Постоји пуно разлога због којих је ВордПресс један од најчешће коришћених система за управљање садржајем (ЦМС) данас. Инсталирање и одржавање је лако, врло је корисник и садржи пуно бесплатних тема и додатака који се могу инсталирати уз неколико кликова мишем. Међутим, такође је склон хаковању ако на вашој веб локацији постоји застарела верзија ВордПресс-а или додатка. Пре око годину дана, пронађена је рањивост у популарном ТимТхумб ПХП скрипту који се широко користи за аутоматско промену величине слика. Хакери су добили приступ многим веб локацијама које покрећу ВордПресс са ТимТхумб-ом и заразили су све ПХП датотеке евал-ом (басе64_децоде цоде ради преусмеравања свих посетилаца који долазе са претраживача на веб локације по њиховом избору.
Лако можете очистити злонамерне гзинфлате / евал (басе64_децоде кодове из свих ПХП датотека користећи ову чистију скрипту да бисте повратили саобраћај са претраживача, али нажалост, само коришћење скрипте није довољно. Можда ћете приметити да се ваша веб локација поново хакује и поново чак и ако сте ажурирали на најновију верзију ТимТхумб-а, јер је хакер већ засадио неколико позадина. Једини начин да се спречи да се веб локација стално хакује је лоцирање стражњих врата и уклањање са вашег сервера. бити самостална датотека или само део кода уграђен у легитимну ПХП датотеку. Испробао сам неколико сигурносних додатака за ВордПресс и открио да је Вордфенце додатак за ВордПресс један од најбољих тамо јер може да провери интегритет језгре ВордПресс-а, додатака и тема. Ако се чини да се датотеке разликују од оригиналних верзија, биће приказане у резултатима скенирања и можете видети како су се датотеке промениле. Поред тога, Вордфенце такође може открити постоје ли непознате сумњиве датотеке које се налазе у ВордПресс инсталацијском директорију.
Имајте на уму да бесплатна верзија Вордфенце-а скенира само основне датотеке ВордПресс-а. Ако желите да скенирате теме и датотеке додатака, мораћете да се претплатите на најмање Про чланство које кошта 17, 95 УСД годишње. Иако вам чланство у Про даје само 1 премиум АПИ кључ, заправо га можете користити за скенирање више веб локација након завршетка скенирања брисањем премиум кључа и креирањем новог кључа из области Управљање Вордфенце АПИ кључевима да бисте га користили. на другој веб локацији.
Након уклањања две бацкдоор датотеке које је пронашао Вордфенце, све ВордПресс веб локације које су биле смештене под мојим дељеним хостинг рачуном и даље су заражене злонамерним ПХП кодом након неколико дана. Постао сам јако фрустриран и одлучио сам да ручно проверим евиденцију о сировим приступима који се налази у цПанелу, мада нисам сигуран шта тражим. Сирови приступни дневници садрже хиљаде линија и пролазак кроз сваки ред за 6 веб локација једноставно је немогућ. Тако да сам урадио неко филтрирање и датотеке дневника постале су много мање. Погледајте видео туториал доле о томе како филтрирати линије помоћу Нотепад ++.
Филтрирање необрађених евиденција приступа
1. Филтрирајте ГЕТ захтеве. У основи, ГЕТ захтеви су само за дохваћање података и они не могу направити никакву штету. Овај филтер би требао смањити ваше датотеке дневника за 80%.
2. Филтрирајте ПОСТ захтеве за вп-црон.пхп који тражи ваша веб локација. Овако изгледа као пример испод:
111.222.333.444 - - [25 / јул / 2012: 01: 42: 14 +0800] “ПОСТ /вп-црон.пхп?доинг_вп_црон=1343151734.5347619056701660156250 ХТТП / 1.0” 200 - “-” “ВордПресс / 3.4.1; хттп://ввв.иоурвебсите.цом ”
3. Наставите филтрирати сигурне ПОСТ захтеве да бисте додатно смањили величину датотеке дневника ради лакше анализе.
Када сам анализирао датотеке дневника, видео сам сумњив захтев где је руска ИП адреса без препоруке и информација о корисничком агенту ПОСТ захтевала сваких 10 секунди на датотеци 404.пхп 3 пута.
Упоредио сам тематску датотеку 404.пхп са оригиналном верзијом и приметио додатну линију кода на врху датотеке.
Контактирао сам подршку за Вордфенце и добио потврду од Марка Маундера да је овај део кода заиста злонамеран и да су ажурирали Вордфенце да то открију. Након уклањања ове стражње странице, свих 6 вордпресс веб локација које се налазе под истим хостинг рачуном недељама су биле чисте, а да нису хаковане. Као што видите, недостатак само једне задње врата може проузроковати хакирање свих ваших ВордПресс веб страница под истим хостинг рачуном и врло је важно осигурати да се уклони свака стражња врата.
Иако Вордфенце није успео у потпуности очистити све позадине на веб локацијама које се налазе под мојим хостинг налогом, и даље мислим да је то један од најбољих ВордПресс безбедносних додатака јер ради много више од провера интегритета ВордПресс датотека. Вордфенце се ажурира веома често и пружају заиста велику подршку.
Важна напомена : Обавезно промените сву лозинку која укључује ВордПресс корисничке налоге, ФТП, цПанел и базу података након чишћења бацкдоор-а. Такође запамтите да ажурирате додатке, теме и верзију ВордПресс-а.