Fler och fler WordPress-bloggar hackas och en stor faktor är den sårbarhet som identifierades i TimThumb. TimThumb var inbakad i mängder plugins och teman som inte uppdateras.
Första tecknet på att din blogg hackats kan vara något av följande:
- Din blogg försvinner från Googles-index. Dvs söker du efter din blogg så dyker den inte upp
- Någon kontaktar dig gällande viagra eller liknande som din blogg länkar till
- Du hittar nya filer eller så försvinner filer från din WordPress-installation
Det du måste göra när din blogg hackats är att börja om från början och försöka lista ut hur angriparna tog sig in. Så först och främst måste du se till att du har en backup av både filsystemet och databasen.
Om du har kontroll över underliggande operativsystem så bör du även installera om det då angriparna kan ha tagit sig in i operativsystemet. Att installera om och konfigurera operativsystemet är oftast krävande och tar lång tid.
Ominstallation av WordPress
Börja med att göra en ny installation av WordPress och läs sedan tillbaka databasen, ändra lösenord och titta så att inga nya konton dykt upp i WordPress. Innan du börjar med din nya installation av WordPress måste du se till att det är helt tomt på ditt konto, inga .htaccess-filer som kan vara dolda exempelvis då det finns exempel då angripare placerat bakdörrar i dessa. Om du känner dig osäker gällande dessa steg så bör du anlita eller fråga någon som kan WordPress bra.
Installera alla plugins som du behöver och gå manuellt igenom samtliga och undersök huruvida det har identifierats några sårbarheter i dem på sistone. Secunia har en söktjänst där du kan söka på pluginnamn.
Om du har ett egenutvecklat tema (theme) och vill återställa detta från din backup så bör du gå igenom samtliga .PHP-filer för att säkerställa att ingen bakdörr har tagit sig in.
Det finns även exempel då bloggar hackats genom delade miljöer på webbhotell, då hjälper det inte så mycket att du gör en nyinstallation om inte webbhotellet vidtar åtgärder. Överväg även möjligheterna att angriparen tagit sig in med ditt FTP-konto eller dylikt genom att testa vanliga lösenord eller läckta lösenord från exempelvis BloggToppen.
För att säkerställa att det just inte var TimThumb som används för intrång mot din blogg så kan du installera ett plugin som söker igenom efter den kod som TimTumb använder sig av. Här kan du ladda hem TimThumb vulnerability scanner:
Vidare läsning
Du bör även läsa WordPress FAQ gällande hackade WordPress-bloggar.
Detta blogginlägg kommer att uppdateras löpande med nya tips. Om du är intresserad av WordPress och säkerhet så bör du även läsa mitt inlägg om hur säkert WordPress är.
Nikke Lindqvist skrev även om hur viagra-spammare tar sig in i bloggar mer och mer här.
Bra inlägg! Det finns åtskilliga möjligheter att bli hackad… Jag skyddar mig delvis åtminstone genom att se till att alla mina bloggar är ständigt uppdaterade. ManageWP sköter det åt mig medan jag gör roligare saker :)
Bra post! Har runt 400 installationer att gå igenom..
400 installationer? Shit, vad jobbar du med Patrik?