Sziasztok,
Márciusban telepítettem egy wordpress-t, akkor a 2.1-es verziót. Minden szép és jó volt, végre egy cms amit lehet használni. DE… bloggolásra használtam, és mikor Thaiföldről bejelentkeztem, észrevettem, hogy megtörték a lapom. A title részben az volt, hogy "Hacked by akárki… " (már nem emlékszem) Nos, “ez van” alapon akkor sokmindent nem tudtam vele kezdeni, a cucc működött, úgyhogy kintről bloggoltam tovább, a bejegyzések szépen fel is kerültek, de a megjegyzést folyamatosan telespammelték. A title részből idő közben eltűnt a hacked by akárki és visszaállt a rend, de a spammelések megmaradtak, annak ellenére, hogy már be van kapcsolva az is, hogy csak regisztrált felhasználó tudjon megjegyzést írni. A spamek nem jelennek meg, de bosszantó, hogy az admin felületen állandóan törölgetnem kell a sok sz_rt.
Gondolom az oldalam még mindig törés alatt áll, így most frissíteni akartam 2.3-ra, hátha az megoldja dolgokat, de most is erős szívást diagnosztizáltam, mivel frissítés után, az admin felületre belépve azt mondja nekem a WP, hogy “Az adatbázisod nem a legújabb verzió. Itt frissítheted.” A linkre kattintva meg kapok egy szép, patyolat fehér oldal és nem történik semmi.
Van valakinek valami ötlete? (a törés megszüntetésére is, meg a frissítésre is)
Valamint kérdés, hogy létezik-e valami verifikációs plug-in a megjegyzések kezelésére, hogy az ismerősök azért mégiscsak tudjanak írni…
Előre is köszi, ha valaki segít.
István
www.kovacsistvan.hu
szia!
most per pillanat nemtudnék semmi okosat mondani, de utána fogok nézni mert nekem jópár oldalam van már wp 2.x alatt és semmi esetre sem szeretném ha egy unatkozó kisiskolás vagy nagyiskolás viccböl megtörtné “miértne?!” alapon. Amit megtudtam természetesen kifogom ide posztolni.
Érdekes az oldalad bytheway…
Előre is köszi!
Szuper lenne valami megoldást találni, mert kicsit uncsi a heti 3-400 spam 
István
a spam ellen vannak antispam pluginek. csak installálod és kész!
a feltörés ami veszélyesebb legalábbis számomra, föleg hogy az esetek 1%-ában hagyom benne a kódban a commentekre vonatkozó részeket.
Igen, a feltörés a gázosabb, illetve most az a helyzet, hogy hiába is nyomok be szerintem valami plugint, hiszen most úgy tettek be megjegyzéseket, hogy az nem is volt engedélyezve. Mivel úgy is tele tudták szemetelni, így engedélyeztem is, mert hát tökmindegy, de azért egy ilyen antispam cuccot azért beszerzek
István
Szerintem valamilyen módon rálátott a wp-config.php fileodra, kis rafinériával rájött hogy hol érhetö el a phpmyadmin felülete a tárhelyednek, belépett a megfelelö user / pass kombinációval és az adott táblában átírta a Blog Title-t.
Miután a user / pass megvan az adatbázishoz, onnan egy perc hogy átirja a kódodat és / vagy csak létrehoz magának egy user-t és már benn is van az admin felületen. Megyjegyzem tartalom beli változtatásokhoz nem is kell az admin felület, elég az adatábzis. Az egyetlen apró bibi, hogy miként jutott hozzá a wp-config.php-hez. Most szorgosan kisérletezem a saját wp-mel!
Az elv már megvan. Remélem jó úton járok, sokat segítene abban hogy kitaláljak valami ellenszert.
Ha jutsz valamire, örömmel venném - és gondolom a többiek is - ha megosztanád velünk. Bár több wordpress blogot üzemeltetek, szerencsére eddig ilyen problémát nem tapasztaltam. Spam jön váltakozó intenzitással, de azoknak megvan a maguk karmája…
sajnos egyelőre semmi… google sem akar a barátom lenni ebben a témakörben. meghaladja ez az én kvalifikáltságomat, de megkérdezek valakit aki nálam sokkal okosabb. hátha… mindenképp megfogom osztani!
Nem vagyok okosabb, mint a többiek, esetleg több mindent láttam már az angol nyelvű fórumban.
Feltörés (hack) legtöbbször a következők miatt történik:
- irható fájlokat hagysz a WP installban (pl. amikor online szerkeszted a theme-t)
- máshol törtek be a szerverre, és onnan már könnyen belepiszkáltak a te site-odba (is)
- “gyenge” jelszóval operálsz, és okos algoritmusok futtatásával “kitalálják”
- sebezhető a WP verziód
Amit “comment spam”-ként érzékelsz, az legtöbbször TB (trackback), és automata scriptek gyártják, teljesen mindegy, hogy engedélyezel commentet vagy sem, mert a script “megkerüli” a te beállitásaidat és egyenest az adatbázisba köpi a sz_rt…
Egyetlen védekezés: anti spam pluginek, mint Akismet, BadBehavior, SpamKarma2.
Köszi a tanácsokat!
Most pont a wp verziót próbálom frissíteni, de sajna erősen szopó helyzetet sikerült diagnosztizálnom, mivel a legújabb wp verzióm azt mondja, amikor az adminra szeretnék menni, hogy frissítsem az adatbázis. Kattintok a linkre, aztán lőn nagy fehérség, egyéb nem történik. Valahogy nem szeretném a bejegyzéseimet újra írni, de lehet, hogy aztán ez lesz a vége… Esetleg valami ötlet?
István
Hát, az nem a legideálisabb “upgrade” eljárás…
- Back-up copy minden létező fájlról és az adatbázisról!
- Deaktiválsz MINDEN plugint!!!
- Törölj minden fájlt és könyvtárat KIVÉVE: wp-content alkönyvtár, .htaccess file (ha van) és wp-config.php file.
- Feltöltöd az új fájlokat
- domain.hu/wp-admin/upgrade.php-t beirod a böngészőbe és hajrá!
Szia,
Szuper, most minden oké. Akismet teszi a dolgát, szépen szűr. Sikerült frissítenem is. Bár most meg nem magyar a cucc, de mindjárt utánanézek nyelvi résznek.
Mégegyszer köszi.
István
Örülok, hogy működött a varázs. Ãm ha az itt megjelenő “Weblap” blogról van szó, az nekem azt mutatja, hogy 2.1.3 verzió… holott a legfrissebb 2.3!
És amennyiben a “nem magyar” a theme megjelenitésére utal - semmilyen theme nem forditódik automatice a WP magyaritás által. Külön kell nekik kézi forditás vagy .mo file.
Hello minenki!
Nem kezdek uj temat, ha rossz helyre irom, szoljatok.
Szoval feltortek az egyik fejlesztes alatt allo oldalamat. “Sima” link injection-rol beszelunk. Probalom megtalani a fertozott file-okat de nem tul sok sikerrel. Talaltam egy linket, ami leirja a dolgot, meg a spam linkek url-jei is stimmelnek, de a megoldasrol sajnos nem irnak semmit.
http://blog.sucuri.net/2011/04/link-injection-on-hacked-wordpress-sites-blackhat-seo-spam.html
A dolog ota termeszetesen atolvastam egy csomo cikket wp biztonsagrol,atirtam az .htaccess fileokat es kicserletem a db prefixet,pluginek kikapcsolva, es igy tovabb, de a fertozott file-okat nem talalom. Az adatbazis tisztanak tunik, legalabbis a post-okban nem latom a linkeket, csak az adminban es magan az oldalon.
Ha barkinek van valami otlete, hogy merre keressem, azt megkoszonnem!
minek keresni?
ha újra felmásolod a wp-t meg a pluginokat, akkor úgyis felülíródnak!