Как устранить уязвимость у wordpress?

Question

[DrOsd]

Каждый раз кто-то взламывает в ручном режиме сайт на wordpress. Движок и все плагины обновлены. Как устранить уязвимость? В чем может быть проблема?

Вот пример запросов, которые оказались решающими во взломе:

"POST /wp-admin//update.php?action=upload-plugin HTTP/1.1" 200 31285 "-" "python-requests/1.1.0 CPython/2.7.3 Linux/2.6.32-279.el6.x86_64" "-"
"GET /wp-admin/plugins.php?action=activate&plugin=wpppm%2Fwpppm.php&_wpnonce=8a91a1c70d HTTP/1.1" 302 0 "-" "python-requests/1.1.0 CPython/2.7.3 Linux/2.6.32-279.el6.x86_64" "-"

Comments

[DrOsd]

Я уже неоднократно удалял несколько плагинов ложных плагинов. Суть из в том, что при переходе на несуществующую страницу, вместо страницы 404 получаем переадресацию на спам сайт.
С помощью приведенных запросов хакер продолжает успешно взламывать сайт. Я не гуру и не понимаю исходя из запроса, какую именно уязвимость он использует и как ее устранить!???

Answer 1

[Oleg Burca]

Уязвимость в ложном плагине wpppm.
Удалите папку или файлы которые содержат wpppm в имени.
wpmarketingbuzz.com/wordpress-malicious-plugin-wpp...

Comments

[DrOsd]

На этом ресурсе лишь констатируют факт такого же взлома, но они не смогли разобраться в логах. Я же привел ключевые строчки из лог файла. Теперь нужно двигаться дальше.. Не буду же я каждый день удалять этот плагин.

[Oleg Burca]

А вы создайте папку/файл с этим именем и через FTP запретите запись в неё.
Также для файлов можно указать
chattr +i /путь/к/файлу/имя_файла
что запретит смену атрибутов файла.

( Да, это примитивный костыль. )

[DrOsd]

Вариант ) Правда боюсь не сильно поможет это, так как атакующий использовал разные имена плагинов например wpppm, yymmm. Думаю он сможет использовать разные имена. При этом самое интересное разобраться что же это за уязвимость такая..

[Oleg Burca]

А по IP адресу невозможно вычислить откуда велась закачка и соответственно по какому URL?
Права доступа на файлы и папки верны?
Должны быть 644 и 755 соответственно.
Проверьте логи подключений к FTP и если там нет лишних адресов.

Answer 2

[Дмитрий Евграфович]

Закройте доступ к папке wp-admin паролем в .htpasswd. Но скорее всего у вас в одном из файлов (или во многих файлах) уже поселилась какая-то чушь, может в том же update.php, к которой обращается взламывающий скрипт или другом, который вы не упомянули в логе. Скачайте дистрибутив вордпресса последний и если в ядре не меняли ничего, сравните + накатите последнюю версию поверх с заменой файлов, оставив конфиг. В идеале надо все вручную шерстить, потому что это не удалит возможные трояны, лежащие в других файлах. Обычно вредоносный код шифруют, поэтому он явно выделяется среди остального содержимого файлов.

Comments

[DrOsd]

ClamAV не находит никакого вредоносного кода.. Паролирование директории не предотвращает выполять запросы такого вида POST /wp-admin//update.php?action=upload-plugin

[Дмитрий Евграфович]

@DrOsd только что попробовал из адресной строки браузера получить доступ на своем сайте по данным адресам - просит пароль и выдает 401 ошибку. почему у меня пароль не дает мне сделать подобный запрос, может я неправильно его делаю и есть способ обойти?

Кламу не верю, даже если вы все сделали по инструкции, поставили модуль php_clamavlib и привязали его к форме загрузки или просто подняли clamfs. Лично я бы посоветовал меньше доверять антивирусам и больше собственным глазам.

[DrOsd]

У меня то он тоже вроде бы как просит пароль, но дело в том что такими запросами у меня весь лог забит и видимо один из них сработал... Я уверенн, что это уязвимость.. Иначе был бы у хакера пароль, зачем ему такие запросы делать? Он бы просто зашел в админку и поставил бы пароль..

Answer 3

[itdef]

Пароли смините, вас сбрутили.