Как найти дыру в Wordpress?

Question

[mihass]

Всем привет.
Проблема уже с месяц наверное. Каким-то образом меняют в таблице "wp_options" поле "siteurl". Там уже дальше идет куча редиректов, инсталлы и т.д. На момент взлома версия Wordpress была не актуальная и плагины многие были не актуальны. После взлома все актуализировали. 3 шелла нашли и удалили. Все, дальше в тупике. По логам ничего не находится, наверняка не знаем что именно искать. Обращались к спецам, на данный момент ищет проблему уже пятый, но без толку.

Comments

[deadnice]

Вариантов масса, особенно без каких-либо входных данных. Проблема же может быть и не в WP. Лично мои предположения:
1. Мог остаться бэк дор после первого взлома
2. У взломщиков есть данные от админки/хостинга/ssl/бд (если вы это конечно всё не поменяли)
2.1. Кейлогер на пк администратора (такое тоже вполне реально)
3. Дыра могла быть в теме
4. То что вы обновили все плагины не означает что там залатали все дыры, возможно в каком-то из них всё ещё есть уязвимости

Возможно пропустили что-то в логах

[Дмитрий]

>Обращались к спецам, на данный момент ищет проблему уже пятый, но без толку.
видимо не к тем спецам обращались

даже без доступа к коду/серверу:
1. проверить права, запретить выполнение пхп из wp-content/uploads и прочего такого
2. прогнать плагины через wp-vuln
3. убрать timthumb
4. сделать 2х факторную авторизацию на вход, либо прикрыть вход в админку паролем, либо пускать по IP
5. проверить список юзеров с админским доступом
6. включить на сервере fail2ban
7. если тема кастомная или сайт делал фрилансер, проверить на наличие бэкдоров (а то например вот Откуда редирект? )
8. включить логи, начать смотреть логи
9. сменить пароли, сгенерировать по новой данные в вп-конфиг
10. дальше по обстоятельствам

[mihass]

Пароли все без исключения меняли, и для юзеров и на базу и хостинг панель и ftp.
Юзер с админским доступом один только.
Тема покупная, там вряд ли что то будет.
Бекдоры все что нашли вычистили.
Логирование включено, но в логах ничего не ищется.

Answer 1

[Анатолий]

1. Удалите все файлы кроме /wp-content
2. Загрузите новый WP (базу подключите существующую)
3. Удалите тему, установите ее заново с сайта разработчика, если она у Вас покупная
4. Временно удалите все плагины - проверьте, будет ли замена siteurl
5. Замените стандартные логины суперпользователей: admin и других пользователей с расширенными правами, на другие
6. Установите права только чтение, для всех файлов, кроме /wp-content/upload/ и отключите выполнение php файлов в этой папке
7. Установите защиту в .htaccess, чтобы при обращении к папке /wp-admin вначале просило пароль
8. Сделайте копию всех файлов, после очередного взлома, сравните, какие файлы изменились, в принципе они не могут изменится.