Hỏi Website WP bị tấn công do đâu

Chào các bác

Hiện tại mình có gặp trường hợp như thế này
Website của mình dùng wordpress có cài theme, và plugin trên store của wordpress
Mình có chmod 0777 vì cài đặt cần ghi file
Sau chạy 1 thời gian thì phát hiện có vài thư mục lạ được tạo ra, và rất nhiều backlink vào thư mục này
Mình thấy tất cả backlink này đều là site WP bị chèn backlink tới nhau, google bot vào rất nhiều
Vậy cho mình hỏi là bị tấn công dạng nào?
Mình nghi là mã độc ở theme hoặc plugin mình cài, hoặc bị scan vps

 

Chạy trên sharehost hay vps thớt đễ bị local hack cmnr

 

theme free ở kho giao diện của wp b ạ

 

nên phòng tránh ntn vậy ad?

 

Ở tầng WP:

- Đợt vừa rồi Elementor bị zero-day, nếu bạn dùng thì có thể bị từ đây
- Scan bruteforce, cái này khả năng cũng cao => dùng wordfence để chặn access - brute force login
- Dùng plugins/themes null
- Không update WP (WP sau mỗi lần release update đều có công bố security issues của bản trước, attacker dùng cái này để attack)
- Scan các plugin lỗi, cái này nhiều

========

Secure cho site WP dùng NGĨNX

- Chặn chạy file .php ở folder uploads
- chmod file wp-config.php về 444
- Chặn bruteforce:
-- Ở tầng DNS, nếu dùng cloudflare vào firewall rule (nếu ngoài VN thì không cho access /wp-admin)
-- Ở WP cài Wordfence
-- Ở server thêm rate limitting khi access /wp-login.php

Ở server, config lại SSH:

- Đổi port SSH
- Thêm mấy dòng này vào file /etc/ssh/sshd_config

MaxAuthTries 4
Protocol 2
ClientAliveInterval 900
ClientAliveCountMax 2
LogLevel INFO
PermitEmptyPasswords no

==========

- Sẽ hạn chế được nhiều việc attack!

 

cảm ơn b

 

Giá như mà có cái tool bơm của họ thì index chắc rất nhanh phải không các b?
Mình thấy số lượng backlink tăng rất nhanh, google bot vào site cũng nhiều (vào link rác)

 

Xuất ra dc list backlink ko thím, vô xem tụi nó bắn đường nào

 

ditim.work
xin phép share domain lên đây, mình dùng ahref check backlink
thấy archor rất ngắn

 

Cài Wordfence quét site nếu dùng Wordpress xem có shell trên host không?
Download bản free ở đây:
https://en-ca.wordpress.org/plugins/wordfence/

Mở file: wordfenceClass.php trong thư mục wordfence\lib

Tim dòng:

$updateCountries = false;
if (!WFWAF_SUBDIRECTORY_INSTALL and& $waf = wfWAF::getInstance()) {
$homeurl = wfUtils::wpHomeURL();
$siteurl = wfUtils::wpSiteURL();

Thêm vào phía dưới:

wfConfig::set('isPaid', 1);
wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
wfConfig::set('premiumNextRenew', time()+31536000);

Save lại >>> zip rồi upload lên sẽ có wordfence 365 ngày premium. Hoặc sửa trực tiếp khi upload bản free trên Wordpress Plugin Editor hoặc upload bản free rồi sưa trực tiếp qua FTP,...

 

mình cũng mới bị 1 site, đáng nói là site này cấu hình cẩn thận, tk admin không phải tên là admin, có điều k cài wordfence với sucuri scan với lâu k update nên chắc wp dạo này dinhs 0day gì rồi

 

Có lẽ như bác tọi nọi là không update wp chứ chứ trước giờ site dùng sharehost với vps (cài vpssim) mà chưa bị

 

thường k chặn là nó bruteforce lấy admin là chủ yếu a. có đc admin là nó hack đc rồi. vì cho dù có disable edit file thì vẫn upload đc plugin lên, nó upload cái plugin shell lên cũng hack đc.

ngoài bruteforce ra, nó còn scan các lỗ hổng được biết từ các plugin khác, các bạn xem hình.

vậy nên, nên có

- WAF -> chặn các request độc hại, mang tính exploit, Mysql injection...., cái này nếu ở hosting có thì nên dùng ở hosting, ai dùng aaPanel thì nó có sẵn, ai k dùng aaPanel thì dùng Wordfence cho WP cũng đc.

 

@I Love Php: Cấp độ tấn công được dưa theo mức độ cúa mấy người thích:
- Tấn công vào nền tảng WP để xài khi cần --> Cái này fix khó (Lịch sử đã có)
- Tấn công vào máy chủ
- Tấn công vào cấu hình thiết lập
---> Khả năng bác bị tấn công vào cấu hình thiết lập hệ thống rồi! Cách hướng dẫn bên trên cũng ổn nên mình không phải bàn thêm. PHP có nhiều nền tảng phát triển, mỗi cái đều có cái được, cái chưa được do mình xài cả thôi! Còn khách quan từ bên ngoài thì chịu đựng và dần tìm cách khắc phục!

 

Uh mình sài mấy cách thì oki rùi