Zdravím,
provozuji větší část svých webů u Tele3. Mám téměř všechny weby pod CMS Wordpress, ale řeším poslední dobou velmi častý bezpečnostní problemy.
Do adresáře ../uploads/ se mi od někud soubory search.php a header-cache.php, které jsou infikované, a to i potom, co nastavim na adresář zákaz přepisu.
FTP klienta používám FileZilu.
Používám bezpečnostní plugin Wordfence Security - ale nepomáhá.
WP šablonou ani pluginama to nebude.
Nevíte někdo, kde je problem?
Máte nějaké typ na zabezpečení?
Co se týče složky "uploads/", tak wordfence umožňuje zakázat volání / fungování php souborů ve složce "uploads/" (někde tam je zaškrtavátko v nastavení u pluginu). Nevýhoda je, že jak nějaký plugin používá "uploads/" pro své skripty, tak je s tím konec.
Jinak aktualizovat WP a pluginy (extra staré, tzn že nevyšla už nová verze cca 1+ rok) buď ručně prozkoumat na chyby nebo vyměnit.
Taky omrkni usery, jestli tam nemáš cizí admin účty - nedávnoú jsem objevil skript, který je tvořil - https://pastebin.com/VxZuFHvy
Můžeš zkusit ještě sucuri, jiné se mi, kromě sucuri a wordfence , neosvědčily.
---------- Post added 20.09.2018 at 09:51 ----------
uppdate: pokud to nepomůže, tak tam bude někde zakopaný skript, takže komplet stáhnout a projet to v konzoli s příkazem grep - tady je seznam nej funkcí https://sucuri.net/guides/how-to-cle...-wordpress#rhb
Tím, že omezíš zápis do Uploads tak si sice můžeš častečně pomoci, ale nese to v sobě riziko které popsal výše Tomve. Spousty toolsu co třeba minifikuji JS a CSS si ukládají lecos práve do Uploads. Nehledě na to, že takto zastavíš jen "hloupé" scripty. Ty chytřejší když zjistí že mají někde zakázán přístup tak se umístí jinam, třeba do rootu.Původně odeslal BENQ
Wordfence bych nezatracoval, ale dá ho práci správně nastavit. Rozhodně nestačí jen pouze v defautu. Pak je schopen odchytit drtivou většinu zranitelností. Co ti neodchytí je samozřejmě chybný navrh pluginu. Tam tu penetraci nezastaví, ale aspoň tě na ní upozorní. Samozřejmě je nutné mít nastavené věci jako je sledování změn v souborech pluginu, zvláště oproti referenčním souborům. Mít vychytané false positiv a spousty dalšího.
Pro zjištění známých bezpečnostních děr dané WordPress instance můžete použít WPScan (https://wpscan.org/) - pokud jsou weby opravdu vaše, jinak pro komerční využití potřebujete licenci. Nutno podotknout, že pokud již používáte nějaké pluginy pro zabezpečení, budete si muset projít argumenty WPScan a korektně scan inicializovat, abyste obešel svá vlastní "zabezpečení".
Používám Shield placené verze
No, pouzit iny redakcny system je top riesenie. Nepouzivat pluginy stiahnute z netu tiez pomaha.
Ideální způsob, jak zabezpečit WP, je smazat to. WP je přespříliš děravý: https://www.exploit-db.com/browse/
Mám několik desítek webů a platit si plnou lilcenci na každý web se mi moc nechce.
Pluginy jsou aktualizovány a i přesto se mi opakovaně do Uploads složky dostávají soubory, které jsem vymazal. Template jsem si vytvořil sám.
Soubory se do té složky nedostávají jen tak. Pravděpodobně je na webu schovaný nějaký backdoor, nebo se jedná o nákazu z jiného webu ve stejném webovém prostoru, když od sebe nejsou izolované (to se často stává při snaze o "multihosting", kdy na sebe jednotlivé weby vidí). Pokud jednou dojde k nákaze, tak je potřeba důsledně provést dezinfekční postupy, jinak je to pak marný boj - https://www.slideshare.net/vsmitka/w...t-wordpress/55
Krok smazání všeho a následná obnova z čisté zálohy (případně nainstalování všeho znova) může být velmi důležitý, protože backdoor si často vytvoří nějaký nenápadný soubor navíc, který se nepřepíše při obnovách. Najít příčinu také může pomoci analýza access logů. Malware také s oblibou infikuje soubor 404.php ze šablony, aby oddálil infekci - dojde k ní až někdo za čas pošle požadavek na neexistující stránku.
Je dobré nevšímat si trollů, kteří WP nerozumí a tak proto hned radí vyměnit CMS. WordPress samotný je na tom s bezpečnostní velmi dobře, naprostá většina problémů je v rozšířeních třetích stran. Bezpečnostní problémy v jádře se vyskytují podobně jako u jiných systémů, jednou za čas se něco objeví, to se děje u každého softwaru. Žádný jiný systém není tak intenzivně testován jako WP. Díky tomu se ve WP občas nalezne nějaký problém jako první a pak se ukáže, že stejný problém se vyskytuje i v mnoha dalších systémech.
Pokud je dezinfekce technicky nad vaše síly, tak je dobré si najmout profesionála.
to smitka: Používám na TELE3 multihosting a SSL encrypt. Problem je i na webech, které jsem přinstalovával - instalace pouze Wordpressu a běžných pluginu. Šablonu jsem přepsal ručně ve WP.
Zaráži mě, že se jedná u všech webů o stejne php soubory ve složce uploads.
A tvoje ftp udaje jsou bezpecni? Koukal si logy? Pripadne cekni pristupovy logy k nejakym podozrivym souborem... vlastne jestly mas seo friendly URLs tak si pozri .php v access logu a mozna sa ti podari ziskat ip adresu utocnika.
"sudo chmod -x /uploads" tiez nieje vec na zahodenie.
Ono vsoubecne mat nejaky includovany soubory mimo autoloaderu je ... takovy wordpresacky humus.
Jestli totiz v uploads nemozeme soubory spustit a kazdej jinej soubor je zabezpecen ze strany servru proti zapisovani a muze to jen uzivatel z ftp trebars tak vam asi nikto neuploadne soubor ktorej jse muze zapnout.
Projel by jsem celej project na "`...`", proc_open, popen, call_user_function(), fwrite, exec, kazde mysql/i querry ktore neco dela taky, a jestli je problem ze je toho moc, tak je na vine architektura wordpressu, kde moduli ( aspon kdyz jsem s tym delal naposled ) primo volali na databazu, bez nejakych bezpecnostnich opatreni, a taky tam nebylo automaticke osetreni MySQL a musel to kazdy vyvojer pluginu resit sam. Taky byl nejaky problem z PHP mailerem, takze sa dalo ziskat pristup cez kontaktni formular.
Taky jsou jina opatreni, ale nemuzu vam povedat vse, by jste si to udelali sami a to prece nici pracovni prilezitosti pro vzdelane a take nici hodnotu jejich vzdelani...
to xoixi: to mě napadlo taky. jestli FTP klient neni problem - používam FileZillu
lol
Nepoužívat nulled šablony/pluginy, pokud už nějaký ten null máš tak si soubory proscanuj nějakým pluginem (líbí se mi WP Cerber) a nebo použij externí řešení např. https://revisium.com/aibo/. Mám taky jeden web infikovaný, cerber akorát zablokuje veškerý traffic z venku, který by mohl využít exploitu, ale škodlivý kód se mi nepodařilo najít, moc souborů a málo času :D
Nejlepsi je si procist 100500 manualu "TOP100500" Best Security Plugins For WP In 2018 na zabezpeceni a mit pocit, ze web je nyni neprustrelny.
Ano, pluginy resi LAMA chyby administratoru, ale nikoliv derave samotne pluginy a nespravne nastaveni prav zapisu a tak dale, namatkove vycisteni napadenych souboru sice pomuze, ale obcas se napadeni vrati zpet. Preinstalace WP je obcas pakarna - jen si pomyslete to mnozstvi pluginu, vzhledu a vseho co se ma opet nastavit...
Najdete si profika, ktery WP vycisti od napadeni a da ho do kupy, nebudte lakomi.
Jedna z věcí co ti pomůže je zablokovat přístupy z většiny státu. Povol pouze ty o které máš zájem + udělej vyjímky na konkrétní IP odkud se ti stahují věci co potřebuješ (např, google fonty jestli používáš).
Co sa ti nezda?
vypadá to, že to nejsi schopný sám vyřešit, může se jednat o ještě neopravenou zranitelnost pluginu nebo nákazu šíříš od sebe, naopak je málo pravděpodobné, že by byl děravý samotný tele3. Najmi si na to někoho, ušetříš čas a případné problém.
Jak píše smitka, tohle není ani tak chyba WP a přejít jinám, můžeš řešit podobné problémy. Je prostě příliš na ráně, je nevhodně navržený a a celé php s apachem je složité udržet bezpečné, drtivá většina vývojářů na to nemá znalosti a zkušenosti, komunita a nástroje jim v tom moc nepomáhají. Bezpečnost je otázka ceny, zadarmo udělat bezpečný nejde.
Osobně bych začal access logy, porovnal to s časy, kdy ty soubory vzniknou, snažil se najít url/funkci, která je vytváří, nastavil firewall, aby WP mohl komunikovat pouze domů pro aktualizace, omezil možnost spusti z /uploads cokoliv.
Klidně se může jednat o běžnou funkcionalitu nějakého pluginu či nevhodné nastavení, bez podrobností ti nelze přesně poradit.
