Jump to content

Как взламывают вордпресс?


Recommended Posts

Здравствуйте! Задался таким вопросом, и хотел бы узнать, наверняка тут есть люди знающие.

Допустим имеется сайт на вордпрессе, у которого есть уязвимость, либо в самом движке, либо в плагинах.

Естественно, кулхацкеры нашли эту уязвимость и пытаются внедрить вредоносный код.

 

И собственно вопрос, вредоносный код внедряется, что бы получить доступ к админке?

Могут ли хакеры, поставить, допустим редирект, с помощью найденной уязвимости не получая доступ к админке?

Может ли работать вредоносный код, если файлы темы вообще не изменены?

Link to post
Share on other sites
  • Модератор
Цитата

И собственно вопрос, вредоносный код внедряется, что бы получить доступ к админке?

Если уязвимость позволяет исполнить php на сервере, то админка не интересна. Админка не интересна и сама по себе, кулхацкера интересуют возможности уязвимости (украсть трафик, монетизировать трафик, сделать спам-рассылку с сервера, повесить дорвей, расставить ссылок и т.д.)

Цитата

Могут ли хакеры, поставить, допустим редирект, с помощью найденной уязвимости не получая доступ к админке?

Опять же, все зависит от самой уязвимости. Иногда без доступа к админке можно сделать больше чем вы это можете сделать из самой админки :)

Цитата

Может ли работать вредоносный код, если файлы темы вообще не изменены?

Вопрос не понятный.

Link to post
Share on other sites
22 минуты назад, files сказал:

Вопрос не понятный.

Благодарю за ответы! Сейчас поясню, я мыслю примитивно, так как начинал с юкоза и там, если в файле шаблона (темы оформления) не подключен вредоносный скрипт, то другим способом, заразить сайт вообще нельзя. Видимо, это не касается движка вордпресс.

Так каким образом защищать сайты на вордпресс? Многие советуют обновлять движок, но как раз в обновлении и может быть уязвимость, а не обновляя долгое время, точно так же могут взломать.

Вы обновляете движок?

 

 

Link to post
Share on other sites
  • Модератор

Да, движок необходимо обновлять, как и плагины, как и некоторые темы. WP это не юкоз, за чистоту кода вы несете ответственность

Link to post
Share on other sites
12 минуты назад, files сказал:

Да, движок необходимо обновлять, как и плагины, как и некоторые темы. WP это не юкоз, за чистоту кода вы несете ответственность

Рад был прочитать ответы от вас, немного вы мне прояснили ситуацию. Спасибо! ;)

Link to post
Share on other sites
  • VIP

Наберите в поисковике что-то вроде: "защита файла htaccess wordpress от хакеров", также используйте плагины: Firewall 2, WP clean, anti-XSS attack, Acunetix WP Security. Регулярно делайте бекап БД.

Link to post
Share on other sites
11 час назад, ToneR сказал:

Вы обновляете движок?

Я не знаю, как сейчас, но раньше разработчики сами выкладывали баги и потенциальные дыры, которые они пофиксили в предыдущих версиях, поэтому как тут не обновляться

Link to post
Share on other sites

Я не обновляю, какой смысл, защита стоит на уровне сервера. Сейчас под сотню сайтов с Wordpress от 2 до 4 версии, вообще не парюсь.

Чтобы не ломали, достаточно доступ к базе, фпт и админке разрешить только своему IP + запретить выполнение скриптов в папке uploads, и все.

Даже если в самом сайте дыра на дыре, то все блокируется сервером.

Link to post
Share on other sites
  • Модератор
Цитата

Я не обновляю, какой смысл, защита стоит на уровне сервера. Сейчас под сотню сайтов с Wordpress от 2 до 4 версии, вообще не парюсь.

Подвергаете себя большому риску. Особенно с ветками 2 и 3. Скорее всего до сайтов не добрались еще.

Link to post
Share on other sites
1 минуту назад, files сказал:

Подвергаете себя большому риску. Особенно с ветками 2 и 3. Скорее всего до сайтов не добрались еще.

Все закрыто по IP даже если зальют шел, он не выполнится, к бекенду ftp, sql тоже доступ закрыт по IP даже если я тут выложу пароли от админки, фтп и базы, вы ничего не сделаете :)

Link to post
Share on other sites
  • Модератор
3 минуты назад, Beauty сказал:

Все закрыто по IP даже если зальют шел, он не выполнится, к бекенду ftp, sql тоже доступ закрыт по IP даже если я тут выложу пароли от админки, фтп и базы, вы ничего не сделаете

POST и GET запросы тоже закрыты? Если да, то это не полноценные сайты, скорее всего какая-то сетка доров или в этом духе

Link to post
Share on other sites
1 минуту назад, files сказал:

POST и GET запросы тоже закрыты? Если да, то это не полноценные сайты, скорее всего какая-то сетка доров или в этом духе

Через форму обратной связи периодически заливают скрипты, но как я писал выше в uploads запрещено выполнение кода, поэтому пока глухо как в танке

Link to post
Share on other sites
10 минут назад, Beauty сказал:

 выше в uploads запрещено выполнение кода, поэтому пока глухо как в танке

Как вы запретили выполнение кода, не подскажите? И что, разве всегда в папку uploads загружают?

Link to post
Share on other sites
1 час назад, ToneR сказал:

Как вы запретили выполнение кода, не подскажите? И что, разве всегда в папку uploads загружают?

Щас не у компа, ближе к ночи посмотрю что к чему там, уже особо не помню, погуглите еще "защита от xss атак и sql-иньекций", например политика безопасности СSP тоже интересная штука

Link to post
Share on other sites

Создал в директории wp-includes файл .htaccess с содержанием:

<Files "*.php">
Order Deny,Allow
Deny from All
</Files>

Но по какой-то причине сайт работает, почему? Ведь, как говорилось в статье, которую я прочел, этот код запрещает исполнение php файлов, но получется, если сайт работает, то файлы исполняются.

Link to post
Share on other sites
3 минуты назад, Beauty сказал:

Так а у вас сервер Апач или Nginx? Nginx Htaccess не понимает

Честно не скажу, так как не знаю. Держу сайты на хостинге от webhost1. Но скажу так, допустим редирект прописанный в файл Htaccess в корневом каталоге, спокойно выполняется, так же запретил доступ к wp-login.php и все сработало.

Link to post
Share on other sites
9 часов назад, Beauty сказал:

Через форму обратной связи периодически заливают скрипты,

То есть, если на сайте есть страница с Contact Form 7 для быстрой отправки письма администратору от пользователя - это является уязвимостью?

Link to post
Share on other sites
2 часа назад, hip12 сказал:

То есть, если на сайте есть страница с Contact Form 7 для быстрой отправки письма администратору от пользователя - это является уязвимостью?

да можно залить и выполнить JS/PHP через форму обратной связи, особенно если PHPmailer ниже 6 версии, там в паблике недавно дыры выложили, загуглите 

 SQL Injection  – этот вид атаки уже устарел и его редко где можно встретить. Суть заключается в том, что в формы обратной связи посылается запрос, который никак не обрабатывается и выдает нужную информацию. Например, в блок комментариев написать запрос drop table users, таблица пользователей будет очищена.

 XSS(CSS)  – (Cross-Site Scripting) – данный вид атаки всё также осуществляется через user input. Целью данной атаки являются пользователи, а не базы данных. Как правило используют javascript или iFrame. C помощью данного вида атаки можно перехватить cookie пользователя и зайти на его аккаунт без знания пароля и логина. Особенно опасной эта уязвимость является для коммерческих сайтов. Взломать сайт без защиты от XSS очень легко, через те же комментарии.

 Uploads  – взломать сайт с помощью загрузки файлов можно, если нет проверки на форматы и содержимое. Таким образом можно загрузить скрипт в аватарку и запустить его на сайте по ссылке аватарки. Требуется ставить лимит на файлы

в общем подробнее тут https://www.make-info.com/how-to-hack-and-defence-website/

Link to post
Share on other sites
8 часов назад, Beauty сказал:

SQL Injection  – этот вид атаки уже устарел и его редко где можно встретить. Суть заключается в том, что в формы обратной связи посылается запрос, который никак не обрабатывается и выдает нужную информацию. Например, в блок комментариев написать запрос drop table users, таблица пользователей будет очищена.

Допустим, если нет необходимости использовать форму обратной связи, а комментарии отключены, смогут ли что-то сделать боты?

8 часов назад, Beauty сказал:

XSS(CSS)  – (Cross-Site Scripting) – данный вид атаки всё также осуществляется через user input. Целью данной атаки являются пользователи, а не базы данных. Как правило используют javascript или iFrame. C помощью данного вида атаки можно перехватить cookie пользователя и зайти на его аккаунт без знания пароля и логина. Особенно опасной эта уязвимость является для коммерческих сайтов. Взломать сайт без защиты от XSS очень легко, через те же комментарии.

Как я понимаю, iframe или js нужно внедрить в код, а если внедрить не возможно, то можно спать спокойно?

8 часов назад, Beauty сказал:

Uploads  – взломать сайт с помощью загрузки файлов можно, если нет проверки на форматы и содержимое. Таким образом можно загрузить скрипт в аватарку и запустить его на сайте по ссылке аватарки. Требуется ставить лимит на файлы

Ну вот с этой темой могут быть проблемы. Пока создал файл .htaccess с таким содержанием, но что мешает хакеру залить свой .htaccess?

<IfModule php5_module>
    php_flag engine 0
</IfModule>
Options -ExecCGI
AddHandler cgi-script .pl .py .php .jsp .htm .shtml .sh .asp .cgi 

 

Edited by ToneR
Link to post
Share on other sites
  • Administrators
12 минуты назад, ToneR сказал:

можно спать спокойно?

В любой версии wp есть уязвимости, даже если сайт состоит лишь из ядра и базовой темы (из тех что в комплекте). 

Это лишь вопрос времени - когда дыра будет найдена.

Link to post
Share on other sites

Жуть какая! Так короче можно договориться до того, что сайты на wp не стоит делать, да и сайты вообще, т.к. даже сервера apple школьник взломал ;)

ТС, самая лучшая защита wp, которую я пока видел:

1. Ставим плагин lockdown wp admin >> скрываем админку

2. В .htaccess ставим 301 редирект с /login на любую несуществующую.страницу

3. Обращаемся к @files для установки дополнительной защиты

4. Спим спокойно

Link to post
Share on other sites
40 минут назад, petroff сказал:

Жуть какая! Так короче можно договориться до того, что сайты на wp не стоит делать, да и сайты вообще, т.к. даже сервера apple школьник взломал 

Все, делаю теперь сайты на чистом html :lol:

41 минуту назад, petroff сказал:

ТС, самая лучшая защита wp, которую я пока видел:

1. Ставим плагин lockdown wp admin >> скрываем админку

2. В .htaccess ставим 301 редирект с /login на любую несуществующую.страницу

Это все защищает админку от обычного брутфорса, а вероятность что подберут пароль очень мала.

Куда больше шансов что куки сопрут)

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...