Основні ознаки хака. «Крякозябри» (помилки в кодуванні) в адмін панелі управління, а також проблеми з відображенням блогу, коли замість сторінок сайту виводиться повідомлення «hacked by Badi».
Не варто панікувати - лікування цього хака не таке вже й складне. Хоча те, що сталося змушує задуматися! В першу чергу багато питань розробникам WordPress - черговий їх косяк, яких було і є більш ніж достатньо. Проблема торкнулася всіх версій WordPress - від 3.3 до 3.5 і навіть останньої 3.5.1 (яка теж виправляє якісь баги). Пам'ятається, в системі typo3 є окремий штат (група розробників) яка займається виключно безпекою і регулярно виявляє проблеми не тільки ядра, але і сторонніх модулів! Зрозуміло, що в Wordpress теж є хтось подібний, але працює, мабуть, недостатньо добре.
Виправляємо проблему hacked by Badi
1. Насамперед потрібно виправити кодування в базі даних. Хак якимось чином змінює її з UTF-8 на UTF-7. Цим і пояснюються «кракозябри» в панелі управління при відображенні російськомовних символів.
Заходимо в Phpmyadmin і вибираємо потрібну базу даних, якщо їх декілька. Нам буде потрібно змінити параметр blog_charset в таблиці wp_options (замість префікса wp_ може бути інший, зазначений при створенні блогу). Найпростіше перейти в розділ пошуку по базі, ввести фразу «blog_charset» і вибрати потрібну таблицю.
Phpmyadmin знайде 1-6 записів з таким параметром, серед яких буде з встановленим значенням UTF-7. Редагуєте її і замінюєте UTF-7 на UTF-8.
Зберігаєте таблицю. З базою даних все.
2. Заходьте в адмінку WordPress в розділ «Параметри» - «Загальні» (General) - тут потрібно буде виправити заголовок сайту. тому хакер додав туди свій текст.
3. Фінальний етап - виправити віджети. В однойменному розділі ви побачите, що всі ваші віджети були видалені, а замість них відображається один єдиний, з незрозумілих кодом втутрі.
Це одна з попередніх версій вашого сайту, яку «пам'ятає» пошуковик. Якщо хакнули блог недавно, то в кеші буде зберігається нормальний вигляд сайту і ви зможете підглянути все віджети, які були встановлені до цього. До речі, якщо у вас в блозі не було віджетів, то візуальних проблем з самим сайтом у вигляді напису «hacked by Badi» спостерігатися не буде. Потрібно буде тільки підправити базу даних і заголовок в настройках системи. Ось вам і зручність системи на шкоду безпеці.
Взагалі, звичайно, за рекомендацією розробників WordPress після усунення помилок потрібно постаратися «закрити» всі уразливості системи. І ось тут то питань виникає більше ніж відповідей. Як зловмисник зміг потрапити в базу даних без логіна і пароля (очевидно, що вони не були вкрадені, тому що в противному випадку він би міг взагалі весь сайт видалити). Як він зміг прибрати віджети і створити свій. З огляду на що проблеми спостерігалися на абсолютно різних версіях вордпресс з різними плагінами - очевидно, що проблема в ядрі системи. Що ж будемо чекати чергових оновлень, за інформацією з форуму глюку більше 2-х тижнів, а заплатки на помент написання статті немає (версія 3.5.1 не рятує).
Сподобався пост? Підпишись на оновлення блогу по RSS. Email або twitter.