Gdzie i jak szukać backdoorów w WordPressie

Wielokrotnie w ciągu ostatnich lat pomagałem użytkownikom stron na WordPressie przywrócić ich stronę do poprawnego stanu po włamaniu. Często okazywało się, że hakerzy pozostawiali na nich backdoory pozwalające im w prosty sposób uzyskać w przyszłości dostęp do zaatakowanej wcześniej strony. Dziś pokażę Wam, gdzie najczęściej można je znaleźć.

Rozpocznijmy od tego, czym jest wspomniany backdoor. Jest to po prostu celowo umieszczona luka w zabezpieczeniach w celu jej późniejszego wykorzystania. W przypadku WordPressa większość z nich z nich pozwala na wykorzystywanie ukrytego konta o roli administratora w celu bezproblemowego dostępu do panelu administracyjnego (sprawdź, jakie to proste) wdlub modyfikowanie i wgrywanie plików do lokalizacji systemu WordPress. Przyjrzyjmy się po kolei miejscom, w których najczęściej możemy odnaleźć pozostawione luki.

/wp-content/plugins
Wtyczki to doskonałe miejsce do pozostawienia niepożądanego kodu, ponieważ zdecydowana większość użytkowników do nich nie zagląda, a tym bardziej nie analizuje ich źródła. Często również okazuje się, że niewystarczająca umiejętność programowania powoduje, że autorzy wtyczek pisząc ich kod nieświadomie tworzą luki pozwalające np. podmienić pliki konfiguracyjne WordPressa. Nieregularne aktualizowanie wtyczek przez administratorów jedynie powiększa prawdopodobieństwo takiego wektora ataku. Dbajmy zatem o regularne uaktualnianie wykorzystywanych pluginów oraz usuwanie tych, których już nic potrzebujemy.

/wp-content/themes
Ze względu na swoją, nierzadko liczącą kilka tysięcy plików, budowę są bardzo trudnym elementem w analizach pod kątem umieszczonego backdoora, dlatego jeżeli któregoś nie wykorzystujemy – usuńmy go. Nawet w sytuacji, gdy nie jest przez nas aktywowany, może stać się narzędziem ataku. W przypadku szablonów również pamiętajmy o tym, by aktualizować je tak często, jak to tylko możliwe.

wp-config.php
Plik konfiguracyjny wp-config o rozszerzeniu php znajdujący się w głównym katalogu systemu WordPress jest bardzo popularnym miejscem, w którym włamywacze pozostawią luki. Szukając nietypowych jego elementów warto podejrzeć strukturę wzoru tego pliku – wp-config-sample.php – pamiętając przy tym, że niektóre wtyczki mogą dodawać do naszego pliku konfiguracyjnego swój kod i nie ma w tym niczego nieprawidłowego – potrzebują tego do działania.

Przykład backdoora dla WordPress

.htaccess
Czasami włamywacze ustawiają odpowiednie przekierowania wykorzystujące odnalezione luki w pliku .htaccess, czyli konfiguracyjnym pliku wykorzystywanym przez serwery WWW Apache mogące zmieniać zachowanie serwera. Jeżeli mamy wątpliwości, co do jego zawartości usuńmy go, a następnie wymuśmy jego ponowne stworzenie przechodząc do panelu administracyjnego naszego WordPressa, a następnie wybierając Bezpośrednie odnośniki znajdujące się pod Ustawienia w menu po lewej stronie. Po wejściu na tę podstronę klikamy niebieski przycisk „Zapisz zmiany”, co spowoduje usuniętego tego pliku.

Choć nigdy nie mamy pewności, że do ataku z wykorzystaniem backdoora nie dojdzie, warto na bieżąco aktualizować wykorzystywane wtyczki i motywy, te nieużywane czym prędzej usunąć, a przy tym regularnie śledzić zmiany w plikach w poszukiwaniu nietypowego kodu.

Tags:, , ,

Redaktor naczelny serwisu WPhaker.pl. Na co dzień administrator kilkudziesięciu witryn na systemie WordPress oraz audytor bezpieczeństwa stron. Po godzinach stara się sprawić, by jego mieszkanie stało się inteligentne.

Dodaj komentarz

avatar
  Subscribe  
Powiadom o
Facebook - LH.pl

Page plugin Facebook nie działa poprawnie. Proszę włączyć śledzenie w ustawieniach przeglądarki.