WordPress 4.7 хакнули.
На страницу 1, 2  След.
Новая тема Написать ответ
# Вс Фев 12, 2017 10:42 amvitvirtual Зарег.: 11.06.2007 ; Сообщ.: 9061Ответить с цитатой
Заходите вы на свой сайт или блог, а в ленте постов появилась новая запись:

Цитата:
Hacked by NG689Skw



Вместо NG689Skw может стоять любое другое слово или набор символов, а пост может содержать любой текст или символы.

Это означает, что ваша версия wordpress не обновлена до последней версии, на данный момент это 4.7.2 , и ваш сайт "хакнули" Smile

Информацию об этой уязвимости можно найти здесь или там.

Сам по себе хак не критичный, но может испугать пользователей сайта/блога, особенно если он популярный. Пользователи будут обязательно вспоминать об этом.

Так что срочно обновитесь до 4.7.2 . Чтобы исправить пострадавшие записи, просто верните предыдущую ревизию.

Как избежать взлома сайта на wordpress в дальнейшем?

1. Вовремя обновляться. Чтобы wordpress core обновлялось автоматически, в файл wp-config.php необходимо добавить:

Код:
define('WP_AUTO_UPDATE_CORE', true );



2. Используйте плагины безопасности. Самый популярный https://www.wordfence.com
# Пн Фев 13, 2017 11:12 amblogmatic Зарег.: 10.08.2010 ; Сообщ.: 4775Ответить с цитатой
Не стоит забывать и про специальные плагины. Например, iThemes Security
# Пн Фев 13, 2017 12:16 pmSkyworker Зарег.: 25.12.2013 ; Сообщ.: 11427Ответить с цитатой
Хакнули и что? Надо лезть и искать какую-то гадость на сайте или просто школьники поигрались?
# Пн Фев 13, 2017 8:34 pmFfadu Зарег.: 04.06.2008 ; Сообщ.: 3315Ответить с цитатой
У меня только один хакнули, там где htacces настроен не был.
В остальных все ок. Smile

Но это не хакнули, а побаловались по сути
# Вт Фев 14, 2017 8:10 amYabuti Зарег.: 28.11.2008 ; Сообщ.: 16263Ответить с цитатой
Непонятно, это действительно уязвимость или просто WordPress напоминает о необходимости обновлять CMS?
Просто, не всегда можно обновиться, когда CMS кастомизирована с учетом особенностей уже устаревшей версии, внесены изменения в файлы ядра, интерфейса, т.к. возможности редактирования темы не позволяют, например, сделать какой-то шаблон для заполнения или нужно прикрутить функционал без плагинов.
# Вт Фев 14, 2017 11:49 amblogmatic Зарег.: 10.08.2010 ; Сообщ.: 4775Ответить с цитатой
WordPress и так самая взламываемая CMS. Не удивил.

# Ср Фев 15, 2017 8:00 amIrbis Зарег.: 11.03.2010 ; Сообщ.: 3641Ответить с цитатой
Вот более подробно на русском языке и еще здесь.

Цитата:
«Мы уже наблюдали несколько попыток эксплуатации проблемы, в ходе которых [атакующие] пытались добавлять спамерские изображения и контент в посты. Учитывая возможность монетизации, скорее всего, это станет самым популярным вектором использования уязвимости», — пишут аналитики Sucuri.

# Пт Фев 17, 2017 3:03 pmСergio Зарег.: 08.07.2013 ; Сообщ.: 1283Ответить с цитатой
Даже Битрикс ломают. Никто не в безопасности.
# Пт Фев 17, 2017 9:10 pmYabuti Зарег.: 28.11.2008 ; Сообщ.: 16263Ответить с цитатой
blogmatic, скорее всего, это статистика по блогам с какими-нибудь уязвимыми плагинами, темами. Сам сколько раз сталкивался с явными или неявными "дырами в безопасности" скриптов, которые устанавливал на свои блоги. Это уже как правило - перед установкой нового, непроверенного плагина или темы посмотреть код на нефильтруемые $_GET/$_POST, eval(), iframe, вхождения http/https, file_get_contents() и т.д., чтобы не было уязвимостей. А сама CMS более защищена, плюс регулярно обновления выходят. Добавить к этому пару security-плагинов для общей безопасности и защиты админки, бэкапы, и, в принципе, можно вздохнуть с облегчением, если сам хостинг не поломают, то блог защищен :thup:
# Вс Фев 19, 2017 7:45 amvitvirtual Зарег.: 11.06.2007 ; Сообщ.: 9061Ответить с цитатой
У кого нет возможности обновиться до 4.7.2, нужно в .htaccess после строчки:

Код:
RewriteEngine On



вставить:

Код:
RewriteRule /wp/v2/posts/ - [L]

# Вс Фев 19, 2017 10:05 amКоляныч Зарег.: 07.12.2015 ; Сообщ.: 1171Ответить с цитатой
vitvirtual писал(а):
У кого нет возможности обновиться до 4.7.2, нужно в


Нормально обновил пяток сайтов
# Вс Фев 19, 2017 12:43 pmspomoni Зарег.: 06.04.2008 ; Сообщ.: 7541Ответить с цитатой
Имхо, если серьезные проект на WP, его обновляют в тот же момент, как обновление новое появляется.
# Вт Фев 21, 2017 11:22 amMiss Content Зарег.: 05.03.2010 ; Сообщ.: 7881Ответить с цитатой
Как проверить WordPress сайт на вирусы и вредоносные ссылки
# Чт Мар 02, 2017 2:27 pmDentz Зарег.: 04.04.2014 ; Сообщ.: 2170Ответить с цитатой
У кого еще есть мысли, как можно защитится в будущем?
# Пн Мар 06, 2017 5:25 pmYabuti Зарег.: 28.11.2008 ; Сообщ.: 16263Ответить с цитатой
Dentz, на 100% защитить сайт вряд ли возможно, могут и сервер похакать через сайты других клиентов или даже хостинг-провайдера, читал несколько лет назад, как внедрили уязвимость в дистибутив хостера, который разворачивался на купленных ВПС и серверах, и все сервера были с уязвимостью, но это, наверное, очень редкое явление.
Отдельная "техническая" почта, лучше даже с двухфакторной SMS-авторизацией, сложные пароли на почте и блоге, плагин безопасности, скрытая админка блога, чтобы не брутили, обновления, ставить только проверенные плагины и шаблоны :thup: Drinks or Beer
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ
 На страницу 1, 2  След.
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.