Массовое заражение сайтов на WordPress

Не прошло трёх месяцев с того, как мы анонсировали услугу «Сайт в безопасности», как мир облетела новость о массовом взломе сайтов.

С начала сентября более двух миллионов сайтов на WordPress были взломаны. Злоумышленники загружают на сайты веб-шеллы, позволяющие им контролировать сайты и использовать их в своих целях. Зачем нужно взламывать сайты мы подробно рассказали в статье «Взлом сайта — вполне себе реальность».

Проблема заключается в найденной хакерами критической уязвимости в популярном плагине File Manager. Из-за небезопасного использования разработчиками плагина открытой библиотеки elFinder, злоумышленники имеют возможность загрузить на сайт файл изображения, в котором скрыт веб-шелл. Это используется для загрузки файла, содержащего в названии слова hard, find или x (например, hardfork.php, hardfind.php и x.php), который в свою очередь используется для встраивания вредоносного кода в файлы /wp-admin/admin-ajax.php и /wp-includes/user.php. После этого хакеры имеют доступ в панель управления сайтом через отправку POST-запроса к файлу wp-file-manager/lib/php/connector.minimal.php.

Примечательно, что хакеры после использования уязвимости защищают её при помощи пароля, который не позволяет перехватить управление сайтом коллегами.

Рекламафии удалось предотвратить заражение большинства реализованных проектов. Не обошлось без жертв: несколько клиентских сайтов были взломаны. В течение прошедшей недели нашими специалистами проделана большая работа по очистке инфицированных ресурсов от зловредных программ: очищен и проверен программный код, восстановлен уничтоженных контент, приняты меры по снижению риска взлома в дальнейшем.

Если вы работаете с Рекламафией — никаких мер принимать не нужно, потому что мы уже всё сделали. Вам по-умолчанию подключена услуга «Сайт в безопасности».

Самостоятельно для защиты от хакеров необходимо срочно обновить плагин File Manager до версии 6.9 и более.

Если ваш сайт уже взломан, также рекомендуем обратиться к специалистам. Мы тоже лечим сайты от вирусов в Калининграде и не только . Самостоятельно можете переустановить WordPress, сменить пароли администраторов и базы данных, восстановить содержание — иногда это помогает. Рекомендуем также установить плагин Wordfence Security — Firewall & Malware Scan, разработчики которого по нашим данным быстрее других среагировали на уязвимость и защитили своих пользователей от взлома.

Поделиться в facebook
Поделиться в vk
Поделиться в telegram
Поделиться в whatsapp
Поделиться в odnoklassniki