Napadený WordPress – moje zkušenost

S WordPressem pracuji od ledna 2009. Za tu dobu jsem měl jen jeden problém, který jsem vyřešil kompletním nahozením webu. V té době jsem nevěděl, co a jak zabezpečit. Od té doby mám svoji rutinu a kombo činností, jak web a WP chránit. Ale dneska jsem dostal avízo, že jeden z mých webů se slušně umísťuje na japonském Google. A to není OK.

Jak to vypadá v praxi? Takto.

Jako další dáreček se takto vytvořené stránky zapojí do odkazové sítě spammera. Jestliže sledujete data pomocí některého z odkazových indexů, vypadá to nějak takto.

Co teď a proč se to stalo?

URLProfiler.cz byl totiž jediný web, kde jsem neměl nasazený plugin Wordfence. Takže si za to můžu sám. Plugin jsem hned nahodil a aktivoval v něm firewall.

Pohledem na FTP jsem zjistil, že útočník vytvořil v kořenové složce hodně nových souborů s příponou php. Od těch správných se dají rozeznat podle data vzniku (u mě 16.11.2016) a podle tohoto klíče jsem je smazal.

Wordfence mi velice rychle zahlásil, že došlo ke změně souboru index.php ve složce wp-content. Na první pohled vypadají stejně, když je otevřete v textovém editoru. Vtip je v tom, že útočník přidá svůj kód o hodně níž, v mém případě na řádek 855.

Wordfence má naštěstí možnost obnovit tento soubor podle instalačního vzoru pro vaši verzi WordPressu, takže je to snadné i pro webového pankáče, jako jsem já.

Web jsem projel přes online scanner na Sucuri a vypadá čistě. Není na žádném blacklistu a ani Google Search Console mi zatím neposlal žádné varování, snad jsem to tedy zachytil včas.

Poučení

Zanedbal prevenci. WordPress je skvělý a  zdarma, ale jeho popularita má stinnou stránku. Je i populárním cílem. Klíčové je:

• vše pravidelně aktualizovat
• zabezpečit pomocí vhodného pluginu

Jestliže čtete tento článek a jste WordPress guru, rád jej nechám rozšířit (sláva a odkazy pro vás:)

Za tip na hack díky Filipu Podstavcovi z Marketing Miner.