Взлом WordPress!

Взлом WordPress
За прошедшие выходные от взлома пострадал не один десяток блогов. Взлому подвергались почти все блоги на которых был установлен WordPress от версии 2.2.3 до версии 2.8.3 (версия 2.8.4 не имеет данной уязвимости).
Уязвимость заключается в том что, червь регистрируется у Вас в блоге (не важно включена ли регистрация или нет), попадает на страницу постоянных ссылок (permalink) и добавляет в них вредоносный код. Затем повышает себя до уровня админа и при этом скрывает свое существование, т.е. в списке пользователей его видно не будет. После этого вирус добавляет спам ссылки в архивные топики.

Обнаружить взломан Ваш блог или нет можно по выполнив следующие действия:
1) Проверить структуру ЧПУ (Админка - Параметры - Постоянные ссылки) на вредоносный код по типу:
/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}} - если он есть то убрать его. (восстановив прежний вид ЧПУ).

2) Проверить количество администраторов блога (Админка - Пользователи - вверху страницы строка со всеми пользователями и их количеством), убедиться что на блоге только ОДИН администратор. Если администраторов больше одного то нужно удалить лишних, при этом в списке пользователей их может быть не видно. Существует несколько способов найти и удалить лишних админов, но на мой взгляд самый точный и самый удобный воспользоваться phpMyAdmin.

Запрос который необходимо выполнить к базе данных блога выглядит вот так:

SELECT u.ID, u.user_login
FROM wp_users u, wp_usermeta um
WHERE u.ID = um.user_id
AND um.meta_key = 'wp_capabilities'
AND um.meta_value LIKE '%administrator%';

Далее просто выбираем лишних админов и удаляем их.

Чтобы избежать повторного взлома или избежать взлом (тем кого к счаcтью не взломали) можно обновиться до версии WordPress 2.8.4. Для кого обновление это не вариант можно воспользоваться способом который придумал уважаемый Юрий Белотицкий (более известный как ЮБ). Для этого просто зайдите в папку /wp-includes/ и найдите там файл vars.php. После строки:

$pagenow = $self_matches[1];

добавьте еще одну строку

$pagenow = trim($pagenow, '/');

После этого Ваш блог должен быть защищен (на всех своих блогах я выполнил данную процедуру и тьфу-тьфу все нормально).

На этом защита (очистка) Вашего сайта завершена. Если появится еще какая либо информация я обязательно отпишусь.

Рубрика: Разное | 07 сентября 2009

Предыдущие записи из рубрики `Разное`

22 комментария

LDen, 09.06.2011 в 14:43

Я просто в шоке, работаю тыШчи пиплов над вордпресом , а таки все равно взламывают. Жуть. Надеюсь меня это будет обходить стороной, есть личный , уникальный вордпресс))

ОтветитьОтветить
http://shop-online33.ru/, 11.02.2014 в 18:53

Интернет-магазин в городе покров владимирской области.
Мы предлагаем:
Цены от производителей,Одежда для всей семьи,пастельное белье и многое другое.
Наш магазин http://shop-online33.ru рад каждому клиенту.
,магазин одежды в покрове,магазин для всей семьи,одежда все всех,
одежда,магазин,покров,доставка,бесплатная доставка,интернет магазин,интернен-магазин,одежда для детей,для женщин,для мужчин,nike,фирменная одежда,фирменая одежда,фирменая обувь,фирменная обувь,пастельное белье,ночные сорочки,товары для детей,

ОтветитьОтветить

Комментировать