АРМАДА
WordPress 4.7 хакнули.
На страницу 1, 2  След.
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг

vitvirtual
виртуальный
Зарегистрирован: 11.06.2007
Сообщений: 9061
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Вс Фев 12, 2017 10:42 amДобавить в избранноеОтветить с цитатой
Заходите вы на свой сайт или блог, а в ленте постов появилась новая запись:

Цитата:
Hacked by NG689Skw



Вместо NG689Skw может стоять любое другое слово или набор символов, а пост может содержать любой текст или символы.

Это означает, что ваша версия wordpress не обновлена до последней версии, на данный момент это 4.7.2 , и ваш сайт "хакнули" Smile

Информацию об этой уязвимости можно найти здесь или там.

Сам по себе хак не критичный, но может испугать пользователей сайта/блога, особенно если он популярный. Пользователи будут обязательно вспоминать об этом.

Так что срочно обновитесь до 4.7.2 . Чтобы исправить пострадавшие записи, просто верните предыдущую ревизию.

Как избежать взлома сайта на wordpress в дальнейшем?

1. Вовремя обновляться. Чтобы wordpress core обновлялось автоматически, в файл wp-config.php необходимо добавить:

Код:
define('WP_AUTO_UPDATE_CORE', true );



2. Используйте плагины безопасности. Самый популярный https://www.wordfence.com
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$

blogmatic
V.I.P.
Зарегистрирован: 10.08.2010
Сообщений: 4775
Обратиться по нику
# Добавлено:Пн Фев 13, 2017 11:12 amОтветить с цитатой
Не стоит забывать и про специальные плагины. Например, iThemes Security

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 10797
Обратиться по нику
# Добавлено:Пн Фев 13, 2017 12:16 pmОтветить с цитатой
Хакнули и что? Надо лезть и искать какую-то гадость на сайте или просто школьники поигрались?
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с ежеденевными выплатами

Ffadu
aka Udaff
Зарегистрирован: 04.06.2008
Сообщений: 3315
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Пн Фев 13, 2017 8:34 pmОтветить с цитатой
У меня только один хакнули, там где htacces настроен не был.
В остальных все ок. Smile

Но это не хакнули, а побаловались по сути
VR PORN - ратио, как в 90-х

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Вт Фев 14, 2017 8:10 amОтветить с цитатой
Непонятно, это действительно уязвимость или просто WordPress напоминает о необходимости обновлять CMS?
Просто, не всегда можно обновиться, когда CMS кастомизирована с учетом особенностей уже устаревшей версии, внесены изменения в файлы ядра, интерфейса, т.к. возможности редактирования темы не позволяют, например, сделать какой-то шаблон для заполнения или нужно прикрутить функционал без плагинов.
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--

blogmatic
V.I.P.
Зарегистрирован: 10.08.2010
Сообщений: 4775
Обратиться по нику
# Добавлено:Вт Фев 14, 2017 11:49 amОтветить с цитатой
WordPress и так самая взламываемая CMS. Не удивил.


Irbis
V.I.P.
Зарегистрирован: 11.03.2010
Сообщений: 3641
Обратиться по нику
# Добавлено:Ср Фев 15, 2017 8:00 amОтветить с цитатой
Вот более подробно на русском языке и еще здесь.

Цитата:
«Мы уже наблюдали несколько попыток эксплуатации проблемы, в ходе которых [атакующие] пытались добавлять спамерские изображения и контент в посты. Учитывая возможность монетизации, скорее всего, это станет самым популярным вектором использования уязвимости», — пишут аналитики Sucuri.


Сergio
Гуру
Зарегистрирован: 08.07.2013
Сообщений: 1283
Обратиться по нику
# Добавлено:Пт Фев 17, 2017 3:03 pmОтветить с цитатой
Даже Битрикс ломают. Никто не в безопасности.

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пт Фев 17, 2017 9:10 pmОтветить с цитатой
blogmatic, скорее всего, это статистика по блогам с какими-нибудь уязвимыми плагинами, темами. Сам сколько раз сталкивался с явными или неявными "дырами в безопасности" скриптов, которые устанавливал на свои блоги. Это уже как правило - перед установкой нового, непроверенного плагина или темы посмотреть код на нефильтруемые $_GET/$_POST, eval(), iframe, вхождения http/https, file_get_contents() и т.д., чтобы не было уязвимостей. А сама CMS более защищена, плюс регулярно обновления выходят. Добавить к этому пару security-плагинов для общей безопасности и защиты админки, бэкапы, и, в принципе, можно вздохнуть с облегчением, если сам хостинг не поломают, то блог защищен :thup:
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--

vitvirtual
виртуальный
Зарегистрирован: 11.06.2007
Сообщений: 9061
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Вс Фев 19, 2017 7:45 amОтветить с цитатой
У кого нет возможности обновиться до 4.7.2, нужно в .htaccess после строчки:

Код:
RewriteEngine On



вставить:

Код:
RewriteRule /wp/v2/posts/ - [L]

www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$

Коляныч
Гуру
Зарегистрирован: 07.12.2015
Сообщений: 1171
Обратиться по нику
# Добавлено:Вс Фев 19, 2017 10:05 amОтветить с цитатой
vitvirtual писал(а):
У кого нет возможности обновиться до 4.7.2, нужно в


Нормально обновил пяток сайтов

spomoni
V.I.P.
Зарегистрирован: 06.04.2008
Сообщений: 7499
Обратиться по нику
# Добавлено:Вс Фев 19, 2017 12:43 pmОтветить с цитатой
Имхо, если серьезные проект на WP, его обновляют в тот же момент, как обновление новое появляется.
#1 ФАРМ партнёрка, API, 80%+ АПРУВ!|PharmEmpire - ТОП Конверт фарма трафика!|TOП ФИН/ТРЕЙДИНГ офферы!!!
:smk:Лей фарму на Zombie Team - будет много $$$!:smk:|Пополняй кабинет Google/FB/Insta просто и быстро!

Miss Content
V.I.P.
Зарегистрирован: 05.03.2010
Сообщений: 7881
Обратиться по нику
# Добавлено:Вт Фев 21, 2017 11:22 amОтветить с цитатой
Как проверить WordPress сайт на вирусы и вредоносные ссылки
Место для Вашей рекламы!

Dentz
V.I.P.
Зарегистрирован: 04.04.2014
Сообщений: 2170
Обратиться по нику
# Добавлено:Чт Мар 02, 2017 2:27 pmОтветить с цитатой
У кого еще есть мысли, как можно защитится в будущем?

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пн Мар 06, 2017 5:25 pmОтветить с цитатой
Dentz, на 100% защитить сайт вряд ли возможно, могут и сервер похакать через сайты других клиентов или даже хостинг-провайдера, читал несколько лет назад, как внедрили уязвимость в дистибутив хостера, который разворачивался на купленных ВПС и серверах, и все сервера были с уязвимостью, но это, наверное, очень редкое явление.
Отдельная "техническая" почта, лучше даже с двухфакторной SMS-авторизацией, сложные пароли на почте и блоге, плагин безопасности, скрытая админка блога, чтобы не брутили, обновления, ставить только проверенные плагины и шаблоны :thup: Drinks or Beer
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры