|
На страницу 1, 2 След. |
|
|
|
Заходите вы на свой сайт или блог, а в ленте постов появилась новая запись:
| Цитата: |
| Hacked by NG689Skw
|
Вместо NG689Skw может стоять любое другое слово или набор символов, а пост может содержать любой текст или символы.
Это означает, что ваша версия wordpress не обновлена до последней версии, на данный момент это 4.7.2 , и ваш сайт "хакнули" 
Информацию об этой уязвимости можно найти здесь или там.
Сам по себе хак не критичный, но может испугать пользователей сайта/блога, особенно если он популярный. Пользователи будут обязательно вспоминать об этом.
Так что срочно обновитесь до 4.7.2 . Чтобы исправить пострадавшие записи, просто верните предыдущую ревизию.
Как избежать взлома сайта на wordpress в дальнейшем?
1. Вовремя обновляться. Чтобы wordpress core обновлялось автоматически, в файл wp-config.php необходимо добавить:
| Код: |
|
define('WP_AUTO_UPDATE_CORE', true );
|
2. Используйте плагины безопасности. Самый популярный https://www.wordfence.com |
|
|
|
|
|
| Не стоит забывать и про специальные плагины. Например, iThemes Security |
|
|
|
|
|
| Хакнули и что? Надо лезть и искать какую-то гадость на сайте или просто школьники поигрались? |
|
|
|
|
|
У меня только один хакнули, там где htacces настроен не был.
В остальных все ок.
Но это не хакнули, а побаловались по сути |
|
|
|
|
|
Непонятно, это действительно уязвимость или просто WordPress напоминает о необходимости обновлять CMS?
Просто, не всегда можно обновиться, когда CMS кастомизирована с учетом особенностей уже устаревшей версии, внесены изменения в файлы ядра, интерфейса, т.к. возможности редактирования темы не позволяют, например, сделать какой-то шаблон для заполнения или нужно прикрутить функционал без плагинов. |
|
|
|
|
|
WordPress и так самая взламываемая CMS. Не удивил.
|
|
|
|
|
|
Вот более подробно на русском языке и еще здесь.
| Цитата: |
| «Мы уже наблюдали несколько попыток эксплуатации проблемы, в ходе которых [атакующие] пытались добавлять спамерские изображения и контент в посты. Учитывая возможность монетизации, скорее всего, это станет самым популярным вектором использования уязвимости», — пишут аналитики Sucuri.
|
|
|
|
|
|
|
| Даже Битрикс ломают. Никто не в безопасности. |
|
|
|
|
|
blogmatic, скорее всего, это статистика по блогам с какими-нибудь уязвимыми плагинами, темами. Сам сколько раз сталкивался с явными или неявными "дырами в безопасности" скриптов, которые устанавливал на свои блоги. Это уже как правило - перед установкой нового, непроверенного плагина или темы посмотреть код на нефильтруемые $_GET/$_POST, eval(), iframe, вхождения http/https, file_get_contents() и т.д., чтобы не было уязвимостей. А сама CMS более защищена, плюс регулярно обновления выходят. Добавить к этому пару security-плагинов для общей безопасности и защиты админки, бэкапы, и, в принципе, можно вздохнуть с облегчением, если сам хостинг не поломают, то блог защищен  |
|
|
|
|
|
У кого нет возможности обновиться до 4.7.2, нужно в .htaccess после строчки:
вставить:
| Код: |
|
RewriteRule /wp/v2/posts/ - [L]
|
|
|
|
|
|
|
| vitvirtual писал(а): |
|
У кого нет возможности обновиться до 4.7.2, нужно в
|
Нормально обновил пяток сайтов |
|
|
|
|
|
| Имхо, если серьезные проект на WP, его обновляют в тот же момент, как обновление новое появляется. |
|
|
|
|
|
|
|
| У кого еще есть мысли, как можно защитится в будущем? |
|
|
|
|
|
Dentz, на 100% защитить сайт вряд ли возможно, могут и сервер похакать через сайты других клиентов или даже хостинг-провайдера, читал несколько лет назад, как внедрили уязвимость в дистибутив хостера, который разворачивался на купленных ВПС и серверах, и все сервера были с уязвимостью, но это, наверное, очень редкое явление.
Отдельная "техническая" почта, лучше даже с двухфакторной SMS-авторизацией, сложные пароли на почте и блоге, плагин безопасности, скрытая админка блога, чтобы не брутили, обновления, ставить только проверенные плагины и шаблоны  |
|
|
|
|
|
|
|
|
