Moja WordPress stránka bola hacknutá!

  • Facebook
  • Twitter
  • LinkedIn
  • Add to favorites
  • Email
  • RSS

Tak už došlo aj na mňa. Hackli jednu moju WordPress stránku. Márne som si myslel, že nahodím moje obľúbené CMS, vyberiem nejakú peknú alebo free tému (málo kedy sú splnené obidve podmienky súčasne) a web bude za pár hodín hotový. Za takéto ľahostajné správanie som bol spravodlivo potrestaný, konkrétne týmto záhadným pánom:

wordpress-hacked

10. júla 2013 som dostal mail od WebSupport-u:

obdrzali sme hlasenie o napadnuti Vasej stranky hackerom, ktore Vam preposielame.
Hacker zneuziva zranitelnost CMS, najma systemu WordPress.
Trvalym riesenim zial nie je iba obnova infikovanych suborov zo zaloh ale najma zabezpecenie Vasho CMS systmeu upgradom jadra, plugin a tem na najvyssiu verziu a zmenou hesla.

Aktuálna verzia WP bola 3.5.2 a na mojej stránke som mal verziu 3.5.1. Keď som si prečítal WordPress 3.5.2 Maintenance and Security Release a informáciu ako: “Blocking server-side request forgery attacks, which could potentially enable an attacker to gain access to a site.”, bolo mi jasné, že tvorba web stránok nekončí ich spustením a že o každý takýto web sa treba ďalej aktívne starať.

Ako je u nás dobrým zvykom, požiadal som o pomoc môjho najlepšieho amerického kamaráta, ktorý ma nikdy neodmietne. Stačlo mu povedať len: “wordpress hacked” a ihneď mi doporučil tieto dva odkazy:

Vedel som to samozrejme aj predtým, no teraz to už viem o mnoho viac, že treba sledovať aktuálizácie a robiť pravidelné zálohy. Zálohu databázy som mal vďaka WebSupportu, horšie to už bolo so zálohou samotného WP. Zálohu webu som mal tak povediac žiadnu. Porovnal som teda obsah čistej inštalácie s tou hacknutou a našťastie išlo “len” o premazanie index.php. Musím podotknúť, že ten Hacker bol ku mne celkom zhovievavý. Zrušil som mu teda na oplátku všetky jeho admin aj neadmin prístupy obnovou databázy zo zálohy a aktualizoval som WP na poslednú oficiálnu verziu. Tým som celú nepríjemnú situáciu úspešne uzavrel (dúfam :) ).

Po niekoľkých dňoch som sa rozhodol, že napíšem tento blog. Okrem iného som skúsil pozrieť, aké odkazy mi tento pán zanechal v “jeho verzii” mojej HTML stránky. Zistil som, že som bol súčasťou útoku na viacero slovenských webov:

Zoznam hacknutých stránok

Niektoré z týchto webov stále zobrazujú text od útočníka, aj 2 týždne od útoku (www.geohyco.sk, www.jumi-hc.sk, www.zdravobezchemie.sk, www.patroplast.sk, www.coworking-trencin.sk, www.najkvet.sk, …). Ak niektorý z týchto webov poznáte, dajte im prosím vedieť :)

Share and Enjoy