Главная / Создание и продвижение сайтов / САЙТОСТРОЕНИЕ / WordPress / Взломали сайт — уязвимость в плагине FancyBox

Взломали сайт — уязвимость в плагине FancyBox

Всем доброго времени суток! На прошлой неделе мой блог-обо-всем был взломан. К сожалению, скриншота не сохранилось, и проблема сравнительно быстро была устранена. Но описать последовательность действий, которые желательно предпринять в случае обнаружения вами подобного случая на собственном сайте, мне это не помешает.

А теперь – к сути. Т.к. собственными блогами в последнее время я занимаюсь практически каждый вечер, проблему удалось обнаружить и решить оперативно. В один из моих заходов на блог-обо-всем при открытии каждой из страниц стало автоматически выскакивать окошко с предложением сохранить на компьютер файл acint.net.

О загружаемом с моего сайта файле задал вопрос Яндексу, который однозначно отнес его к счетчику Сапы (Sape) – биржи размещения временных ссылок. Так как до сих пор я с Сапой не работал и в ближайшее время не собираюсь, а установленный у меня шаблон год назад был тщательно вычищен от явных ссылок и вредоносных кодов, понятно, что подобное могло произойти только при взломе. Кто-то умный, видимо, воспользовавшись обнаруженной уязвимостью, попытался установить на мой сайт скрипт Sape для заработка на временных ссылках.

Как выявить уязвимость на сайте

Для сканирования своих сайтов и поиска вредоносного кода в шаблонах я давно использую замечательный скрипт AI-Bolit, о работе с которым уже рассказывал здесь. Понятное дело, что подобные проверки необходимо производить регулярно, но в последние несколько месяцев я подрасслабился и не проверял блоги – ни один, ни другой. А если бы проверял, то вовремя узнал бы о появившейся в одном из плагинов уязвимости и предотвратил бы возможность взлома гораздо раньше.

Уязвимость в плагине Fancybox

Как бороться с найденной в плагине уязвимостью

1. Откат к ранней версии сохраненной базы данных. Для этого нужны резервные копии базы данных и самого сайта. Многие владельцы тематических блогов предпочитают делать регулярный бэкап данных с помощью специальных плагинов. Мой же хостер и так делает ежедневные бэкапы всех сайтов, размещенных на моем аккаунте, с заданным мной в настройках интервалом. Очень удобно, когда одним нажатием на соответствующую ссылку можно восстановить данные из любого архива за прошедшую неделю. Печалит лишь то, что канут в Лету все комментарии за дни, не попавшие в базу данных.

2. Если возможно – обновление плагинов с найденными уязвимостями. В моем случае требующим обновления оказался плагин для создания галерей NextGen Gallery. Быстрый поиск по информации о нем показал, что в нескольких старых версиях этого плагина недавно были обнаружены дыры.

3. Отключение плагинов, в которых найдены уязвимости. В результатах сканирования AI-Bolit вывел на первом месте еще один дырявый плагин – FancyBox. Несмотря на то, что у меня был установлен последний официальный его релиз, в сети также нашлось не одно предостережение от работы с ним. Т.е., разработчики уязвимость закрыть попытались, но полностью это сделать не удалось. Плагину, который не внушает доверия, проще сразу найти альтернативу (благо выбор плагинов для WordPress сейчас очень велик), чем после выводить месяцами сайт из-под фильтра или бана, наложенного поисковиком. Поэтому FancyBox мной был без сожаления отключен.

4. Контрольная проверка сайта на предмет наличия вредоносного кода. Разумеется, перед повторной проверкой надо не только отключить уязвимые плагины, но и удалить их из соответствующей папки, т.к. AI-Bolit сканирует все содержимое сайта и ему не ведомо, какие из плагинов в данный момент активные, а какие отключенные.

5. Смена пароля к сайту и к базе данных. Это необходимое условие. Так как злоумышленники, воспользовавшись уязвимостями в плагинах, могли получить доступ в админку вашего сайта и к базе данных. Не факт, что уже имеющиеся данные не будут использованы вновь.

6. Установка плагина, показывающего все изменения файлов шаблона. Для этой цели есть неплохая русскоязычная разработка — плагин belavir, показывающий когда и в каких файлах на вашем сайте были произведены изменения. Автор поддерживает и развивает свой плагин уже несколько лет. Вот ссылка на тему о плагине belavir.

Предлагаю поделиться в комментариях к статье информацией о том, чем и с какой регулярностью вы проверяете свои сайты (блоги), а также какими способами защиты своего сайта пользуетесь? Буду весьма признателен.

Расскажите об этой статье в соцсетях:

8 комментариев

  1. Ого. Я давно ничего специально не проверяла, но на почту постоянно падают оповещения от iThemes Security о прибитых IP, которые ломятся в админку сайта.

    • С iThemes Security не знаком, у меня комменты и админка закрыты гугловской Рекапчей, спама больше нет, в админку тоже просто так не попасть.

  2. Александр Каратаев

    А я проверяю крайне редко. Сам по себе процесс — скопировать весь сайт на комп, потом какие-то файлы положить в его папку, запустить на 7 часов проверку… Кажется мне несколько громоздким. У меня на хостинге стоит антивирусная утилита Clarv, вот её запускаю и она в течении минуты проверяет весь мой домен, конкретно показывая что заражено, какие именно файлы и т.д. Она-же позволяет и очистить всё это. Я как-то писал статью, давно правда, что-то про вредоносный код на сайте…
    У меня установлен плагин BackWPup, который по расписанию делает мне полную копию сайта, включая базу данных, и выкладывает её на Dropbox. Так что в любой момент, в не зависимости от бэкапов хостинга, я могу всё при необходимости восстановить. Кстати, BackWPup я настроил таким образом, что полную копию он делает раз в неделю, а контент с комментариями — ежедневно. Таким образом, даже если что-то, то самое большое, что могу потерять — это комменты за один день.

    • Спасибо, Александр, за полезную информацию! Обязательно прочту эту статью, буду перенимать твой опыт. Да и плагин BackWPup по своим возможностям интересен, хостер хостером — а подстраховаться, пожалуй, не помешает.

  3. Очень часто приходится пользоваться Ай Болитом. Удобная вещь и много раз выручал. Да и сайты выкачать достаточно просто и можно быстро (редко бывают случаи, что приходится ждать по нескольку часов), главное в этом деле доступы к панели хостинга (ну, и хостинг, конечно, с возможностью быстренько забрать архив)

    • Инструмент полезный, не раз и меня выручал. В случае с вредоносными скриптами в шаблонах или плагинах — лучшее решение. Последней версией Айболита не пользуюсь, не пошла она у меня. А та, что имеется, работает именно несколько часов.

  4. Александр

    Любой плагин опасен в плане взлома, а не обновленный опасен в несколько раз.

    • Некоторые плагины, к сожалению, приходится использовать без обновлений, в том числе и популярные, которые не обновляются по году и дольше.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *