Làm thế nào để tìm một cửa hậu trong một trang web WordPress bị tấn công và khắc phục nó 0 (0)

Hết lần này đến lần khác, chúng tôi đã giúp người dùng sửa các trang web WordPress bị tấn công của họ. Hầu hết khi họ liên hệ với chúng tôi, họ đã dọn sạch trang web và tin tặc có thể truy cập lại. Điều này xảy ra nếu bạn không dọn dẹp đúng cách hoặc bạn không biết mình đang tìm kiếm gì . Trong hầu hết các trường hợp mà chúng tôi tìm thấy, có một cửa sau do tin tặc tạo ra cho phép họ bỏ qua xác thực thông thường. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách tìm một cửa sau trong một trang web WordPress bị tấn công và khắc phục nó.

Backdoor là gì?

Backdoor được đề cập đến một phương pháp bỏ qua xác thực thông thường và đạt được khả năng truy cập từ xa vào máy chủ trong khi vẫn không bị phát hiện. Hầu hết các hacker thông minh luôn tải backdoor lên làm điều đầu tiên. Điều này cho phép họ lấy lại quyền truy cập ngay cả sau khi bạn tìm và xóa plugin đã khai thác. Các cửa hậu thường tồn tại sau khi nâng cấp, vì vậy trang web của bạn rất dễ bị tấn công cho đến khi bạn dọn dẹp mớ hỗn độn này.

Một số cửa hậu chỉ cho phép người dùng tạo tên người dùng quản trị ẩn. Trong khi các backdoor phức tạp hơn có thể cho phép hacker thực thi bất kỳ mã PHP nào được gửi từ trình duyệt. Những người khác có giao diện người dùng chính thức đầy đủ cho phép họ gửi email dưới dạng máy chủ của bạn, thực hiện các truy vấn SQL và mọi thứ khác mà họ muốn làm.

Mã này ẩn ở đâu?

Các cửa hậu trên bản cài đặt WordPress thường được lưu trữ ở các vị trí sau:

Chủ đề – Nhiều khả năng nó không có trong chủ đề hiện tại mà bạn đang sử dụng. Tin tặc muốn mã tồn tại trong các bản cập nhật cốt lõi. Vì vậy, nếu bạn có chủ đề Kubrick cũ nằm trong thư mục chủ đề của mình hoặc một chủ đề không hoạt động khác, thì mã có thể sẽ ở trong đó. Đây là lý do tại sao chúng tôi khuyên bạn nên xóa tất cả các chủ đề không hoạt động.
Plugin – Plugin là một nơi tuyệt vời để hacker giấu mã vì ba lý do. Một vì mọi người không thực sự nhìn vào chúng. Hai là vì mọi người không thích nâng cấp plugin của họ, vì vậy chúng sống sót sau các bản nâng cấp (mọi người hãy cập nhật chúng). Thứ ba, có một số plugin được mã hóa kém có thể có các lỗ hổng bảo mật riêng để bắt đầu.
Thư mục tải lên – Là một blogger, bạn không bao giờ kiểm tra thư mục tải lên của mình. Tại sao bạn? Bạn chỉ cần tải hình ảnh lên và sử dụng nó trong bài đăng của mình. Bạn có thể có hàng nghìn hình ảnh trong thư mục tải lên được chia theo năm và tháng. Rất dễ dàng để hacker tải lên một backdoor trong thư mục tải lên vì nó sẽ ẩn giữa hàng nghìn tệp phương tiện. Thêm vào đó bạn không kiểm tra nó thường xuyên. Hầu hết mọi người không có plugin giám sát như Sucuri. Cuối cùng, thư mục tải lên có thể ghi được, vì vậy nó có thể hoạt động theo cách mà nó được cho là. Điều này làm cho nó trở thành một mục tiêu tuyệt vời. Rất nhiều cửa hậu chúng tôi tìm thấy ở đó.
wp-config.php – Đây cũng là một trong những tệp bị tin tặc nhắm mục tiêu cao. Nó cũng là một trong những nơi đầu tiên mà hầu hết mọi người được yêu cầu phải đến.
Bao gồm Thư mục – / wp-bao gồm / thư mục là một nơi khác mà chúng tôi tìm thấy các cửa hậu. Một số tin tặc sẽ luôn để lại nhiều hơn một tệp cửa hậu. Sau khi tải lên một bản sao lưu, họ sẽ thêm một bản sao lưu khác để đảm bảo quyền truy cập của họ. Thư mục bao gồm là một thư mục khác mà hầu hết mọi người không bận tâm đến.

Trong tất cả các trường hợp chúng tôi tìm thấy, backdoor đã được ngụy trang để trông giống như một tệp WordPress.

Ví dụ: trong một trang web mà chúng tôi đã dọn dẹp, backdoor nằm trong thư mục wp-include và nó được gọi là wp-user.php (điều này không tồn tại trong cài đặt thông thường). Có user.php, nhưng không có wp-user.php trong thư mục / wp-include /. Trong một trường hợp khác, chúng tôi tìm thấy một tệp php có tên hello.php trong thư mục tải lên. Nó được ngụy trang dưới dạng plugin Hello Dolly. Nhưng tại sao lại nằm trong thư mục tải lên? Ồ.

Nó cũng có thể sử dụng các tên như wp-content.old.tmp, data.php, php5.php hoặc một cái gì đó tương tự. Nó không cần phải kết thúc bằng PHP chỉ vì nó có mã PHP trong đó. Nó cũng có thể là một tệp .zip. Trong hầu hết các trường hợp, các tệp này được mã hóa bằng mã base64 thường thực hiện tất cả các thao tác sắp xếp (tức là thêm liên kết spam, thêm trang bổ sung, chuyển hướng trang web chính đến các trang spam, v.v.).

Bây giờ bạn có thể nghĩ rằng WordPress không an toàn vì nó cho phép các cửa hậu. Bạn đã CHẾT SAI. Phiên bản hiện tại của WordPress không có lỗ hổng bảo mật nào. Backdoor không phải là bước đầu tiên của quá trình hack. Nó thường là bước thứ hai. Thông thường tin tặc tìm thấy một cách khai thác trong một plugin hoặc tập lệnh của bên thứ ba, sau đó cấp cho họ quyền truy cập để tải lên backdoor. Gợi ý: hack TimThumb. Mặc dù vậy, nó có thể là tất cả mọi thứ. Ví dụ: một plugin được mã hóa kém có thể cho phép người dùng leo thang đặc quyền. Nếu trang web của bạn có đăng ký mở, hacker có thể đăng ký miễn phí. Khai thác một tính năng để có được nhiều đặc quyền hơn (sau đó cho phép họ tải lên các tệp). Trong các trường hợp khác, rất có thể thông tin đăng nhập của bạn đã bị xâm phạm. Nó cũng có thể là bạn đang sử dụng một nhà cung cấp dịch vụ lưu trữ không tốt. Xem danh sách lưu trữ web được đề xuất của chúng tôi.

Làm thế nào để Tìm và Làm sạch Backdoor?

Bây giờ bạn đã biết backdoor là gì và có thể tìm thấy nó ở đâu. Bạn cần bắt đầu tìm kiếm nó. Dọn dẹp nó cũng dễ dàng như xóa tệp hoặc mã. Tuy nhiên, phần khó là tìm ra nó. Bạn có thể bắt đầu với một trong các plugin WordPress quét phần mềm độc hại sau đây. Trong số đó, chúng tôi khuyên bạn nên sử dụng Sucuri (có trả phí).

Bạn cũng có thể sử dụng Exploit Scanner , nhưng hãy nhớ rằng mã base64 và eval cũng được sử dụng trong các plugin. Vì vậy, đôi khi nó sẽ trả về rất nhiều dương tính giả. Nếu bạn không phải là nhà phát triển của các plugin, thì bạn thực sự khó biết mã nào nằm ngoài vị trí của nó trong hàng nghìn dòng mã. Điều tốt nhất bạn có thể làm là xóa thư mục plugin của mình và cài đặt lại các plugin của bạn từ đầu. Yup, đây là cách duy nhất bạn có thể chắc chắn trừ khi bạn có nhiều thời gian.

Tìm kiếm trong Thư mục tải lên

Một trong các plugin máy quét sẽ tìm thấy tệp giả mạo trong thư mục tải lên. Nhưng nếu bạn đã quen với SSH, thì bạn chỉ cần viết lệnh sau:

find uploads -name "*.php" -print

Không có lý do chính đáng nào để tệp .php nằm trong thư mục tải lên của bạn. Thư mục được thiết kế cho các tệp phương tiện trong hầu hết các trường hợp. Nếu có tệp .php trong đó, nó cần phải đi.

Xóa chủ đề không hoạt động

Như chúng tôi đã đề cập ở trên, thường các chủ đề không hoạt động được nhắm mục tiêu. Điều tốt nhất cần làm là xóa chúng (yup điều này bao gồm chủ đề mặc định và cổ điển). Nhưng chờ đã, tôi không kiểm tra xem liệu cửa sau có ở đó không. Nếu nó là, sau đó nó đã biến mất bây giờ. Bạn vừa tiết kiệm thời gian tìm kiếm và loại bỏ thêm một điểm tấn công.

Tệp .htaccess

Đôi khi các mã chuyển hướng được thêm vào đó. Chỉ cần xóa tệp và nó sẽ tự tạo lại. Nếu không, hãy chuyển đến bảng quản trị WordPress của bạn. Cài đặt »Permalinks. Nhấp vào nút lưu ở đó. Nó sẽ tạo lại tệp .htaccess.

tệp wp-config.php

So sánh tệp này với tệp wp-config-sample.php mặc định. Nếu bạn thấy điều gì đó không ổn, hãy loại bỏ nó.

Quét cơ sở dữ liệu để khai thác và SPAM

Một hacker thông minh sẽ không bao giờ chỉ có một điểm an toàn. Họ tạo ra nhiều cái. Nhắm mục tiêu một cơ sở dữ liệu đầy dữ liệu là một thủ thuật rất dễ dàng. Họ có thể lưu trữ các hàm PHP xấu, tài khoản quản trị mới, liên kết SPAM, v.v. trong cơ sở dữ liệu. Đúng vậy, đôi khi bạn sẽ không thấy người dùng quản trị trong trang người dùng của mình. Bạn sẽ thấy rằng có 3 người dùng, và bạn chỉ có thể thấy 2. Rất có thể bạn đã bị hack.

Nếu bạn không biết mình đang làm gì với SQL, thì bạn có thể muốn để một trong những máy quét này thực hiện công việc cho bạn. Plugin Exploit Scanner hoặc Sucuri (phiên bản trả phí) đều đảm nhận việc đó.

Nghĩ rằng bạn đã làm sạch nó? Nghĩ lại!

Được rồi, hack đã biến mất. Phù. Chờ đã, đừng chỉ thư giãn. Mở trình duyệt của bạn ở chế độ ẩn danh để xem liệu vụ hack có quay lại hay không. Đôi khi, những tin tặc này rất thông minh. Họ sẽ không hiển thị hack cho người dùng đã đăng nhập. Chỉ những người dùng đã đăng xuất mới thấy nó. Hoặc tốt hơn, hãy thử thay đổi công cụ sử dụng của trình duyệt của bạn thành Google. Đôi khi, tin tặc chỉ muốn nhắm mục tiêu vào các công cụ tìm kiếm. Nếu tất cả đều tuyệt vời, thì bạn đã sẵn sàng.

Just FYI: nếu bạn muốn chắc chắn 100% rằng không có hack, hãy xóa trang web của bạn. Và khôi phục nó đến điểm mà bạn biết rằng vụ hack không có ở đó. Đây có thể không phải là một lựa chọn cho tất cả mọi người, vì vậy bạn phải sống bên lề.

Làm thế nào để ngăn chặn Hack trong tương lai?

Lời khuyên số 1 của chúng tôi là giữ các bản sao lưu mạnh ( VaultPress hoặc BackupBuddy ) và bắt đầu sử dụng dịch vụ giám sát. Giống như chúng tôi đã nói trước đó, bạn không thể giám sát mọi thứ diễn ra trên trang web của mình khi bạn đang làm rất nhiều việc khác. Đây là lý do tại sao chúng tôi sử dụng Sucuri. Có vẻ như chúng tôi đang quảng cáo chúng. Nhưng chúng tôi KHÔNG. Có, chúng tôi nhận được hoa hồng liên kết từ tất cả những ai đăng ký Sucuri , nhưng đó không phải là lý do tại sao chúng tôi đề xuất nó. Chúng tôi chỉ giới thiệu những sản phẩm mà chúng tôi sử dụng và chất lượng. Các ấn phẩm lớn như CNN, USAToday, PC World, TechCrunch, TheNextWeb và những người khác cũng đang giới thiệu những người này. Đó là bởi vì họ giỏi những gì họ làm.

Đọc bài viết của chúng tôi về 5 lý do tại sao chúng tôi sử dụng Sucuri để cải thiện bảo mật WordPress của mình

Một số điều khác bạn có thể làm:

Sử dụng mật khẩu mạnh – Buộc mật khẩu mạnh đối với người dùng của bạn. Bắt đầu sử dụng tiện ích quản lý mật khẩu như 1Password.
Xác thực 2 bước – Nếu mật khẩu của bạn bị xâm phạm, người dùng vẫn cần có mã xác minh từ điện thoại của bạn.
Giới hạn nỗ lực đăng nhập – Plugin này cho phép bạn khóa người dùng sau X số lần đăng nhập không thành công.
Tắt trình chỉnh sửa chủ đề và trình cắm – Điều này ngăn chặn các vấn đề về leo thang của người dùng. Ngay cả khi đặc quyền của người dùng đã được nâng cấp, họ không thể sửa đổi chủ đề hoặc plugin của bạn bằng WP-Admin.
Password Protect WP-Admin – Bạn có thể bảo vệ bằng mật khẩu cho toàn bộ thư mục. Bạn cũng có thể giới hạn quyền truy cập bằng IP .
Tắt thực thi PHP trong một số thư mục WordPress nhất định – Điều này vô hiệu hóa thực thi PHP trong các thư mục tải lên và các thư mục khác mà bạn chọn. Về cơ bản, ngay cả khi ai đó có thể tải tệp lên trong thư mục tải lên của bạn, họ sẽ không thể thực thi nó.
Luôn CẬP NHẬT – Chạy phiên bản WordPress mới nhất và nâng cấp các plugin của bạn.

Cuối cùng, đừng rẻ khi nói đến bảo mật. Chúng tôi luôn nói rằng biện pháp bảo mật tốt nhất là sao lưu tuyệt vời. Xin vui lòng giữ các bản sao lưu thường xuyên của trang web của bạn. Hầu hết các công ty lưu trữ KHÔNG làm điều này cho bạn. Bắt đầu sử dụng một giải pháp đáng tin cậy như BackupBuddy hoặc VaultPress . Bằng cách này nếu bạn bị hack, bạn luôn có điểm khôi phục. Ngoài ra nếu bạn có thể, chỉ cần có được Sucuri và tự giải quyết mọi rắc rối. Họ sẽ theo dõi trang web của bạn và dọn dẹp nó nếu bạn bị tấn công. Nó sẽ giống như $ 3 mỗi tháng cho mỗi trang web nếu bạn có kế hoạch 5 trang web.

Chúng tôi hy vọng rằng bài viết này đã giúp bạn. Hãy để lại bình luận bên dưới nếu bạn có điều gì đó để bổ sung