Пользователь Elementor Pro? Вам нужно это прочитать!

WordPress был движущей силой моего онлайн-бизнеса в течение последних семи лет и, возможно, является самым важным инструментом в арсенале любого SEO-специалиста.

С предполагаемым количеством установок, превышающим 455 000 000, 35% владельцев веб-сайтов, по-видимому, согласны.

Бесчисленные комбинации плагинов и тем делают его идеальной платформой для менее «технически подкованных», чтобы воплотить свои идеи в жизнь и представить их онлайн-аудитории.

К сожалению, это также делает WordPress мишенью для недобросовестных «черных» маркетологов, которые взламывают ваш сайт, чтобы заставить его делать то, чего он не должен делать — подвиг, которого они недавно достигли в большом масштабе.

Как пользователь Elementor Pro, есть шанс, что вас уже укусили…

И вы, вероятно, не мудрее.

Уязвимость Elementor Pro

6 мая Wordfence опубликовал эту статью, объясняющую, как 1 миллион сайтов может быть подвержен риску активной атаки.

Злоумышленники использовали уязвимость в системе безопасности Elementor Pro, чтобы злонамеренно перенаправлять ваших посетителей на их собственные сайты или даже полностью контролировать ваш сайт.

Команда Elementor быстро исправила ошибку, и пользователям было предложено как можно скорее обновиться до последней версии.

Обновление обеспечило спокойствие многим, включая меня, пока я не обнаружил, что злоумышленник уже получил доступ к большому количеству сайтов, которыми я управляю, и что обновление не имеет ни малейшего значения.

Если ваш сайт уже был скомпрометирован, обновление НЕ исправит ситуацию.

Что хакер может сделать с моим сайтом?

При успешном выполнении эта конкретная атака устанавливает веб-оболочку с именем «wp-xmlrpc.php» (она названа так, чтобы гармонировать с вашими системными файлами).

Веб-шелл дает злоумышленнику полный доступ к вашему сайту и часто к вашему серверу, а это означает, что он может:

• Добавить, изменить или удалить контент
• Вставьте ссылки для ценности SEO
• Перенаправьте ваш трафик на собственный сайт
• Удалить все!
• …Практически все, что вы можете придумать

Не говоря уже о том, что если вы используете WooCommerce, злоумышленник может получить доступ к некоторым данным ваших клиентов.

Как узнать, взломали ли меня?

Вам не нужно быть техническим мастером, чтобы узнать, был ли затронут ваш сайт.

Просто выполните следующие действия:

1. Проверьте пользователей WordPress

Новый пользователь на вашем сайте обычно является первым признаком того, что кто-то пытался использовать уязвимость Elementor Pro.

Бесполезным является то, что вы получили электронное письмо с вашего сайта WordPress, в котором сообщается, что новый пользователь был создан примерно в первую неделю или две мая.

Во-первых, войдите в свою административную область WordPress, используя свою учетную запись администратора, и перейдите к «Пользователи».

Проверьте наличие подозрительных или неизвестных имен пользователей.

Служба безопасности WebARX опубликовала список всех известных имен пользователей, использованных в атаке.

Если вы видите одно из имен пользователей на панели — сразу переходите к разделу «Если вас взломали».

Важно : То, что нет подозрительного имени пользователя, не означает, что ваш сайт безопасен.

2. Проверьте свои файлы

Вы можете проверить свои файлы WordPress, используя FTP / SFTP / файловый менеджер.

В корневой папке WordPress (обычно это первая папка, которую вы видите при входе в систему) найдите файл с именем wp-xmlrpc.php.

Если этот файл существует, злоумышленнику удалось получить к нему доступ. Простое удаление файла в этот момент вряд ли поможет.

Вы также должны проверить /wp-content/uploads/elementor/custom-icons/

Любые файлы, которые вы не распознали как загруженные вами, вероятно, были подброшены злоумышленником.

В частности, ищите:

• wpstaff.php
• демо.html
• Читать Mw.txt
• config.json
• icons-reference.html
• выбор.json
• шрифты.php

3. Запустите сканирование безопасности

Если вы используете управляемый хост WordPress, такой как WPEngine, WPX Hosting, SiteGround и т. д., они обычно смогут сделать это за вас.

Обычно это предпочтительнее запуска собственного сканирования с помощью Wordfence или Sucuri, поскольку ваш хост может иметь доступ к сканированию системных файлов, которые в противном случае эти плагины пропустили бы.

Популярные бесплатные плагины безопасности WordPress обычно способны обнаруживать изменения в основных файлах WordPress, но не интерпретируйте чистый результат сканирования как гарантию безопасности вашего сайта.

Брандмауэр обычно защищает платных подписчиков таких инструментов, и вероятность того, что атака не удастся, выше.

5. Посетите свой сайт

Вы посещали свой собственный сайт в последнее время и были перенаправлены на другой?

Как именно работает это вредоносное перенаправление, остается неизвестным.

Посетите свой сайт, используя эти методы:

• Используйте другие браузеры в режиме Приват/Инкогнито
• Зайдите на свой сайт через прокси
• Перейдите на свой сайт из Google или социальных сетей.

Если какой-либо из них приводит к перенаправлению на что-либо, кроме вашего собственного веб-сайта, вас, вероятно, взломали.

Если вас взломали или вы не уверены

Откат к предыдущей версии

Многие веб-хостинги предлагают 14-30-дневное резервное копирование. Надеемся, что эта статья вовремя найдет вас, если вы пострадали, и позволит вам откатить свой сайт до более ранней даты, предшествующей атаке.

Примечание : если ваши резервные копии хранятся на вашем сервере с помощью чего-то вроде Updraft, есть вероятность, что они тоже будут заражены.

Как узнать, когда на вас напали

По умолчанию WordPress не показывает даты и время регистрации пользователей.

Установите плагин под названием Admin Columns.

В настройках плагина включите столбец «Регистрация» для «Пользователи».

Теперь, когда вы переходите на страницу «Пользователи» WordPress, в новом столбце будет отображаться дата создания злонамеренного пользователя.

В качестве альтернативы, если у вас есть журналы доступа к серверу, вы можете найти запись «wpstaff.php».

Откатите свой сайт к резервной копии, созданной до даты и времени атаки.

Как только резервная копия будет восстановлена, как можно скорее обновите свои плагины, чтобы предотвратить новую атаку.

Затем снова проверьте пользователя и вредоносные файлы.

Поддержка управляемого хостинга

Если у вас есть управляемый хост, подобный перечисленным выше, поговорите с их службой поддержки о мерах безопасности и о том, предлагают ли они очистку от вредоносных программ.

Хосты, такие как WPX Hosting и WPEngine, включают это бесплатно во все пакеты.

Служба уборки

Многие службы удаления вредоносных программ «сделано для вас» уже сообщали о недавней проблеме с Elementor Pro.

Некоторые из них перечислены здесь, пожалуйста, проведите собственное исследование, так как я лично не тестировал их и не являюсь аффилированным лицом:

• https://www.wordfence.com/wordfence-site-cleanings/
• https://www.getastra.com/website-cleanup-malware-removal
• https://sucuri.net/website-security-platform/help-now/

Восстановить

Это кажется радикальной мерой, но если вы все равно думали о восстановлении своего сайта, сейчас у вас есть прекрасная возможность начать с нуля.

Таким образом, вы точно знаете, что у вас нет никаких вредоносных файлов, скрывающихся в фоновом режиме.

Просто убедитесь, что вы используете другую учетную запись для установки или хостинга.

Предотвращение взлома

Трудно предотвратить взлом, если вы заранее не знаете, какие плагины содержат уязвимости.

Несколько основных советов по предотвращению будущих взломов:

• Используйте управляемый хост WordPress — у них обычно есть сканирование и удаление вредоносных программ, а также защита своих установок WP по умолчанию (за счет предотвращения выполнения файлов PHP в папках для загрузки).
• Поддерживайте плагины, темы и ядро ​​​​WordPress в актуальном состоянии.
• Используйте плагин безопасности. По крайней мере, включите брандмауэр и защиту WordPress. WordFence Premium, Sucuri и WebARX — хорошие решения.
• Запустите WPScan или проверьте WPVulnDB на наличие уязвимых плагинов и тем, которые вы можете использовать.

Ваш сайт WordPress был взломан?

Как вы справились с проблемой?

Дайте нам знать об этом в комментариях.