Użytkownik Elementora Pro? Musisz to przeczytać!

WordPress napędza mój biznes online przez ostatnie siedem lat i jest prawdopodobnie najważniejszym narzędziem w arsenale każdego SEO.

Przy szacowanej liczbie instalacji przekraczającej 455.000.000, 35% właścicieli witryn najwyraźniej się zgadza.

Niezliczone wtyczki i kombinacje motywów sprawiają, że jest to idealna platforma dla mniej „obsługujących się technologią”, aby ożywić swoje pomysły i przedstawić je publiczności internetowej.

Niestety, sprawia to również, że WordPress jest celem dla pozbawionych skrupułów „czarnych kapeluszy” marketerów, którzy włamują się do Twojej witryny, aby zrobić coś, czego nie powinna — jest to wyczyn, który niedawno osiągnęli na dużą skalę.

Jako użytkownik Elementor Pro istnieje szansa, że ​​już zostałeś ugryziony…

I prawdopodobnie nie jesteś mądrzejszy.

Luka w zabezpieczeniach Elementora Pro

6 maja Wordfence opublikował ten artykuł wyjaśniający, w jaki sposób 1 milion witryn może być zagrożony aktywnym atakiem.

Atakujący wykorzystywali słabość w bezpieczeństwie Elementora Pro, aby złośliwie przekierowywać odwiedzających do ich własnych witryn, a nawet całkowicie przejąć kontrolę nad Twoją witryną.

Zespół Elementora szybko naprawił usterkę, a użytkowników zachęcano do jak najszybszej aktualizacji do najnowszej wersji.

Aktualizacja zapewniła spokój wielu — w tym mnie — dopóki nie odkryłem, że atakujący uzyskał już dostęp do dużej liczby zarządzanych przeze mnie witryn i że aktualizacja nie zrobi najmniejszej różnicy.

Jeśli Twoja witryna została już naruszona, aktualizacja NIE naprawi tego.

Co haker może zrobić z moją witryną?

Po pomyślnym wykonaniu ten konkretny atak instaluje powłokę internetową o nazwie „wp-xmlrpc.php” (nazywa się ją w ten sposób, aby połączyć się z plikami systemowymi)

Powłoka internetowa zapewnia atakującemu pełny dostęp do Twojej witryny, a często także do serwera, co oznacza, że ​​może:

• Dodaj, zmień lub usuń zawartość
• Wstaw linki dla wartości SEO
• Przekieruj swój ruch na własną stronę
• Usuń wszystko!
• …Prawie wszystko, co możesz wymyślić

Nie wspominając o tym, że jeśli korzystasz z WooCommerce, osoba atakująca może mieć dostęp do niektórych danych Twoich klientów.

Jak mogę się dowiedzieć, czy zostałem zhakowany?

Nie musisz być czarodziejem technicznym, aby dowiedzieć się, czy Twoja witryna została naruszona.

Wystarczy wykonać następujące kroki:

1. Sprawdź użytkowników WordPress

Nowy użytkownik w Twojej witrynie jest zwykle pierwszym sygnałem, że ktoś próbował wykorzystać lukę Elementor Pro.

Martwa gratisów jest wtedy, gdy otrzymałeś wiadomość e-mail ze swojej witryny WordPress informującej o utworzeniu nowego użytkownika około pierwszego tygodnia lub dwóch maja.

Najpierw zaloguj się do swojego obszaru administracyjnego WordPress za pomocą swojego konta administratora i przejdź do „Użytkownicy”.

Sprawdź, czy nie ma podejrzanych lub nieznanych nazw użytkowników.

Bezpieczeństwo WebARX opublikowało listę wszystkich znanych nazw użytkowników użytych do tej pory w ataku.

Jeśli widzisz jedną z nazw użytkownika w swoim panelu — przejdź od razu do Jeśli zostałeś zhakowany.

Ważne : tylko brak podejrzanej nazwy użytkownika nie oznacza, że ​​Twoja witryna jest bezpieczna.

2. Sprawdź swoje pliki

Możesz sprawdzić swoje pliki WordPress za pomocą FTP / SFTP / Menedżera plików.

W folderze głównym WordPress (zwykle pierwszym folderze, który widzisz podczas logowania), poszukaj pliku o nazwie wp-xmlrpc.php.

Jeśli ten plik istnieje, osobie atakującej udało się uzyskać dostęp. Samo usunięcie pliku w tym momencie raczej nie będzie pomocne.

Powinieneś również sprawdzić /wp-content/uploads/elementor/custom-icons/

Wszelkie pliki w tym miejscu, których nie rozpoznajesz jako przesłane przez Ciebie, prawdopodobnie zostały tam umieszczone przez atakującego.

W szczególności poszukaj:

• wpstaff.php
• demo.html
• Przeczytaj Mw.txt
• config.json
• ikony-odniesienie.html
• wybór.json
• czcionki.php

3. Uruchom skanowanie bezpieczeństwa

Jeśli korzystasz z zarządzanego hosta WordPress, takiego jak WPEngine, WPX Hosting, SiteGround itp., zwykle będą mogli to zrobić za Ciebie.

Zwykle jest to lepsze niż uruchamianie własnego skanowania za pomocą Wordfence lub Sucuri, ponieważ Twój host może mieć dostęp do skanowania plików systemowych, których te wtyczki w przeciwnym razie przegapiłyby.

Popularne bezpłatne wtyczki zabezpieczające WordPress zazwyczaj są w stanie wykryć zmiany w podstawowych plikach WordPress — ale nie traktuj czystego wyniku skanowania jako gwarancji, że Twoja witryna jest bezpieczna.

Zapora zwykle chroni płatnych subskrybentów takich narzędzi i istnieje większe prawdopodobieństwo, że atak się nie powiódł.

5. Odwiedź swoją witrynę

Czy odwiedziłeś ostatnio swoją własną witrynę i zostałeś przekierowany na inną?

Dokładne działanie tego złośliwego przekierowania pozostaje nieznane.

Odwiedź swoją witrynę, korzystając z tych metod:

• Korzystaj z innych przeglądarek w trybie prywatnym/incognito
• Odwiedź swoją witrynę za pomocą serwera proxy
• Kliknij, aby przejść do swojej witryny z Google lub mediów społecznościowych

Jeśli którykolwiek z nich spowoduje przekierowanie do czegokolwiek poza Twoją własną witryną, prawdopodobnie zostałeś zhakowany.

Jeśli zostałeś zhakowany lub nie masz pewności

Przywróć do poprzedniej wersji

Wielu hostów internetowych oferuje 14-30-dniowe kopie zapasowe. Mamy nadzieję, że ten artykuł znajdzie Cię na czas, jeśli zostałeś dotknięty, umożliwiając cofnięcie witryny do wcześniejszej daty przed atakiem.

Uwaga : jeśli kopie zapasowe są przechowywane na serwerze przy użyciu czegoś takiego jak Updraft, istnieje ryzyko, że również zostaną zainfekowane.

Dowiedzieć się, kiedy zostałeś zaatakowany

Domyślnie WordPress nie wyświetla dat i godzin rejestracji użytkownika.

Zainstaluj wtyczkę o nazwie Kolumny administracyjne.

W ustawieniach wtyczki włącz kolumnę „Rejestracja” dla „Użytkownicy”.

Teraz, gdy przejdziesz do strony „Użytkownicy” WordPressa, nowa kolumna wyświetli datę utworzenia złośliwego użytkownika.

Alternatywnie, jeśli masz dzienniki dostępu do serwera, możesz wyszukać wpis „wpstaff.php”.

Przywróć swoją witrynę do kopii zapasowej utworzonej przed datą i godziną ataku.

Po przywróceniu kopii zapasowej zaktualizuj wtyczki tak szybko, jak to możliwe, aby zapobiec kolejnemu atakowi.

Następnie ponownie sprawdź użytkownika i złośliwe pliki.

Zarządzane wsparcie hostingowe

Jeśli masz zarządzany host, taki jak te wymienione powyżej, porozmawiaj z ich pomocą techniczną na temat środków bezpieczeństwa i tego, czy oferują czyszczenie ze złośliwego oprogramowania.

Hosty takie jak WPX Hosting i WPEngine zawierają to za darmo ze wszystkimi pakietami.

Usługa sprzątania

Wiele usług usuwania złośliwego oprogramowania „zrobione dla ciebie” zgłosiło już ostatni problem z Elementor Pro.

Niektóre z nich są wymienione tutaj, proszę przeprowadzić własne badania, ponieważ osobiście ich nie testowałem, ani nie jestem powiązany:

• https://www.wordfence.com/wordfence-oczyszczanie-stron/
• https://www.getastra.com/website-cleanup-malware-usuwanie
• https://sucuri.net/website-security-platform/help-now/

Odbudować

Wydaje się, że to drastyczny środek, ale jeśli i tak myślałeś o przebudowaniu swojej witryny, teraz jest idealna okazja, aby zacząć od zera.

W ten sposób wiesz na pewno, że nie masz żadnych złośliwych plików czających się w tle.

Tylko upewnij się, że używasz innego konta instalacyjnego lub hostingowego.

Zapobieganie włamaniu

Trudno jest zapobiec włamaniu, jeśli nie wiesz z góry, które wtyczki zawierają luki.

Kilka podstawowych wskazówek dotyczących zapobiegania przyszłym włamaniom:

• Korzystaj z zarządzanego hosta WordPress – zazwyczaj przeprowadzają skanowanie i usuwanie złośliwego oprogramowania oraz domyślnie wzmacniają instalacje WP (poprzez uniemożliwienie wykonywania plików PHP w folderach przesyłania)
• Aktualizuj wtyczki, motywy i rdzeń WordPress
• Użyj wtyczki bezpieczeństwa. Przynajmniej włącz hartowanie Firewall i WordPress.WordFence Premium, Sucuri i WebARX to dobre rozwiązania
• Uruchom WPScan lub sprawdź WPVulnDB pod kątem wrażliwych wtyczek i motywów, których możesz używać.

Czy Twoja witryna WordPress została zhakowana?

Jak poradziłeś sobie z problemem?

Daj nam znać w komentarzach.