Włamania na WordPress

zabezpieczenie To, że WordPress jest najpopularniejszym skryptem do stawiania stron wie każdy kto ma coś z tym wspólnego.
Ze statystyk portalu W3Techs.com wynika, że skrypt ten używa 25,7% stron w Internecie. Druga pozycja to Jommla z 2,8%.

Różnica jest jak widać spora.

Jak to z popularnością bywa, często nie przynosi ona samych profitów, zdarzają się sytuacje negatywne.

Dlatego WordPress jako najpopularniejszy skrypt jest na świeczniku „SEO Crackerów” co przekłada się na dużą ilość infekcji.

W drugiej połowie 2015 ratowaliśmy 9 witryn firmowych opartych na tym skrypcie. Zaplecza – tutaj muszę się przyznać do 3 włamań (2 z nich 1-3.01.2016), udanych z prozaicznych powodów ale o tym później :).

Jaki są najczęstsze objawy infekcji?

W zależności od inwencji osoby bawiącej się w ten sposób, dodawane są linki do treści obecnych stron i wpisów lub tworze są dodatkowe foldery. W folderach umieszczane grupy automatycznie tworzonych podstron.

Witryna rekordzistka miała 16 utworzonych przez osoby trzecie folderów z treścią w języku chińskim.

W jednym przypadku, którym się zajmowaliśmy, do folderu została wgrana rozbudowana struktura nowej witryny z jednoczesnym przekierowaniem ruchu do odpowiedniego indeksu. Tak, że wchodząc na witrynę otrzymywało się od razu podmienioną treść.

Spotkaliśmy także witrynę, na której jedynym efektem infekcji było otwierające się w przeglądarce dodatkowe okno z ALiexpress. Gdyby nie to, że przy okazji popsuli adresy URL, właściciel nie zauważyłby długie miesiące, że coś z nią jest nie tak.
Co ciekawe, podczas zgrywania tej witryny na dysk antywirus alarmował o wirusie w jednym z plików. Wirus ten był doczepiony do jednego z plików nieużywanej skórki. Jak widać mieli więc szczęście, że wybrali inny wygląd.

Jak rozpoznać włamanie?

Na pewno warto co jakiś czas przeglądać treści na swojej stronie oraz zindeksowane podstrony w Google.

Warto także dodać witrynę do Google Search Console, Google coraz lepiej wychwytuje takie sytuacje i informuje o nich.

włamanie witryna

Takie działanie jest korzystne jeszcze z dwóch powodów.

1. Przy wielu włamaniach dodawani są nowi właściciele w GSC

nowy właściciel w GSC

Dzięki temu możliwe jest dodanie mapy XML i indeksacja dodanych treści bez linków. Mając autoryzacje jako właściciel dostajemy o tym wiadomości.

2. Przeglądając frazy, na które wyświetlana jest stron, można zobaczyć dziwne treści, co często jest efektem włamania.

włamanie frazy

Którędy się włamują?

Najważniejszymi czynnikami ułatwiającymi włamanie są:

  • – brak haseł lub proste hasła,
  • – korzystanie z zainfekowanych wtyczek i skórek,
  • – brak aktualizacji,
  • – słabe zabezpieczenia serwera

    W mojej ocenie najczęściej włamania są wynikiem dwóch pierwszych czynników. Przypadki związane z z serwerami są rzadkie.

    Proste hasła ułatwiło włamanie w przypadku 4 klientów oraz wszystkich 3 stron zaplecza (jak się daje hasło w stylu 12345 to nie ma co się dziwić :/)

    O tym jak się w prosty sposób odczytuje takie hasła możecie sie przekonać na poniższym filmie.

    Kolejne 5 przypadków to dziurawe wtyczki, przy czym w jednym była to wtyczka wymuszona przez skórkę.

    BHP WorpPressa

  • 1. Ustawiamy hasło wieloznaczkowe.
  • 2. Używamy wtyczki i skórki z legalnych źródeł.
  • 3. Aktualizujmy jak najszybciej co się da.
  • 4. Zabezpieczamy WP robiąc takie rzeczy jak:
    – usuwamy numer wersji WP,
    – usuwamy nazwę CMS,
    – usuwamy archiwum autorów,
    – usuwamy wszystkie logi ze skórek, wtyczek itd,
    – blokujemy dostępy po X próbach logowań.

    Część z tych rzeczy można zrobić odpowiednimi funkcjami w functions.php znajdującym się w folderze skórki.

    Lub można się nie męczyć i wykorzystać do tego możliwości pluginów związanych z bezpieczeństwem np iThemes Security.
    Trzeba tylko uważać by nie zabezpieczyć WordPress na dobre, tak że przestanie działać :)

    Na koniec, muszę dodać, że jak zamiast treści witryny ujrzycie taki widok
    hacked site
    To także nie jest dobrze :)

    Jak jak tam u Was? Problemy czy spokój?

  • 11 komentarzy

    1. Autor Marcin Marć dodany 15 stycznia, 2016

      Niestety włamania były, są i będą. W przypadku zaplecza oprócz tego co napisałeś polecam również Multisite WP. Sposób instancji opisywałem opisywałem ostatnio na blogu http://promotraffic.pl/blog/skuteczny-sposob-na-ataki-brute-force-multisite-wordpress/ – naprawdę polecam Multisite.

    2. Autor Szymon Słowik dodany 15 stycznia, 2016

      U mnie na szczęście spokój, jeszcze ;)

    3. Autor Aleksiejs dodany 15 stycznia, 2016

      Tak naprawdę mało kto zabezpiecza strony na WP chociaż w minimalnym stopniu.

    4. Autor mkane dodany 16 stycznia, 2016

      No niestety a później jest płacz i płacenie…

    5. Autor Sigma System dodany 18 stycznia, 2016

      Nie oszukujmy się, że złożoność hasła ma teraz większe znaczenie. Może kiedyś – owszem, ale nie przy obecnej mocy obliczeniowej.

    6. Autor Pawel dodany 4 lutego, 2016

      Włamy były, są i będą. I nie tylko na – tak ukochanego przez seowców WordPressa – przecież co było z Joomlą jeszcze nie tak dawno… Klientów niestety trzeba przekonać do zabezpieczania strony, co oczywiście nie daje 100%, ale utrudnia włam…

    7. Autor Andrzej dodany 9 lutego, 2016

      Dokładnie włamania na WordPress chyba już zawszę będą dlatego trzeba odpowiednio zabezpieczać stronę.

    8. Autor Kamila dodany 4 marca, 2016

      Znam przykłady firm, które na swoje hasło wybierają kombinację nazwa firmy aktualny rok lub nazwa kombinacja 1234. Totalna głupota…

    9. Autor Krzysiek dodany 6 marca, 2016

      Dobrze jest ustawić też blokowanie dostępu po 3 próbach wpisania nieprawidłowego hasła. Powinno to trochę zmniejszyć ryzyko włamania do WP.

    10. Autor Sebastian dodany 6 marca, 2016

      Mi ostatnio na hosting wkradł się jakiś wirus, który dopisył kod js w nagłówku wszytskich stron na wp. Po pierwsze powodował przkierowanie botów, a na jednej stronce zaczęły już pojawiać się linki do produktów valium na również hackowanje stronie. Musiałem usunąć ze wszytskich stron ten kod, plus zpousuwać wszystkie nieużywane motywy, gdyż kod był w każdym motywie. Póki co nieodnawia się.
      W internecie widzę że maksarują dużo stron wp

    11. Autor Karol dodany 22 kwietnia, 2016

      Włamania będą ciągle bo wielu „webmasterów” stawia teraz Klientom strony na WordPressie, kasują szmal a potem Klient nawet nie wie, że trzeba to aktualizować.