Wordfence patří mezi nejoblíbenější bezpečnostní pluginy pro WordPress. Má v sobě zabudovaných spoustu funkcí, které dokáží vaši instalaci nejen ochránit ale také v případě jednodušších napadení i nahradit napadené soubory novými. Rozhodl jsem se otestovat za jak rychle dokáže nalézt problém a upozornit mě na něj.
Po instalaci Wordfence a letmé konfiguraci vám připomene to nejdůležitější – nezapomenout přidat administrátorův email.
Wordfence vás bude neustále pobízet k zadání emailu, kam v případě problému zašle zprávu.
Pro účely testu jsem Wordfence nainstaloval na blog, kde mám upravenou šablonu, což je jednou ze známek napadení – změněný zdrojový kód.
Ve verzi zdarma dochází ke scanování instalace automaticky jedenkrát za den. V placené můžete scanovat dle libosti a nastavit si přesný čas.
Mě osobně dorazilo upozornění zhruba po 8 hodinách. Email byl odeslán přes PHP funkci mail(). Takže pozor v případě napadení některé webhostingy tuto funkci automaticky vypínají, aby nedocházelo k posílání spamu a zavirovaných emailů. Samozřejmě pošlou i email tomu kdo si službu objednal. Problém může být pokud máte třeba pro bezpečnostní incidenty zřízenou speciální schránku, která přeposílá SMSky.
Varování, které dorazilo vypadalo následovně:
Wordfence zjistil problém v šabloně a jednom pluginu. Následně poslal email s varováním a seznamem podezřelých souborů, v kterých je něco špatně.
Asi nejdůležitější zjištění je, že odesilatelem je wordpress@domena.tld. Není tak problém takovéto emaily pomocí filtru přeposlat anebo s nimi provést jinou akci – poslat SMSku. Minimálně stojí za to je zvýraznit. V případě napadení instalace jde totiž o čas.
Z výše zmíněného emailu lze vyčíst, že problém není jen v šabloně, kterou jsem přepsal ale také v jednom z pluginů, což mě celkem překvapilo.
V logu scanování je pak vidíte samotný problém. Není označen jako kritický, pouze našel rozdíl mezi originální šablonou v repositáři a tou aktuální.
Wordfence našel rozdíl mezi aktuální šablonou a tou v repositáři.
Ve výpisu pak jsou vidět varování. Wordfence umí poměrně slušně vyhodnocovat hrozbu. Moje úpravy šablony označil žlutým trojúhelníkem s bílím vykřičníkem. Pokud by tam byl červený křížek, jedná se o bezpečnostní hrozbu.
Pouze varování a informace, že asi administrátor editoval šablonu.
Jak vypadá napadení
Pomocí Wordfence už se mi podařilo pár WordPressů zbavit problémů, bohužel právě žádný napadený nemám po ruce. Až se nějaký zase objeví, tak zkusím udělat návod krok za krokem jak WordPress opravit. Popravdě pokud to jde, tak se použije vždy záloha a je klid 🙂
Mám tu jeden screenshot z napadeného webu, který byl infiltrován soaksoak v průběhu prosince. Respektive to co zůstalo v záloze.
Zazálohovaná infiltrace Soak Soak. Naštěstí už nenapáchala žádné škody 🙂
