[WP инструкция #2] Что делать, если взломали Wordpress?

Опубликовано: 26.03.2017

Итак, это маленькая запись о том, как взломать блог на вордпресс. Не поймите меня некорректно – точнее о том, как у меня это совсем случаем вышло. Много размышлял, писать все-же об этом, либо нет, потому что плохие люди могут пользоваться этим в собственных очень плохих целях, но позже – решил таки написать. Так как если даже я, который не имеет никакого дела к защите, веб-сайтам и т.д. сумел это сделать, то молодые кулхацкеры, просто со скукотищи ищущие, как взломать веб-сайт либо блог на вордпресс – уж тем паче сумеют, и предупредить об этом на будущее всех других все-же нужно. Ну, и тем паче, пробежавшись по просторам веба – оказалось, что в текущее время веб-сайтов, подверженных таковой уязвимости – фактически нет, и лучше уже на данный момент обозначить делему, чтоб они не появились и в предстоящем.

А началось все до жути обыденно – я, ранее делавший бэкап веб-сайта вручную методом тупого копирования всех имеющихся папок на сервере для себя на локальный компьютер, потом лезущий в phpMyAdmin, и оттуда сохраняющий дамп базы, решил поставить для себя плагин, позволяющий делать это в автоматическом режиме. Выбор пал на BackWPup, как владеющий самыми широкими опциями по регулярности бэкапов, позволяющий делать копии не только лишь базы данных, да и всех файлов на веб-сайте, также поддерживающий создание бэкапов не только лишь на сервере, да и скидывание их по ФТП, в дропбокс, e-mail, и т.д.

Защита wordpress блога от взлома или как изменить логин admin

И вот, раздумывая, куда бы класть файлы по фтп, я набрел на один очень занимательный хостинг файлов, а точнее – файлхранилище с доступом по ftp – fileplaneta.com. Но, как оказывается при ближнем рассмотрении, он не только лишь не шифрует ссылки на закачанные на него файлы, да и по дефлоту при загрузке включает щитов что все файлы, как на ладошки высвечиваются у хоть какого юзера зашедшего на этот ресурс, более того – находится сортировка и продвинутый поиск. Сходу появилась идея – как так, это означает, что хоть какой бэкап, закачаный туда, сходу станет достоянием общественности? Решил это проверить. BackWPup делает по дефлоту архивы со стандартными наименованиями, по которым я и задал поиск, сразу обнаружив пару. Нет, это некий абсурд, поразмыслил я, такового просто не может быть. Хорошо, давайте поглядим, а можно ли вообщем чего-нибудть с этим сделать. Если честно, все другое я делал, совсем не намереваясь кого-то разламывать, либо чего еще в этом духе, полностью не разбираясь в этом, и предполагая, что кое-где там будет неодолимая преграда и защита, которую я просто не смогу пройти. Другими словами, на примере найденых бэкапов желал проверить, что все-таки меня ожидает, если я к нему (файлпланете) привяжу BackWPup. Но все вышло так стремительно, что я даже не успел опамятоваться. В скачаном бэкапе конечно, лежал файл wp-config.php, в каком, конечно, лежали в незашифрованом виде все данные доступа к базе данных веб-сайта, включая логин, пароль, хост, к которому коннектится. Запустил 1-ый попавшийся клиент для управления и администрирования MySQL под windows (первым попался некий SQLyog Community Edition – страшно тупая программка в сопоставлении с phpMyAdmin, как мне показалось – но если честно, я в этом полностью не разбираюсь, потому точно утверждать не буду, может это в опытных руках – напротив верх совершенства :)). Ввел туда всю информацию из wp-config.php, надавил кнопку объединиться – бац – я в чужой базе данных. Нет, понятно, что реальные е-мэйлы создателя, искусно сокрытые на веб-сайте, логины и пароли в зашифрованом виде были доступны из ее дампа уже в бэкапе – но то, что можно будет так просто войти – этого я уже совершенно не ждал. Стало любопытно, а смогу ли я войти в сам блог? Кул хацкер, вероятнее всего, недолго думая, поменял бы пароли администраторов, а заодно и е-мэйл, и отправил бы для себя новый. Но так как меньше всего я желал кому-то причинить какой-нибудь вред, то я просто сделал в таблице wp_users еще 1-го юзера, назвав его незамысловато wordpress, и даже не вводя е-мэйл, никнейм, и всю основную лабуду, сгенерировал MD5 пароль, тоже вставив его в таблицу, после этого отдал этому юзеру права админа в таблице wp_usermeta, присвоив значение wp_user_level равный 10 и прописав wp_capabilities в виде a:1:{s:13:”administrator”;b:1;}. Еще безопаснее для блога, естественно, было подобрать пароль по md5 хэшу, (судя по всему, он был не очень непростой), но меня заинтересовывала принципная возможность входа в админку, потому совершенно уж заморачиваться я не стал. В браузере к адресу веб-сайта я добавил /wp-admin, ввел логин wordpres и пароль, для которого я генерировал md5 хэш, и спустя секунду я был уже в админке. Это я все так длительно описываю, а по сути все заняло не больше 2-ух минут, из которых самое длительное – было скачка windows клиента для администрирования MySQL. Если честно, я аж офигел, ну никак не ждал такового, и под неким впечатлением нахожусь даже на данный момент. Поначалу я поразмыслил, что нужно написать создателю веб-сайта на е-мэйл, чтоб он убрал бэкапы с этого хостинга, поменял все пароли (никто не знает ведь, кто еще мог уже успеть скачать бэкап его веб-сайта до меня, маловероятно, что я 1-ый ранее додумался), и впредь более осмотрительно относился к безопасности, но звучало все это так неописуемо, что для демонстрации способности я оставил предупреждение в виде черновика в самой админке, хотя так и подмывало надавить кнопку опубликовать :).

После этого к тому же комментарий к одной из записей выслал, чтоб черновик случаем не затерялся. Ну и предупредил создателя, что через неделю опубликую информацию о этой дыре и методам защиты на собственном проекте, чтоб он успел все закрыть, и удалить. На данный момент все закрыто и удалено, так что я со размеренной душой публикую эту запись.

Анализируя произошедшее, можно вывести несколько главных обстоятельств, по которым это все стало вероятным. Ни одна из их в отдельности не привела бы к такому результату, но в совокупы – они дали таковой вот грустный итог:

1. Выкладывание бэкапа на публичный ресурс.

2. Доступ хоть какого юзера к ссылке на его скачка.

3. Возможность удаленного редактирования базы данных.

Остается порадоваться за создателя веб-сайта, что к нему на огонек зашел я, а не какой-либо парень с пылающим взглядом. Могло бы окончиться от выкладывания неблагопристойной рисунки в блоге, до удаления всего блога совместно со всеми бэкапами во всех облаках (BackWPup замечательно из собственной админки позволяет это делать), ну не считая, естественно, локальных копий, которые не все и не всегда-то и делают, надеясь на пасмурные хранилища.