Ce faci cand: un hacker iti sparge site-ul? Pentru WordPress.

Zilele astea un prieten de-al meu a fost uimit sa vada ca site-ul lui a fost luat in stapanire de un hacker: site spart, pagina de index modificata, baza de date schimbata, user sters si inlocuit etc.
Ce faci deci cand un hacker iti sparge site-ul?

Ceva baietel anonim din Bangladesh, care se crede hacker, pentru ca de fapt nu a facut mare lucru.
Insa in loc de pagina de index (prima pagina a site-ului) aparea un ecran negru si numele baiatului.

Pentru ca eu m-am ocupat de site-ul lui si l-am ajutat sa il instaleze/sa faca update-uri etc, mi-a semnalizat si mie problema, cand „hackerul” a facut a doua oara in doua zile treaba asta.

cotropit de hacker

Acum, sa o luam pe rand:

Pasul 1: Nu intra in panica. Stiu ca e trist, stiu ca probabil te-au apucat toti nervii, sau ca cel mai probabil nu stii de unde sa o apuci.

Pasul 2: Contacteaza-ti hostingul. Ei vor putea sa te ajute cu: ultimul back-up (daca tu nu ai deja; si daca nu ai sa iti fie rusine :D). Vor putea sa iti mai spuna si daca e problema lor (daca au mai avut cazuri in ultimele zile), sau pur si simplu cineva ti-a furat parolele.

Pasul 3: Fa chiar tu un back-up. Prin wordpress si Control Pannel, daca cei de la hosting intarzie sa raspunda. Chiar si fisierele corupte sunt mai bune decat nimic.

Pasul 4: Scaneaza-ti bine de tot calculatorul de acasa, si orice calculator cu care ai mai facut ceva pe blogul/site-ul tau. Sfatul meu e ca daca intri pe un calculator nou sa nu lasi salvate parolele, si sa folosesti modul „incognito” de browsing. Nu stiu cum ii zice in Firefox, dar exista ceva similar, prin care nu lasi pe calculator urmele trecerii tale pe acolo. E mai sigur asa.

Pasul 5: Schimba-ti parolele. Da, toate. Si cele de la Control Pannel, si cele de WordPress. Ar fi ideal sa schimbi si userii de ftp/webmail si baza de date MySql. 

Pasul 6:Daca mai ai acces la wordpress, verifica bine si in userii de pe site, e posibil ca hackerii sa fi facut useri noi pe site-ul tau. Sterge orice user pe care nu il recunosti.

Mare atentie, insa: este posibil ca userul tau initial sa nu mai fie valabil, si ca hackerul sa isi fi trecut numele lui in locul tau pe toate postarile. Cand stergi userul nou, atribuie-i toate postarile catre un alt user nou. Apoi verifica-le.

Pasul 7: Va trebui sa iti modifici „secret keys” din wordpress. Ele sunt un fel de parole specfice folosite de wordpress pentru login-ul userilor pe calculatoare, si e posibil sa aiba si alte intrebuintari,. 😀

Pe scurt: in fisierul wp-config.php din administrarea site-ului tau vor trebui inlocuite aceste secret keys. Va trebui sa deschizi Control Panel-ul site-ului tau, si sa faci direct acolo modificarile in fisier.

Daca nu te pricepi, roaga pe cineva sa te ajute. Cineva in care ai incredere!

Pentru mai multe detalii, gasesti aici pasii. Fisierul wp-config.php se gaseste (de regula), in folderul public_html/. Cu File manager-ul din Cpanel il vei putea gasi si edita fara probleme, daca esti atent(a).

Pasul 8: Fa un update la WordPress, si la toate pluginurile folosite. Nu folosi pluginuri luate de oriunde, si fii circumspect(a) chiar si cu cele instalate direct de pe site-ul WordPress.org.

Pasul 9: Verifica-ti site-ul pentru probleme, cu un Website Malware Scanner. Aici il gasesti pe cel free, de la Sucuri: Sucuri SiteCheck.

Pasul 10: Asteapta raspunsul de la cei de la hosting. Daca ti se spune ca totul s-a rezolvat, si ca „au mai existat probleme de genul asta”, ar fi o idee sa iti gasesti o alta colaborare in acest sens.

alaxandra

Owner la CloudBerries
Sunt pasionata de frumos, de internet si de comunitati. De tot ce inseamna Open Source. De animale. Detin doua pisici si un acvariu "mititel" de 130 l.

Sunt Managing Partner la cea mai faina agentie de WordPress Cloudberries, si impreuna cu sotul meu o crestem dintr-un start-up de webdesign in ceva ce va insemna managementul prezentei online pentru clienti super-faini. 🙂

Ultimele postari ale lui alaxandra (vezi toate)



16 răspunsuri la “Ce faci cand: un hacker iti sparge site-ul? Pentru WordPress.”

  1. Mihai Ciuca spune:

    Excelent Alexandra!… Ca unul care am fost „binecuvântat” de hackerii din Bangladesh cu atacuri multiple si insistente asupra mai multor situri realizate in WordPress confirm că pașii indicați sunt valabili. Imi permit sa mai sugerez /accentuez câte ceva.

    (1) E foarte important de ținut la zi WP. Hackerii se folosesc de „găuri” în securitatea instalărilor mai vechi.

    (2) Mie mi-au schimbat parola de acces și, mai rău, au schimbat adresa de email cu care eram inregistrat, asa ca nu aveam cum sa schimb parola. Solutia găsită a fost editarea tabelului wp-users din baza de date, folosind phpmyadmin… (pentru cei care au acces din cPanel) E relativ simplu dar solicitati ajutor cuiva care stie ce face daca nu aveti curaj.

    (3) Nu am reusit sa stopez atacurile decat dupa ce am instalat un plugin (Login LockDown) care limiteaza incercarile de logare din partea unui IP dat. Se pare ca hackerii respectivi cunosc ceva vulnerabilitati de securitate din WP fiindca mi-a luat ceva vreme sa le blochez accesul.

    (4) Sunt totusi recunoscător celor din Bangladesh că nu mi-au sters siturile… Preluaseră controlul asa că puteau face orice… 🙂 Aveam eu backup la toate dar nu era chiar la zi.

    • alaxandra spune:

      Minunate sugestii.

      Pt.1: Am sugerat deja update-ul de WP la zi, la punctul 7. 🙂 Intr-adevar site-ul recent vindecat avea wordpress mai vechi.

      Pt.2: Cei de la hosting ar trebui sa poata sa faca si editarea in phpMyAdmin. Sugestia mea (testata din experienta prietenului meu, a fost ca) este sa existe doi useri cu proprietati de administrare, pentru ca si eu aveam admin pe site-ul lui, doar ca nu il foloseam pt a publica articole ci pentru intretinere. Cu userul meu am reusit sa sterg userul fals al hackerului, care cred ca tot o modificare de baza de date a facut.

      Pt. 3: Multumesc pentru plugin, o sa il caut si o sa il instalez. Din punctul meu de vedere asta a fost un atac intreptat mai degraba pe vulnerabilitati ale serverel;or de hosting decat pe site-uri specifice. La fel suna si la tine. Te-ai gandit sa iti muti site-urile undeva mai in siguranta?

      Pt.4: Scopul lor e sa „se afirme”. Nu sa faca rau in mod necesar. Nici aici nu au stricat BD a prietenului meu, doar i-au inlocuit „prima pagina” cu numele lui/lor.

      🙂

      Multumesc pentru vizita ta, si pentru aportul la „rezolvarea problemei”.

      • Mihai Ciuca spune:

        1. Văzusem dar am zis să subliniez… 🙂

        2. Dacă hackerul exploatează o breșă de securitate a WP nu e treaba celor de la hosting să o rezolve. Sigur, ei pot edita phpmyadmin dacă sunt drăguți, dar în general ei oferă spațiu și nu administrarea siturilor web… Treaba lor este să asigure funcționarea serverelor și să le protejeze de atacuri de sistem, ddos, etc… Securitatea bazei tale de date te privește. Dacă hackerul ar formata hardurile de pe server atunci devine treaba lor… sau dacă infestează OS-ul cu malware, etc…

        3. Eu am siturile pe un cont reseller la un provider major din US… Nu știu dacă mutarea lor ar rezolva ceva… „I mean” dacă e vulnerabilitate WP se exploatează oriunde ar fi găzduită… Sunt f.multumit de găzduire… foarte rar am avut probleme și la ticket se răspunde/acționează în termen scurt, uneori câteva minute.

        4. Așa este. Norocul nostru 🙂

        • alaxandra spune:

          Corect. Si mie mi se pare normal sa nu te bazezi pe altii ca vor face treaba ta.

          Insa cand ti se sparge site-ul din cauza unor vulnerabilitati ale serveruluid e hosting (si de obicei asa se intampla, nu tinteste nimeni un site mic de wordpress in mod intentionat) e si problema lor sa rezolve situatia.

          Am spus-o in articol si o repet: cred ca si la tine, si la prietenul meu problema a fost una de server. Ei au intrat direct pe server si au modificat baze de date, la gramada.
          🙂

          De-aia pica site-urile la gramada. 😀

          • Mihai Ciuca spune:

            Cel puțin în cazul meu sunt sigur că nu au spart serverul, fiindcă doar o parte dintre siturile mele au fost afectate. Interesant este că după ce le-am editat acestora bazele de date și am restabilit fișierele modificate de hacker (doar la un site a modificat index-ul, la celelalte a inlocuit 404.php sau a modificat pagina de contact… insa la toate isi pastra aceeasi semnatura… la câteva zile omul era din nou prezent, necesitând din partea mea o reeditare cu phpmyadmin… Exasperat am facut o comparație între siturile „lovite” și cele care nu au fost afectate… și singura diferență de securitate era prezența acelui plugin… Am instalat acel plugin la toate siturile și de atunci nu a mai căzut niciunul (treaba asta a fost pe la începutul anului).

            Încă ceva… spargerea unui server este o treabă mai dificilă… nu că nu e posibilă doar că nu este la fel de la îndemână precum spargerea unui site în WordPress. Platforma WP este una extrem de dinamică, foarte des apar update-uri și aceste update-uri conțin ceva îmbunătățiri funcționale și foarte multe patch-uri de securitate. Din mers, între un update și altul se descoperă zeci și sute de breșe de securitate. Dacă un hacker găsește o asemenea breșă poate ataca mii de situri care rulează respectiva versiune de WP. În schimb spargerea unui server pe care rulează Linux, cu firewall și cu toate procedurile de „hardening” efectuate devine o treabă mult mai dificilă și cel care o realizează își marchează prezența în teritoriu nu la end user ci la system admini… acolo e satisfactia lui 🙂

          • alaxandra spune:

            Inteleg acum. Insa sa stii ca nici macar cans se sparge un server nu se altereaza toate site-urile. De fapt depinde foarte tare de ceea ce urmaresc baietii. 😀

            Oricum, nu voi mai pregeta niciodata sa fac update de wordpress, si o sa ii si bazai pe cei care imi sunt la indemana sa faca asta mereu.

            Ba chiar intentionez sa scriu un articol despre asta, pentru ca si acolo pot aparea cateva issues. 🙂

            Sa stai prin preajma, pt ca sunt sigura ca o sa ai completari de facut. 🙂

          • Mihai Ciuca spune:

            Da, ținerea la zi a WP este cea mai importantă măsură, de aceea am „reluat” ideea. Fiindcă orice update conține o grămadă de patch-uri de securitate. WP este o platformă extrem de faină, care se dezvoltă constant, dar tocmai această viteză de creștere furnizează periodic vulnerabilități. Dacă știm cum să ni le asumăm nu este nicio problemă. Eu unul sunt foarte încântat de WP… îl folosesc de prin 2005, era o versiune primitivă în comparație cu acum, cred că 1.5… totuși de pe atunci se întrevedeau atuurile… Am cochetat și cu alte CMS-uri dar n-a ținut… 🙂

            Fii sigură că stau în preajmă la subiectul acesta… e unul care mă interesează mult. Succes! 🙂

  2. isabela spune:

    daca vorbiti de asta: ami@jong.li va rog sa-mi spuneti si mie ce trebuie sa fac cu reduceri-haine.ro

    multumesc

  3. isabela spune:

    un hacker care mi-a inlocuit adresa de email din wp_admin cu ami@jong.li , mi-a sters pagina de index si a pus urmatorul mesaj pe fond negru:

    HaCKeD – BY-AlfraiD

    Haked BY Alfraid

    IRAQ-HACK.COM

    c5_c8@yahoo.com

    ! I will Back here

    Go

    Forum

    sau

    hacked by haxorsistz hacked by haxorsistz hacked by haxorsistz hacked by haxorsistz hacked by haxorsistz hacked by haxorsistz hacked by haxorsistz hacked by haxorsistz hacked by haxorsistz

    Am mai multe bloguri pe WP si m-am trezit dimineata cu ele hack-uite. Am cerut backup la providerul de hosting, dar problema nu cred ca s-a rezolvat asa usor. Oricand nenorocitul poate sa revina.

    • alaxandra spune:

      Acum ai acces la site? La control pannel ai schimbat parola?

      Daca da, si da:

      1. urmeaza pasii din articol.
      2. instaleaza-ti pluginul „Login LockDown” pentur a preveni incerrcari ulterioare.
      3. schimba des parolele
      4. tine-ti wordpress-ul la zi.

      daca ai nevoie de ajutor, sa imi spui!

      • isabela spune:

        reduceri-haine.ro e online multumita backup-ului. Acum am cerut backup si la vreaureducere.ro
        Celelalte – dispecerattractariauto.ro , gadget-show.ro , bancuban.ro , moldovenesc.ro sunt in continuare la pamant. Dimineata am inceput cu un backup pentru moldovenesc.ro , iar dupa backup, in 10 minute era iar hackerit, cu tot cu parole schimbate 🙁
        De aceea te intreb daca ai rezolvat cumva definitiv, deoarece backup-ul rezolva doar temporar problema.

        Cat despre Login LockDown, crezi ca hackerul a intrat prin procedura de recuperare a parolei?!?

        Multumesc.

        • alaxandra spune:

          Buna,

          Te rog sa ma ierti, comentariul tau a intrat la Spam. Acum l-am gasit.

          La mine nu s-a intamplat nimic pana acum, doar la un prieten de-al meu, la care dupa ce am parcurs toti pasii din articol am instalat si Login Lockdown, care nu se bazeaza pe recuperarea parolelor ci pe limitarea numnarului de logari dupa cateva esuate.

          Daca nu ai sters si modificat userii facuti de ei, si nu ai facut update la wordpress in mod cert iti vor intra inapoi daca isi dau seama ca „ai inceput lupta”.

  4. […] WordPress. Teoria recomanda INTOTDEAUNA sa ai instalata cea mai recenta versiune de WordPress. Este cea mai buna protectie impotriva spammerilor, a hackerilor si a altor pericole de acest […]

  5. Dan Fitzopan spune:

    De cele mai multe ori iei vreun virus si il uploadezi singur fara sa-ti dai seama, ori host-ul tau e f slab. WordPress e o platforma OK, dar, NU e cea mai buna alternativa, daca ai o firma serioasa, din cauza gaurilor infinite de securitate. Plus, customizarea wordpres-ului e destuld e limitata, iar ca developer vei ajunge sa codezi mult in jurul platformei, in loc sa o faci creativ. Deci, parerea mea, e ca wordpress e acceptabil, pentru site-uri medii, fara pretentii, „de duzina”. Cam asa incep sa gandeasca si motoarele, de la o vreme si vor incepe tot mai mult, Site-urile cu coduri umflate, restrictive si prost facute vor fi taxate tot mai mult.
    Multi vor gandi ca vai…dar sunt atatea posibilitati de customizare a wordpress, etc…da, sunt, dar sunt tot restrictionate de platforma, tehnic, deci tot pe acelasi cod, cu slabiciunile, bloat-urile si gaurile lui, care a fost scris de nu stii cine, acum nu stiu cata vreme etc etc. Deci mult prea multe ambiguitati in wordpress, ca si mult prea multe limitari. Oricine face development serios, stie asta.
    Woerpress e o platforma neprofesionala, pentru oameni care nu stiu coding, etc si, probabil nici nu vor intelege ce-am vrut sa zic mai sus..of 😀 mai bine inchei aici.

    • alaxandra spune:

      Buna,

      Hai sa o luam de la inceput. Articolul este despre hacking, nu despre virusi. 🙂 Sa facem diferenta.
      Un hacker va exploata ceva anume sau va folosi brute force, SAU va gasi un site fara update-uri.

      Exista momente in care vina e strict a unui owner de site care pune in pericol toate site-urile de pe serverul respectiv.

      „Deci, parerea mea, e ca wordpress e acceptabil, pentru site-uri medii, fara pretentii, “de duzina”.”

      Parerea mea e ca privesti lucrurile putin facil.

      Harvard Business Review Blog Network
      The New York Times Company
      Marks & Spencer for Business
      TechCrunch
      Sweden.se

      Astea sunt cateva site-uri, luate la intamplare dintr-o lista cu site-uri de WordPress.

      Si ca ultima reactie:

      „care a fost scris de nu stii cine, acum nu stiu cata vreme etc etc.” Aici banuiesc eu, ne referim la cod, nu?

      Daca da, e o mare problema instalarea oricarui cod, oricand, la orice ora.
      Si asta, crede-ma, se aplica oricarei platforme, oricarui tip de limbaj de programare.

      Daca te apuci sa iei bucati de cod si sa le integrezi in munca ta, risti sa te alegi cu „boo-boos.”
      Chiar daca tu ai lucrat php, xhtml si mysql pur si de un alb orbitor precum zapada.

      Orice unealta ajutatoare ai folosi, daca nu o folosesti cum trebuie, risti un produs de calitate inferioara.

      Parerea mea e ca WordPress-ul a schimbat definitiv si irevocabil fata internetului, asa cum Unix/Linux/Open Source a schimbat fata developmentului la data aparitiei sale, si indiferent daca esti fan sau nu, nu poti nega asta.

      Meanwhile: lasa cuvintele mari si ideile care sparie copilasii pentru alte bloguri, nu de alta, dar tot ce ai spus tu e la fel de valabil indiferent de platforma/cod, daca se intrunesc conditiile necesare.

      pam_pam.

      p.s.
      noi sa fim sanatosi si sa facem treaba buna.

Care este parerea ta?