Узнав от Багах на WordPress и Wp-login обеспечении

Бесплатная проверка на вирусы

Если на сайте был взломан, атака не заканчивается вредоносный контент или спам. Хакеры знают, что администраторы сайта будут убирать инфекцию и не смотреть дальше. Многие идут на патч уязвимого программного обеспечения, изменять свои пароли, а также выполнять другие пост-хак шагов. Все это хорошо, но хакеры, которые следуют через фазы снабжения атаки также оставить способы легко заразить сайте.

После взлома сайта, хакеры хотят убедиться, что они по-прежнему иметь доступ если оригинальных дыра в безопасности закрыта. Чаще всего, они загрузят бэкдоры или создают новый аккаунт злоумышленников иногда существующего администратора не показывает в разделе пользователей только через MySql. Существует также сочетание двух подходов: логин обходит. Это позволит злоумышленникам получить права администратора без проверки подлинности, с помощью специального параметра в запрос http.

Вордпресс Обхода Блокировки Входа

Недавно мы нашли этот глючный код, введенный в WordPress wp-login.php файл.

wp-login-malware StopVirus

Запрос был помещен внутрь законные замечания, что сделало его более подозрительным, поскольку этот трюк используется только вредоносных программ.

Целью настоящего Кодекса является предоставление администратором пользователю идентификатор kidsid параметр при запросе wp-login.php. Это позволяет злоумышленнику получить доступ к приборной панели WordPress с разрешения администратора.

Например, с n в качестве ID пользователя-администратора:

httx://site.com/wp-login.php?kidsid

Лучше, чем поддельные админы

Этот метод имеет преимущества над созданием новых пользователей, которые могут быть замечены и удалены. Законного пользователя с правами администратора не удаляются во время очистки. Хакерам даже не нужно знать имя пользователя с правами администратора! Многие сайты на WordPress еще есть по умолчанию пользователь admin, созданные во время установки. Этот пользователь имеет Идентификатор 1. Но злоумышленники не должны полагаться только на этот факт.

С инструментами, как wpscan, это легко для любого, чтобы обнаружить WordPress админ идентификаторы пользователей. Если злоумышленник может внедрить код в wp-login.php они скорее всего имеют достаточно полномочий, чтобы выполнить простой SQL-запрос и определить все идентификаторы администратора сайта.

Глючный Код

Намерение обойти вполне понятно. Однако, именно этот код не будет работать по причинам, очевидным для любого, кто знаком с WordPress и API или даже просто на PHP. Ошибка очень глупая.

Учитывая, что этот код почти полностью основан на примере, который можно найти в Кодексе WordPress, можно предположить, что хакер-это так называемый “скрипт кидди”, которые могут только использовать сторонние скрипты и копировать навыки/вставить.

Кроме того, инъекции в wp-login.php обречен быть удален, так как этот файл будет перезаписан во время обновления Вордпресса.

Хакерская Форма Входа

Еще один способ убедиться, что вы всегда иметь действительные учетные данные для Вордпресс для взлома форма входа. Чтобы сделать это, хакеры, как правило, внедрить вредоносное ПО в wp-login.php файл как мы уже видели.

Вот еще недавний пример:

credentials-stealer StopVirus

Когда пользователь успешно входит в WordPress, этот код сообщения сайта, URL-адрес и учетные данные пользователя для злоумышленника.

Интересная деталь: Тсвои вредоносные программы тоже глючат.

Если вы проверите линию 843 на скриншоте выше, вы увидите, что $body сцепления не завершено и отсутствует обязательная точка с запятой в конце строки. Похоже, злоумышленник модифицировал эту линию, но забыл, чтобы правильно завершить его.

PHP является очень прощать, когда дело доходит до такого рода ошибок (что обычно приводит в всякие неожиданные побочные эффекты) и этот код на самом деле работает. PHP только преобразует закрывшие кавычки-литералы в строках и сцепляет $body с $headers со следующей строки. В результате, текст письма заканчивается MIME-Version: 1.0 (который должен идти в заголовки электронной почты), но тем не менее, он работает.

Устранение Вредоносных Программ

Хотя эти образцы не глядючи и код обхода не работает, они преподали нам несколько уроков безопасности.

  1. Убедитесь, что ваши файлы WordPress целы. Контроль целостности поможет вам обнаружить подобные инъекции.
  2. Удалить пользователя по умолчанию WordPress администратора с ID 1. Первое, что вы должны сделать после установки нового блога WordPress-создать нового администратора с именем, которое трудно догадаться, а затем удалить по умолчанию пользователь admin. Это не только значительно снизить вероятность нападения грубой силы, но также изменить идентификатор по умолчанию администратор.
  3. Не публикуйте что-нибудь с помощью учетной записи администратора. Это легко выяснить, идентификаторы пользователей, которые публикуют посты на вашем блоге. Использовать специальный счет с редактором или автором ролей, чтобы опубликовать на блоге и использовать учетную запись администратора только для задач управления сайта. Таким образом, злоумышленники сможете найти ограниченные учетные записи, когда они просматривают ваш сайт.
  4. Вам будет сообщено, когда администраторы войдите на сайт, поэтому вы будете знать, если Ваш аккаунт будет взломан. Есть рядплагинов, которые делают это.
  5. Рассмотреть возможность ограничения доступа к WordPress админку. Это может быть защищенной паролем области на вашем сервере, или вы можете предоставить доступ только с доверенных IP-адресов. Даже если хакеры украдут ваши учетные данные WordPress или ввести код обхода, они все равно не смогут пользоваться админ панели WordPress.
  6. Регулярно делайте резервные копии сайта. Хакеры не лучших кодеров там. Ошибки не редкость, как в свои инструменты и вредоносных программ, они впрыскивают. Мы регулярно видим, как их ошибки портили файлы. Вот почему вам всегда нужен хороший сайт стратегия резервного копирования, который включает в себя хранение резервных копий на другом сервере.

Конечно, это далеко не полный список вещей, которые вы должны сделать, чтобы защитить сайта WordPress. Мы настоятельно рекомендуем читать официальный твердения на WordPress руководство в WordPress Кодекс, а также специализированных ресурсов из авторитетных членов сообщества, такие как Йоаст.

Если несмотря на ваши усилия, ваш сайт был по-прежнему взломан, компания StopVirus СтопВирус поможет обезопасить сайт и настроить полную защиту от вирусов и попыток их внедрения.