Jak vylepšit zabezpečení vašeho WordPressu (infografika)

Jedno varování, jedna infografika vám lépe zabezpečený WordPress nepřinese, ale může se stát inspirací, co všechno byste měli vyřešit. A víte, že 83 % blogů na WordPressu bylo hacknuto protože je nikdo neaktualizoval a že 29 % hacknutých WordPress blogů mají na svědomí šablony a 22 % pluginy? Každopádně zkuste mrknout na How to Improve WordPress Security [Infographic], odkud infografika pochází, protože tam mají další užitečné věci ke čtení.

How-to-Improve-WordPress-Security-Infographic

 

Varování – Top-Themes.com šablony pro WordPress jsou plné malware

Anatomy of a Theme Malware je velmi zajímavé čtení – detailní analýza toho, jak malware z Top-Themes.com umí umístit do WordPress instalace backdoor a do vámi používaných šablon vsouvat odkazy podle vlastní chuti.

Neříkejte si, že něco takového vás vůbec nemůže potkat – při hledání použitelných šablon pro WordPress jsem si tuhle věc zjevně někde pořídil též – a nikoliv z Top-Themes.com, protože odtamtud jsem nestahoval nic. Zdarma dostupné šablony se nicméně šíří do všech stran a jsou nabízeny leckde. Výsledek je ten, že jsem skutečně v systému našel toto:

1 920 config.php
2 865 pwhash.php
13 683 shell.php
791 style.css
8 279 wshell.php

Právě podle wshell.php se to dá najít snadno – nebo podle wp-additional složky, ve které se to bude nacházet. A pokud aktuálně stáhnete cokoliv z Top-Themes.com, tak skutečně ve functions.php najdete kód pro instalaci onoho malware do vašeho systému – samotné soubory se skrývají jako „přídavek“ k screenshot.png – docela zajímavé řešení. A opravdu tam jsou.

Odkud jsem si to vlastně pořídil?

Dal jsem si tu práci a prohledal všechny původní ZIP soubory se šablonami (nainstalované šablony prohledávat nemůžete, malware se původní šablony odstraní). A našel šablonu jménem COMET – pochází z http://frostpress.com/themes/comet/ a nakonec ale skončíte na WordPress.org. A tam rozhodně Comet není nakažená – ale nejspíš jsem si ji stáhl někde jinde. Takže bych se asi opravdu měl začít řídit výhradně následujícím …

Jak si něco takového nepořídit?

Dobrá a důležitá otázka, s nepříliš jednoduchou odpovědí. V zásadě – nestahovat šablony odjinud než z klasického WordPress repository. A pokud chcete jiné šablony, tak je kupovat od zdrojů, které jsou důvěryhodné, známé a nějaký ten pátek už existují. Byť se odvážím říct, že ani tam si nelze být 100% jist.

Jak se něčeho takového zbavit

Tady je odpověď jednoduchá – smazat to, tedy pokud nedošlo k použití pro něco horšího – budete asi muset projít logy a zjistit, zda „to“ bylo aktivováno. Podívat se v šablonách co používáte, jestli tam nebylo něco přidáno. Doporučovaný plugin Theme-Check je docela užitečný – vypíše (mimo jiné) přehled všech odkazů, které jsou do používané šablony vloženy, včetně řady dalších věcí.

WordPress Theme Malware Prevention and Protection doporučuje ještě řadu dalších plug-in, které mohou přispět k zabezpečení WordPressu i nalezení nechtěných věcí:

Pokud toto (nebo jiné) malware už nějakým způsobem zneužilo váš WordPress, tak je dost pravděpodobné, že budete muset vyčistit svou šablonu (šablony) od smetí, které tam zanechalo – pokud jste ji nikdy neupravovali, bude to jednoduché – prostě ji smažete a znovu nahrajete novou. Pokud máte vlastní, budete muset najít přidané informace a dostat je odtamtud pryč.

Pokud došlo k ještě něčemu horšímu, tedy například ke kompromitaci systému jako takového? Budete mít ještě víc práce – zcela určit to chce prověřit aspoň základní věcí, které pomohou určit zda k něčemu takovému došlo. V případě tohoto konkrétního malware pravděpodobně nic takového nenastalo – cílem byla možnost volně přidávat spamovací odkazy do vašeho webu. Ne ho zničit ani jinak poškodit – a mělo to vydržet co nejdéle.

Spousty legrace s WordPressem. A jasně že jsem lama

Jsem Linuxová i WordPressová lama, vůbec se tím nehodlám tajít. Zprovoznit Debian virtuální server s WordPressem je po dlouhé době konečně něco opravdu zábavného. Možná i proto, že to není něco co musím, protože za to někdo platí a chce vidět výsledek.

Včera jsem přihodil další instalaci WordPressu pro JustIT.cz (po oživení FeedIT.cz dojde i na oživení téhle adresy) a už se nedostal dál než k „nahození“. Volala koupě vysavače a tomu zábavné věci, říkal jsem si (naivně) že počkám až se změní DNS a IGNUMu navíc ještě padal virtuál – a pak jsem našel na JustIT.cz vzkaz z 109.231.130.246  – někdo zneužil (no spíš využil) WordPress Exploit (install.php) Any Version a dokončil instalaci za mě.

A má samozřejmě pravdu, opravdu není chytré dát odkaz ven na web a přitom nemít ani pořádně nainstalovaný WordPress.

Díky, jsem opět o kousek chytřejší. A o to tady přesně jde.

Pokud vás potká něco podobného, tak vězte, že než začnete podnikat kouzla s WordPressem, tak je dobré znemožnit přístup k install.php z jiné adresy, než právě té vaší. Případně nad to nahodit ještě extra přihlášení na úrovni Apache. Až se potřeby používat install.php zbavíte, tak je dobré ho smáznout (přesunout, přejmenovat, atd). Je potřeba jenom k tomu, abyste po nastavení WordPress instalace na úrovni příkazové řádky v Linuxu dokončili nastavení založením admin účtu a zbytku věcí.