CMS WordPress является достаточно популярной платформой для ведения блогов и создания сайтов. Это же автоматически подразумевает большое количество желающих использовать Ваш сайт для своих целей:
- перехват и перепродажа трафика
- размещение ссылок
- создание бота на Вашем сервере/сайте
- отправка спама

После серьезной атаки только наличие актуальной копии позволит восстановить рабочий сайт. При заражении сайта практически невозможно его отремонтировать на 100%. В движке порядка 4000 файлов, все их вычистить от вирусов очень сложно. Где-то что-то останется, какие-то функции после очистки сломаются. А наличие бэкапа позволит восстановить сайт на 100%. Это вообще полезное мероприятие - периодически делать полные бэкапы.
Для создания backup можно использовать или ресурсы хостинга или установить плагин BackWPup, который как понятно из названия, копирует весь Ваш сайт (все файлы и базу MySql) в облако (например DropBox).


Основных векторов атаки несколько.

Общая структура папки Вашего сайта на WordPress (на сервере хостинга) следующая



Сайт сайт запускается файлом index.php в корневой папке.

Существует два варианта входа в систему управления сайтом:

- через браузер в административную панель
вход или site.ru/wp-admin (тут расположена сама панель управления) или site.ru/wp-login.php (проверка логина/пароля)

- через мобильное приложение (Android / iOS), см. ниже - указываем логин/пароль и сайт (уже без "хвостика" /wp-admin)



после проверки логина/пароля в файле wp-login.php происходит переход к файлу xmlrpc.php, вид самой мобильной панели управления зависит от используемого приложения.

Итого нам надо перекрыть (добавить проверку на уровне сервера) три пути входа:
- файл проверки логина/пароля site.ru/wp-login.php
- административную панель (папка) через браузер site.ru/wp-admin
- файл для работы с мобильным приложением site.ru/xmlrpc.php

Взлом с использованием выявленных уязвимостей WordPress - скрываем информацию о текущей версии.

В свежеустановленной системе информация о версии показывается:
- в коде любой страницы
ищем <meta name="generator" content="WordPress 4.4.2" />

- в коде ленты RSS по адресу http://site.ru/feed/
ищем <generator>https://wordpress.org/?v=4.6.4</generator>

- в файле site.ru/readme.html
Важно: если Вы уже установили защиту папки /wp-admin, то файл просто так у злоумышленника не откроется, будет запрошен логин/пароль сервера, т.к. в этом файле есть отсылки к данным внутри административной панели.

- в коде страницы входа

site.ru/wp-login.php

- в файле русификации движка по адресу
site.ru/wp-content/languages/ru_RU.po

Смотрим исходный код страницы, ищем "ver" в подключениях таблиц стилей

1 <link rel='stylesheet' id='buttons-css'  href='https://www.site.com/wp-includes/css/buttons.min.css?ver=4.4.2' type='text/css' media='all' />
2 <link rel='stylesheet' id='dashicons-css'  href='https://www.site.com/wp-includes/css/dashicons.min.css?ver=4.4.2' type='text/css' media='all' />
3 <link rel='stylesheet' id='login-css'  href='https://www.site.com/wp-admin/css/login.min.css?ver=4.4.2' type='text/css' media='all' />


Список плагинов для безопасности WordPress можно посмотреть 

http://ahawks.ru/wordpress/plagin/plagin-dlya-zashhity-wordpress-sajta-2.html
  • CMS WordPress (14243)

    WordPress - система управления сайтом. Официальный сайт wordpress.org Изначально была ориентирована больше на ведение блогов, но и обычный сайт на этой системе можно сделать неплохой. Первый релиз был выпущен в мае 2003 года. Система написана на PHP, поддерживает базы MySQL. Возможно создание нескольких сайтов под управлением...

  • Как скрыть логин пользователя WordPress (1571)

    Посмотрим статистику.Для начала устанавливаем плагин Activity Log (логгирование действий пользователей), активируемИ видим следующие картинуКто все эти люди и откуда они знают мой логин? Это не люди мучают клавиатуру с ручным подбором паролей, это боты (зараженные компьютеры). Точнее даже не компьютеры, а...

  • Защита WordPress (763)

    CMS WordPress является достаточно популярной платформой для ведения блогов и создания сайтов. Это же автоматически подразумевает большое количество желающих использовать Ваш сайт для своих целей:- перехват и перепродажа трафика- размещение ссылок- создание бота на Вашем сервере/сайте- отправка...

  • Плагин для SEO (529)

    Что бы заниматься продвижением сайта (SEO), нужно как минимум получать информацию по посетителям и отслеживать сайт в Вебмастере поисковых систем.1. Установка счетчиков на сайт и прав на сайт в ВебмастереВсе делает один плагин WordPress DL Verification.Конечно, необходимо предварительно зарегистрироваться и в...

  • WordPress & FaceBook (514)

    Интеграция с facebook - зачем это нужно?Это еще один катал продвижения Вашего сайта. Суть - Вы делаете в facebook страницу, ей посетители ставят"лайк", Вы выкладываете в ленту свои события, посетители их видят в своей ленте. Точнее, Вы события выкладываете на сайте, они с помощью плагина...

  • WordPress: плагин или изменение кода (478)

    На многих ресурсах предлагаю внести изменения в код в файле function.php, тем более, что WordPress позволяет сделать это через встроенный редактор.Здесь добавили, тут поменяли - все отлично работает.Насколько это хорошо? Решив быстро текущую проблему, Вы обеспечиваете себе много проблем на...

  • "Мусорные" страницы (410)

  • Выбор темы для сайта на WordPress (157)

    Выбираем внешний вид сайта. Что тут сложного?Собственно - формат внешнего вида сайта обычно такой.Но следует понимать, что WordPress как бы состоит из двух частей - собственно "движка" сайта и "темы", которая определяем его внешний вид. Т.е. один и тот же сайт после смены темы будет выглядеть...

  • Плагины для "хлебных крошек" (135)

  • Защита базы данных сайта MySql (106)

    База данных на сервере хостинга - основное место, где хранятся "детальки" от Вашего сайта. Если туда что-либо записать лишнего - то движок WordPress это и покажет = и это уже будет не Ваш сайт :( Прямая атака на базу MySql По умолчанию, при установке WordPress создает в базе таблицы с префиксом...

  • Базовые настройки темы Graphene (94)

    Рассмотрим одну из привлекательных тем для WordPress - Graphene.Тема устанавливается как обычно - поиск - установить - активировать.Можно также скачать с сайта разработчика www.graphene-theme.comТема прелесть:- адаптивный дизайн (т.е. и на ПК и на телефоне будет по разному показываться)- можно задавать двух- или трех- колоночный дизайн- можно выбирать ширину...

  • Дочерняя тема WordPress (88)

    Зачем нам это надо?В двух словах - разработчик периодически выдает обновления своей темы. Если тему обновить - то все наши ручные правки пропадут.Предвижу возражения - "я там ничего не правил, все сделано стандартными методами...". Я тоже так думал, это как бы как с движком WordPress - можно...