WordPress Security Seminar - Gerasimos Mourelatos - Cleaning a hacked WordPress installation

Transcript

1. WordPress Security 101 Found.ation, TheHubEvents, 16/04/2016 "WordPress Hacked: Hands on"

   Gerasimos Mourelatos, FixMyWP

2. Who am I? Gerasimos Mourelatos Project Engineer/WordPress Consultant Co-founder @

   FixMyWP.com Co-founder @ HostMyWP.com

3. ΒΗΜΑΤΑ ΓΙΑ ΤΟ ΚΑΘΑΡΙΣΜΟ ΜΙΑΣ HACKED WORDPRESS ΕΓΚΑΤΑΣΤΑΣΗΣ

4. 1. Πρόσβαση στο διαδίκτυο(!) 2. Πρόσβαση στο Dashboard 3. Πρόσβαση

   στο Hosting Panel 4. Ένα FTP Client(Filezilla) 5. Υπομονή και αυτοσυγκέντρωση (ΩΩΩΩΜΜΜΜΜ!)

5. ΕΝ ΑΡΧΗ ΗΝ ΤΟ BACKUP

6. WEBSITE

7. Σημειώνουμε τα Premium Themes & Plugins

8. Σημειώνουμε τη τρέχουσα WordPress έκδοση

9. Αναβάθμιση όλων των Pending Themes & Plugins

10. Αλλαγή όλων των κωδικών για τους Administrators & Logout

11. BACKUP

12. HOSTING PANEL

13. • Διαγραφή παλιού DB User και δημιουργία νέου* • Σύνδεση

    του νέου DB user με τη Database *σημειώνουμε τα DB user details (username & password)

14. Έλεγχος της Database μέσω phpMyAdmin για ασυνήθιστες εγγραφές

15. Αλλαγή των Administrator Usernames μέσω του PhpMyAdmin

16. FILE MANAGER

17. Διαγραφή όλων των Core WordPress Files και Directories wp-*.php/readme.html/license.txt/wp-admin/wp-includes &

    των index.php κάτω από το wp-content/ ΠΡΟΣΟΧΗ: Δε διαγράφουμε τα παρακάτω: - wp-config.php - wp-content

18. Upload των αντίστοιχων files & directories της ίδιας έκδοσης Προτείνουμε

    τη συμπίεση σε zip πριν το upload και extract μετά από αυτό

19. FTP

20. Ελεγχος του wp-config.php για Code Injection

21. Ενημέρωση του wp-config.php με τα νέα στοιχεία για τον DB

    User

22. Αλλαγή των WordPress Authentication Keys https://api.wordpress.org/secret-key/1.1/salt/

23. • Χρήση των παραπάνω για την αντικατάσταση των αντίστοιχων τιμών

    στο wp-config-sample.php • Διαγραφή του wp-config.php και rename του wp-config.-sample.php σε wp-config.php

24. Διαγραφή Cache (ΑΝ ΕΙΝΑΙ ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ) ΣΤΟ /WP-CONTENT/CACHE

25. Έλεγχος για αρχεία που δεν ανήκουν στη WordPress διανομή και

    διαγραφή τους • root • wp-content/plugins • wp-content/themes • wp-content/uploads

26. • Διαγραφή παλαιότερων backup • Έλεγχος για *.php και *.js

    αρχεία στο /wp-content/uploads/*

27. Έλεγχος για *.php και *.js αρχεία τα οποία έχουν ίδια

    ημερομηνία δημιουργίας ή τροποποίησης με αυτή των αρχείων που περιέχουν malware

28. WEBSITE

29. Έλεγχος του αριθμού Administrators στο Users Page του Dashboard

30. • Επανεγκατάσταση όλων των Themes & Plugins* • Εγκατάσταση WordFence

    και έλεγχος για Malware * Τα premium theme & plugins πρέπει να τα ανακτήσουμε από τις ιστοσελίδες που τα αποκτήσαμε

31. Εαν έχετε και άλλα Directories εκτός WordPress τότε πρέπει να

    δηλώσετε στο WordFence, μέσω της ειδικής ρύθμισης που έχει, ώστε να τα σαρώσει

32. EXTRA

33. Αν έχετε > 1 WordPress Εγκαταστάσεις στο ίδιο Hosting Account

    τότε πρέπει να επαναλάβεται τη διαδικασία και για τις υπόλοιπες ιστοσελίδες

34. BACKUP

35. [email protected] https://fixmywp.com/ fb @ fixmywp tw @fixmywp