Ich versuche, eine gehackte WordPress-Website zu bereinigen. Ich habe festgestellt, dass die .htaccess
Datei einige verdächtige reguläre Ausdrücke enthält, aber meine Regex-Fähigkeiten sind ziemlich schwach (Zeit zum Lernen, denke ich). Ich habe versucht, die .htaccess
Datei durch das Standard-WordPress zu ersetzen .htaccess
, aber sie wird sofort und automatisch neu geschrieben. Was ich wissen muss, ist, was mit diesem Code los ist:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)-.*..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)=[0-9]+$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*&_.*_.*=(.*)Q(.*)J[0-9]+.*TXF[0-9]+.*FLK.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*..*%[0-9]+F.*%[0-9]+F&$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*..*%[0-9]+F.*%[0-9]+F$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*..*%[0-9]+F&$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+).*[0-9]+..*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([^\d\/]+)-([0-9]+)-([0-9]+)..*$ ?$1$3=$2&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*..*%[0-9]+F&#[0-9]+;.*=.*$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)\/([^\d\/]+)([0-9]+)(.*)%[0-9]+F%[0-9]+F.*..*..*%[0-9]+F$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^([0-9]+)-([^\d\/]+)_.*_([0-9]+)$ ?$2$1=$3&%{QUERY_STRING}[L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Wenn das .htaccess
kompromittiert wurde, haben Sie Vorschläge zur Sicherung?
Ich habe eine neue WordPress-Installation durchgeführt, alle Plugins aktualisiert / neu installiert, Passwörter zurückgesetzt, Captchas für Anmeldungen installiert, die WordPress-Installation in ein anderes Verzeichnis verschoben usw. Die Website schien für einige Tage in Ordnung zu sein, wurde aber erneut gehackt. So frustrierend!
.htaccess
Datei automatisch ändert, obwohl dies nicht erklärt, wie es nach einer Neuinstallation erneut auftritt. Überprüfen Sie, obindex.php
auch Änderungen vorgenommen wurden. Und siehe make.wordpress.org/support/handbook/appendix/breakfix-lessons/….htaccess
Datei mit dem gewünschten Inhalt erstellen .chmod
es zu Berechtigungen0444
. Dadurch wird die Datei auf "schreibgeschützt" gesetzt. Zumindest bis Sie herausfinden, was der Schuldige ist.Antworten:
Über gehackte Websites:
Lassen Sie uns zunächst die Probleme im Zusammenhang mit Hacking klarstellen:
Über die
.htaccess
Änderung:Für mich
.htaccess
sieht Ihre Änderung nicht wie das Ergebnis eines Hackings aus, sondern wie ein Teil von WordPress CODE (entweder von einem Plugin oder einem Thema), der die.htaccess
Datei aufgrund von URL-Umschreibungen neu schreibt.Schauen Sie sich dieses Beispiel aus Ihrem
.htaccess
CODE an:Diese Zeile transformiert im Grunde eine URL, die wie folgt aussieht (zum Beispiel):
um eine Abfragezeichenfolge (intern zur Hauptzeichenfolge
index.php
) hinzuzufügen, die folgendermaßen aussieht:Im Grunde sehe ich also nicht, wie ein Hacker daraus etwas ziehen kann. Es ist immer noch möglich, aber unwahrscheinlich.
Um zu testen, ob es tatsächlich von WordPress auf diese Weise neu geschrieben wird, können Sie den folgenden Test durchführen:
Gehen Sie zu
wp-admin -> Settings -> Permalinks
& klicken Sie auf die Save ChangesSchaltfläche.Schreiben Sie
.htaccess
mit dem Standard-WordPress-.htaccess
Code neu.Gehen Sie jetzt
wp-admin -> Settings -> Permalinks
erneut zu und klicken Sie auf die Save ChangesSchaltfläche.Wenn Ihre
.htaccess
Datei von WordPress (Webserver) beschreibbar ist und dieser.htaccess
CODE von WordPress generiert wurde, wird Ihr Standard-WordPress nach dem oben beschriebenen Vorgang.htaccess
sofort in das von Ihnen veröffentlichte geändert.Was macht man als nächstes?
Wenn Sie die von WordPress durchzuführenden Änderungen erfolgreich identifiziert haben, können Sie feststellen, welches Plugin oder Thema dies tut, indem Sie das oben beschriebene Verfahren erneut ausführen, nachdem Sie jedes installierte Plugin einzeln deaktiviert haben.
Sobald das verantwortliche Plugin deaktiviert ist, führt das obige Verfahren nicht mehr zu dieser Änderung in der
.htaccess
Datei. Dann wissen Sie, welches Plugin es tut, und haben vielleicht ein besseres Verständnis dafür, warum es es tut. zB ob es sich um eine Funktion handelt oder um das Ergebnis böswilliger Aktivitäten.Wenn kein Plugin gefunden wird, können Sie dasselbe mit dem Thema tun, indem Sie ein WordPress-Kernthema aktivieren (z. B. Twenty Seventeen).
Wenn keines der oben genannten Verfahren funktioniert, besteht Ihre nächste Option darin, einen Experten einzustellen und ihm zu erlauben, Ihre Website zu untersuchen.
quelle
.htaccess
dass sie geändert wurden, und dies als Zeichen von Hacking missverstehen. Natürlich liefert das OP hier keine Informationen. darüber, wie seine Seite gehackt wurde. Also habe ich mich auf diesen Punkt konzentriert. Zuvor habe ich gesehen, dass Leute die Regeln zum Umschreiben in einem WP-Plugin am Init-Hook falsch gelöscht haben. Dies kann ein weiterer Grund sein, warum.htaccess
sie bei jedem Laden der Seite neu geschrieben werden. Wie ich eingangs erwähnt habe, erfordert eine tatsächlich gehackte Site eine vollständige Reproduktion der Site.Ich hatte vor einigen Monaten ein ähnliches Problem: Eine der Kundenwebsites wurde gehackt und ich hatte Schwierigkeiten zu finden, wo. Ich kann Ihnen vorschlagen, auch die Datenbank auf Malware-Code zu überprüfen. In meinem Fall habe ich verdächtigen Code gefunden in:
Ich kann Ihnen vorschlagen, alle diese Ordner manuell zu überprüfen und dann ein Plugin für andere Überprüfungen wie Anti-Malware-Sicherheit und Brute-Force-Firewall zu installieren. Ich habe auch den WordPress-Authentifizierungsschlüssel neu generiert. Nach einer gründlichen Reinigung und einigen Sicherheitstricks, wie dem Ändern von Passwörtern für FTP, WordPress und DB, dem Ändern der Benutzer-ID und der Installation eines Sicherheits-Plugins, wurde die Website bis jetzt nicht mehr gehackt. Ich bin mir nicht sicher, ob dies der Fall ist, aber ich hoffe, ich kann Ihnen weiterhelfen.
quelle
Ich habe das Problem mit der .htaccess-Datei gelöst, indem ich die Datei wp-blog-header.php bereinigt habe. Das Skript, das für die Änderung von .htaccess verantwortlich ist, befindet sich dort und sieht folgendermaßen aus.
Reinigen Sie einfach den ersten Teil und das Ende "?>" + .htaccess Reinigung und es sollte in Ordnung sein.
quelle
Die meisten Hacker, die ich bisher auf WP-Sites gesehen habe, sind auf Plugin-Schwachstellen oder veralteten WP-Kern zurückzuführen.
Ich würde vorschlagen:
Und mit "seltsam" meine ich Dinge, die eindeutig nicht da sein sollten oder die nicht im Zusammenhang zu stehen scheinen.
Sobald Sie der Meinung sind, dass alles bereinigt wurde, würde ich ein Plugin installieren oder ein anderes Tool verwenden, um in Ihren Themendateien nach Base64-Code zu suchen. Oft wird der Schadcode in mehrere verschiedene Dateien zerlegt und durch Codierung getarnt.
Installieren Sie abschließend ein Sicherheits-Plugin, um Benachrichtigungen zu erhalten, wenn Core- / Plugin-Dateien geändert werden.
Wenn Sie sich für Ihre Website interessieren:
Wenn Sie über ein VPS oder ein ähnliches Setup verfügen, bei dem Sie die Servereinstellungen besser steuern können, stellen Sie sicher, dass Sie den Root-Pass und andere serverbezogene Kennwörter zurücksetzen. Wenn Ihre Datenbank kompromittiert wurde, sollten Sie auch den Datenbankbenutzerpass ändern.
quelle
Eine der besten Lösungen, die ich gefunden habe, ist die Installation von Wordfence . Es durchsucht alle Ihre WordPress-Dateien (externe Dateien enthalten, aber Sie müssen sie auf der Einstellungsseite aktivieren) mit den Originalversionen und zeigt dann eine Liste mit allen geänderten Dateien an So können Sie sehen, was gehackt wurde
quelle