Czego szukasz?

Jeżeli szukasz odpowiedzi na pytania związane z SEO lub Wordpressem wpisz frazę i czekaj na podpowiedzi lub kliknij enter! Wyniki pokazują także linki do zewnętrznych źródeł.

11830 artykułów w bazie

Jak rozpoznać, że nasz WordPress został zhakowany, co wtedy zrobić i jak zwiększyć bezpieczeństwo?

WordPress jako najbardziej popularna platforma blogowa (i nie tylko) narażona jest na wszelkiego rodzaju ataki ze strony hackerów oraz złośliwe roboty/skrypty. Masa instalacji WP dziennie zostaje przejęta lub zainfekowana dlatego, że właściciele nie przywiązują większej wagi chociażby do wszelkiego rodzaju aktualizacji. W tym artykule podpowiem jak rozpoznać, że nasza strona została zhackowana, co w takiej sytuacji zrobić i podam także kilka profilaktycznych porad jak się przed nimi ustrzec. 

wordpress-hack-statistics-2013-infographic

Źródło: http://wpsmackdown.com

Najczęściej wprowadzanymi loginami podczas prób włamań (np. podczas tzw. „Brute Force attack”) są: admin, test, administrator, Admin, root. Jeżeli chodzi o hasła to: admin,  123456, 666666, 111111, 12345678, qwerty, 1234567, password. Tak więc unikajcie ich jak ognia.

Jak rozpoznać atak na naszą stronę? 

1. Emaile wysyłane przez WP trafiają do spamu.

2. Twoja strona zniknęła z indeksu Google lub po wpisaniu w wyszukiwarce „site:nazwadomeny.pl” występują zaindeksowane nowe, podejrzane podstrony np. z frazą „viagra” w tylule.

3. W panelu Google Webmastertools otrzymaliście powiadomienie tego typu:

Źródło: searchenginewatch.com

4. Przeglądarka (w tym przypadku Chrome) wypluwa komunikat po wejściu na stronę:

chrome-strona-zlosliwe-oprogramowanie

5. Twoja strona znacząco zwolniła a wykorzystanie zasobów serwerowych wzrosło – bez nagłego wzrostu realnych użytkowników.

6. Strona zostaje przekierowana na inną lub wyświetla się jedynie biała strona (tzw. WSOD – White Screen Of Death).

7. W panelu WP samoistnie został utworzony nowy użytkownik z uprawnieniami admina/redaktora/autora.

8. W kodzie strony pojawił się nowy niezidentyfikowany kod javascript lub w jej treści zaobserwowałeś dziwne linki.

Google udostępniło narzędzie do szybkiej diagnostyki: http://www.google.com/safebrowsing/diagnostic?site=www.seowordpress.pl . Pamiętaj aby w adresie wpisać adres swojej strony.

No dobra. I co teraz?

Najlepszym rozwiązaniem jest zgłoszenie się z prośbą do swojego hosting-odawcy o wgranie backupu plików oraz bazy danych z dnia przed atakiem. Co jednak gdy z obawą przed utratą danych nie możemy przeprowadzić takiej operacji?

Warto zapoznać się z: http://codex.wordpress.org/FAQ_My_site_was_hacked

Krok 1. Wyłącz swoją stronę – uchroń swoich użytkowników przed niemiłym doświadczeniem.

Krok 2. Upewnij się, że szablon i wszystkie wtyczki są zaktualizowane – nawet te wyłączone (choć najlepiej byłoby je usunąć) – one także w wielu przypadkach posiadają pewne uprawnienia, które mogą ułatwić atak.

Krok 3. Zmień login i hasło do panelu admina i usuń wszystkich podejrzanych użytkowników.

Krok 4. Zidentyfikuj problem.

4.1 Zaloguj się na swój serwer FTP przez swojego klienta i wejdź do głównego folderu oraz /wp-includes/. Upewnij się, że nie został tam dodany plik nowy index.html (jeżeli tak – usuń), oryginalny plik WordPressa index.php nie zmienił nazwy oraz czy nie powstały pliki .php/.html/.js o nazwach z losowymi znakami.

4.2 Pliki .htaccess i wp-config.php porównaj z pierwowzorami.

4.3 Przegraj pliki header.php oraz footer.php używanego szablonu i otwórz je w edytorze tekstu. Sprawdź czy nie posiadają one odwołań do zewnętrznych plików.

4.4 Przeskanuj stronę za pomocą zewnętrznej strony Is this hacked? Wyniki podpowiedzą Ci co nieco.

4.5 Zainstaluj i przeprowadź skan wtyczką Sucuri Security oraz Exploit Scanner

4.6 Jeżeli pracujesz na nie modyfikowanym szablonie/wtyczkach usuń je wraz z instalacją WP i podmień je na świeżo ściągnięte z oficjalnych stron.

Krok 5. Jeżeli dalej problem występuje to najprawdopodobniej złośliwy kod trafił do bazy danych. Zaloguj się do phpMyadmin z panelu hostingu i wprowadź komendę:

Przeanalizuj wyniki w poszukiwaniu złośliwego kodu.

Jeżeli nie jesteś w stanie poradzić sobie z tym problemem. Odezwij się do mnie poprzez formularz kontaktowy

Działania profilaktyczne zabezpieczenia WP

1. Nie używaj standardowego loginu administratora „admin”.

2. Używaj mocnego hasła administratora: http://passwordsgenerator.net/

3. Standardowy prefix „_wp” zmień na niestandardowy wybrany przez Ciebie. Najlepiej zrobić to przy instalacji WP jednak jest sposób na zmianę prefixu przy istniejącej już instalacji. Więcej na ten temat: http://www.wpbeginner.com/wp-tutorials/how-to-change-the-wordpress-database-prefix-to-improve-security/.

Tworząc bazę danych i przypisując do niego użytkownika pamiętaj, że: db_name != db_user

4. Po raz kolejny: szablon i wtyczki aktualizuj na bieżąco!

5. Hosting ma bardzo duże znaczenie. Ja polecam zenbox.pl.

6. Używaj sFTP lub SSH podczas połączeń z plikami strony. Z klientów FTP (np. FileZilla) jest bardzo łatwo wydobyć hasło do naszego serwera.

7. Zabezpiecz folder uploads: http://www.seowordpress.pl/zabezpieczenie-folderu-uploads/

8. Plik wp-config.php powinien mieć prawa tylko do odczytu oraz zabezpiecz go poprzez .htaccess dodając:

Generuj własne klucze w wp-config.php poprzez: https://api.wordpress.org/secret-key/1.1/salt/

9. Wyłącz edycję plików szablonu przez panel WP dodając do wp-config.php

10. Wprowadź limit nieprawidłowych logowań dzięki Limit Login Attempts.

11. Wyłącz natywny interfejs WP – XML-RPC. Odpowiada on za wysyłanie trackbacków i pingbacków ale bardzo często wykorzystywany jest przez hackerów element ataków DDoS. Możecie to zrobić za pomocą wtyczki Disable XML-RPC.

12. Unikaj nadawania uprawnień 777 dla plików i folderów

  • Katalogi: 755 lub 750
  • Pliki 644 lub 640
  • wp-config.php – 600

Pamiętaj o tym, że gdy dostałeś wiadomość w Google Webmastertools o problemie z bezpieczeństwem – zgłoś prośbę o rozpatrzenie po jego usunięciu

Wojciech Władziński

O Wojciech Władziński

Branżą SEO zajmuję się od 2008 roku. Na co dzień specjalista ds. SEO w firmie Virtal. Tworzę i optymalizuję duże serwisy jak i mniejsze strony internetowe. Szczególnie upodobałem sobie środowisko WordPressa, który mimo powszechnej opinii nie jest tylko platformą blogową.
Udostępnij na: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

32 komentarze

  1. Dlaczego polecasz hosting zenbox.pl ? Opcja hostingu gdzie pakiet hostingowy wybiera się w zależności od ilości użytkowników miesięcznie nie przekonuje mnie…A wręcz przeciwnie….

    • Wojciech Władziński

      1. Fantastycznie działająca obsługa klienta.
      2. Wykonują kopie danych 4 razy dziennie
      3. Oktawave
      4. SSH
      5. Panowie wiedzą co robią – i postawili na użytkowników WP (choć nie tylko) przez co serwery są bardzo dobrze skonfigurowane pod ten CMS
      6. Sposób rozliczenia mnie mniej interesuje chociaż ten aktualny prawdę mówiąc nie różni się od tego proponowanego przez inne firmy – bo co za różnica czy przechodzisz na inny pakiet gdy przekroczysz obciążenie serwera czy ilości użytkoników

      • 1. Fantastycznie działająca obsługa klienta.

        To się ceni, ja akurat wolę jak nie muszę korzystać z supportu, w sensie wszystko działa jak należy.

        2. Wykonują kopie danych 4 razy dziennie

        Tak to duży plus.

        3. Oktawave

        Biorąc pod uwagę, że dość często słyszy się o jakiś awariach. Przykładowo – spidersweb.pl – na hostersach śmigali az milo, a teraz zdarzają się przerwy, rzadko ale jednak w środku dnia zdarza mi się trafić na jakieś chwilowe ka boom. No chyba, że tam grzebią przy stronie co chwila 😉

        4. SSH

        To nie memcache, dostęp do konsoli to już prawie standard jeżeli mowa o dobrym hoście a nie jakimś za 5 zeta/miesiąc.

        5. Panowie wiedzą co robią – i postawili na użytkowników WP (choć nie tylko) przez co serwery są bardzo dobrze skonfigurowane pod ten CMS

        Tak postawili na userów wp i blogujących na wp i to jest ich główny target. Wątpię aby serwery były stricte pod WP, bardziej bym powiedział, że tak skonfigurowane aby wordpress chodził fajnie i Drupal mógł pośmigać. Ale limity łba nie urywają. I do WPEngine dalekooo.

        6. Sposób rozliczenia mnie mniej interesuje chociaż ten aktualny prawdę mówiąc nie różni się od tego proponowanego przez inne firmy – bo co za różnica czy przechodzisz na inny pakiet gdy przekroczysz obciążenie serwera czy ilości użytkoników

        Tu już pojechałeś grubo. Bez urazy ale bredzisz. To, że rozliczają per UU to nie znaczy, że możesz zajeżdżać maszynki. Także masz limity i prócz pamięci w cale nie takie duże, w wirtualce home.pl niektóre parametry są większe.

        Weźmy ten plan 25000, płacisz 300zł rocznie i masz 512MB/1024MB pamięci, teoretycznie brak limitu na dysk i transfer, ssh ale możesz obsłużyć max 800uu dziennie.

        A w jednej firmie możesz płacić 228zł rocznie, masz 512MB/1024MB pamięci, 30gb dysku/300gb transferu miesięcznie, ssh i nie zerkasz na UU. Plus masz do użytku nie mysql a marię, która jest znacznie szybsza. Plus korzystają z własnego DC.

        • Kurcze ucięło komentarz – poniżej dalszy ciąg
          =========
          Oczywiście któryś paramter/limit tu czy tam może być korzystniejszy. Ale możesz mieć ruchu tyle ile zdoła przyjąć strona zanim zbliży się do x limitu a nie że nie zbliżysz się do połowy danego limitu a już będziesz musiał przejść na droższy plan bo x uu przekroczone. Zastosujesz cache sztuczki i jeszcze więcej zdołasz przyjąć ruchu a tak sorry, czas na wyższy plan.

          • Wojciech Władziński

            Dobra, trochę pojechałem z tym porównaniem. Ale jeżeli chodzi o limity to dostaje się bonusowe UU do pakietu, które odpowiada podwojonej ilości standardowego limitu i serio ciężko to wykorzystać.
            Do WPEngine im daleko ale chyba jako jedyna firma w PL idą tym dobrym tropem. A ze stabilnością problemów nie uświadczyłem.
            A podanie wirtualki home.pl jako przykład pod WP to chyba nie bardzo – chyba, że mówiłeś ogólnie 😉

            Pozdrawiam!

  2. Rozwiązanie jest bardzo proste. Napisz wszystkie pliki przez klienta ftp z najnowszej wersji WordPressa lub swojej zmodyfikowanej wersji której kopię powinieneś trzymać zapisaną na twardym dysku lub innym nośniku. Robisz kopiuj/wklej i cały nadpisany szajs staje się czysty. Zmieniasz hasło i się cieszysz niezawirusowaną wersją bez kombinowania.

  3. Sposób dobry o ile nie modyfikowaliśmy plików WordPress. Najlepiej z backupu z przed ataku przywrócić pliki. Można też zrobić checksum wszystkich plików i przywrócić tylko te które mają niezgodny hash takie rzeczy robi się ale trzeba robić checksumę dla wszystkich plików WP, nie zajmuje to długo o ile ma się do tego własny soft 🙂

  4. To jest właśnie dobry marketing/pr.

    Podoba mi się, że zenbox wyskoczył z czymś nowym w PL, i że tak się starają jak mogą aby pomóc i z tego co czytam to nawet więcej niż gdzie indziej co się ceni (czy teraz tylko czy utrzyma się to dłużej – więcej klientów = będzie ciężej = więcej pracowników = wyższe koszta) czy robią co mogą aby wszystko chodziło jak trzeba. Mimo, że nie maja własnej infrastruktury bo są resellerem octavave a ten to młody zawodnik to dają rady i walczą z konkurencją. Pozbieranie do siebie blogerów na pewno wyszło na dobre, choćby musieli o ich strony bardziej dbać (you know what I mean). A gdy support skacze z radości, gdy x klientowi urosną statystyki sprawia, że czujesz się jakby to byłą jedna wielka rodzina. A nie klient i firma hostingowa.

    Ale jeżeli chodzi o limity to dostaje się bonusowe UU do pakietu, które odpowiada podwojonej ilości standardowego limitu i serio ciężko to wykorzystać.

    Popraw mnie ale to nie jest to comiesięczny bonus tylko taki jednorazowy bezpiecznik abyś mógł przyjąć większy ruch jakby co i miał czas na przejście na wyższy plan zamiast „ruch został przyblokowany, prosimy o przejście na wyższy plan”.

    Sam planowałem wbić się do nich ale ostatecznie jak policzyłem to musiałbym teraz płacić 300zł co rocznie nie jest jakimś mega wydatkiem ale jak można mniej to dlaczego nie skorzystać. Obecnie płacę mniej i też mam zen, co ciekawe musiałem nawet w3totalcache odstawić bo z nim strona chodziła wolniej niż bez niego – korzystam z hitme jeżeli chciałbyś wiedzieć.

    Do WPEngine im daleko ale chyba jako jedyna firma w PL idą tym dobrym tropem. A ze stabilnością problemów nie uświadczyłem.

    Ja nie pisałem, że technicznie są bee, tylko, że dostosowanie serwerów stricte pod x platformę a ustawienie serwów ogólnie aby śmigały to nie to samo. Jak strona zacznie być oglądana to czeka cię to samo co wszędzie – optymalizacja działania. Plus przeglądam sieć tu i tam i widzę, że jednak nie wszyscy mają stan zen. oczywiście wiadomo, że niektóre wpisy mogą to być fake konkurencji (jeszcze tak robią?) albo coś nie działa chwilkę a krzyk jakby dwa dni był offline.

    A podanie wirtualki home.pl jako przykład pod WP to chyba nie bardzo – chyba, że mówiłeś ogólnie 😉

    Czytaj uważnie, tam chodzi, że niektóre parametry w masówce home są wyższe (nie sprawdzam co tydzień więc może się coś zmieniło) niż w zen.

    Ja wiem, że jesteś zakochany w zenbox (współpraca?) ale nie wolno patrzeć przez zamglone okulary. Trzymam kciuki za zen ekipę, niech się rozwijają i trzymają dalej ten sam poziom czy to wsparcia czy maszynek. Dobra konkurencja przydaje się, bo inni też zaczynają się starać.

    Każdy wybiera co woli, dla jednych takie rozliczanie per uu będzie ok a dla innych nieopłacalne, bo WordPress sporo zniesie zanim krzyknie – „dawaj więcej mocy”.

    Mam nadzieję, że nie uraziłem cię z tym „Bez urazy ale bredzisz”, jak tak to sorki. Dyskusję można zakończyć 🙂

    Tak BTW bardzo fajny wpis, dodałbym jeszcze usługę Sucuri – mają i zewnętrzny skaner i wtyczkę do WP.

    • Wojciech Władziński

      Mam nadzieję, że nie uraziłem cię z tym „Bez urazy ale bredzisz”, jak tak to sorki. Dyskusję można zakończyć

      Bez spiny 🙂 Dzięki za wyrażenie swojego zdania – jeszcze w tak obszernej i kompetentnej formie.

    • Hej,

      Co do konkurencji i wpisów, tak, niestety czarny PR ma się dobrze, z fejkowymi kontami na Fejsie non stop „rozmawiam”. 😉

      Co do mocy to nigdy tak nie ma różowo, ogólnie my dajemy więcej limitów niż inni, ale trudno to użyć jako argument, gdyż jeśli WP ma problemy to czy dasz 4 rdzenie czy 8 rdzeni to nie robi różnicy bo i tak wtyki/ajax/cron zajedzie ile mu się da.

      My za to znamy się nie tylko na hostingu, ale też na skryptach które u nas klienci instalują, przez co udaje nam się pomagać i dzięki temu klienci wyciągają więcej mocy.

      Z kosztami nie da się polemizować, nie da się i dobrze i tanio, zresztą też powoływałeś się na WPEngine i widzisz jakie mają ceny. 😉

  5. PS dodałbyś tutaj na stronie powiadomienia o nowych odpowiedziach. Zaglądam ale czasami brakuje czasu a tak bym wiedział bez zerkania czy ktoś odpowiedział na mój komentarz.

    • Wojciech Władziński

      Ja jestem zwolennikiem rozwiązania dostępu do wp-admin dla konkretnego IP. Tworzymy w tym folderze plik .htaccess (jeżeli go jeszcze nie ma) i dodajemy regułę:

      Podane przez Ciebie rozwiązanie jest także stosowane i jest bardzo skuteczne jednak powstają po nim problemy np. z aktualizacją.

  6. No to jest główna wada popularnych skryptów, że często dochodzi do ataków na strony działające pod ich kontrolą. Do kompleksowego zabezpieczenia wordpressa to, osobiście polecam wtyczkę All In One Wp Security. Uważam, że jest to najlepsza wtyczka do zabezpieczenia wordpressa , do tego banalna w konfiguracji. Inne przydatne wtyczki możecie znaleźć na moim blogu. Znajdują się tam także skrócone opisy do czego dana wtyczka służy.

    Pozdrawiam

  7. Lepiej zabezpieczyć się przed, niż płakać później, że wp został shakowany, ja w tym celu ustalam zawsze silne hasło, instaluje parę wtyczek jak np. wp limits login które skutecznie potrafią zabezpieczyć witrynę,

  8. Pozwolę sopbie zadać pytanie, otóż, w jednym miejscu artykułu polecasz „5. Hosting ma bardzo duże znaczenie. Ja polecam zenbox.pl.” a w innym miejscu piszesz, np.: „8. Plik wp-config.php powinien mieć prawa tylko do odczytu” czy też: „12. Unikaj nadawania uprawnień 777 dla plików i folderów”. Jaki sens mają powyższe rady na zenbox.pl, skoro PHP działa tam na uprawnieniach własciciela domeny, zatem ew. złośliwy kod będzie mógł te uprawnienia dowolnie zmienić? Co innego, gdyby PHP działało na innych uprawnieniach, np. apache/www czy www-data etc.

  9. Bardzo ciekawy artykuł.
    Jednak przywołując stare porzekadło „lepiej dmuchać na zimne” i zabezpieczyć swoją witrynę niż potem kombinować i płakać, że została zaatakowana. Z drugiej strony zastanawiam się czy naprawdę istnieją ludzie, którzy wymyślają tak banalne hasła i loginy. Oczywiście można wyjść z założenia, że łatwe do zapamiętania hasełka są super i że naszej witrynie nic nie grozi, no ale…. Lepiej dmuchać na zimne 😉

  10. A co jeśli witryna już jest po ataku i mamy w indeksie ponad 5tys. podstron dotyczących Viagry?
    Jest jakiś szybki sposób, żeby je usunąć z indeksu?
    Ręczne „Ukryj tymczasowo i usuń z pamięci” w Search Console działa – ale przy takiej skali jest ciężkie do zrobienia.
    Nowa sitemapa zaczyta, strona w SC pobrana wraz z linkami, strony spamowe generują błąd 404.
    Czy coś więcej można zrobić żeby sprawniej usunąć?

    Pozdrawiam,
    MC

      • Witam, próbowałem robić wszystko tak jak napisałeś i to co znalazłem w internecie. Mam problem z tworzonymi chińskimi linkami na google. Po wpisaniu site:kreciolek.pl wyskakuje mnóstwo chińskich wpisów. Jak sprawdziłem stronę przez http://www.isithacked.com. Całego wordpressa zainstalowałem przed chwilą od nowa, wgrałem cały szablon od nowa. Trzeba czekać na pozytywne wyniki? Możesz coś poradzić?

  11. Ja natomiast miałem przypadek taki że ktoś na FTP dodał mi kilka katalogów. Nie dało się ich usunąć a w katalogach było mnóstwo plików HTML z chińskimi odnośnikami.
    Google od razu wykryło zagrożenie i wyświetliło komunikat pod wynikiem „Ta strona mogła paść…..”
    Na szczęście technicy szybko zareagowali i usunęli foldery a dziura jak się okazało była w darmowym szablonie..

    Trzeba na to uważać. Dzięki za artykuł na pewno się przyda w przyszłości.

Zostaw odpowiedź

Email nie będzie publikowany. Wymagane pola są oznaczone *

Możesz używać tych tagów HTML <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Oferuję szereg usług związanych z WordpressemSPRAWDŹ OFERTĘ
Przeczytaj inne:
Jak automatycznie przekierować wyniki wyszukiwania gdy zawierają tylko jeden wynik?

Często zdarza się, że z całych zasobów na naszym serwisie użytkownik przeszukując stronę za pomocą wbudowanej wyszukiwarki Wordpress-a otrzymuje tylko...

Zamknij