Włamania na WordPress
komentarzy 
To, że WordPress jest najpopularniejszym skryptem do stawiania stron wie każdy kto ma coś z tym wspólnego.
Ze statystyk portalu W3Techs.com wynika, że skrypt ten używa 25,7% stron w Internecie. Druga pozycja to Jommla z 2,8%.
Różnica jest jak widać spora.
Jak to z popularnością bywa, często nie przynosi ona samych profitów, zdarzają się sytuacje negatywne.
Dlatego WordPress jako najpopularniejszy skrypt jest na świeczniku „SEO Crackerów” co przekłada się na dużą ilość infekcji.
W drugiej połowie 2015 ratowaliśmy 9 witryn firmowych opartych na tym skrypcie. Zaplecza – tutaj muszę się przyznać do 3 włamań (2 z nich 1-3.01.2016), udanych z prozaicznych powodów ale o tym później :).
Jaki są najczęstsze objawy infekcji?
W zależności od inwencji osoby bawiącej się w ten sposób, dodawane są linki do treści obecnych stron i wpisów lub tworze są dodatkowe foldery. W folderach umieszczane grupy automatycznie tworzonych podstron.
Witryna rekordzistka miała 16 utworzonych przez osoby trzecie folderów z treścią w języku chińskim.
W jednym przypadku, którym się zajmowaliśmy, do folderu została wgrana rozbudowana struktura nowej witryny z jednoczesnym przekierowaniem ruchu do odpowiedniego indeksu. Tak, że wchodząc na witrynę otrzymywało się od razu podmienioną treść.
Spotkaliśmy także witrynę, na której jedynym efektem infekcji było otwierające się w przeglądarce dodatkowe okno z ALiexpress. Gdyby nie to, że przy okazji popsuli adresy URL, właściciel nie zauważyłby długie miesiące, że coś z nią jest nie tak.
Co ciekawe, podczas zgrywania tej witryny na dysk antywirus alarmował o wirusie w jednym z plików. Wirus ten był doczepiony do jednego z plików nieużywanej skórki. Jak widać mieli więc szczęście, że wybrali inny wygląd.
Jak rozpoznać włamanie?
Na pewno warto co jakiś czas przeglądać treści na swojej stronie oraz zindeksowane podstrony w Google.
Warto także dodać witrynę do Google Search Console, Google coraz lepiej wychwytuje takie sytuacje i informuje o nich.
Takie działanie jest korzystne jeszcze z dwóch powodów.
1. Przy wielu włamaniach dodawani są nowi właściciele w GSC
Dzięki temu możliwe jest dodanie mapy XML i indeksacja dodanych treści bez linków. Mając autoryzacje jako właściciel dostajemy o tym wiadomości.
2. Przeglądając frazy, na które wyświetlana jest stron, można zobaczyć dziwne treści, co często jest efektem włamania.
Którędy się włamują?
Najważniejszymi czynnikami ułatwiającymi włamanie są:
W mojej ocenie najczęściej włamania są wynikiem dwóch pierwszych czynników. Przypadki związane z z serwerami są rzadkie.
Proste hasła ułatwiło włamanie w przypadku 4 klientów oraz wszystkich 3 stron zaplecza (jak się daje hasło w stylu 12345 to nie ma co się dziwić :/)
O tym jak się w prosty sposób odczytuje takie hasła możecie sie przekonać na poniższym filmie.
Kolejne 5 przypadków to dziurawe wtyczki, przy czym w jednym była to wtyczka wymuszona przez skórkę.
BHP WorpPressa
– usuwamy numer wersji WP,
– usuwamy nazwę CMS,
– usuwamy archiwum autorów,
– usuwamy wszystkie logi ze skórek, wtyczek itd,
– blokujemy dostępy po X próbach logowań.
Część z tych rzeczy można zrobić odpowiednimi funkcjami w functions.php znajdującym się w folderze skórki.
Lub można się nie męczyć i wykorzystać do tego możliwości pluginów związanych z bezpieczeństwem np iThemes Security.
Trzeba tylko uważać by nie zabezpieczyć WordPress na dobre, tak że przestanie działać :)
Na koniec, muszę dodać, że jak zamiast treści witryny ujrzycie taki widok
To także nie jest dobrze :)
Jak jak tam u Was? Problemy czy spokój?
Niestety włamania były, są i będą. W przypadku zaplecza oprócz tego co napisałeś polecam również Multisite WP. Sposób instancji opisywałem opisywałem ostatnio na blogu http://promotraffic.pl/blog/skuteczny-sposob-na-ataki-brute-force-multisite-wordpress/ – naprawdę polecam Multisite.
U mnie na szczęście spokój, jeszcze ;)
Tak naprawdę mało kto zabezpiecza strony na WP chociaż w minimalnym stopniu.
No niestety a później jest płacz i płacenie…
Nie oszukujmy się, że złożoność hasła ma teraz większe znaczenie. Może kiedyś – owszem, ale nie przy obecnej mocy obliczeniowej.
Włamy były, są i będą. I nie tylko na – tak ukochanego przez seowców WordPressa – przecież co było z Joomlą jeszcze nie tak dawno… Klientów niestety trzeba przekonać do zabezpieczania strony, co oczywiście nie daje 100%, ale utrudnia włam…
Dokładnie włamania na WordPress chyba już zawszę będą dlatego trzeba odpowiednio zabezpieczać stronę.
Znam przykłady firm, które na swoje hasło wybierają kombinację nazwa firmy aktualny rok lub nazwa kombinacja 1234. Totalna głupota…
Dobrze jest ustawić też blokowanie dostępu po 3 próbach wpisania nieprawidłowego hasła. Powinno to trochę zmniejszyć ryzyko włamania do WP.
Mi ostatnio na hosting wkradł się jakiś wirus, który dopisył kod js w nagłówku wszytskich stron na wp. Po pierwsze powodował przkierowanie botów, a na jednej stronce zaczęły już pojawiać się linki do produktów valium na również hackowanje stronie. Musiałem usunąć ze wszytskich stron ten kod, plus zpousuwać wszystkie nieużywane motywy, gdyż kod był w każdym motywie. Póki co nieodnawia się.
W internecie widzę że maksarują dużo stron wp
Włamania będą ciągle bo wielu „webmasterów” stawia teraz Klientom strony na WordPressie, kasują szmal a potem Klient nawet nie wie, że trzeba to aktualizować.