Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Malware vs WordPress. Проверяем защитные плагины в боевых условиях
WordPress — одна из самых распространенных систем управления сайтом и поэтому вызывает пристальный интерес у вирусописателей и взломщиков всех мастей. В этой статье речь пойдет о «закладках» в коде взломанных сайтов, а также о технологиях их выявления.
Мы посмотрим на работу наиболее известных плагинов безопасности для WordPress в базовой комплектации по принципу «нашел в репозитории → установил → запустил», то есть глазами рядового пользователя, без платных подписок и PRO-версий. А еще рассмотрим некоторые мифы, касающиеся качества плагинов и тем из официального репозитория. «Закладки» будут самыми простыми и без обфускации — для удобства эксперимента. Приятного чтения.
Вся информация в этой статье предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи. Помни, что неправомерный доступ к компьютерной информации и распространение вредоносного ПО влекут ответственность согласно статьям 272 и 273 УК РФ.
Если верить статистике, под управлением WordPress работают чуть более трети сайтов в интернете. Оно и понятно: этот движок бесплатный, поддерживаемый сообществом, простой, с кучей плагинов и тем оформления, как платных, так и бесплатных. Но вместе с этими плюсами есть и довольно ощутимый минус — безопасность. В большинстве случаев взломы работающих на WordPress сайтов носят автоматизированный характер. Причина этого — простота применения того или иного эксплоита и количество уязвимых ресурсов. WordPress и по количеству «пробивов» также уверенно держит лидирующие позиции, из-за чего на фриланс-биржах и форумах практически ежедневно можно найти объявления об очередном взломе, с просьбами вычистить всю малварь и восстановить работоспособность поврежденного ресурса.
Специфика WordPress такова, что осмысленно модифицировать большую часть файлов ядра бесполезно, так как при обновлении или форсированной переустановке будут восстановлены оригинальные файлы, да и плагины безопасности в большинстве своем уже давно умеют выявлять эти самые модификации и предупреждать о них в отчетах. То же самое касается тем и плагинов из репозитория: любые изменения будут выявлены либо через сравнение хеш-сумм файлов, либо через дату изменения. Иными словами, при целенаправленном взломе ресурса эффективная область заражения сильно сужается, дабы внедренный код оставался незамеченным как можно дольше. А вот спам- и Black SEO скрипты, которые в принципе не рассчитаны на продолжительную работу на скомпрометированном ресурсе, чаще всего засоряют все подряд и без разбора. Такое ПО довольно легко узнать «по почерку»: рандомные символы в названиях директорий, большое количество на первый взгляд бессмысленных файлов, частичная или полная обфускация кода.
Пример обфусцированного кода
В каких-то случаях счет идет на десятки файлов, а в каких-то и на тысячи
Нередко именно эти отличительные черты и позволяют даже обычному пользователю довольно оперативно заметить, что с сайтом творится неладное. Однако восстановление сайта может сильно затянуться как раз из-за объемов вредоносного кода, засорения поисковой выдачи или наложенных на домен или IP-адрес санкций. В общем, такая работа вредоносов далека от ювелирной, а обезопасить себя от этой головной боли зачастую можно просто своевременным обновлением движка и темы с плагинами.
Источник: xakep.ru
