Už celkem drahnou dobu píši tento blog. Nedávno jsem poslal kamarádce odkaz na nový článek a ona mi odepsala, že se na web nemůže dostat. Prý ji tam skáče nějaká reklama o desetitisícím návštěvníkovi a ať klikne, pokud chce něco vyhrát.
Moje reakce byla jasná, má na svém PC vir. Mně to nedělá. Ať si pořádně zkontroluje notebook (skript totiž maskuje svou přítomnost před administrátorem a vše tak vypadá normálně).
Chyběla mi pokora, byl jsem tak nabubřelý, že mi vůbec nedošlo, že problém by mohl být na mém webu. Mám ho zabezpečený (Ithemes Security), nic se přece nemůže stát. Jenže se stalo. Web napadli hackeři přes nezabezpečený soubor searchreplacedb2.php (aspoň si to myslím).
Search Replace DB je uživatelsky přívětivý nástroj pro vývojáře. Bohužel není nijak zabezpečen, a proto je to významné bezpečnostní riziko pro váš web. Pokud ho v rootu svého WordPressu máte, okamžitě ho odstraňte, nebo alespoň zabezpečte.
Jak hackeři útok provádějí sepsal jeden bloger tady.
Jak jsem vyřešil útok já?
Prošel jsem logy, včetně logu FTP (webhosting), přes FTP infikované soubory nahrány nebyly, takže k nahrání muselo dojít přes špatně zabezpečený skript (ano, trvalo mi celkem dlouho, než jsem přišel na searchreplacedb2.php a hodně mi pomohl Internet). Obnovil jsem web ze zálohy, zabezpečil přes .htaccess, wp-config (především bezpečnostní klíče), změnil prefix databázových tabulek, zamkl wp-admin, změnil hesla a smazal soubor searchreplacedb2.php (to udělejte jako první).
Nejsem bezpečnostní expert, ale zatím je klid. Pokud budete mít podobný problém, snad vám tento článek pomůže.