Самый популярный способ взлома блога на данный момент является уязвимость в скрипте timthumb.php который отвечает за автоматическое создание иконок или превьюшек для записей в вашем блоге. Если в вашем шаблоне существует такая функция, значит с вероятностью 99% она реализована именно с помощью этого скрипта.

Чаще всего он находится в папке с темой вашего блога /wp-content/themes/название темы/ и называется или thumb.php или timthumb.php.

О уязвимости в этом файле писалось уже довольно давно и много, но тем не менее и сейчас происходят взломы с помощью этого файла.

Что делать, чтобы обезопасить свой блог?

1. Убедитесь в том, что этот скрипт у вас самой новой версии, на данный момент актуальная 2.8.4, скачать можно здесь.
2. Если вы не знаете что и как, где искать и что качать, просто установите плагин, который называется Timthumb Vulnerability Scanner, после установки и активации плагина, он проверяет папку с темами вашего блога и сообщает если найдены уязвимые файлы скрипта timthumb.php, а также предлагает обновить их.

Работа плагина выглядит примерно так:

Надеюсь у вас все получится, если не получается, обращайтесь будем решать проблему вместе. Если ваш блог уже взломали, также обращайтесь попробуем все исправить. Не забывайте делать резервные копии и следить за безопасностью блога.

Почитать еще:

1. Уязвимость в плагине WP-Syntax
2. Очередные проблемы с безопасностью WordPress.Org
3. DOS аттака на WordPress через файл wp-trackback.php

Пока ведутся поиски подозрительных плагинов и выясняется каким образом в эти плагины были внедрены бэкдоры, в целях безопасности Wodpress.Org решили сбросить все пароли пользователей. Теперь для того чтобы пользоватся форумами и другими сервисами WordPress.Org вам необходимо получить новый пароль.

Также в очередной раз команда WordPress напоминает пользователям о том, что в целях повышения безопасности, необходимо для разных сервисов использовать разные пароли.

Также если вы используете один из этих плагинов (AddThis, WPtouch, и W3 Total Cache), обязательно зайдите в панель администрирования блога, и установите обновления для каждого из них.

(Конечно приятно, что команда WordPress так быстро реагирует на появляющиеся уязвимости, но не очень приятно что они возникают таким глупым образом. Совсем не могу придумать каким образом в коде плагинов, без участия авторов, появились бэкдоры. От себя скажу, что если один из этих плагинов установлен на вашем блоге, обновлятся нужно уже сейчас.)

Почитать еще:

1. Лучший плагин кэширования для WordPress
2. Hotfix для WordPress 3.0.5
3. Проблемы с плагином WP-Email

Данная версия исправляет ошибку, используя которую зарегистрированный пользователь с правами «Участник» может опубликовать запись в блоге.

В итоге, если у вашем блоге есть несколько пользователей и некоторые из них с такими правами доступа, обязательно установите это обновление.

Почитать еще:

1. WordPress 2.8.6
2. Новая версия WordPress 2.3.3
3. Новая версия WordPress 3.0.3

• Улучшение безопасности при загрузке медиа-файлов
• Повышение производительности
• Исправления для поддержки IIS6

Также в этой версии исправлены три уязвимости безопасности, поэтому команда wordpress.org рекомендует обновиться до этой версии, если же обновлятся лень, убедитесь в том что у вас установлен плагин Hotfix и он обновлен до последней версии.

Обновиться можно вручную, скачав новую версию WordPress с сервера, либо через панель администрирования, в разделе «Консоль» — «Обновления».

В постовом сегодня предлагают скачать отличные обои для рабочего стола.

Почитать еще:

1. Новая версия WordPress 2.7.1
2. Новая версия WordPress 2.8.5
3. Новая версия WordPress 2.3.3

Собственно метод найден весьма оригинальный, для того чтобы своевременно получать исправления ошибок и безопасности, теперь достаточно установить плагин, который называется Hotfix и следить за своевременным обновлением плагина. Я думаю для пользователя это намного проще, чем постоянно обновлять весь блог.

Это не означает что теперь не нужно будет обновлять WordPress вообще, но значит что исправления можно будет установить проще и быстрее. Таким образом вы можете отложить на некоторое время обновление своего блога, но рекомендую с этим не затягивать.

Плагин устанавливает исправления для различных версий WordPress, в зависимости от того какая версия установлена на вашем блоге.

Таким образом установив этот плагин, вы упрощаете себе задачу по содержанию движка блога в актуальном состоянии, но все же не забывайте о том, что периодически нужно обновлять весь блог.

Установить плагин можно скачав его с каталога плагинов WordPress, либо воспользовавшись автоматической установкой плагина, с поиском по слову «Hotfix».

Удачного всем дня и хорошего настроения.

Почитать еще:

1. Безопасность WordPress: плагин Login LockDown
2. Антивирус для WordPress
3. Обновление плагина wp-time-machine

Воспользовавшись данной уязвимостью сторонний пользователь с правами автора мог просматривать черновики и записи которые ему не принадлежат.

Также улучшена безопасность в работе плагинов.

Кроме обновления 3.0.5 выпущен новый релиз-кандидат 3.1 RC 4, в нем также исправлены некоторые ошибки и уязвимости безопасности.

Рекомендуется всем скачать и установить новую версию WordPress 3.0.5, либо воспользоваться автоматическим обновлением в панели администрирования блога.

Почитать еще:

1. Важно! Обновление безопасности WordPress 3.0.4
2. Обновление WordPress 3.0.2
3. Массовое обновление плагинов в WordPress 2.9

Версия 3.0.4, доступная для автоматического обновления через консоль или для скачивания вручную, — очень важное обновление, которое стоит установить на ваши сайты как можно скорее, поскольку оно исправляет проблему с безопасностью в КSES — нашей библиотеке для обработки HTML. Это обновление можно назвать критическим.

Мы понимаем, что обновление во время праздников — не лучшая затея, но ради этого стоит сделать исключение. Следуя праздничному настроению, помогите обновиться и вашим друзьям.

Если вы специалист по безопасности, обратите внимание на это изменение и перепроверьте его. Мы тщательно его продумали, однако решили обратиться и к коллективному разуму. Спасибо Мауро Джентиле и Джону Кейву (duck_), которые первыми обнаружили и сообщили нам об этих XSS-уязвимостях.

В свою очередь хочу поблагодарить Сергея Бирюкова, за то что даже в предпраздничные дни, он следит за обновлениями и своевременно делает переводы новых версий.

Почитать еще:

1. Обновление безопасности WordPress 2.6.5
2. Исправление безопасности — WordPress 2.6.2
3. Исправление безопасности WordPress 2.6.3

Данная уязвимость распространяется только на те блоги, у которых включен протокол удаленной публикации XML-RPC.

Для того, чтобы проверить включен ли на вашем блоге этот протокол, зайдите в панель администрирования «Параметры» — «Написание» — «Удаленная публикация» и отключить галочку напротив XML-RPC.

На данный момент русскоязычной версии WordPress 3.0.3 на сайте я не нашел, поэтому отключение этого протокола будет самым правильным решением, до тех пор, пока вы не обновите свой блог.

Обновление: пока я писал эту запись, на русском сайте WordPress уже появилась версия 3.0.3, так что можно смело обновляться.

Ну и конечно же постовой! В нем сегодня пытаются рассказать о то, что такое кредитные автоматы и сервисы Web Money — получи кредит автоматом!

Почитать еще:

1. Новая версия WordPress 2.8.5
2. Новая версия WordPress 2.3.3
3. Новая версия WordPress 2.7.1

На данный момент процедура обновления WordPress очень и очень простая, и справиться с этим может практически любой пользователь. Для того, чтобы обновить WordPress, необходимо зайти в панель администрирования, раздел «Инструменты» — «Обновление» или в новых версиях «Консоль» -  «Обновления» и нажать кнопку «Обновить WordPress», после чего вам возможно понадобится ввести логин, пароль и имя FTP сервера, чтобы программа обновления WordPress  могла получить доступ к папкам и файлам. После чего запустится обновление WordPress, и если все хорошо, через пару минут на вашем блоге будет стоять новейшая версия  WordPress. Если автоматически обновить блог не удается, пользуйтесь старым методом, скачайте новую версию WordPress, распакуйте на своем компьютере и загрузите на сервер, перезаписывая существующие файлы. Естественно перед обновлением, нужно сделать резервную копию базы данных и файлов блога.

Если страшно обновлять самостоятельно, или ничего не получается, обращайтесь.

Обновляйте плагины WordPress

Здесь процедура практически идентична обновлению системных файлов WordPress, все либо делается автоматически, в разделе «Плагины» или «Обновления», либо скачиваем новую версию плагина, распаковываем и загружаем на сервер, перезаписывая существующие файлы плагина.

Оба эти пункта делать необходимо, потому что очень часто с новыми версиями выходят исправления для критических ошибок и уязвимостей с помощью которых ваш блог может быть взломан.

Резервное копирование WordPress

Крайне важно, выполнять резервное копирование, регулярно. Даже если ваш блог взломан, или удален полностью с сервера, резервная копия всегда поможет восстановить его после атаки. Даже если это просто резервная копия базы данных блога. База данных вашего блога, это его так сказать тело, сердце, душа и разум. А все остальное можно сравнить с одеждой и аксессуарами. Имея резервную копию базы данных, вы сможете восстановить блог, пусть даже не с оригинальным дизайном и без загруженных ранее файлов, важно что будет сохранена информация, которую вы так долго писали.

Закройте папки блога от просмотра

Начиная с версии WordPress 2.7 в каждой служебной папке WordPress, теперь присутствует файл index,php  который препятствует просмотру содержимого папки, с помощью обычного браузера. Также запретить просмотр папок без индексного файла, можно с помощью добавления строчки «Options -Indexes» в файл .htaccess. Если вы не обновляете свой блог, обязательно воспользуйтесь этим советом и как минимум создайте пустой файл index.html в папках «wp-content/plugins» , «wp-content/uploads».

Отключите сообщения о ошибках авторизации

Изначально при неправильной авторизации в WordPress, система сообщает о том, что вы неправильно ввели пароль или что пользователь не существует в системе. Эти сообщения желательно отключить, это затруднит подбор пароля и проверки существования пользователя в базе данных блога. Сделать это можно несколькими способами:

Отредактировать файл «functions.php» который лежит в папке шаблона вашего блога, добавив строчку:

add_filter('login_errors',create_function('$a', "return null;"));

Либо установить замечательный плагин Secure WordPress, в настройках которого, можно просто поставить галочку в пункте про отключение ошибок авторизации.

Скройте версию WordPress

Особенно это важно, если вы по какой-то причине длительное время не обновляете блог. Знание версии программного обеспечения облегчает поиск уязвимостей в этом самом программном обеспечении, так зачем упрощать работу плохим людям, пусть помучаются, открываем файл «functions.php» и добавляем строчку:

remove_action('wp_head','wp_generator');

Второй способ более простой, устанавливаем все тот же плагин Secure WordPress и в настройках ставим галочку напротив пункта «Версия WordPress».

Удалите пользователя admin

Я думаю все знают, что самым главным пользователем в блоге является пользователь admin, и имя пользователя admin идет по умолчанию, при установке WordPress. Так было до версии WordPress 3.0, теперь при установке, пользователю дают возможность выбрать логин для администратора блога. Если же ваш блог установлен давно, то я практически уверен, что в нем есть пользователь admin с правами администратора блога. Соответственно, злоумышленники будут пытаться подобрать/взломать пароль именно этого пользователя. Самый просто способ поменять имя пользователя с admin на какое-то другое:

1. Создаем нового пользователя с правами доступа «Администратор».
2. Выходим из панели администрирования блога и заходим под новым пользователем.
3. Убедитесь в том, что все опции администрирования блога, вам доступны при авторизации с новым логином
4. Найдите пользователя admin и удалите его. При удалении, вас спросят, на какого пользователя переназначить существующие записи которые сделал пользователь admin, естественно это нужно сделать на пользователя которого вы только что создали.

Также можете попробовать воспользоваться плагином User Changer, но я обычно делаю это средствами WordPress.

Создайте безопасный пароль для администратора

Очень часто я сталкиваюсь с паролями, которые можно легко угадать. Простой пример, дата рождения идем вКонтакте / Одноклассники еще куда-то, и ищем информацию о авторе блога, дата рождения там есть практически всегда. Поэтому не делайте таких простых паролей, ваше имя или фамилия, набранные на латинской раскладке это все тоже предсказуемо. Не облегчайте задачу человеку, который захочет завладеть вашим ресурсом.

Попробуйте сгенерировать пароль например здесь, там даже есть подсказка, как запомнить ваш новый пароль.

Это касается паролей на администрирование блога, доступ по ФТП и конечно же доступ в панель управления хостингом.

Измените ключи шифрования WordPress

В инструкции о том, как установить WordPress, я писал что эти ключи необходимо менять, точнее заполнять, сразу же после установки блога. Находятся они в файле конфигурации wp-config.php, выглядят вот так:

define('AUTH_KEY',         'впишите сюда уникальную фразу');
define('SECURE_AUTH_KEY',  'впишите сюда уникальную фразу');
define('LOGGED_IN_KEY',    'впишите сюда уникальную фразу');
define('NONCE_KEY',        'впишите сюда уникальную фразу');
define('AUTH_SALT',        'впишите сюда уникальную фразу');
define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
define('LOGGED_IN_SALT',   'впишите сюда уникальную фразу');
define('NONCE_SALT',       'впишите сюда уникальную фразу');

Ключи генерируются на специальном сервисе WordPress, просто откройте страницу, скопируйте строки и вставьте их в файл конфигурации.

Ограничивайте количество попыток авторизации

Мы с вами поменяли логин администратора блога, и подобрали хороший пароль. Но ведь все еще можно сидеть и пытаться подобрать пользователя или пароль, правда сомневаюсь что это будет легко, с отключенными сообщениями о ошибках авторизации, но это еще не все. Установите плагин Login Lockdown, который будет блокировать IP-адрес после нескольких неправильных попыток авторизации. Представляете мучения, через которые необходимо пройти, чтобы подобрать данные авторизации к блогу?

Установите плагин WordPress File Monitor

Задача плагина, проверять файлы в папке вашего блога, и сообщать на почту или в панели администрирования блога о том, что произошли какие-то изменения в файлах. Плагин сообщает о изменениях в файле, о появлении новых файлов и удалении существующих. Поэтому если кто-то без вашего ведома что-то попытается изменить на вашем блоге, вы сразу же об этом узнаете. Рекомендую также настроить исключения, например на папку где храниться кэш или какие-то маловажные файлы которые часто меняются.

Установите плагин WP Antivirus

Про него я уже много писал и писать не перестану. Плагин который проверяет файлы шаблона вашего блога, на наличие вредоносного кода и если находит что-то подозрительное сразу же сообщает на почту. В отличии от File Monitor этот сообщает в каком файле и какой строке он нашел подозрительный код.

Установите плагин WP-Security Scan

Плагин проверяет настройки безопасности блога, и позволяет легко и быстро исправить многие из них. После того как установили, проверили и исправили что можно было исправить, плагин можно отключать и удалять.

Я когда-то писал отдельный пост про плагины для безопасности WordPress, ознакомьтесь, возможно найдете что-то интересное и для себя. Также очень много про плагины для безопасности написано у Шакина.

Защитите файл настроек WordPress wp-config.php

Как вы наверное знаете, в этом файле хранятся очень и очень важные данные. Там записаны, логин, пароль и имя базы данных, для работы вашего блога, ну конечно не только эти данные, но это очень важны. Поэтому будет очень плохо, если этот файл попадет в руки нехорошим людям. Чтобы такого не случилось, добавьте следующие строки в файл .htaccess:

order allow,deny
deny from all

Также для тех кто знает что такое chmod, рекомендуется установить chmod 750 на файл «wp-config.php» сделать это можно через FTP соединение введя команду chmod 750 wp-config.php.

Это были простые способы которыми можно сделать свой WordPress блог более безопасным, теперь начинаются те, которые либо сложно реализовать простому пользователю, либо те, которые работают не на любом хостинге.

Используйте SFTP вместо FTP

Это легче написать чем сделать. На большинстве хостингов, не работает ни sFTP ни FTP+SSL. Есть еще варианты пользоваться SSH вместо FTP, такое возможно чаще всего лишь в тех случаях если вы покупаете VPS хостинг, поэтому останавливаться на этом пункте подробнее я не стану. Если ваш хостер поддерживает защищенное FTP соединение, или предоставляет SSH доступ, пользуйтесь на здоровье.

Используйте SSL шифрование

Опять же, работает не на любом хостинге. Многие хостеры не предоставляют возможность работы через SSL, либо предоставляют по запросу или за дополнительные деньги. В WordPress есть поддержка SSL, для включения, необходимо просто прописать в файле конфигурации wp-config.php строчку

define('FORCE_SSL_ADMIN', true);

после этого WordPress будет пытаться открывать панель администрирования, через зашифрованное соединение.

Измените префикс таблиц в БД WordPress

По умолчанию, префикс таблиц, в базе данных WordPress установлен как «wp_» это упрощает использование уязвимостей с MySQL инъекцией, когда известны названия таблиц, намного проще встроить в них какой-то вредоносный код, выбрать из них необходимую информацию или просто попытаться удалить. Изменить префикс можно с помощью phpMyAdmin, кто знает что это такое, тому не нужно объяснять как это сделать. Также для этого есть много плагинов, которые облегчают задачу пользователю, но не всегда корректно работают. Поэтому перед изменением обязательно сделайте резервную копию базы данных.

Переместите файл wp-config.php

Мало кто знает, что файл конфигурации WordPress «wp-config.php», можно вообще убрать из папки блога, на один уровень вверх, там где его никто не найдет. К примеру блог находится в папке «/domain.com/public_html/» как правило к папке «domain.com» доступа через веб уже нет, но если переместить туда файл wp-config.php, WordPress все еще будет работать, потому как умеет искать файл конфигурации в папке на уровень выше. (получилось немного запутанно, но надеюсь что разберетесь).

Дополнительная авторизация wp-admin

Если ваш хостинг позволяет устанавливать пароли на отдельные папки сайта, обязательно воспользуйтесь этим, и установите пароль на папку wp-admin. В этом случае, даже если кто-то узнает логин/пароль для панели администрирования вашего блога, ему понадобится отгадывать еще один пароль, для доступа к папке, не знаю как он, но я бы уже отказался от мысли попасть в админку вашего блога.

Права доступа к файлам и папкам

Можно очень долго пытаться рассказывать что такое chmod 755 или r+w и другие всякости, на тему прав доступа к файлам вашего блога, понадеемся на то, что вы не меняли никаких прав и все у вас как нужно, но на всякий случай:

/wp-admin/  — папка панели администрирования: доступ на запись файлов, должен быть только у пользователя хостинга.
/wp-includes/  — служебные файлы WordPress: доступ на запись файлов, должен быть только у пользователя хостинга.
/wp-images/  — картинки WordPress: доступ на запись файлов, должен быть только у пользователя хостинга.
/wp-content/  — различное содержимое добавляемое пользователями блога: доступ на запись файлов, может быть у всех, пользователя, группы и публичный. Однако по некоторым рекомендациям доступ на запись ограничивают и для этого каталога.
/wp-content/themes/  — шаблоны WordPress блога: доступ на запись файлов, должен быть только у пользователя хостинга, если хотите использовать встроенный редактор шаблонов, тогда доступ нужно дать и для группы
/wp-content/plugins/  — плагины WordPress: доступ на запись файлов, должен быть только у пользователя хостинга.

Если вы не хотите выполнять все эти пункты, или у вас возникли проблемы обращайтесь, я с радостью помогу сделать ваш блог более безопасным.

А у кого есть компьютер и Wi-Fi тому обязательно пригодится сайт на котором есть  всё для пользователя компьютера, он и является спонсором этого поста.

Почитать еще:

1. Исправление безопасности WordPress 2.8.4
2. Исправление безопасности — WordPress 2.6.2
3. 10 плагинов для безопасности WordPress блога

Плагин этот необходим для того, чтобы блокировать, попытки авторизоваться в панели администрирования блога, с несуществующими логинами, или после определенного количества введенных неправильных паролей. Таким образом блог будет защищен от взлома методом перебора паролей, кроме того, плагин умеет отключать сообщения о ошибках авторизации. Эта функция полезна для того, чтобы плохие дядьки которые хотят ваш блог, не догадались что именно они ввели неправильно.

Плагин ведет список заблокированных IP адресов, которые всегда можно разблокировать в панели администрирования.

После того как вы установите плагин, можете быть спокойны за безопасность блога и послушать очередной подкаст Димка, в котором он рассказывает много про Twitter.

p.s. Старайтесь не проверять работоспособность этого плагина, со своего IP-адреса, чтобы не заблокировать самого себя

Почитать еще:

1. Безопасность WordPress: Находим зараженные записи
2. Плагин Simple Tags на WordPress 2.7
3. Плагин WordPress Exploit Scanner