В этом материале не будет каких-то оригинальных решений, консольных команд и глубокого погружения в детали. Надеюсь, все будет просто и понятно, материал в первую очередь адресован тем, кто только начинает делать первые собственные сайты на WordPress.
Совсем недавно, в апреле 2019 года, была зафиксирована атака на сайты под управлением WordPress. Тогда через уязвимость в плагине Related Posts Yuz вставлялся вредоносный код, который перенаправлял посетителей на сторонние ресурсы — от рекламы до сайтов, распространяющих вредоносный код. Кому интересно, более подробно про уязвимость можно прочитать здесь.
Буквально на этой неделе было несколько обращений — снова с редиректом. В случае с Related Posts Yuz, в таблице «options» оригинальный адрес сайта подменялся на другой. Так было и в этом случае, но уязвимого плагина в списке установленных я не нашел, что несколько смущало.
На всякий случай я проверил код сайта несколькими сканерами, но ничего подозрительного не обнаружил. Я обновил плагины и попросил заказчика проверить работу сайта. Через пару дней получил от него сообщение, что на некоторых страницах редирект сохранился. Забегая вперед, скажу, что подобный редирект можно сколько угодно искать, используя различные сканеры. Ибо в файлах самого кода нет, он в базе, причем без всякого шифрования, и ни один сканер, вернее всего, не будет воспринимать вставку как вредоносный код. Большинство вебмастеров не заглядывает в исходный код своего сайта (Ctrl+U), любой код может висеть годами. Так, много лет назад, на самом что ни на есть официальном сайте правительства одной республики я обнаружил в robots.txt сайта рекламу магазина пылесосов. Запись до сих пор существует на одном форуме. Точно не помню, но это было примерно так: «Лучшие в мире пылесосы, наш сайт такой-то». Тогда ТИЦ еще очень влиял на результаты поисковой выдачи. Впрочем, вернемся к теме.
Я проверил виджеты, .htaccess, код страниц, с которых было перенаправление, всяческие сканеры тоже показывали, что все чисто. Оставалась база — то, с чего я начинал. Я запустил поиск по базе и увидел (та-да-да-дам) 11 000 записей с прописанным в meta скриптом. И тут я вспомнил, что недели две назад в рассылке от Sucuri я уже что-то похожее видел.
Действительно, с конца октября зафиксирована новая атака по внедрению редиректов. Но теперь для атаки используется несколько уязвимых плагинов и тем (шаблонов), перечислять их нет смысла, поскольку список постоянно обновляется по месяцам (опять же, кому интересно, можно посмотреть в блоге Sucuri).
Поскольку перебои в работе сайта были нежелательны, большая часть сайта работала, я выгрузил базу и в редакторе через замену удалил все скрипты. Далее создал новую базу, куда выгрузил «вылеченный» дамп, и изменил файл конфигурации, и сайт переключился на новую базу «на лету».
К слову, поскольку база была довольно большой, при замене 11 000 строк редактор sublime text просто зависал, а потом прекращал работу. Пришлось установить Visual Studio Code, который сделал замену до обидного быстро, я не хочу ничего рекламировать, решать вам, мне редактор понравился. К тому же он бесплатный.
Далее при импорте базы в gzip я получил ошибку – достигнут временной лимит. Ошибка банальная, не хватает времени на распаковку. Поскольку временно мне доступен только 4G, скорости которого на выгрузку точно не хватит, пришлось взять бук и сгонять в офис, был выходной день. Там база импортировалась меньше, чем за минуту. Остальное вы знаете.
Что я хотел сказать?
Возможно, грядет новая волна взломов, рад, если ошибаюсь. Советы простые.
Не ставьте все те плагины, до которых сможете дотянуться. Чем больше плагинов, тем больше вероятность взлома. Особенно обилием плагинов страдают клубные шаблоны, которые зачастую еще и создают высокие нагрузки на хостинг даже при небольшом количестве посетителей.
И самое главное: обновляйте плагины и темы, а неиспользуемые удаляйте вместе с файлами с сайта.
P.S. Писалось набегами, поэтому приношу свои извинения за косноязычное местами изложение.
Да пребудет с вами сила!
Комментарии