Ройгон / Free / Бесплатно История взлома моего сайта WordPress и меры по повышению безопасности

В один из обычных рабочих дней я получил странное уведомление на почту о регистрации нового пользователя на моем сайте WordPress.

Имя пользователя — rootx, и это сразу показалось подозрительным. Почему? Потому что на всех моих сайтах была отключена регистрация новых пользователей. Я проверил админ-панель и обнаружил, что учётная запись "rootx" с правами администратора действительно была создана. Это означало одно — мой сайт взломали.

Подозрительная активность

Учетная запись rootx была зарегистрирована с электронной почтой [email protected]. Это сразу же вызвало у меня тревогу. Поняв, что сайт взломан, я начал проверку безопасности. Вскоре выяснилось, что проблема кроется глубже — на моем сайте были обнаружены вредоносные файлы, которые были загружены через темы и плагины.

Обнаружение вредоносных файлов

С помощью встроенных инструментов безопасности хостинга я проверил свои сайты и обнаружил, что несколько файлов было заражено вредоносным кодом. Вот список подозрительных файлов и время их обнаружения:

1. file.php — обнаружено 16 октября 2024 года в 10:59, расположение: /home/u801455322/domains/sn-****.**/public_html/wp-content/themes/mem/file.php


2. file.php — обнаружено 16 октября 2024 года в 10:59, расположение: /home/u801455322/domains/se*****.**/public_html/wp-content/themes/mem/file.php


3. style.php — обнаружено 18 октября 2024 года в 00:51, расположение: /home/u801455322/domains/sn-****.**/public_html/wp-content/upgrade/mem/style.php


4. s.php — обнаружено 18 октября 2024 года в 00:51, расположение: /home/u801455322/domains/se*****.**/public_html/wp-content/upgrade/mem/s.php


5. mydb.php — обнаружено 18 октября 2024 года в 00:51, расположение: /home/u801455322/domains/sn-****.**/public_html/wp-content/upgrade/mem/mydb.php


6. 123.php — обнаружено 18 октября 2024 года в 00:51, расположение: /home/u801455322/domains/sn-*****.**/public_html/wp-content/upgrade/mem/123.php


7. 11.php — обнаружено 18 октября 2024 года в 00:51, расположение: /home/u801455322/domains/sn-****.**/public_html/wp-content/upgrade/mem/11.php


8. 113.php — обнаружено 18 октября 2024 года в 00:51, расположение: /home/u801455322/domains/sn-*****.**/public_html/wp-content/upgrade/mem/113.php



Эти файлы содержали вредоносный код, который мог использоваться для получения несанкционированного доступа к сайту и модификации его работы. Все файлы были немедленно удалены, но этот инцидент показал, насколько важна защита сайта от таких угроз.

Как это могло произойти?

Одна из основных причин, по которой сайт был взломан, — использование тем и плагинов, скачанных с ненадежных источников. Я загрузил несколько бесплатных тем и плагинов, полагая, что это экономит деньги, но на самом деле это оказалось дорогостоящей ошибкой. Вредоносный код был встроен в эти файлы и использовался для взлома.

Меры по защите

После восстановления сайта я предпринял следующие меры для повышения безопасности:

1. Удаление всех "нуллированных" тем и плагинов. Теперь я использую только лицензионные версии, скачанные с проверенных источников.


2. Установка плагинов безопасности:

Wordfence и Sucuri были установлены для сканирования файлов на наличие вредоносных скриптов и защиты от будущих атак.

Loginizer — этот плагин позволяет ограничить количество попыток входа на сайт и блокировать подозрительные IP-адреса.



3. Регулярное резервное копирование. Каждый день я делаю резервное копирование всех своих сайтов и серверов. Благодаря этому, в случае атаки, я могу восстановить сайт из последней копии за считанные часы. Это спасло меня в этот раз — я смог быстро восстановить зараженные файлы.


4. Двухфакторная аутентификация. Теперь все учетные записи администратора защищены двухфакторной аутентификацией. Это значит, что даже если кто-то узнает мой пароль, они не смогут войти без подтверждения через мой телефон.


5. Ограничение доступа по IP-адресам. Я настроил доступ к админке только для моих IP-адресов, что существенно снижает риск несанкционированного доступа.



Вывод

Этот инцидент показал мне, насколько важно уделять внимание безопасности сайта. Бесплатные темы и плагины могут показаться хорошей сделкой, но последствия могут быть разрушительными. Регулярные проверки безопасности, лицензионные программы и резервные копии — это то, что поможет избежать подобных ситуаций в будущем.

В заключение, я бы хотел подчеркнуть, что важно не только предотвращать взломы, но и быть готовым к их последствиям. Ежедневное резервное копирование всех сайтов и серверов стало моим спасением в этот раз. Без него я бы потерял множество данных и, возможно, даже свой бизнес.

 

[ТОҶИКОН ФОРУМ]

The Story of My WordPress Site Hack and Security Measures

Recently, I encountered a problem that any website owner might face — the hacking of my WordPress site. It all started with an unusual email notifying me that a new user named rootx had registered on my site. This immediately raised my suspicions because I had disabled user registration on all my websites.

I quickly logged into the site’s admin panel and saw that an account with admin rights named "rootx" had been created. This was a clear sign that the site had been hacked. No one should have been able to register, let alone with admin privileges.

Suspicious Activity

The user account rootx was registered with the email address [email protected]. This further raised alarms. Upon further investigation, I discovered that several malicious files had been uploaded and installed across different sections of the site.

Discovery of Malicious Files

Using the security tools provided by my hosting provider, I scanned my sites and found several malicious files. Here are the names and times the files were discovered:

1. file.php — discovered on October 16, 2024, at 10:59, located at: /home/u801455322/domains/*****.de/public_html/wp-content/themes/mem/file.php


2. file.php — discovered on October 16, 2024, at 10:59, located at: /home/u801455322/domains/*****.today/public_html/wp-content/themes/mem/file.php


3. style.php — discovered on October 18, 2024, at 00:51, located at: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/style.php


4. s.php — discovered on October 18, 2024, at 00:51, located at: /home/u801455322/domains/*****.today/public_html/wp-content/upgrade/mem/s.php


5. mydb.php — discovered on October 18, 2024, at 00:51, located at: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/mydb.php


6. 123.php — discovered on October 18, 2024, at 00:51, located at: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/123.php


7. 11.php — discovered on October 18, 2024, at 00:51, located at: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/11.php


8. 113.php — discovered on October 18, 2024, at 00:51, located at: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/113.php



These files contained malicious code that could have been used to gain unauthorized access to the site and modify its functionality. All files were immediately removed, but this incident highlighted the importance of protecting the site from such threats.

How Did This Happen?

One of the main reasons my site was hacked was the use of themes and plugins downloaded from unreliable sources. I had downloaded a few free themes and plugins, thinking it would save money, but this decision turned out to be a costly mistake. Malicious code was embedded in these files and was used to hack the site.

Security Measures

After restoring the site, I implemented the following security measures to improve protection:

1. Installed security plugins:

Wordfence and Sucuri were installed to scan files and protect the site from future attacks.

Loginizer — this plugin helps limit login attempts and block suspicious IP addresses.



2. Daily backups. I perform daily backups of all my sites and servers. This allows me to quickly restore the site from the latest backup in case of an attack. In this case, it saved me — I was able to recover the compromised files promptly.


3. Two-factor authentication. All admin accounts are now protected by two-factor authentication. This means that even if someone knows my password, they cannot log in without confirmation from my phone.


4. IP address restriction. I restricted access to the WordPress admin panel to specific IP addresses, reducing the risk of unauthorized access.



Conclusion

This incident taught me the critical importance of paying attention to website security. Free themes and plugins might seem like a good deal, but the consequences can be devastating. Regular security checks, using licensed tools, and making backups are essential measures to protect your site from such situations.

 

[ТОҶИКОН ФОРУМ]

Таърихи ҳак шудани сомонаи WordPress-и ман ва чораҳо барои беҳтар кардани амният

Рӯзҳои охир ман бо мушкиле рӯбарӯ шудам, ки ҳар як соҳиби сомона метавонад бо он дучор шавад — ҳак шудани сомонаам дар асоси WordPress. Ҳама чиз аз як почтаи электроние оғоз шуд, ки ба ман хабар дод, ки корбари нав бо номи rootx дар сомонаам сабти ном шудааст. Ин хабар маро фавран шубҳаовар кард, зеро ман дар ҳамаи сомонаҳоям сабти номро ғайрифаъол карда будам.

Ман фавран ба панели идораи сомона ворид шуда, дидам, ки ҳисоби корбарӣ бо номи "rootx" ва ҳуқуқи администратор вуҷуд дорад. Ин як аломати равшани ҳак шудан буд. Ҳеҷ кас ба ҷуз ман набояд имкон медошт, ки бо чунин ҳуқуқҳо сабти ном шавад.

Фаъолиятҳои шубҳанок

Ҳисоби корбари rootx бо суроғаи почтаи электронӣ [email protected] сабт шуда буд. Ин маро бештар нигарон кард. Ҳангоми таҳқиқи минбаъда, ман фаҳмидам, ки чанд файлҳои зараровар ба сомона ворид шуда, дар қисматҳои гуногуни сомона насб шудаанд.

Кашфи файлҳои зараровар

Бо истифода аз воситаҳои амниятии хостинг, ман сомонаҳоямро тафтиш кардам ва чанд файли зарароварро пайдо кардам. Инҳо ном ва вақти кашфи файлҳо мебошанд:

1. file.php — 16 октябри 2024, 10:59, ҷойгиршавӣ: /home/u801455322/domains/*****.de/public_html/wp-content/themes/mem/file.php


2. file.php — 16 октябри 2024, 10:59, ҷойгиршавӣ: /home/u801455322/domains/*****.today/public_html/wp-content/themes/mem/file.php


3. style.php — 18 октябри 2024, 00:51, ҷойгиршавӣ: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/style.php


4. s.php — 18 октябри 2024, 00:51, ҷойгиршавӣ: /home/u801455322/domains/*****.today/public_html/wp-content/upgrade/mem/s.php


5. mydb.php — 18 октябри 2024, 00:51, ҷойгиршавӣ: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/mydb.php


6. 123.php — 18 октябри 2024, 00:51, ҷойгиршавӣ: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/123.php


7. 11.php — 18 октябри 2024, 00:51, ҷойгиршавӣ: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/11.php


8. 113.php — 18 октябри 2024, 00:51, ҷойгиршавӣ: /home/u801455322/domains/*****.de/public_html/wp-content/upgrade/mem/113.php



Ин файлҳо дорои коди зараровар буданд, ки метавонанд барои дастрасии ғайриқонунӣ ба сомона ва тағйир додани кори он истифода шаванд. Ҳамаи файлҳо фавран тоза карда шуданд, вале ин ҳодиса аҳамияти ҳифзи сомона аз чунин таҳдидҳоро равшан кард.

Чӣ тавр ин рух дод?

Яке аз сабабҳои асосии ҳак шудани сомона — истифодаи мавзӯъҳо ва плагинҳо, ки аз манбаъҳои шубҳанок гирифта шудаанд. Ман чанд мавзӯъ ва плагини ройгонро зеркашӣ кардам, гумон карда, ки ин роҳ ба сарфаи маблағ аст, вале ин қарор ба як хато табдил ёфт. Коди зараровар дар ин файлҳо ҷойгир шуда буд ва барои ҳак кардани сомона истифода шуд.

Чораҳои амниятӣ

Баъди барқарор кардани сомона, ман чораҳои зеринро барои беҳтар кардани амният татбиқ кардам:

1. Насби плагинҳои амниятӣ:

Wordfence ва Sucuri барои тафтиши файлҳо ва ҳифзи сомона аз ҳамлаҳои минбаъда истифода шуданд.

Loginizer — ин плагин кӯмак мекунад, ки шумораи кӯшишҳои вуруд ба сомона маҳдуд карда шавад ва IP-адресҳои шубҳанок басташавӣ шаванд.



2. Нусхаҳои захиравии доимӣ. Ҳар рӯз ман нусхаҳои захиравии ҳамаи сомонаҳо ва серверҳо месозам. Ин имкон медиҳад, ки дар ҳолати ҳамла, сомонаро аз нусхаи охирини захиравӣ зуд барқарор кунам. Ин маро дар ин ҳолат наҷот дод — ман тавонистам файлҳои сироятшударо зуд барқарор кунам.


3. Аутентификатсияи дуфакторӣ. Ҳоло ҳамаи ҳисоби администраторҳо бо аутентификатсияи дуфакторӣ ҳифз шудаанд. Ин маъно дорад, ки ҳатто агар касе паролро донад, бе тасдиқ тавассути телефони ман наметавонад ворид шавад.


4. Маҳдуд кардани дастрасӣ аз рӯи IP-адрес. Ман дастрасӣ ба панели идораи WordPress-ро танҳо барои IP-адресҳои худ маҳдуд кардам, ки ин хатари дастрасии ғайриқонуниро кам мекунад.



Хулоса

Ин ҳодиса ба ман нишон дод, ки чӣ қадар муҳим аст, ки ба амнияти сомона аҳамият диҳем. Мавзӯъҳо ва плагинҳои ройгон метавонанд зоҳиран як пешниҳоди хуб ба назар расанд, аммо оқибатҳои онҳо метавонанд харобиовар бошанд. Тафтиши мунтазами амният, истифодаи барномаҳои литсензионӣ ва сохтани нусхаҳои захиравӣ — ин чораҳое мебошанд, ки метавонанд шуморо аз чунин ҳолатҳои ногувор муҳофизат кунанд.