Взлом и спам WordPress 2.8 – возможно!?
Если Вы постоянный читатель моего блога и подписаны на новости, то хочу извиниться за бредовую последнюю запись, которая всё-таки успела проскочить в ридер под заголовком «Интересный сайт о жизни в интернете: программирование, верстка, seo». И даже извиниться не за себя, я за одного говно-хакера, который, падла, каким-то образом подобрал пароль или ещё как и проник в админку блога под администратором. Представляете, жесть?
Пароль сразу скажу, был надёжный (символы, цифры и регистр). Каким образом подобрали, ума не приложу. Кстати, уже позже узнал о программке генерации паролей, очень легкой и удобной, которую посоветовала мне SEOблондинка, за что отдельное спасибо!
Понаписано куча текста и вплетено 3 ссылки на разные блоги, но одной тематики — заработка, 2 на вордпрессе и один на Друпале. Публикация шла похоже не прямо с блога, а через клиент или еще какую прогу под категорией «Новости», которой у меня нету.
Опубликовано в 21:39 30 июня, а я заметил слава богу, где-то час спустя, но запись уже успела попасть в RSS. Я не знаю, как можно назвать такую наглость, хак, спам или всё вместе, но такое ощущение, что пробрались к тебе в квартиру и навели там «порядок». Получается, что WordPress 2.8 не такой уж и безопасный?
Запись сразу удалил, но прежде успел сделать скриншот (кликабельно)
Навел справки на авторов ссылаемых сайтов этого чела-манимейкера, ими оказалось одно лицо — некий Aleksey V Bertram из г. Ижевска, с хостингом от fastfile.info (серверы в Германии). Больше следов в админке не обнаружено и IP, с которого проникали, неизвестен. Можно, конечно, тоже изрядно испортить жизнь автору этих блогов, да так, что попадёт в бан, но… возможно, что этот Алексей и не причастен, а спам был заказан через какой-либо сервис.
В общем эти сайты у меня сейчас на особом учёте, а вы будьте бдительны — прямо сейчас возьмите и поменяйте все пароли у блога, хостинга и удалите из FTP клиента. Еще можете установить такой замечательный плагин Limit Login Attempts (страничку не помню, погуглите, найдете), который после нескольких неудачных попыток ввода пароля, блокирует доступ к блогу на заданное вами время.
В заключении хочу сказать, что WP несколько меня разочаровал в плане безопасности, получается, что от этого никто не застрахован и любой блог легко можно взломать! Берегите свои блоги и бог сбережёт!
Wordpress очень популярная система и является лакомым куском для Интернет мошенников, поэтому ее часто ломают. А что касается защиты от взлома, то своевременное обновление является одним из способов защиты.
Да здесь хоть ставь плагины, хоть не ставь….они гады всеравно что-то новое придумают(
Спасибо, andriy, за совет! Скачал, установил! Но не слышал ранее о таком полезном плагине..
Поддерживаю.
Взломать можно и джумлу и вп и друпал и т.д.
Поэтому, чтобы Вас было сложнее взломать нужно придерживаться стандартных правил безопасности.
Поставь Anti-XSS плагин. Взломать можно всё.
Скорее всего взломать могли посредством XSS атаки.. Поетому если еще не поставил Anti-XSS плагин, то поспеши.. По моему, в вордпрессе больше нету нормальных плагинов для защиты.
А так, то хочу сказать, что непроходимой защиты не бывает.. Wordpress здесь нипричем.