Как найти дыру в Wordpress?

Question

mihass @mihass

WordPress

Как найти дыру в Wordpress?

Всем привет.
Проблема уже с месяц наверное. Каким-то образом меняют в таблице "wp_options" поле "siteurl". Там уже дальше идет куча редиректов, инсталлы и т.д. На момент взлома версия Wordpress была не актуальная и плагины многие были не актуальны. После взлома все актуализировали. 3 шелла нашли и удалили. Все, дальше в тупике. По логам ничего не находится, наверняка не знаем что именно искать. Обращались к спецам, на данный момент ищет проблему уже пятый, но без толку.

Вопрос задан более трёх лет назад
413 просмотров

3 комментария

Подписаться 3 Средний 3 комментария

deadnice @deadnice

Вариантов масса, особенно без каких-либо входных данных. Проблема же может быть и не в WP. Лично мои предположения:
1. Мог остаться бэк дор после первого взлома
2. У взломщиков есть данные от админки/хостинга/ssl/бд (если вы это конечно всё не поменяли)
2.1. Кейлогер на пк администратора (такое тоже вполне реально)
3. Дыра могла быть в теме
4. То что вы обновили все плагины не означает что там залатали все дыры, возможно в каком-то из них всё ещё есть уязвимости

Возможно пропустили что-то в логах

Написано более трёх лет назад
Дмитрий @dimasmagadan

>Обращались к спецам, на данный момент ищет проблему уже пятый, но без толку.
видимо не к тем спецам обращались

даже без доступа к коду/серверу:
1. проверить права, запретить выполнение пхп из wp-content/uploads и прочего такого
2. прогнать плагины через wp-vuln
3. убрать timthumb
4. сделать 2х факторную авторизацию на вход, либо прикрыть вход в админку паролем, либо пускать по IP
5. проверить список юзеров с админским доступом
6. включить на сервере fail2ban
7. если тема кастомная или сайт делал фрилансер, проверить на наличие бэкдоров (а то например вот Откуда редирект? )
8. включить логи, начать смотреть логи
9. сменить пароли, сгенерировать по новой данные в вп-конфиг
10. дальше по обстоятельствам

Написано более трёх лет назад
mihass @mihass Автор вопроса

Пароли все без исключения меняли, и для юзеров и на базу и хостинг панель и ftp.
Юзер с админским доступом один только.
Тема покупная, там вряд ли что то будет.
Бекдоры все что нашли вычистили.
Логирование включено, но в логах ничего не ищется.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

WordPress

Средний
Почему в настройках публикации пусто?
- 1 подписчик
- 4 часа назад
- 9 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Как при помощи js создать поле дополнительных ингридиентов?
- 1 подписчик
- 13 часов назад
- 66 просмотров
0

ответов
WordPress

+1 ещё

Простой
Какой есть плагин для регистрации и добавлением дополнительных полей и с поддержкой Woocommerce?
- 1 подписчик
- вчера
- 24 просмотра
2

ответа
WordPress

+1 ещё

Простой
Woocommerce rest api, как реализовать филтрацию с учетом вариаций?
- 1 подписчик
- вчера
- 20 просмотров
1

ответ
WordPress

Средний
Каким способом лучше сделать натяжку верстки на Wordpress? ACF либо другие способы?
- 1 подписчик
- вчера
- 52 просмотра
1

ответ
WordPress

Простой
Как сделать pagination в WordPress для Custom Post Type?
- 1 подписчик
- 23 апр.
- 30 просмотров
0

ответов
WordPress

Простой
Как создать шаблон вывода записей с произвольным типом?
- 1 подписчик
- 23 апр.
- 31 просмотр
1

ответ
WordPress

+2 ещё

Средний
Как сделать автоматический выбор региона по IP в Wordpress?
- 1 подписчик
- 22 апр.
- 63 просмотра
2

ответа
WordPress

+1 ещё

Простой
Как добавить RSS widget на wordpress?
- 1 подписчик
- 22 апр.
- 30 просмотров
1

ответ
WordPress

Средний
Как увеличить стоимость товара при помощи чекбоксов?
- 1 подписчик
- 21 апр.
- 58 просмотров
2

ответа
Показать ещё Загружается…

WordPress developer (Contractor, Remote)

Hicaliber

До 2 300 $

Разработчик на Wordpress

Nocodered

от 40 000 до 140 000 ₽

Бэкэнд разработчик сайтов

Валверде

от 40 000 до 60 000 ₽

Сделать верстку для натяжки на wordpress по макету в figma

26 апр. 2024, в 14:21

10000 руб./за проект

Node JS Бек енд разработчик для доработки CRM системы авто салона

26 апр. 2024, в 14:10

60000 руб./за проект

Требуется Pure PhP + Symfony (Обязательно) разработчик для CRM/ERP

26 апр. 2024, в 14:07

3000 руб./в час

Вариантов масса, особенно без каких-либо входных данных. Проблема же может быть и не в WP. Лично мои предположения:
1. Мог остаться бэк дор после первого взлома
2. У взломщиков есть данные от админки/хостинга/ssl/бд (если вы это конечно всё не поменяли)
2.1. Кейлогер на пк администратора (такое тоже вполне реально)
3. Дыра могла быть в теме
4. То что вы обновили все плагины не означает что там залатали все дыры, возможно в каком-то из них всё ещё есть уязвимости

Возможно пропустили что-то в логах
>Обращались к спецам, на данный момент ищет проблему уже пятый, но без толку.
видимо не к тем спецам обращались

даже без доступа к коду/серверу:
1. проверить права, запретить выполнение пхп из wp-content/uploads и прочего такого
2. прогнать плагины через wp-vuln
3. убрать timthumb
4. сделать 2х факторную авторизацию на вход, либо прикрыть вход в админку паролем, либо пускать по IP
5. проверить список юзеров с админским доступом
6. включить на сервере fail2ban
7. если тема кастомная или сайт делал фрилансер, проверить на наличие бэкдоров (а то например вот Откуда редирект? )
8. включить логи, начать смотреть логи
9. сменить пароли, сгенерировать по новой данные в вп-конфиг
10. дальше по обстоятельствам
Пароли все без исключения меняли, и для юзеров и на базу и хостинг панель и ftp.
Юзер с админским доступом один только.
Тема покупная, там вряд ли что то будет.
Бекдоры все что нашли вычистили.
Логирование включено, но в логах ничего не ищется.

Answer 1 · 2019-07-25 19:31:26

1. Удалите все файлы кроме /wp-content
2. Загрузите новый WP (базу подключите существующую)
3. Удалите тему, установите ее заново с сайта разработчика, если она у Вас покупная
4. Временно удалите все плагины - проверьте, будет ли замена siteurl
5. Замените стандартные логины суперпользователей: admin и других пользователей с расширенными правами, на другие
6. Установите права только чтение, для всех файлов, кроме /wp-content/upload/ и отключите выполнение php файлов в этой папке
7. Установите защиту в .htaccess, чтобы при обращении к папке /wp-admin вначале просило пароль
8. Сделайте копию всех файлов, после очередного взлома, сравните, какие файлы изменились, в принципе они не могут изменится.

Как найти дыру в Wordpress?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт