Netko mi stalno resetira sve lozinke na wordpressu

CMS (Wordpress, Joomla...)
1

Ekipa pitanjce, nisam stručan nimalo u ovom polju ali u zadnjih 24h su mi se dva puta resetirale lozinke i za admina i za drugi račun na wordpressu. Sva sreća pa sam slučajno vidio to na mailu i odmah ih ja opet resetirao…

Čačkao sam po log fileu, i vidim masu ovakvih requesta:

image
image1407×495 33.1 KB

malo sam čitao po Google-u i izgleda da tako napadaju i pokušavaju provaliti lozinku. E sad, nije mi jasno kako ju resetira, ne znam je li dobije pristup sajtu ili nešto… Provjerio sam brzinski sajt nisu ništa mijenjali, vjerojatno onda nisu ni uspjeli ući, ali loznku su svakako resetirali…

Kako da spriječim takve “napade” ako uopće i jesu napadi

2

Je li ti XMLRPC aktivan na hostingu? Ovaj XMRPC se koristi da možeš daljinski objavljivati članke na wordpressu, i za ostale nedozvoljene stvari kao što je napad.

Ako jest onda ga isključi kako nebi netko mogao imati pristup wordpressu preko XMLRPC. Na nekim hostinzima se može isključiti s tvoje strane, a negdje ideš preko podrške.

Testiraj na ovom linku je li ti omogućen pristup preko XMLRPC.

Kada ga deaktiviraš onda testiraj na ovom linku je li i dalje imaš pristup preko XMLRPC.
http://xmlrpc(dot)epizy(dot)com

1 Like
3

Sad sam probao dobijem 403 - Forbidden error. Upisao sam samo adresu stranice u onu formu, ništa drugo.

4

Za dalje preporučam pitati podršku jer nisam dobar u daljnjem otklanjanju ovakvih problema.

1 Like
5

Hvala ti puno! :smiley:

Poslao sam podršci poruku pa će valjda uspjeti nešto riješiti iako ne polažem baš nade u njih, pogotovo jer im je i wordpress na staroj PHP verziji pa se uopće ne sekiraju oko toga haha…

Našao sam i još da idu preko nečeg /.git/config pa sam i to rekao… Baš me zanima hoće li šta uspjeti riješiti.

1 Like
6

Obavezno instaliraj Wordfence.

1 Like
7

Jesam :slight_smile: Hvala! Valjda je free verzija dovoljna

8

Pogledaj i fajlove od WordPress-a, da vidiš kakvo je tu stanje. Htaccess isto pogledaj, moguće je da si već uhakovan, pa da što prije djeluješ. Inače mnoštvo sajtova je uhakovano ovih dana. Elementor bio šupalj više puta, kao i prateći plugini, zadnji put su javili 12 maja.

1 Like
9

wordfence free verzija je dovoljna, mi smo imali problema na par sajtova, alzirci operisu

  1. provjeri plugine - cesto uvale lazni plugin: ime nekog popularnog plugina ali je njegov fajl maliciozan, provjeri listu plugina

  2. isto to i za teme

  3. instaliras wordfence, upises email i dobijes besplatnu licencu …

2 Likeova
10

A evo u taj sajt baš rijetko ulazim, tako da ništa novo nisam instalirao (imam elementor od prije)… sad sam ažurirao wordpress, sve pluginove, dodao wordfence, pa ćemo vidjeti…

moram se još malo poigrati na fajlovima dok uhvatim vremena da vidim je li ima što čudno

1 Like
11

Kako su ti se resetirale lozinke, same od sebe? To je u najmanju ruku - čudno. :roll_eyes:
Mislim da je mnogo vjerojatnije da si dobio mail koji te pita: želite li resetirati svoju lozinku, a to se događa nakon što se netko bezuspješno pokuša ulogirati u tvoj admin account, pa zatraži reset, a koji mu neće u ničemu pomoći baš zato jer će ovaj email doći tebi a ne njemu. On je vjerojatno tzv. wanna be haker. :smiley:
I ja sam dobio baš takav mail nekidan, samo na njemu je postojala crtica koju si ti najvejrojatnije previdio: ‘ako vi niste zatražili ovaj reset, tada zanemarita ovaj e-mail’. Dakle, mogao sam ga resetirati ili zanemariti, ja sam učinio ovo drugo. :wink:

Najvjerojatnije i nisu, ako je ovako kako sam gore napisao.
Malo zaprati situaciju i budi Cool. :yum: :o:

12

Znam takve mailove, i nije ovakva situacija bila. Znači direkt je netko resetirao lozinku i nisam mogao pristupiti računu.

A vidjet ćemo, valjda više neće :slight_smile:

13

Sad sam pregledao, išao sam onom logikom da mi poreda od “zadnje mijenjano”, i nije ništa dirano niti dodavano novo.

14

Onda super, uglavnom prati. Inače, radim kao dev u jednoj agenciji i održavam veći broj sajtova. Prošlu subotu mi je pisao klijent da li smo mi mijenjali šifru od njegovog naloga, mi naravno to nismo uradili, rekoh mu da resetuje šifru, međutim kada sam pogledao šta se dešava vidjeli smo da je sajt hakovan. Pa me tvoj slučaj podsjetio na tu situaciju. Što na kraju ne mora biti tako.

1 Like
15

Dodaj u

.htaccess

Options +FollowSymLinks
Options All -Indexes
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www\.)?your-site.com/.*$ [NC] RewriteRule \.(gif|jpg)$ 
http://www.your-site.com/hotlink.gif [R,L]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

<FilesMatch "^.*(error_log|xmlrpc\.php|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>

<Directory "/wp-content/uploads/">
<Files "*.php">
Order Deny,Allow
Deny from All
</Files>
</Directory>

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
16

Instaliraš Wordfence ili Sucuri.
Sucuri ti šalje poruku ovsno o tome što se dogodilo.
Možeš ga podesiti da te informira ako se netko deset puta pokušao ulogirat a nije mu uspjelo.
Zabilježi ti podatke i IP adresu sa koje se to dogodilo.
Možeš zabraniti promjenu htaccess.
Evidentira tko se sve uspješno ulogirao i što je sve mijenjao.

17

Nisam citao od pocetka. Nesto slicno sam i ja imao, al mi je bot ulazio kroz wp admin. Rijesio problem sa pluginom i stavio ga na sve stranice:

1 Like
18

Osnovno pitanje je da li koristiš nulovane skripte.
Ako je odgovor da, slobodno kreni sajt iznova, ako to već traje s nulovanim skriptama.
Ništa nije besplatno.

Ako se desilo zbog drugih stvari, neažurirani dofaci, teme i sam WordPress, vrati backup, pa odma ažuriraj.

Ako nemaš backup, exportiraj postove u xml i instaliraj novu WordPress instancu, nove lozinke, nove baze, kreni od nule i importuj xml.

Korištenje dodataka nakon što je već neko rasturio po serveru nema smisla.

19

Ne zaboravi tražiti reset servera od pružatelja hosting usluge prije bilo kog oblika vraćanja sajta.

Nema smisla brisati baze i public_html bez ukupnog reseta.

20

Ovo sam ti napisao iz iskustva, jer prije kupovine WordPress teme bih skinuo nulovanu da je probam.

Sve dok jednom iz subdomene napad nije unistio cijeli server.

Nema mjesta gdje obicni malware nije zakacio svoj kód.

php hakuje htaccess i odatle ti cijeli server ima na dlanu.