Włamanie na stronę/hosting

[Probity]

W związku z tym, że nie mam raczej dużego doświadczenia w kwestiach bezpieczeństwa chciałbym zasięgnąć opinii.

Na kilka moich stron włamali się hakerzy. Wszystkie były na jednym hostingu, skrypt Wordpress, strony nowe (ledwo co weszły w indeks). I tu moje pytanie - problem jest w skrypcie czy hostingu?

Dodam, że u tego samego hostingodawcy mam drugi hosting, na którym też jest kilka nowych serwisów na tym samym skrypcie ale tam póki co jest wszystko OK.

Temat wiąże się w jakimś zakresie z hostingiem więc piszę w tym dziale - jeśli to nie ten dział to proszę o przeniesienie do właściwego.

[webh.pl]

Co rozumiesz pod "włamali się hakerzy"? Masz coś dopisane do stron?

[Probity]

Dokładnie - generalnie pozmieniali nagłówki (zostawili swoją wizytówkę) i trochę innych rzeczy.

[miz]

wordpressy, joomle albo coś? starczy, że wgrałeś jakąś wtyczkę dziurawą i problem gotowy.. jak na koncie masz kilka domen to hakerzy ogarną wszystkie.. miałem jakis plugin do kontaktu, okazało się, że można dowolny kod nim zaincludować na stronie i też miałem taki problem.

[wojtecki1]

Ewentualnie kłania się zapamiętywanie haseł do hostingu w kliencie ftp

[slawus]

problem może też być w Twoim komputerze którym się łączysz przez ftp, jeżeli zapisałeś w kliencie ftp hasło, a wirus Cię dopadł, to wykradł to hasło i teraz se śmiga. Nie podałeś nazwy hostingu w którym masz konto, jeżeli jest to normalna firma a nie jakiś wynalazek, to raczej nie jest problemem dziurawy serwer ale właśnie dziurawy skrypt jak pisał miz, lub wirus na kompie.

edit: wojtecki1 w między czasie mnie ubiegł z drugą tezą

[Probity]

Wgrane są dwie wtyczki - All in One Seo Pack i Google Site Map Generator.

Edit: Hosting raczej nie wynalazek - firmy nie chcę podawać. Zależy mi raczej na znalezieniu przyczyny niż zdyskredytowaniu firmy.

Jeśli idzie o wirusy - mało prawdopodobne choć nie niemożliwe. Wirusów na kompie brak - w każdym razie ESET nie wykazuje ich.

[slawus]

przeskanuj kompa dobrym antywirem

[miz]

To jest tylko zaplecze? Nie szukaj przyczyny tylko postaw nowe, ustawiaj dobre hasla i stosuj sprawdzone pluginy i pewnie bedzie spokoj..

[Probity]

Przez 2-3 dni była włączona możliwość dodawania wpisów przez rpc-xml - czy to mogła być furtka?

Edit: Zaplecze i to nowe. Stawiam nowe, ale myślę bardziej co zrobić żeby na przyszłość się zabezpieczyć. Hasła staram się stosować mieszane (małe, duże litery, znaki specjalne) i bez sensu (przypadkowy ciąg znaków), więc raczej są mocne.

[miz]

tak mogła. https://digwp.com/2009/06/xmlrpc-php-security/

[Probity]

Dzięki za linka - z tego co zrozumiałem pozwala to zmienić głównie headery tak jak u mnie miało to miejsce. Możliwe więc, że to była przyczyna.

Edit

Dodam, że strony na drugim koncie hostingowym nie miały możliwości dodawania wpisów przez RPC i tam jest wszystko ok.

[Gość networkcenter]

Napisz jaką masz wersję Wordpress-a , z tego co mi wiadomo ostatnia wersja miała spore luki, bo znajomym także włamano się. Wszyscy mieli dokładnie tą samą wersje Wordpress-a więc wydaje mi się że wina leży w tym wypadku po stronie oskryptowania później zapytam znajomego jaką ma wersję i dam znać .

ps. Najlepiej z stopek usuwać informacje o wersji WP i tego typu skryptów które są ogólno dostępne, sam kiedyś bawiłem się phpbb , a ja działałem w ten sposób że wpisywałem w Google nazwę cmsa , oraz wersję i do tego słowo kluczowe związane oczywiście z tematyką moich stron. Może nie było to do końca fer żeby pozyskiwać lepsze pozycje unicestwiając konkurencję ale dało mi dużo doświadczenia właśnie w tego typu sprawach.

[Dark]

Ostatnio częste włamy idą przez niezabezpieczone themy, więc ja bym też to sprawdził.

[Probity]

Wp 3.2.1 - czyli najnowszy. Themy standardowe - czekam na nowe skórki.

Z tego co udało mi się dowiedzieć to atak był z Algerii (IP 41.201.92.216).

I teraz tak się zastanawiam czy skryptu nie zmienić - jeśli nie ma możliwości się przed tym zabezpieczyć i podobne zdarzenia miałyby się powtarzać to szkoda na to zabawy.