Wordpress potencialne luknje
9 naročnikov
9 naročnikov
Em imam en WP, ki mi ga za boga ne uspe zaščitit tako kot je treba, na par dni se mi pojavi Shell file na serverju in prepisane .js datoteke. Pogledal sem že vsemogoče, zamenjano je bilo FTP geslo, pregledane mape, da ni druge nesnage, verzija je zadnja, plugini so nekako vsi posodobljeni, počiščeni uporabniki v bazi, itd.
Še vprašanje je kje kak seznam potencialnih lukenj? :D
21 odgovorov
Možnosti je kar nekaj, na žalost.
Dobro bi bilo recimo pregledati celoten WP, če ima kakšne core datoteke spremenjene. To je najlažje narediti z vtičnikom Wordfence. Omogoča skeniranje, kjer preveri vse datoteke WPja in po želji teme in vtičnikov, če se ujemajo z datotekami na repozitoriju.
Seveda pa je dobro imeti nameščen še kakšen drug vtičnik za varnost (iThemes security, AIO WP Security ipd.), glede na potrebe. Večina jih zna pogledati če so pravice datotek in map nastavljene pravilno, je pa uporabno tudi spremeniti url za vstop na stran iz /wp-admin na nekaj drugega (iThemes security to omogoča).
V končni fazi, če se problemi še vedno pojavljajo, se pa obrnite na gostovanje. Imam pozitivne izkušnje z različnimi gostovanji v Sloveniji pri odpravljanju varnostnih lukenj, če nič drugega pa vsaj lahko svetujejo, kako si lahko sami pomagate.
Glede seznama potencialnih lukenj pa tudi mariskateri plugin zna povedati, kaj je in kaj ni OK na strani.
Lp
Core datoteke so na novo naložene, scan datotek je is Secury Security, gostovanje je moje, tak da neke luknje kot take naj ne bi bilo :D
V bistvu iščem kak seznam možnih zadev, ker očitno nekaj spregledam :(
Na misel mi pride samo še baza...
Kaj takega, da jo pregleda, sicer pa mogoče ni Wordpress kriv?
Enkrat mi je pa tudi že pomagalo, da sem Googlal kose exploitirane kode, da bi našel koga, ki ma isti problem.
Eh bom videl, sem trenutno postavil samo read permišne z izjemo cache folderjev pa da vidimo kako bo.
Omisli si mod_security za Apache ali pa naxsi ce uporabljas Nginx. Dnevno poganjaj pa se https://www.rfxn.com/projects/linux-malware-detect/
Tukaj sem imel podobne težave.
Ker nimam ravno največ časa, se nisem čisto poglobil problemu. Bilo pa je enako. Vsakih nekaj minut je bil POST in nalagal so okužene datoteke. Skoraj jih ne bi mogel brisat sproti.
Kaj sem naredil?
Celo stran potegnil dol in jo preiskal.
Najprej antivirus. Ta je našel 5 okuženih datotek (trojan, loader...). Brisal ali zamenjal z originalom.
Potem vse datoteke preiskal za eval, decode, replace... V vsaj 40 datotekah je bila v glavi eval koda. Pobrisal.
Pregledal sem tudi bazo (kolikor znam) in nisem našel ničesar.
Kolikor sem raziskal, so tile shell napadi/uploadi avtomatizirani in ponavadi nimajo veze s ftp ali admin dostopi. Tak da menjava gesel ipd ne pomaga. To se vidi tudi po IPjih napadalcev, ki so raztreseni po celem svetu. Še najbolj sumim neustrezno gostovanje.
In še vedno so prišli nazaj.
Potem pa v htaccessu blokiral nalaganje php, js in podobnih datotek. Zdaj je mir.
Malce je sicer nerodno, ker ne moreš posodobit wp, a v mojem primeru tega itak ne morem, ker uporabljajo plugin za starejši wp (če posodobiš wp, plugin ne dela).
Tudi praksa iz ostalih cmsjev je pokazala, da najboljša zaščita je dobro gostovanje in dober htaccess trik.
Em, malware detect mi javlja ko so spremembe, tako da tudi takoj vem da se nekaj dogaja.
Glede okuženih datotek je finta, da so core datoteke, ostalo so plugins, uploads in pa tema, drugih folderjev ni in število vseh datotek je enako kot zip, ali pa sem vedno prepisal zadevo s clean datotekami.
Bom videl čez noč :D
Ni nujno, da preko wordpressa pridejo not, čeprav malo verjetno.
Lahko je kak drug site na serverju krivec. Poglej datum kdaj je bil file spremenjen, poišči vse ki so bili spremenjeni to minuto, poglej log fajle, zasleduj IP do izvora, v teoriji je lahko bit pameten :)
