Сегодня случайно и с удивлением обнаружил, что в нескольких (не то чтобы старых, но и не новых) записях подменено содержимое с ссылками на иностранные киносайты. Сайт многопользовательский, но все, что пишет/редактирует пользователь перед публикацией идет на проверку ко мне. А ко мне эта гадость на проверку точно не приходила. Очевидно, что сайт взломали. Но куда копать - не понятно. Потому что:
1. Доступ к админке хостинга - только после смс-подтверждения.
2. FTP доступ - только с моего IP.
3. Файлы движка все одной даты, когда переходил на новую версию. Версия WP 4.7.0.
4. Тема - рукописная.
5. Плагинов всего пара, но они просты и точно безопасны (типа rus-to-lat).
Т.е. как таковых дыр нет.
а) Смущают несколько строк в .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Но дата обновления файла старая, возможно это все же добавлял не злоумышленник, а я, когда переходил на https
Честно говоря, я не очень в этом понимаю.
б) Есть еще вариант, что это просто подобрали мой пароль админа сайта. Поэтому подмена содержимого постов ко мне на проверку и не приходила. Но это даже звучит маловероятно - это ж сколько нужно перебирать-то паролей. Поэтому как-то не очень верится.
Где еще могут быть слабые места? Как можно подменить содержимое "мимо проверки" админом?
Господа, буду благодарен за любые подсказки куда копать и что искать.
Спасибо.
UPD. Похоже, таких взломанных
сайтов очень много.
Простой
