Взломали сайт — уязвимость в плагине FancyBox

Опубликовано: 01.09.2018

Всем доброго времени суток! На прошлой неделе мой блог-обо-всем был взломан. К сожалению, скриншота не сохранилось, и проблема сравнительно быстро была устранена. Но описать последовательность действий, которые желательно предпринять в случае обнаружения вами подобного случая на собственном сайте, мне это не помешает.

А теперь – к сути. Т.к. собственными блогами в последнее время я занимаюсь практически каждый вечер, проблему удалось обнаружить и решить оперативно. В один из моих заходов на блог-обо-всем при открытии каждой из страниц стало автоматически выскакивать окошко с предложением сохранить на компьютер файл acint.net .


iThemes Security - плагин безопасности WordPress

О загружаемом с моего сайта файле задал вопрос Яндексу, который однозначно отнес его к счетчику Сапы (Sape) – биржи размещения временных ссылок. Так как до сих пор я с Сапой не работал и в ближайшее время не собираюсь, а установленный у меня шаблон год назад был тщательно вычищен от явных ссылок и вредоносных кодов, понятно, что подобное могло произойти только при взломе. Кто-то умный, видимо, воспользовавшись обнаруженной уязвимостью, попытался установить на мой сайт скрипт Sape для заработка на временных ссылках.

Как выявить уязвимость на сайте

Для сканирования своих сайтов и поиска вредоносного кода в шаблонах я давно использую замечательный скрипт AI-Bolit , о работе с которым уже рассказывал здесь . Понятное дело, что подобные проверки необходимо производить регулярно, но в последние несколько месяцев я подрасслабился и не проверял блоги – ни один, ни другой. А если бы проверял, то вовремя узнал бы о появившейся в одном из плагинов уязвимости и предотвратил бы возможность взлома гораздо раньше.

Как бороться с найденной в плагине уязвимостью

1. Откат к ранней версии сохраненной базы данных . Для этого нужны резервные копии базы данных и самого сайта. Многие владельцы тематических блогов предпочитают делать регулярный бэкап данных с помощью специальных плагинов. Мой же хостер и так делает ежедневные бэкапы всех сайтов, размещенных на моем аккаунте, с заданным мной в настройках интервалом. Очень удобно, когда одним нажатием на соответствующую ссылку можно восстановить данные из любого архива за прошедшую неделю. Печалит лишь то, что канут в Лету все комментарии за дни, не попавшие в базу данных.

2. Если возможно – обновление плагинов с найденными уязвимостями . В моем случае требующим обновления оказался плагин для создания галерей NextGen Gallery. Быстрый поиск по информации о нем показал, что в нескольких старых версиях этого плагина недавно были обнаружены дыры.

3. Отключение плагинов, в которых найдены уязвимости . В результатах сканирования AI-Bolit вывел на первом месте еще один дырявый плагин – FancyBox. Несмотря на то, что у меня был установлен последний официальный его релиз, в сети также нашлось не одно предостережение от работы с ним. Т.е., разработчики уязвимость закрыть попытались, но полностью это сделать не удалось. Плагину, который не внушает доверия, проще сразу найти альтернативу (благо выбор плагинов для WordPress сейчас очень велик), чем после выводить месяцами сайт из-под фильтра или бана, наложенного поисковиком. Поэтому FancyBox мной был без сожаления отключен.

4. Контрольная проверка сайта на предмет наличия вредоносного кода . Разумеется, перед повторной проверкой надо не только отключить уязвимые плагины, но и удалить их из соответствующей папки, т.к. AI-Bolit сканирует все содержимое сайта и ему не ведомо, какие из плагинов в данный момент активные, а какие отключенные.

5. Смена пароля к сайту и к базе данных . Это необходимое условие. Так как злоумышленники, воспользовавшись уязвимостями в плагинах, могли получить доступ в админку вашего сайта и к базе данных. Не факт, что уже имеющиеся данные не будут использованы вновь.

6. Установка плагина, показывающего все изменения файлов шаблона . Для этой цели есть неплохая русскоязычная разработка — плагин belavir , показывающий когда и в каких файлах на вашем сайте были произведены изменения. Автор поддерживает и развивает свой плагин уже несколько лет. Вот ссылка на тему о плагине belavir.

Предлагаю поделиться в комментариях к статье информацией о том, чем и с какой регулярностью вы проверяете свои сайты (блоги), а также какими способами защиты своего сайта пользуетесь? Буду весьма признателен.

Расскажите об этой статье в соцсетях :

rss