ToneR

Как взламывают вордпресс?

26 posts in this topic

Здравствуйте! Задался таким вопросом, и хотел бы узнать, наверняка тут есть люди знающие.

Допустим имеется сайт на вордпрессе, у которого есть уязвимость, либо в самом движке, либо в плагинах.

Естественно, кулхацкеры нашли эту уязвимость и пытаются внедрить вредоносный код.

 

И собственно вопрос, вредоносный код внедряется, что бы получить доступ к админке?

Могут ли хакеры, поставить, допустим редирект, с помощью найденной уязвимости не получая доступ к админке?

Может ли работать вредоносный код, если файлы темы вообще не изменены?

Share this post


Link to post
Share on other sites
Цитата

И собственно вопрос, вредоносный код внедряется, что бы получить доступ к админке?

Если уязвимость позволяет исполнить php на сервере, то админка не интересна. Админка не интересна и сама по себе, кулхацкера интересуют возможности уязвимости (украсть трафик, монетизировать трафик, сделать спам-рассылку с сервера, повесить дорвей, расставить ссылок и т.д.)

Цитата

Могут ли хакеры, поставить, допустим редирект, с помощью найденной уязвимости не получая доступ к админке?

Опять же, все зависит от самой уязвимости. Иногда без доступа к админке можно сделать больше чем вы это можете сделать из самой админки :)

Цитата

Может ли работать вредоносный код, если файлы темы вообще не изменены?

Вопрос не понятный.

TraderGroup and Danalet like this

Share this post


Link to post
Share on other sites
22 минуты назад, files сказал:

Вопрос не понятный.

Благодарю за ответы! Сейчас поясню, я мыслю примитивно, так как начинал с юкоза и там, если в файле шаблона (темы оформления) не подключен вредоносный скрипт, то другим способом, заразить сайт вообще нельзя. Видимо, это не касается движка вордпресс.

Так каким образом защищать сайты на вордпресс? Многие советуют обновлять движок, но как раз в обновлении и может быть уязвимость, а не обновляя долгое время, точно так же могут взломать.

Вы обновляете движок?

 

 

Share this post


Link to post
Share on other sites

Да, движок необходимо обновлять, как и плагины, как и некоторые темы. WP это не юкоз, за чистоту кода вы несете ответственность

ToneR likes this

Share this post


Link to post
Share on other sites
12 минуты назад, files сказал:

Да, движок необходимо обновлять, как и плагины, как и некоторые темы. WP это не юкоз, за чистоту кода вы несете ответственность

Рад был прочитать ответы от вас, немного вы мне прояснили ситуацию. Спасибо! ;)

Share this post


Link to post
Share on other sites

Наберите в поисковике что-то вроде: "защита файла htaccess wordpress от хакеров", также используйте плагины: Firewall 2, WP clean, anti-XSS attack, Acunetix WP Security. Регулярно делайте бекап БД.

ToneR and StayinLight like this

Share this post


Link to post
Share on other sites
11 час назад, ToneR сказал:

Вы обновляете движок?

Я не знаю, как сейчас, но раньше разработчики сами выкладывали баги и потенциальные дыры, которые они пофиксили в предыдущих версиях, поэтому как тут не обновляться

ToneR likes this

Share this post


Link to post
Share on other sites

Я не обновляю, какой смысл, защита стоит на уровне сервера. Сейчас под сотню сайтов с Wordpress от 2 до 4 версии, вообще не парюсь.

Чтобы не ломали, достаточно доступ к базе, фпт и админке разрешить только своему IP + запретить выполнение скриптов в папке uploads, и все.

Даже если в самом сайте дыра на дыре, то все блокируется сервером.

Share this post


Link to post
Share on other sites
Цитата

Я не обновляю, какой смысл, защита стоит на уровне сервера. Сейчас под сотню сайтов с Wordpress от 2 до 4 версии, вообще не парюсь.

Подвергаете себя большому риску. Особенно с ветками 2 и 3. Скорее всего до сайтов не добрались еще.

Share this post


Link to post
Share on other sites
1 минуту назад, files сказал:

Подвергаете себя большому риску. Особенно с ветками 2 и 3. Скорее всего до сайтов не добрались еще.

Все закрыто по IP даже если зальют шел, он не выполнится, к бекенду ftp, sql тоже доступ закрыт по IP даже если я тут выложу пароли от админки, фтп и базы, вы ничего не сделаете :)

ToneR likes this

Share this post


Link to post
Share on other sites
3 минуты назад, Beauty сказал:

Все закрыто по IP даже если зальют шел, он не выполнится, к бекенду ftp, sql тоже доступ закрыт по IP даже если я тут выложу пароли от админки, фтп и базы, вы ничего не сделаете

POST и GET запросы тоже закрыты? Если да, то это не полноценные сайты, скорее всего какая-то сетка доров или в этом духе

Share this post


Link to post
Share on other sites
1 минуту назад, files сказал:

POST и GET запросы тоже закрыты? Если да, то это не полноценные сайты, скорее всего какая-то сетка доров или в этом духе

Через форму обратной связи периодически заливают скрипты, но как я писал выше в uploads запрещено выполнение кода, поэтому пока глухо как в танке

ToneR likes this

Share this post


Link to post
Share on other sites
10 минут назад, Beauty сказал:

 выше в uploads запрещено выполнение кода, поэтому пока глухо как в танке

Как вы запретили выполнение кода, не подскажите? И что, разве всегда в папку uploads загружают?

Beauty likes this

Share this post


Link to post
Share on other sites
1 час назад, ToneR сказал:

Как вы запретили выполнение кода, не подскажите? И что, разве всегда в папку uploads загружают?

Щас не у компа, ближе к ночи посмотрю что к чему там, уже особо не помню, погуглите еще "защита от xss атак и sql-иньекций", например политика безопасности СSP тоже интересная штука

ToneR likes this

Share this post


Link to post
Share on other sites

Создал в директории wp-includes файл .htaccess с содержанием:

<Files "*.php">
Order Deny,Allow
Deny from All
</Files>

Но по какой-то причине сайт работает, почему? Ведь, как говорилось в статье, которую я прочел, этот код запрещает исполнение php файлов, но получется, если сайт работает, то файлы исполняются.

Share this post


Link to post
Share on other sites

Так а у вас сервер Апач или Nginx? Nginx Htaccess не понимает и у некоторых хостеров он тоже отключен

ToneR likes this

Share this post


Link to post
Share on other sites
3 минуты назад, Beauty сказал:

Так а у вас сервер Апач или Nginx? Nginx Htaccess не понимает

Честно не скажу, так как не знаю. Держу сайты на хостинге от webhost1. Но скажу так, допустим редирект прописанный в файл Htaccess в корневом каталоге, спокойно выполняется, так же запретил доступ к wp-login.php и все сработало.

Share this post


Link to post
Share on other sites
9 часов назад, Beauty сказал:

Через форму обратной связи периодически заливают скрипты,

То есть, если на сайте есть страница с Contact Form 7 для быстрой отправки письма администратору от пользователя - это является уязвимостью?

Share this post


Link to post
Share on other sites
2 часа назад, hip12 сказал:

То есть, если на сайте есть страница с Contact Form 7 для быстрой отправки письма администратору от пользователя - это является уязвимостью?

да можно залить и выполнить JS/PHP через форму обратной связи, особенно если PHPmailer ниже 6 версии, там в паблике недавно дыры выложили, загуглите 

 SQL Injection  – этот вид атаки уже устарел и его редко где можно встретить. Суть заключается в том, что в формы обратной связи посылается запрос, который никак не обрабатывается и выдает нужную информацию. Например, в блок комментариев написать запрос drop table users, таблица пользователей будет очищена.

 XSS(CSS)  – (Cross-Site Scripting) – данный вид атаки всё также осуществляется через user input. Целью данной атаки являются пользователи, а не базы данных. Как правило используют javascript или iFrame. C помощью данного вида атаки можно перехватить cookie пользователя и зайти на его аккаунт без знания пароля и логина. Особенно опасной эта уязвимость является для коммерческих сайтов. Взломать сайт без защиты от XSS очень легко, через те же комментарии.

 Uploads  – взломать сайт с помощью загрузки файлов можно, если нет проверки на форматы и содержимое. Таким образом можно загрузить скрипт в аватарку и запустить его на сайте по ссылке аватарки. Требуется ставить лимит на файлы

в общем подробнее тут https://www.make-info.com/how-to-hack-and-defence-website/

Share this post


Link to post
Share on other sites
8 часов назад, Beauty сказал:

SQL Injection  – этот вид атаки уже устарел и его редко где можно встретить. Суть заключается в том, что в формы обратной связи посылается запрос, который никак не обрабатывается и выдает нужную информацию. Например, в блок комментариев написать запрос drop table users, таблица пользователей будет очищена.

Допустим, если нет необходимости использовать форму обратной связи, а комментарии отключены, смогут ли что-то сделать боты?

8 часов назад, Beauty сказал:

XSS(CSS)  – (Cross-Site Scripting) – данный вид атаки всё также осуществляется через user input. Целью данной атаки являются пользователи, а не базы данных. Как правило используют javascript или iFrame. C помощью данного вида атаки можно перехватить cookie пользователя и зайти на его аккаунт без знания пароля и логина. Особенно опасной эта уязвимость является для коммерческих сайтов. Взломать сайт без защиты от XSS очень легко, через те же комментарии.

Как я понимаю, iframe или js нужно внедрить в код, а если внедрить не возможно, то можно спать спокойно?

8 часов назад, Beauty сказал:

Uploads  – взломать сайт с помощью загрузки файлов можно, если нет проверки на форматы и содержимое. Таким образом можно загрузить скрипт в аватарку и запустить его на сайте по ссылке аватарки. Требуется ставить лимит на файлы

Ну вот с этой темой могут быть проблемы. Пока создал файл .htaccess с таким содержанием, но что мешает хакеру залить свой .htaccess?

<IfModule php5_module>
    php_flag engine 0
</IfModule>
Options -ExecCGI
AddHandler cgi-script .pl .py .php .jsp .htm .shtml .sh .asp .cgi 

 

Edited by ToneR

Share this post


Link to post
Share on other sites
12 минуты назад, ToneR сказал:

можно спать спокойно?

В любой версии wp есть уязвимости, даже если сайт состоит лишь из ядра и базовой темы (из тех что в комплекте). 

Это лишь вопрос времени - когда дыра будет найдена.

ToneR likes this

Share this post


Link to post
Share on other sites

Жуть какая! Так короче можно договориться до того, что сайты на wp не стоит делать, да и сайты вообще, т.к. даже сервера apple школьник взломал ;)

ТС, самая лучшая защита wp, которую я пока видел:

1. Ставим плагин lockdown wp admin >> скрываем админку

2. В .htaccess ставим 301 редирект с /login на любую несуществующую.страницу

3. Обращаемся к @files для установки дополнительной защиты

4. Спим спокойно

ToneR likes this

Share this post


Link to post
Share on other sites
40 минут назад, petroff сказал:

Жуть какая! Так короче можно договориться до того, что сайты на wp не стоит делать, да и сайты вообще, т.к. даже сервера apple школьник взломал 

Все, делаю теперь сайты на чистом html :lol:

41 минуту назад, petroff сказал:

ТС, самая лучшая защита wp, которую я пока видел:

1. Ставим плагин lockdown wp admin >> скрываем админку

2. В .htaccess ставим 301 редирект с /login на любую несуществующую.страницу

Это все защищает админку от обычного брутфорса, а вероятность что подберут пароль очень мала.

Куда больше шансов что куки сопрут)

Share this post


Link to post
Share on other sites
28 минут назад, ToneR сказал:

Куда больше шансов что куки сопрут)

Ну тогда х.з., можно комп на метлу поменять и пойти работать дворником, а не это вот всё

ToneR likes this

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.