18.11.2008 14:26Как почистить Wordpress-блог после взлома

Перевод статьи New Wordpress Hacking Strategy Using Cloaking to Target Google IP Addresses

В продолжение статьи Взлом Wordpress с использованием клоакинга по IP-адресам Google

Регулярные обновления позволяют вернуться к прежней версии при необходимости. И если вы решите обновить ПО после хакерской атаки, обязательно очистите сервер (сохраните где-нибудь старые файлы) и установите новые. Возможно, вам понадобится внести изменения в базу данных и сменить пароль Wordpress после обновления, и если вам не удалось выяснить, где именно была произведена атака, то можно сменить и тему.

Есть много разных способов взлома Wordpress-блогов. Вот некоторые способы выявления спама...

Использование SSH для поиска недавно измененных файлов и/или странных новых файлов, добавленных на ваш сайт. Некоторые хакеры также могут добавить файлы в корневой каталог вашего сайта или спрятать еще выше – где-то на вашем веб-сервере.

Некоторые взломы производятся через плагины Wordpress. Если у вас установлены какие-либо маловажные плагины, то поищите, нет ли нареканий на то, что чей-то сайт уже взломали через такие плагины, а также подумайте, можно ли их удалить. Я думаю, что некоторые хакеры доходят до того, что сами добавляют в Wordpress свои плагины, которые раскидывают спам по всему блогу.

Если в вашей базе данных есть спам, то можно выполнить следующий запрос MySQL (от Michael VanDeMar), чтобы выявить самые распространенные типы ссылочного спама в Wordpress.

Если вы не обнаружили какого-либо спама в Wordpress, попробуйте следующее:

• поищите файлы, которые были добавлены или изменены
• выполните резервное копирование файлов и базы данных
• отключите плагины
• удалите все файлы (за исключением файла конфигурации и .htaccess – также проверьте, не были ли они изменены)
• обновите свой блог до последней версии Wordpress
• измените пароль для MySQL и Wordpress
• установите другую тему
• загрузите необходимые плагины из оригинальных источников, если вы хотите продолжить пользоваться ими
• проверьте, выполнили ли вы все, изложенное выше в этом посте, чтобы обезопасить свой блог.

Если хакер использовал маскировку IP-адреса…

Если хакер использовал маскировку IP-адреса, то вы не можете быть на 100% уверены в том, что вы полностью избавились от спама, пока Google не проиндексирует новые страницы вашего сайта и/или повторно посетит старые страницы, на которые был помещен спам.

Можно посмотреть, какие страницы были проиндексированы за прошедший день или прошлую неделю, используя фильтры Google по дате.

Если вы обновили свой блог несколько часов назад, можете выполнить обычный поиск site:www.example.com в Google, выберите «Показывать по 100 результатов на странице» и найдите страницы, которые были проиндексированы за последние несколько часов. После того, как появятся результаты поиска, можете поискать на странице результатов поиска по состоянию на несколько часов назад.

Однако не забывайте проверять дату кэширования страницы вверху страницы. Если кэш действительно свежий, то можно нажать ссылку и перейти на новую страницу, но иногда все равно будет показана страница, кэшированная несколько дней назад. Если вы не обнаружили спам на новой кэшированной странице, то ваши проблемы со спамом почти решены, и вы на пути к восстановлению сайта. При этом повышается рейтинг по мере того, как Google кэширует все новые и новые страницы вашего сайта.
Не забудьте установить Google Alert для своего сайта, чтобы вы могли проследить, не появятся ли спам-ссылки снова каким-то магическим образом.

О том как использовать Google Alerts для обнаружения взлома читайте в следующем посте.

Ваша очередь

За многие годы ведения блогов были взломаны только пара моих блогов. Может, я не указал здесь какие-то важные советы. Что бы вы могли добавить к этому посту?

• Взлом Wordpress с использованием клоакинга по IP-адресам Google
• Полезные SQL приемы для WordPress
• 10 полезных RSS-приемов для WordPress
• Как использовать Google Alerts для обнаружения взлома сайта
• Взлом WordPress: перенаправление поискового трафика и трафика без Cookie на спам сайты