Как устранить уязвимость у wordpress?

Question

DrOsd @DrOsd

Как устранить уязвимость у wordpress?

Каждый раз кто-то взламывает в ручном режиме сайт на wordpress. Движок и все плагины обновлены. Как устранить уязвимость? В чем может быть проблема?

Вот пример запросов, которые оказались решающими во взломе:

"POST /wp-admin//update.php?action=upload-plugin HTTP/1.1" 200 31285 "-" "python-requests/1.1.0 CPython/2.7.3 Linux/2.6.32-279.el6.x86_64" "-"
"GET /wp-admin/plugins.php?action=activate&plugin=wpppm%2Fwpppm.php&_wpnonce=8a91a1c70d HTTP/1.1" 302 0 "-" "python-requests/1.1.0 CPython/2.7.3 Linux/2.6.32-279.el6.x86_64" "-"

Вопрос задан более трёх лет назад
3424 просмотра

1 комментарий

Подписаться 6 Оценить 1 комментарий

Пригласить эксперта

Ответы на вопрос 3

4 комментария

DrOsd @DrOsd Автор вопроса

На этом ресурсе лишь констатируют факт такого же взлома, но они не смогли разобраться в логах. Я же привел ключевые строчки из лог файла. Теперь нужно двигаться дальше.. Не буду же я каждый день удалять этот плагин.

Написано более трёх лет назад
Oleg Burca @Cram

А вы создайте папку/файл с этим именем и через FTP запретите запись в неё.
Также для файлов можно указать
chattr +i /путь/к/файлу/имя_файла
что запретит смену атрибутов файла.

( Да, это примитивный костыль. )

Написано более трёх лет назад
DrOsd @DrOsd Автор вопроса

Вариант ) Правда боюсь не сильно поможет это, так как атакующий использовал разные имена плагинов например wpppm, yymmm. Думаю он сможет использовать разные имена. При этом самое интересное разобраться что же это за уязвимость такая..

Написано более трёх лет назад
Oleg Burca @Cram

А по IP адресу невозможно вычислить откуда велась закачка и соответственно по какому URL?
Права доступа на файлы и папки верны?
Должны быть 644 и 755 соответственно.
Проверьте логи подключений к FTP и если там нет лишних адресов.

Написано более трёх лет назад

3 комментария

DrOsd @DrOsd Автор вопроса

ClamAV не находит никакого вредоносного кода.. Паролирование директории не предотвращает выполять запросы такого вида POST /wp-admin//update.php?action=upload-plugin

Написано более трёх лет назад
Дмитрий Евграфович @Tantacula

@DrOsd только что попробовал из адресной строки браузера получить доступ на своем сайте по данным адресам - просит пароль и выдает 401 ошибку. почему у меня пароль не дает мне сделать подобный запрос, может я неправильно его делаю и есть способ обойти?

Кламу не верю, даже если вы все сделали по инструкции, поставили модуль php_clamavlib и привязали его к форме загрузки или просто подняли clamfs. Лично я бы посоветовал меньше доверять антивирусам и больше собственным глазам.

Написано более трёх лет назад
DrOsd @DrOsd Автор вопроса

У меня то он тоже вроде бы как просит пароль, но дело в том что такими запросами у меня весь лог забит и видимо один из них сработал... Я уверенн, что это уязвимость.. Иначе был бы у хакера пароль, зачем ему такие запросы делать? Он бы просто зашел в админку и поставил бы пароль..

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+3 ещё

Простой
Как исправить file_get_contents(): SSL operation failed на Open Server Panel?
- 1 подписчик
- 2 часа назад
- 19 просмотров
1

ответ
Информационная безопасность

Простой
Могут ли злоумышленники физический заразить материнскую плату?
- 1 подписчик
- 8 часов назад
- 75 просмотров
4

ответа
WordPress

Средний
Реализовал мультирегиональность, но некорректно работают настройки публикации, там почти ничего нет. Как исправить?
- 1 подписчик
- 9 часов назад
- 19 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как при помощи js создать поле дополнительных ингридиентов?
- 1 подписчик
- 18 часов назад
- 77 просмотров
0

ответов
WordPress

+1 ещё

Простой
Какой есть плагин для регистрации и добавлением дополнительных полей и с поддержкой Woocommerce?
- 1 подписчик
- вчера
- 24 просмотра
2

ответа
WordPress

+1 ещё

Простой
Woocommerce rest api, как реализовать филтрацию с учетом вариаций?
- 1 подписчик
- вчера
- 21 просмотр
1

ответ
WordPress

Средний
Каким способом лучше сделать натяжку верстки на Wordpress? ACF либо другие способы?
- 1 подписчик
- вчера
- 57 просмотров
1

ответ
Информационная безопасность

+1 ещё

Простой
Как запустить vbs с правами администратора, но без ввода пароля?
- 2 подписчика
- 24 апр.
- 188 просмотров
1

ответ
WordPress

Простой
Как сделать pagination в WordPress для Custom Post Type?
- 1 подписчик
- 23 апр.
- 31 просмотр
0

ответов
Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- 23 апр.
- 43 просмотра
0

ответов
Показать ещё Загружается…

WordPress developer (Contractor, Remote)

Hicaliber

До 2 300 $

Разработчик на Wordpress

Nocodered

от 40 000 до 140 000 ₽

Бэкэнд разработчик сайтов

Валверде

от 40 000 до 60 000 ₽

Разработать CRM/ERP проект на Pure Php + Symfony

26 апр. 2024, в 18:27

200000 руб./за проект

Таргетированная реклама в Tik Tok

26 апр. 2024, в 18:24

80000 руб./за проект

Протестировать виджет на личном сайте

26 апр. 2024, в 18:00

500 руб./за проект

Я уже неоднократно удалял несколько плагинов ложных плагинов. Суть из в том, что при переходе на несуществующую страницу, вместо страницы 404 получаем переадресацию на спам сайт.
С помощью приведенных запросов хакер продолжает успешно взламывать сайт. Я не гуру и не понимаю исходя из запроса, какую именно уязвимость он использует и как ее устранить!???

Answer 1 · 2014-04-10 12:48:25

Уязвимость в ложном плагине wpppm.
Удалите папку или файлы которые содержат wpppm в имени.
wpmarketingbuzz.com/wordpress-malicious-plugin-wpp...

Answer 2 · 2014-04-11 02:12:06

Закройте доступ к папке wp-admin паролем в .htpasswd. Но скорее всего у вас в одном из файлов (или во многих файлах) уже поселилась какая-то чушь, может в том же update.php, к которой обращается взламывающий скрипт или другом, который вы не упомянули в логе. Скачайте дистрибутив вордпресса последний и если в ядре не меняли ничего, сравните + накатите последнюю версию поверх с заменой файлов, оставив конфиг. В идеале надо все вручную шерстить, потому что это не удалит возможные трояны, лежащие в других файлах. Обычно вредоносный код шифруют, поэтому он явно выделяется среди остального содержимого файлов.

Answer 3 · 2014-04-14 21:50:27

itdef @itdef

Пароли смините, вас сбрутили.

Ответ написан более трёх лет назад

Комментировать

Как устранить уязвимость у wordpress?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт