, что могут быть заражены и делаем инициализацию нашего репозитория с самого начала. Это необходимо для обновления сервера из репозитория, сервиса хранения разработок.

Восстановление сайта из репозитория после взлома wordpress
Восстановление сайта из репозитория после взлома wordpress

Для обновлени репозитория мы используем comand line putty cli, через ssh подключение.

Но для начала, установлю простую версию WordPress с оригинальной темой, что идет в коробке в Декабре 2018 года от вордпресс официального сайта, и если завтра утром файлы сайта будут стабилен круто, нет удалим оригинальную тему и загрузим нашу подготовленную тему для WordPress. Еще вариант перейти на хостинг типа Cloud.

Технические обновления безопасности WordPress 5.0.2
Технические обновления безопасности WordPress 5.0.2

Защита WordPress сайта, безопасность вашего сайта часть (4/4)

Утро 3-го января, в 10 утра я продолжил изучение статистических данных после очередной атаки на сервер.

[Wed Jan 02 22:55:17.351083 2019] [core:crit] [pid 13303] (13)Permission denied: [client 51.75.196.34:18250] AH00529: /var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/' is executable

Вот что меня действительно удивило, так это то, что моя родная тема на WordPress отключилась, не ясно только как WordPress вышел из строя.

Мой тестовый пакет для разработки, получил массовую перегрузку.

хостинг пакет vsu-1 для тестирования
Хостинг пакет vsu-1 для тестирования.
точки входа wordpress - фото из фаервола
Точки входа wordpress — фото из фаервола.

Смотрим статистику, и видим что ВП сегодня ночью был подвержен другой атаке, мой ручной  запрет на инъекцию скриптов на uploads дает мне возможность протестоять взлому с того момента как мы запретили, это 24 декабрь +- дальше работать админ, бот не смог.

Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 6 Подставной пользователь в вашей базе данных и время.

Точки для инъекции постов после взлома системы:
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/xmlrpc.php
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/admin-ajax.php

Еще точки для возможных инъекций:

http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/load-scripts.php
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/load-styles.php

Хорошо видно на данном рисунке взлом WordPress происходит через директорию UPLOADS : 1 gif 1 css 1 js это и есть файлы скриптов для старта взлома, осталось найти эти файлы.
И как вариант закрыть в ручную страницы авторизации от доступа по default ссылке (url).

http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-login.php
http://создание-сайтов.укр/wp-admin

WordPress просит обновить себя до 5-й версии, но есть риск что это не поможет.

Тема для вордпресс сломана вирусом
Тема для WordPress сломана вирусом

Мы запустим обновление WordPress до версии 5.0, но это не помогло, возможно наша старая версия WordPress была с уязвимостью, и легко позволяла делать манипуляции.
Обновление показало что WordPress поврежден сильнее, чем ожидалось.
Решением станет полное удаление WordPress и установка чистой версии из оригинальных исходников репозитория ПП «Сиерра Груп».

Последний тест, что подтвердит что взлом wordpress состоялся успешно
Последний тест, что подтвердит что взлом wordpress состоялся успешно

На данном этапе мы полностью контролируем целостность базы и файлов, неодин сайт клиентов во время взлома не пострадал. Наш фаервол уведомлял нас о всех действиях, спасибо отдельно команде !

Далее : Продолжение восстановления  работы по восстановлению моей темы для WordPress из github. А вы кстати видел новые в папки style и webpack + wp-content + wp-includes+wp-admin.

на самом деле. мы испольщуем вебпак, только галп или грант уже много лет, внутри темы. Мне кажется вордпресс очень изменится в скором времени 🙂

Плагин для безопасности сайтов, защита WordPress

Мы подготовили краткий обзор существующих плагинов, и предоставим сое мнение о результатах их действия.

Что бы поднять низкий уровень безопасности WordPress, не важно, какое его целевое использование, будь это сайт или приложение. Да WordPress может быть приложением, хотя изначально это блог с лучшим функционалом для администрирования этого типа сайта.

По этому, если Вы действительно хотите усилить безопасность своего блога, почитайте эту информацию.

Плагин для WordPress по безопасности обзор ниже, плагин защищает Вашу систему администрирования WordPress и частично какие-то файлы системы ядра WordPress но не все, защищает плагин корректно файлы лишь в том случае, если Ваш реальный сетевой администратор, выполнил все базовые требования для защиты WordPress. WordPress может быть защищен используя еще ряд разных функции как Фаервол, защита FTP/SSH, и другие услуги, что поставляют Ваш хостинг провайдер, он же сервер хранения ваших данных, облачного типа и не простого типа как dedicated server. Администратор сайта WordPress может влиять на сайт, используя код для программирования через Админ панель WordPress по этому важно эту возможность убрать. Мы знаем всю необходимость быть уверенным в своей безопасности. Подберем вариант, чтобы позаботился о системе безопасности за Вас, то эта статья для вас.

Мы подготовили обзор инструментов, что есть в наличии на 2019 год.

Итак коротко, краткий обзор функций из двух лучших плагинов по безопасности:
Обзор плагина для защиты WordPress WordFence,
Вордфенс — сразу скажем, он платный для самых полезных функций, он тяжелый до безумия смотрите как устроена его база данных она по структуре очень схожа с WordPress. Ощущение, что плагин по безопасности равняется WordPress таблицам, уверен, что этому есть объяснение, от разработчиков плагина по безопасности, лично наше мнение отсутствует нормализация их таблиц. Много функций, много платных полезных функций, то что поставляется бесплатно, больше носит информационный характер. Конкурент Вордфенс это All in one wp security против из коллекции моего любимого all in one seo pack пак для SEO оптимизации. Просто отличный плагин для базовой SEO для WordPress, и бесплатна версия дает широкий функционал !

Оба плагина не смогли защитить сайт от DDOS-атаки, помогло отключение видимости сайта на сервере на период активной атаки, взлома файлов сервера не происходит, так как порядок налажен. Делаем выводы, что достаточно стандартного уровня защиты файлов и настройки директорий сетевым администратора. Плагины по защите WordPress , хороши тем, что там есть Двухфакторная автоматизация в Вордфенс. Защита админ панели от входа теми ip адресами, что производили взлом, главное обновлять этот список блокированных ip адресов.

Продолжение:
Была идея фиксирования взлома сайта, мой личный сайт, где я готовлю тему для WordPress. Был взломан WordPress инъекцией через папку UPLOADS файлов DB-1.php. Базой для фиксирования моего взлома стал сайт по адресу www.создание-сайтов.укр . Тема для WordPress несла в себе простую верстку главной страницы, ACF плагин под поля, Сайт был взломан в начале осени. Когда фаервол прислал уведомление, я решил посмотреть и изучить в научных целях, как работают плагины защиты, которые так сильно рекламируются для защиты и как на это будет реагировать наш сервер, после того как устраним доступы для злоумышленника. Наша версия взлома такова, отсутствие защиты на директориях, отсутствие htaccess и запрета на выполнения скриптов в нужной директории на момент взлома.

Начнем с того, что цель для проекта «создание сайтов» — это ранжирование по запросу «создание сайтов» что является средне-частотным запросом, информационного характера и в своем регионе дает большой трафик.
Для того, что бы эта модель заработала по направлению органики в выдаче трафика, понадобились годы подготовительных работ. Именно 7 лет создания сайтов разных тематик, сайты создаются и сегодня, но уже с более современным решение в сфере персональной безопасности сайтов, типа WordPress. Созданные сайты, несут в себе якорь на http://создание-сайтов.укр. Это работает, как на один из местных вариантов ранжирования лидера по созданию сайтов и современных приложений.
И самое прекрасное и интересное явление, как персональный WordPress трансформируется и превращается в веб-приложение. Представьте Этап — сайт блог о безопасности WordPress, при создании приложения API, используя обще известную логическую цепочку действий становится вкусным пирогом, лакомым куском данных для похитителя — взломщиков, что охотятся за персональными данными клиентов этих приложений. Собственные кейсы по безопасности для решения огромного пула задач, помогают делать решения не только для личных нужд, но и все клиентам, кому нужны услуги по безопасности WordPress на всех этапах разработки и поддержки.

 

Безпека сайту, залежить від умов її доступності, і певна міра її доступності це людський фактор

in.ua домен что значит, сколько стоит

Домен .in.ua — имеет отношение к доменной зоне Украины с целью общего его назначения. Домен .in.ua — может быть зарегистрирован любым частным лицом или организацией. Домен .in.ua — нашел распространение как указывающий «в Украине» (форум в Украине, блоги в Украине итд.).

Параметры доменного имени .in.ua

Средняя цена 240(+-30)грн/год
Минимальный срок регистрации 1 год
Максимальный срок регистрации 2 года
IDN — поддержка отличных от латинских сиволов в названии домена нет
Период приоритетного продления 20 дней после окончания срока делегирования домена
Время регистрации В течение 24 часов в случае отсутствия ошибок в предоставленных данных.
Минимум символов в названии домена 3
Максимум символов в названии домена 63
Допустимые символы в названии домена a-z, 0-9, —
Ограничения От 2 Nameservers (DNS).
Nameservers (DNS) должны быть корректно сконфигурированы перед подачей заявки.
Ссылка на правила доменной зоны http://www.in.ua/policy.php
Участие домена в акции «Домен в подарок» нет

При покупке домена на 2 года, можно получить хостинг в подарок на 2 месяца.
Хостинг в подарок как и другие подарки и постоянные акции и скидки на услуги студии, мыдарим все лучшие условия нашим старым и новым клиентам.

Защита WordPress сайта, безопасность вашего сайта часть (3/4)

После определения нашего уровня заражения, мы делаем выводы, что нам необходимо использовать авторизацию типа ДФА. Двухфакторная аутентификация (ДФА) для обеспечения дополнительного уровня безопасности. Мы смогли определить как был заражен WordPress, мы касаемся области где превентивная защита наших или ваших и не ваших скриптов, стоит на пороге сервера и стучит. То есть наш сайт был подвержен закачкой PHP-скрипта в каталог UPLOADS DB-1.php, доступный для записи. Разбор DB-1.php файла, будет публикован позже.

Почти 2 мес, мы не трогали вордпресс, мы нашли файл защиты UPLOADS директории от запуска скриптов. Злоумышленник бот. его задача проникнуть и сбивать темы что активны., в нашем случае было много выкачаных архивов рахных тем, в наш UPLOADS было внесено около 40 архивов разных тем.

# SetHandler text/plain
# ForceType text/plain
#

php_flag engine off

php_flag engine off как точка заражения
php_flag engine off как точка заражения

Как видите, здесь работает один приказ

php_flag engine off

Что делает php_flag engine — off
Согласно документации
Пример #1 Отключение парсера PHP для директории при помощи .htaccess
php_flag engine off


php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

Реальной точкой взлома стала папка UPLOADS и файлы темы, суть в том, что наша тема не имела шаблонов, и тема была снова отключена на новых попытках взлома. Обьем взлома около 12000 записей и продать эти ссылки, вот вам и монетизация ссыллочной массы. Так как содержание тех ссылоки имеет скорей характер закупочных ссылок, собственно этот бизнес процветает в Азии, и любители порно там тоже есть.

полное отключение сайта - види отсутствие нагрузки - post метод уже не тревощит вордпресс - так как сайт отключен для внешних источников
полное отключение сайта — отсутствие нагрузки — post метод вордпресс не доступен — некуда обращатся — сайт отключен для внешних источников. Будем запускать RANDOM.

После того как мы запретили, нашим удаленным администратором злостно постить ссылки, наш сервер подвергся массовой ддос, атаке, с нагрузкой по меркам в 60 выше моей нормы работы провайдера.
Суть в том, что взлома больше нет, но отразить ДДОС — возможно полным отключением, на данном этапе.

/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/uploads/2018/10/db-1.php -> javascript.document.write.0
/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/uploads/2018/10/db-2.php -> javascript.document.write.0

Продолжение в последей части о Защита вордпресс часть 4 

Что делать с только что установленным вордпресом

Самое главное по мнение большого количество специалистов по продвижение, это не отправлять в гугл информацию о вашем сайте, если он еще на стадии разработки.
По этому мы ставим галочку, закрыть от индексации сайта от поисковых систем, принудительно.

запретить индексацию после установки WordPress
запретить индексацию после установки вордпресс

готова установка -авторизация в админку WordPress
готова установка -автроризация в админку вордпресс

Далее, можно добавить парочку полезных плагинов:

— Первый all in seo pack free для формирования заголовков без лишнего функционала
— Второй Google XML Sitemaps это карта сайта, что подходит гуглу
— Третий плагин это ACF есть (PRO платная) — этот плагин очень хорош как заменитель большому количеству аналогов для увеличения и кастумизации существующего функционала WordPress.
— Четвертый наш плагин для безопасности мы пока что исключаем из этой версии редакции, плагин еще пишется. Смотри обзор плагинов.

Далее, мы можем или пропустить шаг защиты WordPress и продолжить разработку, или сделать сохранение и выгрузить для тестирования WordPress на Development или Product Server.

Установка вордпресс в чистую базу данных, краткий урок.

Установка ворпдерсс имеет несколько вариантов, мы рассмотрим несколько.
Новый современный метод установки, это использовать командную строку.
Стандартный метод, полу ручной скачать оригинал файла с официального сайта WordPress
Также вы можете использовать Вордпресс что уже есть на вашем локальном сервере.

Установка вордпресс в чистую базу даних, краткий урок начнем с запуска командной строки
на Виндовс это ПУСК+R

пуск-R + CMD Запуск командной строки для установки wordpress
пуск-R + CMD Запуск командной строки для установки wordpress

Теперь перейдем в нужное место для установки, из директории

E:
cd apache/ospanel/domains/install

переход в директорию для запуска git clone wordpress
переход в директорию для запуска git clone wordpress

Далее запускаем команду

git clone https://github.com/WordPress/WordPress ./ - скачивание репозитория

Скачивание репозитория для установки WordPress
Скачивание репозитория для установки WordPress

Теперь мы используем openserver как Apache сервер, у нас создана папка с оригинальным вордпресс и готова база данных, запустим наш сайт как домен на локальном хостинге.

скачивание-готово-добавляем домен installwp в панеле openserver
скачивание-готово-добавляем домен installwp в панеле openserver

Директория installwp

директория installwp для установки вордпресс в чистую базу данных
директория installwp для установки вордпресс в чистую базу данных

Далее запускаем наш сайт локально

запускаем под домен для установки вордпресс
запускаем под домен для установки вордпресс

И еще два шага и жмем установку

подключение вордпресс с базой данных
подключение вордпресс с базой данных

Жмем уставновить.

готова установка чистого вордпресс, запуск уставновки
готова установка чистого вордпресс, запуск уставновки

Готова установка чистого вордпресс, запуск уставновки, пароль и логин вы устанавливаете самостоятельно для вашего локального компьютера, на этапе установки openserver на ваш компьютер.

Как создать чистую базу данных, MySql под управлением phpmyadmin

Создаеть чистую базу данных SQL можно при помощи ряда систем управлений таких как phpmyadmin или postgreSQL.
Wordpress использует MySql это бесплатная версия данного вида SQL библиотеки. Поддерживается sql языком программирования а также имеет ряд хороших возможностей.

Пройдем авторизацию в систему управления phpmyadmin, так как у нас уставовлен OpenServer, наше обращение происходит так :

субд управление базой данных
субд управление базой данных
автентифікація до СУБД phpmyadmin на localhost
автентифікація до СУБД phpmyadmin на localhost

Создадим пустую базу данных и определим ей современную кодировку utf8-general-ci.

Получаем подтверждение, можем использовать для установки вордпресс, чистую базу даних.
Після підтвердження маємо, нашу пусту та нову базу даних, яку можно використовувати для запуску інталяції WordPress бази даних .

Нова та пуста база даних mysql
Нова та пуста база даних mysql

Защита WordPress сайта, безопасность вашего сайта часть (2/4)

Важная теза, зачем мы все это делаем.
Вступление к оптимизации сайта для обеспечения эффективного seo продвижения, требует подготовленного уровня безопасности, уточним какие есть нововведения от компании Google в конце 2018 года. Эти нововведения, подтверждают нашу практику по следующим уровням защита вашего сайта. Почему произошли обновления, это вообще произошло иза за необходимого урегулирования спама что поступает в почтовые ящики. в Европейском Союзе вступил в действие закон GDPR от 25 мая 2018 года, далее по ссылке более подробно сам закон в оригинале. Нововведения коснутся всех алгоритмов при работе с персональными данными, в первую очередь с гражданами ЕС(европейского союза), во вторую очередь граждан США, и в последнюю всех тех, кто тем или иным родом обслуживает граждан ЕС на своих серверах.

Следует выделить несколько моментов из большого перечня обновлений:
а) Если ваш сайт или страница, просит личную (персональную) информацию, такую как паспортные данные, номера банковских счетов, номера других документов что подтверждают личность и т. д., страницы дающие советы по юридической или финансовой стороне;
б) Ресурсы где есть денежные транзакций, пользователи могут передать персональную информацию о своей банковской тайне или счете; Например, любая страница, что позволяет вам что-то купить в интернете;
И другая информация, мед страховки и т.п. информация о здоровье, которая может повлиять на ваше физическое состояние;
в) Ресурсы где дают советы по важным жизненным вопросам.

Все это косвенно будет влиять на ваше будущее и финансовое состояние как факты влияния.
Google сделал следующие — большое внимание на показатель скорости загрузки и расширению функционала для вебмастеров:

г) Фактор ранжирование является скорость загрузки;
д) Запуск и обновление Lighthouse и Pagespeed Insights, далее по ссылке пример тестирования нашего сайта на вордпресс.

у) Запуск Mobile first Index и массовый перевод сайтов с уведомлением в Google Webmaster, еще лет 6 назад мы говорили о том, что Mobile first сборка макетов интерфейса — это приоритет номер один в рейтинге.

ф) Еще одно изменение, с улучшением сканирование сайтов на AJAX, особенно касается wp infinite scroll.

г) Сервис поддержка Google Assistant увеличивает штат сотрудников, с помощью быстрых ответов, разметки и дополнительных возможностей информируют пользователей достаточно эффективно.
з) И последнее еще один фактор это внедрения HTTPS протокола, скоро введут значки в браузере «небезопасный сайт», шутка индикаторы уже есть что сайт небезопасный, поднимут уровень безопасности.

HTTPS требует SSl сертификат безопасности, он необходим для защищенного режима работы между клиентом во время его работы с сервером.
Далее мы рассмотрим уровни защиты без плагинов, и с плагинами.

После того как мы отключили доступ спам боту для подключения к нашему Вордпресс, сервер регистрирует 11 попыток авторизации, и все без успешны.

атака-1го-числа-8-утра ошибка-авторизации
атака-1го-числа-8-утра ошибка-авторизации
атака-1го-числа-поиск-htaccess в руте wp-content
атака-1го-числа-поиск-htaccess в руте wp-content
атака-1го-числа-поиск-htaccess в руте wp-content files-are-executable
атака-1го-числа-поиск-htaccess в руте wp-content files-are-executable

После прочтения ошибок в логинации, видим 10 попыток, входа через 188.213.49.138 и одну через 191.254.249.146

107.150.117.67
123.59.170.207
128.14.224.112
144.76.104.67
150.60.158.162
153.92.0.2
153.92.0.23
153.92.0.24
153.92.0.6
157.55.39.48
164.132.102.125
174.138.52.118
174.138.59.146
181.214.180.182
188.213.49.138
188.226.161.183
191.254.249.146
193.201.224.210
216.244.66.247
34.196.97.47
34.217.77.182
46.4.96.196
5.9.155.226
54.161.157.7
54.36.65.80
69.46.36.20
73.92.140.229
74.208.58.70
77.222.57.247
77.87.198.39
82.165.85.6
89.111.177.210
91.134.248.245
91.240.109.1

Далее авторизация, точнее ее попытки закончились, так как скрипт получил подтверждение, что авторизация по другому адресу, также не доступна.
Проверка адресов, указала 2 страны, Румуния и Бразилия — следовательно можно сделать выводи, что блокирование ip не поможет. Далее изучим файл htaccess что искал наш злоумышленный бот.

[Tue Jan 01 12:00:32.386283 2019] [core:crit] [pid 6329] (13)Permission denied: [client 191.254.249.146:20040] AH00529: /var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/' is executable

.htaccess — один из основных файлов, дописать текст

У нас есть архив сайта, от 24 декабря, попробуем найти этот файл

Далее мы можем выбрать один из плагинов.

iThemes Security (ранее Better WP Security)

Продолжение в третей части о Защита вордпресс часть 3 

Кто ломает и как защищать ваш WordPress, безопасность вашего сайта часть (1/4)

Добрый день, дорогие читатели. Сегодня мы рассмотрим тему взлом вордпресс сайта. Мы рассмотрим реальный пример, проведем анализ действий, покажем пример возможных последствий и сделаем правильные выводы.

Для начала небольшая предыстория, летом 2018 года группой junior веб разработчиков, составили небольшой план работ для изучения архитектуры вордпресс, результатом работы было одна страница с выводом постов различной комбинации, в том числе разных кастомных типов, не только базовый Post тип данных вордпресс, функционал был создан на базе плагина ACF pro.

В октябре месяце, фаервол сервера заметил странную активность, было принято решение, изучить взлом поведение и данные, сделать выводы обновить защиту на рабочих сайтах и сделать описание данных процессов о безопасности вордпресс сайта в уходящем декабре месяце 2018 года.

Итак, рассмотрим, что же произошло с сайтом за каких то пару месяцев, и определим далее шаги для защита сайтов.

  1. Увеличения трафика на сайт, данный трафик не несет полезности, это действия бота, что получил возможность публиковать посты, через дырку в ядре WordPress (рисунок № 1).

    Рис №1 Взлом вордпресс, плохой трафик для вашего сайта
    Рис №1 Взлом вордпресс, плохой трафик для вашего сайта
  2. Заполнение базой данных, разных статей не общего характера (рисунок №2)

    Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс
    Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс
  3. Обратим внимание, что количество постов около 10 тис. записей (рисунок № 3), размер базы данных составляет 125 мегабайт, при этом, взлом происходил через один из плагинов, в plugins директории, мы нашли много лишних резервных копий нашей бд.
Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс
Рис. № 2 Плохие рубрики, как выглядит взломанный вордпресс

 

Рис. № 4 Базы данных и время, атаки на Вордпресс
Рис. № 4 Базы данных и время, атаки на Вордпресс
Рис. № 5 Как производится внесение информации в базу данных и время, атаки на Вордпресс
Рис. № 5 Как производится внесение информации в базу данных и время, атаки на Вордпресс
Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 7 Лог файлы. сервера на который была атака.
Рис. № 7 Лог файлы. сервера на который была атака.

 

Итак, с чего начинается защита сайтов, вывод : после изучения учебного материала. В заключении мы опишем эффективные пути решения в нашем случае.

  1. 1. Первое, что необходимо делать, закрыть доступ через ФТП и представлять возможность подключения только по выделенному ip-адресу, запрещать запись новых сценариев, если не вы автор файлов. В нашем случае, так как проект находится на стадии разработки, атака прошла успешно, причиной стала открытость системы вордпресс, ее уязвимое ядро старой версии, потому первое действие было это обновить Вордпресс до последней версии, в нашем случае это версия 5.0.2, после этого и изменить права файлов CHMOD 755. И закрыть доступ через ftp.

    Запрет на подключение по ftp и ssh к сайтв на wordpress
    Запрет на подключение по ftp и ssh к сайтв на wordpress
  2. 2. Нельзя использовать плагины, что могут сделать уязвимость в работе WordPress, часто бесплатные, плагины просто не нужны в использовании в том виде в котором они поставляются, каждая такая установка не опытным пользователем засоряет вашу базу данных делая ее уязвимой, в случае нахождения бага сервисами, что целенаправленно DDos-сят сайты на вордпресс. Базу нужно очищать, от остатков мусорных данных плагинов и прочих загрязнений.
    взлом был через плагин all-in-one-wp-migration он запустил backupwordpress откуда был получен пароль и весь код системы, далее иньекции постов под видом админа.
    взлом был через плагин all-in-one-wp-migration он запустил backupwordpress откуда был получен пароль и весь код системы, далее иньекции постов под видом админа.

    взлом через выкачку backup wordpress данных, именно здесь была уязвимость.
    взлом через выкачку backup wordpress данных, именно здесь была уязвимость.
  3. 3. Блокировать попытки входа на рабочий адрес ххх.com/wp-admin или ххх.com/wp-login, путем настройки .htaccess скрыть дефолтные URL для авторизации в систему вордпресс.
  4. 4. Контроль версии ваших фалов, сервис репозиторий GitHub для безопасной публикации файлов на сервер, закрывать порты 80 FTP и SSH на сервере после публикации обновлений через контроль версии.
  5. 5. Настроить резервное копирование базы данных, с интервалом в 2-3 дня.
  6. 6. Чаще обращать внимание на важные письма, информирование от сервера на базе фаервола, сработало успешно, подозрительные угрозы были видно и как правило Ваш вебмастер, знает что нужно делать, важно время чем быстрее вы будете в курсе тем меньше вреда задаст робот при взломе. В данном случае, сайт находился в разработке, по тому мы смогли зафиксировать все стадии, что происходили с нашим веб сайтом, для создания уникального материала для этой статьи.
  7. 7. Скрыть для мошенников, возможность получения информации о текущей версии вашего вордпресс.

Продолжение во второй части о Защита вордпресс