Stránky

Výpis článků se štítkem wordpress.

Wordpressové admin menu v Chrome divně poskakuje

V prohlížeči google Chrome 45 (verzi zjistíte tak, že v Chrome otevřete chrome://chrome/) je chyba, která způsobuje divné skákání položek menu ve wordpressové administraci.

Abych se zbavil té podivnosti, tak jsem podle návodu na WpTavern.com v chrome vlezl do nastavení otevřením adresy chrome://flags/#disable-slimming-paint a přepnul ten přepínač. Chrome se sám restartuje a všechno pak už bylo v cajku.

Wordpress polylang plugin po přesunu na jinou doménu přesměrovává na původní

Po přesunu z www.vyvojovadomena.cz na www.klientovadomena.cz plugin polylang dál vesele přesměrovává z indexu webu na www.vyvojovadomena.cz/cs/home…

Jak z toho ven?

Polylang si ukládá jakési nastavení do wp_options tabulky a mimo jiné i adresu domovské stránky a tu pak používá bez ohledu na nastavení klíčů site a home, takže SQL

update wp_options 
  set option_value = replace(
    option_value,
    'www.vyvojovadomena.cz',
    'www.klientovadomena.cz'
    )
  where option_name = '_transient_pll_languages_list';

problém elegantně pořeší.

O jednom hacknutém Wordpressu

Našel jsem na disku v práci uložený web, který jsem před nedávnem odhackovával :-) Tak o tom napíšu článek:

Začátek

Ozvala se mi kamarádka, že prej jí přišlo upozornění od webhostingu, že je prý něco špatně s jejich reklamou na webu a jestli to nenapraví, tak jí prý vypnou web. A jen tak mimochodem mi povídala, že prej když jde její maminka z googlu, tak se tam nedostane.

Začal jsem tedy řešit reklamy a všechno vypadalo jako obvykle... hmm, tak kde je potíž.. Tak jsem začal obecnou kontrolou.. obvykle začínám od .htaccess, protože to je první soubor na řadě poté, když uživatel přijde na web.

Našel jsem tam prapodivný kód, (který už nemám), který uživatele, co přišli z googlu, yahoo, asku a dalších vyhledávačů posílal zpět :-) Prostě lidi, kteří si vyhledali web na googlu odpálkoval zpátky. ($$$) A odtušil jsem že je něco špatně.

Záloha

I nakažený web je lepší než žádný web, takže jsem začal stahovat komplet web přes FTPS na můj počítač. Trvalo to velmi dlouho… hmm :-\ Ok zkontroloval jsem soubory, instalaci Wordpressu už celkem znám a soubory jako san.php nebo che.php nemaj v hlavním adresáři co dělat, ale vzhledem k tomu, že tyhle soubory kyžtak přepíšu, nechal jsem je zatím tam a hledal pročpak stahování tak trvá.

Proč to tak trvalo? V jedné složce bylo nacpaných 1700 php souborů… malých webovek, které zobrazovaly kombinace 400 pornofotek z další složky webu mé kamarádky. Někdo zkrátka použil její web jako multihosting pro celou řadu pornostránek!

Takže pro shrnutí: Kdo si chctěl vyhledat její web, měl smůlu, místo toho její stránky fungovaly jako 1600 malých webů s klíčovými slovy jako "free harde porno movie" "europe under age porn" "father and little daughter porn" ... zajímalo by mě, jak by se český zákon stavěl k vině/nevině kdyby tam bylo něco prudce nelegálního.. (autorská práva se přeci jen zatím u porna moc neřeší).

To ale není vešchno.

Virus také vložil do všech stránek reklamu na jakési kasíno, která vedla na web, který mi okamžitě zakázal můj antivir :-) Takže i nakažení počítačů čtenářů webu => hrozilo, že se pejkařský web dostane na černé listiny prohlížečů.

Pro zajímavost, k nakažení všech článků stačil 35 řádkový skriptík, který si zjistil heslo k DB, jméno tabulky a končil:

UPDATE $tb
    SET post_content = CONCAT(
       post_content,
       '".base64_decode('PGEgaHJlZj0iaHR0cD...aWE8L2E+')."'
       )"

Base64_decode je levný trik jak skrýt obsah... ve skutečosti se pod ním skrývá odkaz na "Online Casino Australia".

To ale ještě není všechno.

Dneska. když jsem si znovu zběžně prohlížel soubory toho nakaženého webu jsem v něm našel zip archiv "london.zip" :D a v něm můj antivir našel 2 viry.. :) takže zvědavý nezvaný čtenář, si mohl i odnést něco napamátku :-)

To ale ještě není všechno.

Už mě napadá jen poslední věc, které bych se na internetu nechtěl účastnit a to je rozesílání spamu… ano i to! Na jedné adrese kamarádčina webu se objevil mazaný formulář na rozesílání spamu… stačilo aby se na něj kdokoli připojil a mohl odeslat hromadu mailů pod falečnými adresami, u kterých ale bylo možno dohledat odkud přišly => ano ano, web mohl spandout i do spamových blacklistů…

Spamerovi se nakonec ještě objevila veselá hláška:

Jak to dopadlo?

Web jsem přemazal, přeinstaloval, změnili jsme hesla. Zjistil jsem že hackovací robot přišel nejspíše přes zákeřný nebo neaktualizovaný doplněk Wordpressu. Odkazy z článků si odstranila kamarádka sama.

Jak se tomu vyhnout?

  • Nenasazovat WP tam, kde není třeba.
  • Instalovat jen pluginy, které jsou nezbytné.
  • Pluginy a šablony, které nepoužíváte vymazat, ne jen deaktivovat.
  • Pravidelně aktualizovat úplně všechno (Wordpress, doplňky i šablony).
  • Sledovat svůj web a divné věci zkoumat.
  • Sehnat si hosting s pravidleným zálohováním (s bezplatnou obnovou), vrátit se o dva dny zpět je obvykle snazší než čistit nakažený web.

Držím nám palce, ať je zase dlouho klid!

Štítky

Profily

Další odkazy