Меня хакнули!

Нет, не меня или мой блог, а моего знакомого.
Вот его письмо, которое он мне прислал
(приводится часть текста автора, без цензуры):

Меня хакнули!

Это маленькая история о столкновении с уязвимостью в движке WordPress до версии 2.6.2.

Как всё начиналось:

Сижу я значит в инете и читаю любимый хабр. Вдруг вылазит сообщение о новом емайле с названием „Сброс пароля“. „Хм“- думаю я: “Кто-то ломится, бывает“. Тут же приходят ещё два письма. „Пароль изменен“ и „Ваш новый пароль“. Вот тут-то и появилась паника в глазах, так как это уже серьёзно…

Как решалось.

Первым делом зашёл на mywordpress.ru где увидел следующее сообщение:

Вышел WordPress 2.6.2

Данный релиз выпущен для исправления уязвимости в SQL и слабости генератора случайных чисел mt_rand (). Вам обязательно нужно установить это обновление если вы разрешили регистрацию в своем блоге. Суть проблемы заключается в том, что любой зарегистрированный пользователь в WordPress 2.6.1 и ранее может «сбросить» пароль любого другого пользователя на случайно сгенерированный пароль.

Как раз про меня писали… Срочно обновляться до последнего релиза!

Качаю… Распаковываю… И заливаю всё на сервер кроме wp-config.php. Далее открываю в браузере vas-blog.ru/wp-admin/upgrade.php. Готово.

Теперь, после обновления ваш, сайт должен быть защищён. Вот и всё.
Вроде просто? Вроде быстро? А скольких нервов стоило…

Автор MaFa и его пострадавший блог.

17 Коммент.

  1. ну не страшная уязвимость — на всякий случай нада прятать признаки wordpress
    внизу убрать подпись, wp-admin тоже как нить защитить

  2. копирайты и локализацию, а так же автора темы и переводчика темы убирать не нужно — это некрасиво, имхо

  3. VasiaVC:

    Может и не страшная, но согласитесь дастающая. Меня как пользователя блога насторожило бы если б мой пароль без моего ведома сбрасывался. Насчёт скрывать wp-admin, это тупость. Взломщик ведь не получает пароль. Он его только сбрасывает.

  4. .htaccess неплохо закрыть паролем /wp-admin/

  5. мухомор:
    Да какой толк закрывать wp-admin?

  6. Почему прятать признаки WP некрасиво? Admin, поясните пожалуйста. Исключительно в целях защиты своего сайта имеет смысл, если при этом ощущаете дискомфорт, то сделайте донате и со спокойной душой пользуйтесь дальше ;) Или же нечто полезное для проекта — первод, плагин e.t.c.

  7. Так как ВП бесплатен, а мы привыкли к бесплатному относиться как-то не очень… не ценим мы огромную работу людей, которые сделали Вордпресс, сделали море тем и плагинов и не просят за это денег. Вот по-этому и НЕкрасиво удалять ни ссылку на wordpress.org, ни на авторов локализации, темы и т.д.

  8. У меня точно такая же история была!!! Нервишки потрепал…
    И по поводу ссылок и копирайтов- полностью согласен!!!

  9. Я «вп-админ» не прячу, и к счастью такой истории со мной её не приключилось.И ещё ссылку на официальный сайт ворд пресса очень некрасиво удалять, это получается мы плюём в морду людям которые его разработали…

  10. newsmaker’у

    > к счастью такой истории со мной её не приключилось

    тьфу-тьфу-тьфу, стучу по дереву…

    > ссылку на официальный сайт вордпресса очень некрасиво удалять, это получается мы плюём в морду людям которые его разработали

    вот-вот и я о том же

  11. Hi:

    Узнать на каком движке работает сайт не доставляет больших трудностей и я например в течении первых 3-ёх секунд могу определить какой движок использует сайт. Движок всегда выдают структура, вид линков и таже форма комментирования. Ваабще есть три движка. Movable Type на перле каторый ну ооочень редко используется, Byteflow на питоне и всеми любимая WP каторую ну очень трудно не узнать ещё учитывая тот факт что она занимет около 90% доли рынка. Такчто единственная правильная вазможнасть содержать свой блог безопастным это использовать самую новую версию!

  12. Селицкас Павел

    Если очень постараться, то кроме упоминания о WordPress никто не узнает, что вы используете WordPress… (именно, что вы его используете), то есть — wp-admin и прочие заменить на что-нибудь другое.

    Можно убирать признаки версий, что очень действенно. Убрать в header.php версию генератора (дада, та помтека leave this just for stats или что-то подобное). В футерах, в пометках. Если вас конкретно пытаются взломать и анализируют ваш блог, то множно по плагинам узнать ориентировочную версию блога. Те же метки — до (вроде) версии 2.3 их вообще не было, только в виде плагина (опять же вроде — память плохая).

    А для особо гонящихся за секурностью можно shell-скрипт, который сам будет проверять новые версии, скачивать патчи и патчить (ну или как там обновление выходит). Правда этот вариант для тех, кто не кастомизирует код WP… То есть, точно не для меня :)

  13. у меня была такая же проблема.
    сайт бфл важный я тогда чуть копыта не откинул.

  14. Спасибо за предупреждение, надо срочно обновится.

  15. Эхх.. написать бы пакет устранения глупых уязвимостей типа открытой папки wp-content

    А то приходиться мелкоскрипты писать каждый раз

  16. И.С.ерфер

    может запретить регистрацию(если можно без этого обойтись) и в .htaccess прописать запрет к доступа к админке всем IP кроме своего?

  17. Можно то можно, а вот нужно ли?

Оставить комментарий

Вы должны быть зарегистрированы чтобы комментировать.