Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WordPress Security 101 Seminar - WordPress Secu...
Search
makmour
April 16, 2016
Programming
0
34
WordPress Security 101 Seminar - WordPress Security: real cases of hacked sites
Makis Mourelatos - TheHubevents
makmour
April 16, 2016
Tweet
Share
More Decks by makmour
See All by makmour
How to clean a Hacked WordPress website
makmour
0
29
Detect and Remove WordPress Malware Redirect
makmour
0
79
The WordPress X-Files
makmour
0
66
How to Detect and Secure a WordPress Hacked site
makmour
0
120
WordPress Hardening Rules 101
makmour
0
87
WordPress Security 101 Seminar - WordPress security real cases of hacked sites
makmour
0
18
Developing a WordPress Startup
makmour
0
34
How to protect your WordPress site from DDoS and bruteforce attacks
makmour
0
32
Other Decks in Programming
See All in Programming
Google I/O Extended Incheon 2025 ~ What's new in Android development tools
pluu
1
210
Android 16KBページサイズ対応をはじめからていねいに
mine2424
0
810
Vibe coding コードレビュー
kinopeee
0
350
0から始めるモジュラーモノリス-クリーンなモノリスを目指して
sushi0120
0
210
ZeroETLで始めるDynamoDBとS3の連携
afooooil
0
130
可変性を制する設計: 構造と振る舞いから考える概念モデリングとその実装
a_suenami
8
1.1k
Terraform やるなら公式スタイルガイドを読もう 〜重要項目 10選〜
hiyanger
2
120
副作用と戦う PHP リファクタリング ─ ドメインイベントでビジネスロジックを解きほぐす
kajitack
3
500
構造化・自動化・ガードレール - Vibe Coding実践記 -
tonegawa07
0
160
バイブコーディング超えてバイブデプロイ〜CloudflareMCPで実現する、未来のアプリケーションデリバリー〜
azukiazusa1
2
740
Go製CLIツールをnpmで配布するには
syumai
1
920
リバースエンジニアリング新時代へ! GhidraとClaude DesktopをMCPで繋ぐ/findy202507
tkmru
4
1.6k
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.4k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Raft: Consensus for Rubyists
vanstee
140
7k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
720
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
BBQ
matthewcrist
89
9.8k
A Tale of Four Properties
chriscoyier
160
23k
What's in a price? How to price your products and services
michaelherold
246
12k
Gamification - CAS2011
davidbonilla
81
5.4k
The Invisible Side of Design
smashingmag
301
51k
4 Signs Your Business is Dying
shpigford
184
22k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
139
34k
Transcript
WordPress Security 101 Found.ation, TheHubEvents, 16/04/2016 "WordPress Hacked: Real Cases"
Gerasimos Mourelatos, FixMyWP
Who am I? Gerasimos Mourelatos Project Engineer/WordPress Consultant Co-founder @
FixMyWP.com Co-founder @ HostMyWP.com
Συνήθη Malware Προβλήματα για WordPress Εγκαταστάσεις
• Backdoors • Pharma Hacks • Drive by Downloads •
Malicious Redirects
BACKDOORS • Παραβίαση μέσω Command Line(ssh) ή Exploit Kits •
Ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση σε όλο το server
PHARMA HACKS • Spam Injections • Το αποτέλεσμα είναι εμφανές
μόνο στα Google Bot • Κύριος στόχος είναι το spamming και όχι η παραβίαση για μετάδοση malware
DRIVE BY DOWNLOADS • Script Injection • Conditional Malware
MALICIOUS REDIRECTS • .htaccess Redirects • Php Encoded Redirect (index.php,
header.php, footer.php)
BACKDOOR HACK ANALYSIS
ΠΡΩΤΑΓΩΝΙΣΤΕΣ • Μια WordPress Εγκατάσταση • Ένα Vulnerable Plugin •
Ένα Email Plugin • Απουσία Principle of Least Privilege • Hackers
Η μεγαλύτερη διαρροή όλων των εποχών ήταν αποτέλεσμα μιας Hacked
WordPress Εγκατάστασης
Επίθεση μέσω μιας Vulnerable έκδοσης του Slider Revolution Plugin (<v.3.0.95)
Source: wordfence.com
Πρόσβαση στο Server μέσω Command Line Exploit kit: https://www.exploit-db.com/exploits/35385/
Πρόσβαση στα DB Login Details της εγκατάστασης μέσω του Slider
Revolution /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
Χρήση ενός MySQL DB client και σύνδεση με τα DB
Login details που εμφανίζονται στο wp-config.php
Πρόσβαση στον Email Server μέσω του WP SMTP Plugin το
οποίο αποθηκεύει τα Email Login Details ως Plain text
Σημάδια μιας Hacked WordPress Εγκατάστασης
Η φανερή παραβίαση
Απότομα μεγάλη εξερχόμενη κίνηση των email
SITE DE-INDEXED site:example.com
Ασυνήθιστα Αποτελέσματα Αναζήτησης
Browser Screen of Death(BSOD)
Google Webmaster Tools Warning
Homepage Redirects (συνήθως μέσω του .htacces)
Περίεργοι Χαρακτήρες στο Header & Footer της ιστοσελίδας
• Απότομη αύξηση των Spam Comment • Διαφημίσεις άσχετες με
το περιεχόμενο της ιστοσελίδας
Φόρτωση περιεχομένου από εξωτερικές πηγές
Προειδοποίηση για Malware από το Antivirus
Μεγαλύτερος αριθμός administrator από τον πραγματικό
Ασυνήθιστα Queries στa Traffic Αnalytic Reports (ΣΥΝΗΘΩΣ ΕΧΟΥΝ ΣΧΕΣΗ ΜΕ
PORN ΚΑΙ PHARMA)
Αρχεία που δεν ανήκουν στη WordPress διανομή
Ασυνήθιστος κώδικας στο wp-config.php
Βήματα για τον καθαρισμό μιας WordPress Εγκατάστασης
Η ΦΙΛΟΣΟΦΙΑ
1. Πρόσβαση στο διαδίκτυο(!) 2. Πρόσβαση στο Dashboard 3. Πρόσβαση
στο Hosting Panel 4. Ένα FTP Client(Filezilla) 5. Υπομονή και αυτοσυγκέντρωση (ΩΩΩΩΜΜΜΜΜ!)
ΕΝ ΑΡΧΗ ΗΝ ΤΟ BACKUP
WEBSITE
Σημειώνουμε τα Premium Themes & Plugins
Σημειώνουμε τη τρέχουσα WordPress έκδοση
Αναβάθμιση όλων των Pending Themes & Plugins
Αλλαγή όλων των κωδικών για τους Administrators & Logout
BACKUP
HOSTING PANEL
• Διαγραφή παλιού DB User και δημιουργία νέου* • Σύνδεση
του νέου DB user με τη Database *σημειώνουμε τα DB user details (username & password)
Έλεγχος της Database μέσω phpMyAdmin για ασυνήθιστες εγγραφές
Αλλαγή των Administrator Usernames μέσω του PhpMyAdmin
FILE MANAGER
Διαγραφή όλων των Core WordPress Files και Directories wp-*.php/readme.html/license.txt/wp-admin/wp-includes &
των index.php κάτω από το wp-content/ ΠΡΟΣΟΧΗ: Δε διαγράφουμε τα παρακάτω: - wp-config.php - wp-content
Upload των αντίστοιχων files & directories της ίδιας έκδοσης Προτείνουμε
τη συμπίεση σε zip πριν το upload και extract μετά από αυτό
FTP
Ελεγχος του wp-config.php για Code Injection
Ενημέρωση του wp-config.php με τα νέα στοιχεία για τον DB
User
Αλλαγή των WordPress Authentication Keys https://api.wordpress.org/secret-key/1.1/salt/
• Χρήση των παραπάνω για την αντικατάσταση των αντίστοιχων τιμών
στο wp-config-sample.php • Διαγραφή του wp-config.php και rename του wp-config.-sample.php σε wp-config.php
Διαγραφή Cache (ΑΝ ΕΙΝΑΙ ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ) ΣΤΟ /WP-CONTENT/CACHE
Έλεγχος για αρχεία που δεν ανήκουν στη WordPress διανομή και
διαγραφή τους • root • wp-content/plugins • wp-content/themes • wp-content/uploads
• Διαγραφή παλαιότερων backup • Έλεγχος για *.php και *.js
αρχεία στο /wp-content/uploads/*
Έλεγχος για *.php και *.js αρχεία τα οποία έχουν ίδια
ημερομηνία δημιουργίας ή τροποποίησης με αυτή των αρχείων που περιέχουν malware
WEBSITE
Έλεγχος του αριθμού Administrators στο Users Page του Dashboard
• Επανεγκατάσταση όλων των Themes & Plugins* • Εγκατάσταση WordFence
και έλεγχος για Malware * Τα premium theme & plugins πρέπει να τα ανακτήσουμε από τις ιστοσελίδες που τα αποκτήσαμε
Εαν έχετε και άλλα Directories εκτός WordPress τότε πρέπει να
δηλώσετε στο WordFence, μέσω της ειδικής ρύθμισης που έχει, ώστε να τα σαρώσει
EXTRA
Αν έχετε > 1 WordPress Εγκαταστάσεις στο ίδιο Hosting Account
τότε πρέπει να επαναλάβεται τη διαδικασία και για τις υπόλοιπες ιστοσελίδες
BACKUP
[email protected]
https://fixmywp.com/ fb @ fixmywp tw @fixmywp