X

Włamania na WordPress

To, że WordPress jest najpopularniejszym skryptem do stawiania stron wie każdy kto ma coś z tym wspólnego.
Ze statystyk portalu W3Techs.com wynika, że skrypt ten używa 25,7% stron w Internecie. Druga pozycja to Jommla z 2,8%.

Różnica jest jak widać spora.

Jak to z popularnością bywa, często nie przynosi ona samych profitów, zdarzają się sytuacje negatywne.

Dlatego WordPress jako najpopularniejszy skrypt jest na świeczniku „SEO Crackerów” co przekłada się na dużą ilość infekcji.

W drugiej połowie 2015 ratowaliśmy 9 witryn firmowych opartych na tym skrypcie. Zaplecza – tutaj muszę się przyznać do 3 włamań (2 z nich 1-3.01.2016), udanych z prozaicznych powodów ale o tym później :).

Jaki są najczęstsze objawy infekcji?

W zależności od inwencji osoby bawiącej się w ten sposób, dodawane są linki do treści obecnych stron i wpisów lub tworze są dodatkowe foldery. W folderach umieszczane grupy automatycznie tworzonych podstron.

Witryna rekordzistka miała 16 utworzonych przez osoby trzecie folderów z treścią w języku chińskim.

W jednym przypadku, którym się zajmowaliśmy, do folderu została wgrana rozbudowana struktura nowej witryny z jednoczesnym przekierowaniem ruchu do odpowiedniego indeksu. Tak, że wchodząc na witrynę otrzymywało się od razu podmienioną treść.

Spotkaliśmy także witrynę, na której jedynym efektem infekcji było otwierające się w przeglądarce dodatkowe okno z ALiexpress. Gdyby nie to, że przy okazji popsuli adresy URL, właściciel nie zauważyłby długie miesiące, że coś z nią jest nie tak.
Co ciekawe, podczas zgrywania tej witryny na dysk antywirus alarmował o wirusie w jednym z plików. Wirus ten był doczepiony do jednego z plików nieużywanej skórki. Jak widać mieli więc szczęście, że wybrali inny wygląd.

Jak rozpoznać włamanie?

Na pewno warto co jakiś czas przeglądać treści na swojej stronie oraz zindeksowane podstrony w Google.

Warto także dodać witrynę do Google Search Console, Google coraz lepiej wychwytuje takie sytuacje i informuje o nich.

Takie działanie jest korzystne jeszcze z dwóch powodów.

1. Przy wielu włamaniach dodawani są nowi właściciele w GSC

Dzięki temu możliwe jest dodanie mapy XML i indeksacja dodanych treści bez linków. Mając autoryzacje jako właściciel dostajemy o tym wiadomości.

2. Przeglądając frazy, na które wyświetlana jest stron, można zobaczyć dziwne treści, co często jest efektem włamania.

Którędy się włamują?

Najważniejszymi czynnikami ułatwiającymi włamanie są:

  • – brak haseł lub proste hasła,
  • – korzystanie z zainfekowanych wtyczek i skórek,
  • – brak aktualizacji,
  • – słabe zabezpieczenia serwera

    W mojej ocenie najczęściej włamania są wynikiem dwóch pierwszych czynników. Przypadki związane z z serwerami są rzadkie.

    Proste hasła ułatwiło włamanie w przypadku 4 klientów oraz wszystkich 3 stron zaplecza (jak się daje hasło w stylu 12345 to nie ma co się dziwić :/)

    O tym jak się w prosty sposób odczytuje takie hasła możecie sie przekonać na poniższym filmie.

    Kolejne 5 przypadków to dziurawe wtyczki, przy czym w jednym była to wtyczka wymuszona przez skórkę.

    BHP WorpPressa

  • 1. Ustawiamy hasło wieloznaczkowe.
  • 2. Używamy wtyczki i skórki z legalnych źródeł.
  • 3. Aktualizujmy jak najszybciej co się da.
  • 4. Zabezpieczamy WP robiąc takie rzeczy jak:
    – usuwamy numer wersji WP,
    – usuwamy nazwę CMS,
    – usuwamy archiwum autorów,
    – usuwamy wszystkie logi ze skórek, wtyczek itd,
    – blokujemy dostępy po X próbach logowań.

    Część z tych rzeczy można zrobić odpowiednimi funkcjami w functions.php znajdującym się w folderze skórki.

    Lub można się nie męczyć i wykorzystać do tego możliwości pluginów związanych z bezpieczeństwem np iThemes Security.
    Trzeba tylko uważać by nie zabezpieczyć WordPress na dobre, tak że przestanie działać :)

    Na koniec, muszę dodać, że jak zamiast treści witryny ujrzycie taki widok

    To także nie jest dobrze :)

    Jak jak tam u Was? Problemy czy spokój?

  • View Comments (11)

    • Włamy były, są i będą. I nie tylko na - tak ukochanego przez seowców WordPressa - przecież co było z Joomlą jeszcze nie tak dawno... Klientów niestety trzeba przekonać do zabezpieczania strony, co oczywiście nie daje 100%, ale utrudnia włam...

    • Dokładnie włamania na Wordpress chyba już zawszę będą dlatego trzeba odpowiednio zabezpieczać stronę.

    • Znam przykłady firm, które na swoje hasło wybierają kombinację nazwa firmy aktualny rok lub nazwa kombinacja 1234. Totalna głupota...

    • Dobrze jest ustawić też blokowanie dostępu po 3 próbach wpisania nieprawidłowego hasła. Powinno to trochę zmniejszyć ryzyko włamania do WP.

    • Mi ostatnio na hosting wkradł się jakiś wirus, który dopisył kod js w nagłówku wszytskich stron na wp. Po pierwsze powodował przkierowanie botów, a na jednej stronce zaczęły już pojawiać się linki do produktów valium na również hackowanje stronie. Musiałem usunąć ze wszytskich stron ten kod, plus zpousuwać wszystkie nieużywane motywy, gdyż kod był w każdym motywie. Póki co nieodnawia się.
      W internecie widzę że maksarują dużo stron wp

    • Włamania będą ciągle bo wielu "webmasterów" stawia teraz Klientom strony na Wordpressie, kasują szmal a potem Klient nawet nie wie, że trzeba to aktualizować.

    1 2
    Related Post