Взлом WordPress! Проверяемся и защищаемся.
Нашел в интернете довольно интересную статью качающуюся взлома блогов работающих на движках от версии 2.2.3 до версии 2.8.3.
Уязвимость заключается в том что, червь регистрируется у Вас в блоге (не важно включена ли регистрация или нет), попадает на страницу постоянных ссылок (permalink) и добавляет в них вредоносный код. Затем повышает себя до уровня админа и при этом скрывает свое существование, т.е. в списке пользователей его видно не будет. После этого вирус добавляет спам ссылки в архивные топики.
Обнаружить взломан Ваш блог или нет можно по выполнив следующие действия:
1) Проверить структуру ЧПУ (Админка - Параметры - Постоянные ссылки) на вредоносный код по типу:
/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}} - если он есть то убрать его. (восстановив прежний вид ЧПУ).
2) Проверить количество администраторов блога (Админка - Пользователи - вверху страницы строка со всеми пользователями и их количеством), убедиться что на блоге только ОДИН администратор. Если администраторов больше одного то нужно удалить лишних, при этом в списке пользователей их может быть не видно. Существует несколько способов найти и удалить лишних админов, но на мой взгляд самый точный и самый удобный воспользоваться phpMyAdmin.
Запрос который необходимо выполнить к базе данных блога выглядит вот так:
Код:
SELECT u.ID, u.user_login
FROM wp_users u, wp_usermeta um
WHERE u.ID = um.user_id
AND um.meta_key = 'wp_capabilities'
AND um.meta_value LIKE '%administrator%';
Далее просто выбираем лишних админов и удаляем их.
Чтобы избежать повторного взлома или избежать взлом (тем кого к счаcтью не взломали) можно обновиться до версии WordPress 2.8.4. Для кого обновление это не вариант можно
воспользоваться способом который придумал уважаемый Юрий Белотицкий. Для этого просто зайдите в папку /wp-includes/ и найдите там файл vars.php. После строки:
Код:
$pagenow = $self_matches[1];
добавьте еще одну строку
Код:
$pagenow = trim($pagenow, '/');
После этого Ваш блог должен быть защищен (на всех своих блогах я выполнил данную процедуру и тьфу-тьфу все нормально).
На этом защита (очистка) Вашего сайта завершена.
Статью слил с сайта: wp-info.ru