Colegul Alex are ceva probleme. Niște fișiere de spam ce îi tot apar, chiar dacă le ștergem. Nu știm unde și-a băgat nasul.
Până acum am descărcat wp-content, l-am scanat, a rezolvat kasperky, am șters celelalte fișiere și apoi am urcat wordpress nou și am readăugat poze.
Pluginuri neactualizate sau cu nesigure nu are: Jetpack, Akismet, WordPress Seo, Video Thumbnails și cam atât. Toate cu actualizări la timp.
Între timp băieții au apărut și fac spam iar.
Acum mă gândeam să extrag wp_posts și wp_users și să instalez, din nou, wordpress. Alte idei precupețe?! 😀
Toate parolele schimbate, apoi verificate permisiunile pe foldere si fisiere sa nu fie 777, apoi daca nu exista useri necunoscuti, poate folosi Wordfence, e un plugin interesant cu optiunu multiple de securizare, unele chiar paranoice, dar… poate gasi ceva. Succes!
Am schimbat. Încercăm acum cu Wordfence… să vedem.
Se pare că este un moldovean ce se joacă cu un server din Tokyo.
Interesanta concluzie; Moldoveanul stie japoneza 🙂 sau poate serverul din Tokyo se joaca cu un moldovean 😉
Cel mai probabil varianta a 2 a. 🙂
Eu zic sa-i anunte si pe cei de la hosting, poate au ceva expirat; apache, php, msql. Versiunile mai vechi au probleme ce pot fi exploatate de cunoscatori, plus ca cei de la noi in general umbla cu versiuni vechi, din comoditate sau pentru ca le cunosc si le e lene sa-si bata capul sa invete ceva nou, asa ca evita actualizarile.
Să fim serioși… vorbim de cei de la despregazduire.ro N-am pretenții prea mari de la ei. 🙂
Pai si atunci orice ati face voi este inutil atata vreme cat host’ul are gauri de securitate ce pot fi exploatate de cunoscatori! Asta este riscul unui host ieftin.
Tema aia o are dintr’o sursa oficiala, sau mai putin oficiala?! Temele luate din surse nesigure, gen torrente prezinta un risc foarte ridicat de a fi fost masluite inainte! E patit un amic de al meu la care a fost inutil sa ii explic sa nu isi instaleza asa ceva din surse nesigure … ca l’a mancat … si apoi s’a scarpinat de tot ca baietii i’au sters toata baza de date.
Le are pe toate cu licență. Majoritatea sunt de pe mythemeshop. Zic majoritatea că-s vreo 7 site-uri pe găzduire.
În db din câte am butonat n-am văzut mare lucru, pare curat. Între fișiere, însă, apar și câteva care au cod suspect.
In general la WP temele sunt principala sursa de probleme, introduc necunoscute, unii mai folosesc si teme pentru administrare 😉 e bine sa ai totul curat si simplu, fara multe plugin-uri inutile.
Uite si aici ceva care mi-l lauda un coleg, patit si el tot de la o tema. Posibil sa nu mearga cu Wordfence!
I le-am pus pe amândouă. Vedem diseară ce reușim să terminăm.
Ultimul scaneaza din extern, Wordfence va bloca acest gen de acces considerandu-l o tentativa de acces neautorizat, bine acum trebuie observat ce si cum si facute setari, sunt destul de stufoase in optiuni si unul si altul. Succes si spune-ne si nou ce a iesit!
Până la urmă au răspuns și cei de la găzduire:
Se pare ca site-urile v-au fost infectate in data de 10 iulie… iar Dvs. ati observat tocmai in 13 iulie. Modul in care a fost infectat indica o vulnerabilitate in script, mai degraba decat o compromitere a parolelor, dar nu este obligatoriu asa.
WOW, se pare ca….. privesc mult la stiriste 😉 si le-a placut formularea! Bravo! Deci Dvs. adica titularul nu este vigilent :). Acum e bine ca stie ziua , da cum au dedus ei ziua. Fara suparare, raspunsul e ca la ghicitoare; „La drum de seara un dusman iti tine calea, dar sa poate si un preten sa te dusmaneasca”, asta pentru cei ce inteleg 😉
Eu ți-am zis că n-am pretenții cu cei de la despregăzduire aka găzduire.com.ro 🙂
Eram curios cum a ramas cu moldoveanul japonez sau viceversa 😉 ?
Păi am scos temele de la themeforest, le-am lăsat doar pe cele de la mythemeshop, schimbat toate parolele, pus unele aleatoare, adăugat plugin de bruteforce pentru wp login, testat cu sucuri și până acum arată bine totul.
Sau poate sa apeleze la mine si-l rezolv daca inca mai are probleme. 😀
Ne am descurcat. Ne am ajutat și de https://wordpress.org/plugins/stop-xmlrpc-attack/ e foarte util.
Daca nu foloseste trackbacks, pingbacks si nici nu foloseste programe gen Windows Live Writer pentru remote posting poate sa restrictioneze complet xmlrpc.php.
Eu am pus in .htaccess ceva de genu:
deny from all
Sau daca foloseste WLW sau functii via xmlrpc.php de pe o serie de IP-uri anume poate sa adauge ‘allow from IP’ pentru fiecare IP in parte.
Eu am restrictionat asa si xmlrpc.php si wp-login.php de pe un singur IP.