Sa oras at oras, nakatulong kami sa mga gumagamit na ayusin ang kanilang mga na-hack na mga site sa WordPress. Karamihan sa mga oras na sila ay umabot sa amin, nilinis na nila ang site, at nagbalik ang hacker. Nangyayari ito kung hindi mo ito nilinis nang wasto, o hindi mo alam kung ano ang iyong hinahanap . Sa karamihan ng mga kaso na aming natagpuan, nagkaroon ng backdoor na nilikha ng hacker na nagpapahintulot sa kanila na laktawan ang normal na pagpapatunay. Sa artikulong ito, ipapakita namin sa iyo kung paano makahanap ng backdoor sa isang na-hack na site ng WordPress at ayusin ito.
Ano ang isang Backdoor?
Ang backdoor ay tinutukoy sa isang paraan ng pag-bypass sa normal na pagpapatotoo at pagkakaroon ng kakayahang malayuang ma-access ang server habang nananatiling hindi nalalaman. Karamihan sa mga smart hackers ay laging nag-upload ng backdoor bilang unang bagay. Pinapayagan nito ang mga ito na mabawi ang access kahit na matapos mong makita at alisin ang pinagsasamantalang plugin. Ang mga backdoors ay madalas na nakataguyod ng mga pag-upgrade, kaya ang iyong site ay mahina hanggang sa malinis mo ito.
Pinapayagan lamang ng ilang backdoors ang mga user na lumikha ng nakatagong username ng admin. Sapagkat ang mas kumplikadong backdoors ay maaaring payagan ang hacker upang maisagawa ang anumang PHP code na ipinadala mula sa browser. Ang iba ay may ganap na nasimulan na UI na nagpapahintulot sa kanila na magpadala ng mga email bilang iyong server, magsagawa ng mga query sa SQL, at lahat ng bagay na nais nilang gawin.
Nasaan ang Nakatagong Code na ito?
Ang mga backdoors sa isang WordPress install ay karaniwang nakaimbak sa mga sumusunod na lokasyon:
- Mga tema – Malamang na hindi ito nasa kasalukuyang tema na iyong ginagamit. Gusto ng mga Hacker na mabuhay ang code sa mga pangunahing update. Kaya’t kung mayroon kang lumang Kubrick na tema na nakaupo sa direktoryo ng iyong tema, o isa pang hindi aktibong tema, pagkatapos ay ang mga code ay marahil ay naroroon. Ito ang dahilan kung bakit inirerekumenda namin ang pagtanggal sa lahat ng hindi aktibong mga tema.
- Mga Plugin – Mga Plugin ay isang magandang lugar para sa Hacker upang itago ang code para sa tatlong mga kadahilanan. Isa dahil hindi talaga tinitingnan ng mga tao ang mga ito. Dalawang dahil hindi gusto ng mga tao na i-upgrade ang kanilang mga plugin, kaya nakataguyod nila ang mga pag-upgrade (pinapanatili sila ng mga tao). Tatlo, mayroong ilang mga mahihirap na naka-code na mga plugin na maaaring magkaroon ng kanilang sariling mga kahinaan upang magsimula sa.
- Mga Direktoryo ng Pag-upload – Bilang isang blogger, hindi mo kailanman alamin ang direktoryo ng iyong pag-upload. Bakit mo Ka lang mag-upload ng larawan, at gamitin ito sa iyong post. Marahil ay mayroon kang libu-libong mga imahe sa upload na folder na hinati sa taon at buwan. Napakadali para sa hacker na mag-upload ng backdoor sa folder ng pag-upload dahil itatago ito sa libu-libong mga file ng media. Plus hindi mo ito regular na suriin. Karamihan sa mga tao ay walang monitoring plugin tulad ng Sucuri. Panghuli, ang direktoryo ng upload ay maaaring isulat, kaya maaari itong gumana sa paraang dapat ito. Ito ay isang mahusay na target. Ang maraming mga backdoors namin mahanap ay doon.
- wp-config.php – Ito rin ay isa sa mga highly targeted na mga file ng mga hacker. Ito rin ay isa sa mga unang lugar na sinasabihan ng karamihan sa mga tao na tingnan.
- May kasamang Folder – / wp-kasama / folder ay isa pang lugar na nakita namin backdoors. Ang ilang mga hacker ay laging mag-iiwan ng higit sa isang backdoor file. Sa sandaling mag-upload sila ng isa, magdaragdag sila ng isa pang backup upang matiyak ang kanilang pag-access. Kabilang ang folder ay isa pang isa kung saan ang karamihan sa mga tao ay hindi nag-aalinlangan sa pagtingin.
Sa lahat ng mga kaso na aming nakita, ang backdoor ay disguised upang magmukhang isang WordPress file.
Halimbawa: sa isang site na nalinis namin, ang backdoor ay nasa wp-include folder, at ito ay tinatawag na wp-user.php (hindi ito umiiral sa normal na pag-install). May user.php, ngunit walang wp-user.php sa / wp-kasama / folder. Sa ibang pagkakataon, nakakita kami ng isang php file na pinangalanang hello.php sa folder ng upload. Ito ay disguised bilang Hello Dolly plugin. Ngunit bakit ang ano ba ang nasa upload na folder? D’oh.
Maaari rin itong gumamit ng mga pangalan tulad ng wp-content.old.tmp, data.php, php5.php, o isang bagay ng ganitong uri. Hindi nito kailangang magtapos sa PHP dahil lamang may PHP code dito. Maaari din itong isang .zip file. Sa karamihan ng mga kaso, ang mga file na ito ay naka-encode na may base64 code na kadalasang nagsasagawa ng lahat ng mga operasyon ng pag-uuri (ie magdagdag ng mga link sa spam, magdagdag ng mga karagdagang pahina, i-redirect ang pangunahing site sa mga pahina ng spam, atbp).
Ngayon marahil ay iniisip mo na ang WordPress ay hindi secure dahil pinapayagan nito ang mga backdoors. Ikaw ay NALAKIT. Ang kasalukuyang bersyon ng WordPress ay walang mga kilalang kahinaan. Ang mga backdoors ay hindi ang unang hakbang ng hack. Ito ay karaniwang ang ikalawang hakbang. Kadalasan ang mga hacker ay makahanap ng isang pagsasamantala sa isang third-party na plugin o script na pagkatapos ay nagbibigay sa kanila ng access upang i-upload ang backdoor. Pahiwatig: ang TimThumb hack. Maaari itong maging lahat ng uri ng mga bagay. Halimbawa, ang isang hindi magandang naka-code na plugin ay maaaring pahintulutan ang pagtataas ng pribilehiyo ng user. Kung ang iyong site ay may bukas na pagrerehistro, ang hacker ay maaari lamang magrehistro nang libre. Gamitin ang isang tampok upang makakuha ng higit pang mga pribilehiyo (na nagpapahintulot sa kanila na mag-upload ng mga file). Sa ibang mga kaso, maaari itong maging mahusay na ang iyong mga kredensyal ay nakompromiso. Maaari din itong gumamit ng isang hindi magandang hosting provider.
Paano Maghanap at Maglinis ng Backdoor?
Ngayon na alam mo kung ano ang isang backdoor ay, at kung saan ito ay matatagpuan. Kailangan mong simulang hanapin ito. Ang paglilinis nito ay kasingdali ng pagtanggal ng file o code. Gayunpaman, ang mahirap na bahagi ay nakakahanap nito. Maaari kang magsimula sa isa sa mga sumusunod na plugin ng WordPress scanner ng malware. Mula sa mga ito, inirerekumenda namin ang Sucuri (oo ito ay binabayaran).
Maaari mo ring gamitin ang Exploit Scanner, ngunit tandaan na ang base64 at eval code ay ginagamit din sa mga plugin. Kaya kung minsan ay magbabalik ito ng maraming maling mga positibo. Kung hindi ka nag-develop ng mga plugin, pagkatapos ito ay talagang mahirap para sa iyo na malaman kung aling code ang wala sa lugar nito sa libu-libong mga linya ng code. Ang pinakamagandang bagay na maaari mong gawin ay tanggalin ang direktoryo ng iyong plugin , at muling i-install ang iyong mga plugin mula sa simula. Yup, ito ang tanging paraan na matitiyak mo maliban kung marami kang oras na gastusin.
Hanapin ang Direktoryo ng Mga Upload
Ang isa sa mga plugin ng scanner ay makakahanap ng isang pusong file sa folder ng upload. Ngunit kung pamilyar ka sa SSH, kailangan mo lamang isulat ang sumusunod na command:
hanapin ang upload -name "*. php" -print
Walang magandang dahilan para sa isang file na .php sa folder ng iyong pag-upload. Ang folder ay dinisenyo para sa mga file ng media sa karamihan ng mga kaso. Kung may isang. Php file na nasa doon, kailangang pumunta.
Tanggalin ang Mga Hindi Aktibong Tema
Tulad ng aming nabanggit sa itaas, madalas na naka-target ang hindi aktibong mga tema. Ang pinakamagandang gawin ay tanggalin ang mga ito (yup kasama dito ang default at klasikong tema). Ngunit maghintay, hindi ako nag-check upang makita kung ang backdoor ay nasa doon. Kung ito ay, pagkatapos ay nawala na ngayon. Inilatag mo lamang ang iyong oras mula sa pagtingin, at inalis mo ang isang dagdag na punto ng pag-atake.
.htaccess File
Minsan ay idinagdag doon ang mga redirect code. Tanggalin lang ang file, at muling lilikha ito. Kung hindi, pumunta sa iyong WordPress admin panel. Mga Setting »Permalinks. I-click ang pindutang i-save doon. Ito ay likhain muli ang .htaccess na file.
wp-config.php file
Ihambing ang file na ito gamit ang default na wp-config-sample.php file. Kung makakita ka ng isang bagay na wala sa lugar, pagkatapos ay mapupuksa ito.
Database Scan para sa Exploits and SPAM
Ang isang smart hacker ay hindi magkakaroon lamang ng isang ligtas na lugar. Lumilikha sila ng maraming mga. Ang pagpuntirya ng database na puno ng data ay napakadaling lansihin. Maaari silang mag-imbak ng kanilang masamang mga pag-andar ng PHP, mga bagong pang-administratibong account, mga link sa SPAM, atbp sa database. Yup, kung minsan hindi mo makikita ang admin user sa pahina ng iyong user. Makikita mo na may 3 mga gumagamit, at makikita mo lamang ang 2. Mga pagkakataon na ikaw ay na-hack.
Kung hindi mo alam kung ano ang ginagawa mo sa SQL, baka gusto mong hayaan ang isa sa mga scanner na ito na gawin ang trabaho para sa iyo. Ang eksploit na plugin ng Scanner o Sucuri (binayarang bersyon) parehong tumatagal ng pag-aalaga sa na.
Sa tingin mo nalinis mo ito? Mag-isip muli!
Tama kaya ang hack ay nawala. Phew. Hold on, huwag lang magrelaks. Buksan ang iyong browser sa isang mode na incognito upang makita kung bumalik ang pabalik. Kung minsan, ang mga hacker ay matalino. Hindi nila ipapakita ang hack sa mga naka-log in sa mga gumagamit. Nakikita lamang ng mga naka-log out ang mga user. O mas mabuti pa, subukang palitan ang useragent ng iyong browser bilang Google. Kung minsan, gusto lamang ng mga hacker na i-target ang mga search engine. Kung ang lahat ng mukhang mahusay, pagkatapos ay ikaw ay handa na upang pumunta.
Just FYI: kung gusto mong maging 100% sigurado na walang hack, pagkatapos ay tanggalin ang iyong site. At ibalik ito sa punto kung saan alam mo na ang hack ay wala roon. Ito ay maaaring hindi isang pagpipilian para sa lahat, kaya kailangan mong mabuhay sa gilid.
Paano Pigilan ang Hacks sa Hinaharap?
Ang aming # 1 na payo ay upang mapanatili ang malakas na pag-backup (VaultPress o BackupBuddy) at simulan ang paggamit ng isang serbisyo ng pagmamanman. Tulad ng sinabi namin ng mas maaga, hindi mo maaaring mai-monitor ang lahat ng bagay na napupunta sa iyong site kapag gumagawa ka ng maraming iba pang mga bagay. Ito ang dahilan kung bakit ginagamit namin ang Sucuri. Maaaring tunog na tulad namin na itinataguyod ang mga ito. Ngunit kami ay HINDI. Oo, nakakuha kami ng komisyon ng kaakibat mula sa lahat na nag-sign up para sa Sucuri, ngunit hindi ito ang dahilan kung bakit inirerekomenda namin ito. Inirerekomenda lamang namin ang mga produkto na ginagamit namin at kalidad. Ang mga pangunahing pahayagan tulad ng CNN, USAToday, PC World, TechCrunch, TheNextWeb, at iba pa ay inirerekomenda din ang mga taong ito. Ito ay dahil ang mga ito ay mabuti sa kung ano ang ginagawa nila.
Basahin ang aming artikulo sa 5 Mga Dahilan Bakit Ginagamit namin ang Sucuri upang Pagbutihin ang aming WordPress Security
Ilang iba pang mga bagay na maaari mong gawin:
- Gumamit ng Malakas na Mga Password – Puwersahin ang mga malakas na password sa iyong mga gumagamit. Simulan ang paggamit ng utility sa pamamahala ng password tulad ng 1Password.
- 2-Step Authentication – Kung nakompromiso ang iyong password, kailangan pa ng user na magkaroon ng verification code mula sa iyong telepono.
- Limitahan ang Mga Pag-login sa Pag-login – Pinapayagan ka ng plugin na ito na i-lock mo ang user matapos ang mga X na numero ng mga nabigong mga pagtatangka sa pag-login.
- Huwag paganahin ang Mga Editor ng Tema at Plugin – Pinipigilan nito ang mga isyu sa pag-escalation ng gumagamit. Kahit na ang mga pribilehiyo ng user ay tumataas, hindi nila maaaring baguhin ang iyong tema o mga plugin gamit ang WP-Admin.
- Protektahan ang Password WP-Admin – Maaari mong protektahan ang password sa buong direktoryo. Maaari mo ring limitahan ang pag-access sa pamamagitan ng IP.
- Huwag paganahin ang PHP Execution sa Ilan sa Mga Direktoryo ng WordPress – Hindi nito pinapagana ang pagpapatupad ng PHP sa mga direktoryo ng pag-upload at iba pang mga direktoryo na gusto mo. Talaga kaya kahit na may isang taong nagawang i-upload ang file sa iyong folder ng pag-upload, hindi nila magagawang ipatupad ito.
- Manatiling na-update – Patakbuhin ang pinakabagong bersyon ng WordPress, at i-upgrade ang iyong mga plugin.
Sa wakas, huwag maging murang pagdating sa seguridad. Palagi naming sinasabi na ang pinakamahusay na panukala ng seguridad ay mahusay na pag-backup. Mangyaring mangyaring mangyaring panatilihing magandang regular na backup ng iyong site. Karamihan sa mga hosting company HUWAG gawin ito para sa iyo. Magsimulang gumamit ng maaasahang solusyon tulad ng BackupBuddy o VaultPress. Sa ganitong paraan kung na-hack ka, palagi kang magkaroon ng isang restore point. Gayundin kung maaari mong, lamang makakuha ng Sucuri at i-save ang iyong sarili ang lahat ng mga problema. Susuriin nila ang iyong site, at linisin ito kung sakaling ma-hack. Lumalabas na maging katulad ng $ 3 bawat buwan sa bawat site kung makuha mo ang 5 na plano ng site.
Umaasa kami na nakatulong sa iyo ang artikulong ito. Huwag mag-atubiling mag-iwan ng komento sa ibaba kung mayroon kang isang bagay na idaragdag 