Este site-ul compromis?

CMS WordPress
1

Salutare!

Am primit de la un client un site care a fost virusat. Din când în când se deschid popup-uri. Posibil să fie și alte lucruri afectate. S-a constatat și că în panoul de administrare sunt câteva lucruri care nu mai funcționează corect.

Uitându-mă în plugin-uri, am văzut ca exista instalat și Wordpress Firewall 2. Plugin care a fost găsit vulnerabil și ulterior retras de autor. Aici ceva detalii: https://wordpress.org/support/topic/vulnerability-authenticated-stored-xsscsrf/

Dacă atacatorul putea face “cam ce face un admin”, atunci îmi imaginez că era ușor să controleze fișierele de pe server.

Am căutat în fișiere și în baza de date lucruri care ar putea să mă ajute să înțeleg unde sunt inserate script-uri, dar pare că caut acul în carul cu fân, într-un site cu articole de tip știri, cu link-uri externe etc.

M-am gândit doar că ar putea exista un plugin care să mă ajute să remediez problema, dar mi-a trecut repede. Dacă cineva a vrut să nu fie găsit script-ul care afișează reclame în site, atunci o să-l găsească plugin-ul respectiv poimarți.

Și, deci, singura soluție pe care o văd este să instalez un wordpress pe curat și să import cu atenție ce există în site-ul actual. Ar dura destul de mult, dar nici să-l curăț nu văd cum.

Confirmați-mi, este site-ul compromis sau mai am vreo soluție să-l curăț ?

1 Like
2

Compară cu ce este în git sau un backup mai vechi. Dacă nu ai cu ce compara, poți să-l consideri a fi compromis.

3

Da, poți liniștit să îl dai jos.

Dacă e wordpress, 110% că e compromis.

Nu neaparat că e rău (deși se poate) ci fiind cel mai popular atrage o grămadă de atenție și sunt disponibile vulnerabilități pe net câte vrei, orice script kiddie te poate tuna.

Noi avem și git, și backup, și extrem de putine pluginuri.
Le verificăm săptămânal să vedem dacă au fost compromise și chiar și așa se mai întâmplă să treacă unu, deși destul de rar acum dar se întâmplă.

Primul lucru, secțiunea de /wp-admin/ o blochezi din .htaccess.
Ori faci cu parolă ori restricție cu ip direct.

2 Likes
4

Incearca sa faci un update la ultima versiune de WordPress !
Am avut un caz similar si ca prin minune dupa update s-a rezolvat.

Asta e una din partile bune ale Wordpress-ului, iti face update de la orice versiune veche la ultima.

5

nu ai de unde sti ca visul nu e tot acolo, ti-as recomanda sa faci export de posts/pages, etc si import intr-un nou WP, altfel nu ai cum si ca ai rezolvat decat daca te uiti la fiecare linie de cod din fiecare plugin.

6

Se poate curata, dar este destul de anevoios:

  • ar trebui verificate md5 checksums la toate fisierele core + themes + plugins si resetate la cele oficiale (acestea nu au de ce sa fie modificate, iar daca au fost modificate de cineva fara experienta, tough luck se vor pierde acele “imbunatatiri”) si stergerea oricarui fisier este in plus - se poate face cu wp-cli, dar si plugin-urile WordFence si Sucuri parca fac asta
  • audit de plugin-uri, pastrate doar cele mai importante & reputabile, chiar daca se vor pierde mici functionalitati (tough luck pentru acel plugin cu 5k de downloads care adauga un buton de share)
  • scanare anti-virus in uploads
  • schimbarea parolelor tuturor userilor cu parole sigure si neaparat a cheilor din wp-config.php
  • disable la REST API si la XML-RPC
  • partea mai complicata, auditul si curatarea bazei de date - atat continutul paginilor cat si ce s-o mai fi injectat prin options - cred ca WordFence te mai poate ajuta aici
  • o alta chestie funky, de scos manual site-ul de prin tot felul de blacklist-uri, daca a apucat sa intre - Sucuri site scan verifica o parte din ele, sunt si alte tool-uri online
4 Likes