वर्डप्रेस बैकडोर हैक:लक्षण, खोजें और ठीक करें

WordPress Backdoor क्या है?

हर साल हजारों वर्डप्रेस साइट्स संक्रमित होती हैं और संख्या बढ़ रही है। फिर इन हैक की गई वेबसाइटों का उपयोग धोखाधड़ी और स्पैम फैलाने के लिए किया जाता है। अक्सर मालिक और डेवलपर संक्रमण से अनजान होते हैं। संक्रमण लगातार हो सकता है या नहीं भी हो सकता है। तो, एक वर्डप्रेस पिछला दरवाजा उस दृढ़ता को बनाए रखने में मदद करता है। एक वर्डप्रेस पिछले दरवाजे वह कोड है जो एक हमलावर को सर्वर पर लगातार अनधिकृत पहुंच की अनुमति देता है। यह अक्सर कहीं छिपी हुई एक दुर्भावनापूर्ण फ़ाइल होती है। या कभी-कभी यह एक संक्रमित प्लगइन हो सकता है। हर महीने नए वर्डप्रेस बैकडोर हैक वेरिएंट मिल सकते हैं।

हैकर्स अभी भी एक वर्डप्रेस पिछले दरवाजे को इंजेक्ट करने की कोशिश कर रहे हैं। पिछले कुछ वर्षों में संक्रमण फैलाने के लिए कई प्लगइन्स का उपयोग किया गया है। इसलिए खतरा कहीं से भी आ सकता है। बाद में, वर्डप्रेस बैकडोर को हटाना एक समय लेने वाली और संसाधन-गहन प्रक्रिया हो सकती है। हालांकि, निवारक उपाय अभी भी नुकसान को नियंत्रित कर सकते हैं। एक सुरक्षित वर्डप्रेस साइट हमले में देरी कर सकती है यदि इसे रोका नहीं गया है। हम इस ब्लॉग में पिछले दरवाजे को खोजने और ठीक करने के बारे में अधिक देखेंगे।

संबंधित मार्गदर्शिका - वर्डप्रेस सुरक्षा चरण-दर-चरण मार्गदर्शिका को पूरा करें (हैकिंग जोखिम को 90% तक कम करें)

WordPress बैकडोर हैक होने का क्या कारण है?

वर्डप्रेस साइट सेट करना अपेक्षाकृत आरामदायक है। लेकिन कई खामियां वर्डप्रेस बैकडोर का मार्ग प्रशस्त कर सकती हैं। तो, सादगी के लिए, हम इसे पहले कुछ तक कम कर सकते हैं। ये हैं:

• कभी-कभी यह बग्गी प्लगइन या थीम के कारण हो सकता है।
• आपकी साइट लॉगिन जानकारी कमजोर या डिफ़ॉल्ट हो सकती है।
• फ़ाइल अनुमतियां कम हो सकती हैं, संवेदनशील फ़ाइलें उजागर हो सकती हैं।
• फ़ायरवॉल या किसी भी प्रकार के सुरक्षा समाधान का उपयोग न करें।
• स्थापनाएं पुरानी हो सकती हैं।
• एक संक्रमित सर्वर को अन्य वेबसाइटों के साथ साझा करना। सबनेट के लिए अपने सेवा प्रदाता से पूछें।

WordPress बैकडोर ढूँढना

थीम में पिछले दरवाजे का पता लगाना

वर्डप्रेस पिछले दरवाजे को छिपाने के लिए निष्क्रिय थीम सबसे अच्छी जगह है। हैकर्स इस तथ्य से अवगत होते हैं और अक्सर आपकी साइट में ऐसे विषयों की तलाश करते हैं। इसका कारण यह है कि आपके वहां जांच करने की संभावना कम है क्योंकि यह निष्क्रिय है। WP थीम्स में functions.php . नामक एक महत्वपूर्ण फ़ाइल होती है . यह फ़ाइल देशी PHP, वर्डप्रेस और अन्य कार्यों को कॉल करने के लिए ज़िम्मेदार है। तो, सरल शब्दों में, इसका उपयोग किसी भी प्रकार के ऑपरेशन को करने के लिए किया जा सकता है। वर्डप्रेस बैकडोर पाने के लिए अक्सर हमलावर इस फाइल को इंजेक्ट करने की कोशिश करते हैं। ऐसा ही एक उदाहरण नीचे इमेज में दिया गया है।

फ़ाइल में यह दुर्भावनापूर्ण कोड है functions.php . जब हमलावर यूआरएल पर जाता है तो इसे ट्रिगर किया जाता है। www.yoursite.com/wp-includes/registration.php तो यह फ़ंक्शन

id: backdooradmin

password: Pa55W0rd.

इसलिए यदि आप उपयोगकर्ता को हटा भी देते हैं, तो उन्हें इस URL पर जाकर फिर से बनाया जा सकता है। यह वर्डप्रेस बैकडोर का एक विशिष्ट उदाहरण है। हालाँकि, इस कोड को केवल पहले सर्वर तक पहुँच प्राप्त करके ही इंजेक्ट किया जा सकता है। यह एक खुला FTP पोर्ट या अन्य दोष हो सकता है।

WordPress में पिछले दरवाजे के बारे में चिंतित हैं? हमें चैट विजेट के बारे में एक संदेश भेजें और हमें इसे ठीक करने में आपकी सहायता करने में खुशी होगी। मेरी वर्डप्रेस साइट को अभी सुरक्षित करें।

प्लगइन्स में WordPress Backdoor का पता लगाएँ

वर्डप्रेस बैकडोर हैक अक्सर बग्गी प्लगइन्स के कारण होता है। पिछले कुछ वर्षों में कई प्लगइन्स छोटी गाड़ी पाए गए हैं। इस वर्ष, नवीनतम संपर्क प्रपत्र 7 था। इस प्लगइन के 5 मिलियन से अधिक सक्रिय उपयोगकर्ता हैं। दूसरी ओर, बग के कारण विशेषाधिकारों में वृद्धि हुई। जब प्लगइन फ़ाइलें संशोधित की जाती हैं, तो वे डैशबोर्ड पर दिखाई नहीं दे सकती हैं। हालाँकि, एक FTP खोज ऐसी फ़ाइलों को प्रकट कर सकती है। साथ ही, इसे वैध दिखाने के लिए, पिछले दरवाजे की फाइलों को हेल्पर फाइल कहा जाता है। प्लगइन्स में पिछले दरवाजे के कारण हैं:

• अप्रयुक्त प्लगइन्स संक्रमण के प्रति अधिक संवेदनशील होते हैं। केवल इसलिए कि वे पिछले दरवाजे को लंबे समय तक छिपा सकते हैं।
• अविश्वसनीय और अलोकप्रिय प्लगइन्स अक्सर बुरी तरह से कोडित होते हैं। इस प्रकार वर्डप्रेस बैकडोर हैक होने की संभावना बढ़ जाती है।
• अप्रचलित प्लग इन को लक्षित किए जाने की अधिक संभावना है। केवल इसलिए कि बहुत से लोग अब भी उन्हें बिना अपडेट किए चला रहे हैं।
• ये बग्गी प्लगइन्स अन्य मुख्य फाइलों को संशोधित करने में मदद कर सकते हैं।

इसलिए, किसी भी अज्ञात प्लगइन्स को खोजें। सभी अप्रयुक्त प्लग इन को साफ करें!

इंस्टॉलेशन फाइलों में पिछले दरवाजे का वर्डप्रेस स्थान

प्लगइन के संक्रमण के बाद मुख्य फाइलों का संशोधन होता है। आधार फाइलों में अनधिकृत कोड हो सकता है या नई फाइलें दिखाई दे सकती हैं। कभी-कभी पिछला दरवाज़ा यहाँ इस तरह अस्पष्ट दिख सकता है:

$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW[0!U\tuQIHf4bYm>wFz<admin@wsxdn.com&(BjX'~|ge%p+oMJv^);\"k9";
$GLOBALS['ofmhl60'] = ${$t43[20].$t43

ज्ञात तकनीकों का उपयोग करके यह कोड अस्पष्ट है। इसलिए मानव उपयोगकर्ताओं के लिए पढ़ना अधिक कठिन है। तो, इस मछली जैसे कोड से सावधान रहें और इसमें मौजूद फ़ाइलों को हटा दें। कभी-कभी पिछला दरवाजा खुद को xml.php . जैसी वैध फ़ाइल के रूप में भी प्रस्तुत कर सकता है , media.php , plugin.php आदि इसलिए वैध दिखने पर भी किसी भी फाइल को स्किप न करें। इसके अतिरिक्त, कोड को पढ़ने में कठिन बनाने के लिए अन्य तकनीकें भी हैं।

खोजें भी le mot-clé FilesMan dans vos fichiers. Par exemple, c’est le vidage de la tristement célèbre Filesman:02 . Cette porte dérobée est difficile à détecter et n’est pas visible dans les journaux. Il est utilisé pour voler des mots de passe et d’autres détails.

Par exemple, le code de la 6e ligne est au format hexadécimal. Lors de la conversion , il ressemblerait à quelque chose comme:preg_replace("/.*/e","eval(gzinfla\ . Il existe des outils disponibles en ligne pour décoder les caractères hexadécimaux. Utilise les! De plus, l’attaquant peut masquer le code à l’aide du codage base64. Alors, traitez-le de la même manière. Ici le mot FilesMan – clé est présent dans la 4ème ligne. Ces variantes de cette infection ont ce mot-clé. Parfois, il est possible que le code altère des fichiers sensibles comme .htaccess . Assurez-vous donc de bien les regarder!

Comment réparer le hack de porte dérobée WordPress?

Comparaison de la somme de contrôle

La première étape consiste à comparer les sommes de contrôle. Il s’agit d’une détermination heuristique de l’intégrité des fichiers. Une inspection manuelle peut être effectuée. De plus, des outils automatiques sont disponibles gratuitement à cet effet. Non seulement pour les fichiers principaux, mais des sommes de contrôle sont également disponibles pour les plugins et les thèmes. De plus, vous pouvez maintenir une liste noire personnelle. Cela peut être fait en utilisant des listes disponibles dans le domaine public. Une fois que les sommes de contrôle ne correspondent pas, procédez manuellement pour supprimer les portes dérobées WordPress.

Besoin d’une aide professionnelle pour supprimer WordPress Backdoors? Envoyez-nous un message sur le widget de chat et nous serons heureux de vous aider. Réparer mon site WordPress maintenant .

Intégrité des fichiers de base

Deuxièmement, après que les fichiers affichent différentes valeurs de somme de contrôle, inspectez-les manuellement. Il est très probable que le piratage de porte dérobée WordPress aurait altéré des fichiers. Ainsi, l’intégrité des fichiers d’installation peut être vérifiée. Commencez par télécharger une nouvelle copie de WordPress.

$ mkdir WordPress

$ cd WordPress

Cette commande a créé un répertoire nommé WordPress et basculé vers celui-ci.

$ wget https://github.com/WordPress/WordPress/archive/4.9.8.zip 

$ tar -zxvf 4.9.8.zip

Téléchargez maintenant la dernière version de WordPress (4.9.8 dans ce cas) en utilisant la première ligne de code. La deuxième ligne l’extrait ensuite. Après avoir terminé ces tâches, vient l’étape critique. $ diff -r path/to/your/file.php  /Wordpress/wp-cron.php . Ce code compare la différence entre les deux fichiers. Étant donné que la porte dérobée WordPress aurait modifié vos fichiers, cela affichera les modifications. Cependant, quelques fichiers sont dynamiques comme le xmlrpc.php . Ce fichier aide les utilisateurs et les services à interagir avec le site via RPC. Les pirates le savent et essaient souvent de cacher la porte dérobée ici. Vérifiez donc soigneusement pour trouver et supprimer les portes dérobées WordPress.

Encodages

Parfois, les fichiers peuvent être modifiés mais peuvent vous être illisibles. Ensuite, vous pouvez commencer le nettoyage du hack de porte dérobée WordPress en recherchant des encodages base64 . C’est là que la grep commande peut faire des merveilles. Utilisez la commande suivante:

find . -name "*.php" -exec grep "base64"'{}'\; -print &> output.txt

Cette commande listera soigneusement toutes les détections base64 dans output.txt. À partir de là, vous pouvez le décoder en texte clair à l’aide d’ outils en ligne . Aussi, si vous souhaitez rechercher dans des fichiers autres que .php simplement remplacer le mot *.php dans le code. De plus, le code malveillant pourrait également être au format hexadécimal. Vous pouvez donc utiliser grep -Pr "[\x01\x02\x03]" . Pour d’autres encodages similaires, répétez cette étape. Supprimez ces fichiers ou lignes de code malveillant pour supprimer les portes dérobées WordPress.

Utilisation des journaux du serveur

Les journaux du serveur peuvent aider à supprimer les portes dérobées WordPress. Tout d’abord, vous devez voir quels fichiers ont été modifiés après une date spécifique. Parcourez également les journaux FTP pour voir les adresses IP utilisées pour vous connecter à votre serveur. Gardez un onglet sur les fichiers récemment modifiés. Recherchez également le dossier d’images. Personne ne s’attend à ce que les exécutables soient présents dans les dossiers d’images. En outre, le dossier d’image peut être accessible en écriture. C’est pourquoi les pirates adorent s’y cacher. Assurez-vous également que les autorisations sont appropriées pour les fichiers sensibles. Définissez ainsi vos autorisations de fichier sur 444 (r–r–r–) ou peut-être 440 (r–r—–) . Voir spécifiquement pour toute modification dans le dossier images.

Mise à jour et sauvegarde

L’importance de la mise à jour de votre site Web WordPress a été soulignée à maintes reprises. Une installation obsolète est aussi bonne qu’une installation infectée.

Si vous ne parvenez pas à retracer la cause du piratage de la porte dérobée WordPress, restaurez-le à partir de la sauvegarde, uniquement après avoir pris la sauvegarde du site actuel, puis comparez les deux.

Si vous n’avez pas de sauvegarde existante et que vous souhaitez remplacer les fichiers WordPress principaux par les nouveaux. Pour cela, vous devez mettre à jour votre site Web WordPress manuellement après avoir effectué la sauvegarde du site actuel.

De plus, si une vulnérabilité est signalée avec les plugins que vous utilisez, il est recommandé de les mettre à jour immédiatement. Si le patch prend trop de temps, remplacez-le par les alternatives. Il est recommandé de rester à jour avec les blogs officiels pour obtenir les correctifs au plus tôt.

Utilisez WordPress Backdoor Scanner

Les humains sont sujets aux erreurs. L’inspection manuelle est fastidieuse et sujette à des erreurs. Cela peut provoquer le piratage de la porte dérobée de WordPress. La solution est donc l’automatisation. Il existe aujourd’hui des outils assez avancés sur le marché. Ces scanners peuvent détecter et supprimer les backdoors WordPress. Un tel est le nettoyeur de logiciels malveillants Astra . Non seulement il nettoiera votre site Web, mais il le protégera contre de futures infections. Son prix est raisonnable et vous donne une vue complète. Cela économiserait vos précieuses ressources et votre temps!