WordPress Security 101 Seminar - WordPress Security: real cases of hacked sites

Transcript

1. WordPress Security 101 Found.ation, TheHubEvents, 16/04/2016 "WordPress Hacked: Real Cases"

   Gerasimos Mourelatos, FixMyWP

2. Who am I? Gerasimos Mourelatos Project Engineer/WordPress Consultant Co-founder @

   FixMyWP.com Co-founder @ HostMyWP.com

3. Συνήθη Malware Προβλήματα για WordPress Εγκαταστάσεις

4. • Backdoors • Pharma Hacks • Drive by Downloads •

   Malicious Redirects

5. BACKDOORS • Παραβίαση μέσω Command Line(ssh) ή Exploit Kits •

   Ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση σε όλο το server

6. PHARMA HACKS • Spam Injections • Το αποτέλεσμα είναι εμφανές

   μόνο στα Google Bot • Κύριος στόχος είναι το spamming και όχι η παραβίαση για μετάδοση malware

7. DRIVE BY DOWNLOADS • Script Injection • Conditional Malware

8. MALICIOUS REDIRECTS • .htaccess Redirects • Php Encoded Redirect (index.php,

   header.php, footer.php)

9. BACKDOOR HACK ANALYSIS

10. ΠΡΩΤΑΓΩΝΙΣΤΕΣ • Μια WordPress Εγκατάσταση • Ένα Vulnerable Plugin •

    Ένα Email Plugin • Απουσία Principle of Least Privilege • Hackers

11. Η μεγαλύτερη διαρροή όλων των εποχών ήταν αποτέλεσμα μιας Hacked

    WordPress Εγκατάστασης

12. Επίθεση μέσω μιας Vulnerable έκδοσης του Slider Revolution Plugin (<v.3.0.95)

    Source: wordfence.com

13. Πρόσβαση στο Server μέσω Command Line Exploit kit: https://www.exploit-db.com/exploits/35385/

14. Πρόσβαση στα DB Login Details της εγκατάστασης μέσω του Slider

    Revolution /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

15. Χρήση ενός MySQL DB client και σύνδεση με τα DB

    Login details που εμφανίζονται στο wp-config.php

16. Πρόσβαση στον Email Server μέσω του WP SMTP Plugin το

    οποίο αποθηκεύει τα Email Login Details ως Plain text

17. Σημάδια μιας Hacked WordPress Εγκατάστασης

18. Η φανερή παραβίαση

19. Απότομα μεγάλη εξερχόμενη κίνηση των email

20. SITE DE-INDEXED site:example.com

21. Ασυνήθιστα Αποτελέσματα Αναζήτησης

22. Browser Screen of Death(BSOD)

23. Google Webmaster Tools Warning

24. Homepage Redirects (συνήθως μέσω του .htacces)

25. Περίεργοι Χαρακτήρες στο Header & Footer της ιστοσελίδας

26. • Απότομη αύξηση των Spam Comment • Διαφημίσεις άσχετες με

    το περιεχόμενο της ιστοσελίδας

27. Φόρτωση περιεχομένου από εξωτερικές πηγές

28. Προειδοποίηση για Malware από το Antivirus

29. Μεγαλύτερος αριθμός administrator από τον πραγματικό

30. Ασυνήθιστα Queries στa Traffic Αnalytic Reports (ΣΥΝΗΘΩΣ ΕΧΟΥΝ ΣΧΕΣΗ ΜΕ

    PORN ΚΑΙ PHARMA)

31. Αρχεία που δεν ανήκουν στη WordPress διανομή

32. Ασυνήθιστος κώδικας στο wp-config.php

33. Βήματα για τον καθαρισμό μιας WordPress Εγκατάστασης

34. Η ΦΙΛΟΣΟΦΙΑ

35. 1. Πρόσβαση στο διαδίκτυο(!) 2. Πρόσβαση στο Dashboard 3. Πρόσβαση

    στο Hosting Panel 4. Ένα FTP Client(Filezilla) 5. Υπομονή και αυτοσυγκέντρωση (ΩΩΩΩΜΜΜΜΜ!)

36. ΕΝ ΑΡΧΗ ΗΝ ΤΟ BACKUP

37. WEBSITE

38. Σημειώνουμε τα Premium Themes & Plugins

39. Σημειώνουμε τη τρέχουσα WordPress έκδοση

40. Αναβάθμιση όλων των Pending Themes & Plugins

41. Αλλαγή όλων των κωδικών για τους Administrators & Logout

42. BACKUP

43. HOSTING PANEL

44. • Διαγραφή παλιού DB User και δημιουργία νέου* • Σύνδεση

    του νέου DB user με τη Database *σημειώνουμε τα DB user details (username & password)

45. Έλεγχος της Database μέσω phpMyAdmin για ασυνήθιστες εγγραφές

46. Αλλαγή των Administrator Usernames μέσω του PhpMyAdmin

47. FILE MANAGER

48. Διαγραφή όλων των Core WordPress Files και Directories wp-*.php/readme.html/license.txt/wp-admin/wp-includes &

    των index.php κάτω από το wp-content/ ΠΡΟΣΟΧΗ: Δε διαγράφουμε τα παρακάτω: - wp-config.php - wp-content

49. Upload των αντίστοιχων files & directories της ίδιας έκδοσης Προτείνουμε

    τη συμπίεση σε zip πριν το upload και extract μετά από αυτό

50. FTP

51. Ελεγχος του wp-config.php για Code Injection

52. Ενημέρωση του wp-config.php με τα νέα στοιχεία για τον DB

    User

53. Αλλαγή των WordPress Authentication Keys https://api.wordpress.org/secret-key/1.1/salt/

54. • Χρήση των παραπάνω για την αντικατάσταση των αντίστοιχων τιμών

    στο wp-config-sample.php • Διαγραφή του wp-config.php και rename του wp-config.-sample.php σε wp-config.php

55. Διαγραφή Cache (ΑΝ ΕΙΝΑΙ ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ) ΣΤΟ /WP-CONTENT/CACHE

56. Έλεγχος για αρχεία που δεν ανήκουν στη WordPress διανομή και

    διαγραφή τους • root • wp-content/plugins • wp-content/themes • wp-content/uploads

57. • Διαγραφή παλαιότερων backup • Έλεγχος για *.php και *.js

    αρχεία στο /wp-content/uploads/*

58. Έλεγχος για *.php και *.js αρχεία τα οποία έχουν ίδια

    ημερομηνία δημιουργίας ή τροποποίησης με αυτή των αρχείων που περιέχουν malware

59. WEBSITE

60. Έλεγχος του αριθμού Administrators στο Users Page του Dashboard

61. • Επανεγκατάσταση όλων των Themes & Plugins* • Εγκατάσταση WordFence

    και έλεγχος για Malware * Τα premium theme & plugins πρέπει να τα ανακτήσουμε από τις ιστοσελίδες που τα αποκτήσαμε

62. Εαν έχετε και άλλα Directories εκτός WordPress τότε πρέπει να

    δηλώσετε στο WordFence, μέσω της ειδικής ρύθμισης που έχει, ώστε να τα σαρώσει

63. EXTRA

64. Αν έχετε > 1 WordPress Εγκαταστάσεις στο ίδιο Hosting Account

    τότε πρέπει να επαναλάβεται τη διαδικασία και για τις υπόλοιπες ιστοσελίδες

65. BACKUP

66. [email protected] https://fixmywp.com/ fb @ fixmywp tw @fixmywp