Задать вопрос
poshta3005
@poshta3005

Подмена содержимого сайта. Куда копать?

Сегодня случайно и с удивлением обнаружил, что в нескольких (не то чтобы старых, но и не новых) записях подменено содержимое с ссылками на иностранные киносайты. Сайт многопользовательский, но все, что пишет/редактирует пользователь перед публикацией идет на проверку ко мне. А ко мне эта гадость на проверку точно не приходила. Очевидно, что сайт взломали. Но куда копать - не понятно. Потому что:

1. Доступ к админке хостинга - только после смс-подтверждения.
2. FTP доступ - только с моего IP.
3. Файлы движка все одной даты, когда переходил на новую версию. Версия WP 4.7.0.
4. Тема - рукописная.
5. Плагинов всего пара, но они просты и точно безопасны (типа rus-to-lat).

Т.е. как таковых дыр нет.

а) Смущают несколько строк в .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Но дата обновления файла старая, возможно это все же добавлял не злоумышленник, а я, когда переходил на https
Честно говоря, я не очень в этом понимаю.

б) Есть еще вариант, что это просто подобрали мой пароль админа сайта. Поэтому подмена содержимого постов ко мне на проверку и не приходила. Но это даже звучит маловероятно - это ж сколько нужно перебирать-то паролей. Поэтому как-то не очень верится.

Где еще могут быть слабые места? Как можно подменить содержимое "мимо проверки" админом?
Господа, буду благодарен за любые подсказки куда копать и что искать.
Спасибо.

UPD. Похоже, таких взломанных сайтов очень много.
  • Вопрос задан
  • 375 просмотров
Подписаться 2 Простой 5 комментариев
Решения вопроса 1
Stalker_RED
@Stalker_RED
Версия WP 4.7.0.

Т.е. как таковых дыр нет.
Не смешно же: https://www.cvedetails.com/vulnerability-list/vend...

Вам показали где дыра, скажите за это спасибо, и закройте.
Могли бы молча с вашего сервака сканить другие сервера, и делать с ними что-то плохое. А может они это тоже делают, но вы пока не заметили.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
athacker
@athacker
Строчки в .htaccess -- это редирект с HTTP на HTTPS. Это легитимные строчки, короче, ко взлому не имеют отношения.
Ответ написан
@lagudal
Взлом скорее всегог через дыры в wp, вордпрес вообще как мина замедленного действия.
Это конечно не значет, что им не стОит пользоваться, нужно просто быть постоянно начеку.
Вам для начала проверить на гадости, например, айболитом.
Если айболит ничего не найдет, берете версию, где все чисто (у вас же есть такой бекап?), и сравниваете пофайлово.
В любом случае сменить все пароли, защитить дополнительно админку - тут варианты, есть плагины, меняющие путь к админке, который не подобрать. Можно еще подстраховаться с помощью htpasswd
Проверить права файлов и папок, выставить рекомендуемые.
Поставить в кроне чекер на изменение файлов, есть готовые решения но в принципе можно самому маленький скрипт написать, и с его помощью мониторить изменения в файлах.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы