Проблема безопасности с сайтом WordPress - htaccess

Question

Теперь я не занимался дизайном веб-сайтов, но пару месяцев назад я перенес существующий веб-сайт на WordPress для своего клиента.

Сегодня мне позвонил клиент по поводу их веб-сайта,и какая-то проблема с безопасностью.

Домашняя страница веб-сайта загружается нормально, но если вы попытаетесь перейти на любую другую страницу, она приведет вас к - http://secure.wheelerairservice.com/main.php.

Навигация кажется неподвижнойбыть ссылкой на соответствующую страницу (когда вы переносите ссылку на нас, ссылка отображается в строке состояния как / contact-us), но она перенаправляет на указанный выше URL.

Просто интересно, если кто-нибудь знает, в чем проблема,и кто или что мог бы сделать это и как.

Любые предложения о том, как я могу это исправить?

спасибо!

Хорошо, я изучил проблему еще немногои обнаружил, что файл .htaccess был каким-то образом заменен.Мне просто интересно, как кто-то мог это сделать?через ftp доступ, учетную запись администратора wordpess или какую-то дыру в wordpress, есть мысли?

Answer 1

Обычно, когда заражены файлы .htaccess, обычно это результат украденных (скомпрометированных) учетных данных FTP.

Обычно это происходит из-за вируса на ПК, который имеет FTP-доступ к зараженному веб-сайту. Вирус работает разными способами, но обычно одним из двух.

Во-первых, вирус знает, где бесплатные программы FTP хранят свои сохраненные учетные данные для входа. Например, с FileZilla на ПК с Windows XP, посмотрите:

C: \ Documents and Settings (текущий пользователь) \ Application Data \ FileZilla \ sitemanager.xml

там вы найдете в виде простого текста все веб-сайты, имена пользователей и пароли, которые пользователь использовал FileZilla для доступа по FTP.

Вирус находит эти файлы, читает информацию и отправляет ее на сервер, который затем использует их для входа на веб-сайт (ы) с действительными учетными данными, загружает определенные файлы, в данном случае файлы .htacces, заражает их и затем загружает обратно на сайт. Часто мы видим, где сервер также копирует бэкдоры (сценарии оболочки) на веб-сайт. Это дает хакеру удаленный доступ к веб-сайту даже после изменения паролей FTP.

Во-вторых, вирус работает, перехватывая исходящий трафик FTP. Поскольку FTP передает все данные, включая имя пользователя и пароль, в виде обычного текста, вирус может легко увидеть и украсть информацию для входа в систему таким же образом.

1. Немедленно изменить все пароли FTP
2. Удалить заражение из файлов .htaccess
3. Выполнить полную проверку на вирусы на всех ПК, используемых для передачи файлов FTP на зараженный веб-сайт.
4. Если веб-сайт был отмечен Google как подозрительный, запросите проверку в инструментах Google для веб-мастеров.

Если хостинг-провайдер поддерживает это, переключитесь на SFTP, который шифрует трафик, делая его более трудным для прослушивания.

Кроме того, посмотрите на все файлы на предмет того, что там не принадлежит. Трудно найти черные ходы, потому что есть много разных. Вы также не можете перейти по метке даты и времени, потому что эти бэкдоры изменяют метку даты и времени файлов. Мы видели зараженные файлы с той же датой и временем, что и другие файлы в той же папке. Иногда хакеры устанавливают метку даты и времени на случайную более раннюю дату.

Вы можете искать файлы по следующим строкам:

• base64_decode
• 1034 * Exec *
• Еореп
• fsock
• passthru (для файлов .php)
• гнездо

Это довольно распространенные строки в бэкдорах.

Answer 2

У нас также возникает такая же проблема для веб-сайта Word Press, когда вирус удален, но он снова подвергается повторной атаке, поэтому, как уже было сказано выше, сначала необходимо сделать резервную копию всех файлов, затем изменить пароли FTP, Administrator и cPanel, а затем загрузить их обратно на сайт.Я сделал выше шаги для нашего сайта.

Answer 3

Измените ваши пароли. См. Укрепление WordPress «WordPress Codex и FAQ: мой сайт был взломан« WordPress Codex и Как полностью очистить вашу взломанную установку WordPress

Answer 4

Если FTP использовался для доступа / изменения файлов на этом WordPress-сайте, возможно, кто-то получил имя пользователя и пароль для доступа по FTP и изменил ваш файл .htaccess. FTP не является безопасным. Я бы предложил использовать SFTP как минимум.

Wordpress не совершенен (не так много), но я очень сомневаюсь, что такой недостаток возможен, но я очень сомневаюсь в этом.

Сначала я предлагаю изменить имя пользователя / пароль FTP, обновить WordPress до последней версии, изменить имя пользователя по умолчанию для администратора на другое и изменить пароль для пользователя-администратора, обеспечив, чтобы все пароли были длиной не менее 8-10 символов в длину