Мой сайт на wordpress взломали. Как определить причину проблемы?

Первое, что нужно посмотреть - это ваши веб-журналы. Ищите 404-е со странными строками запроса, которые должны дать вам начало.

Я знаю, что это постфактум, но попробуйте установить плагин WordPress File Monitor. По крайней мере, тогда в будущем вы будете точно знать, какие файлы были изменены и были ли загружены.

У меня вопрос: как определить причину проблемы? все, что я знаю, это то, что до того, как сайт был взломан, я получил письмо от wordpress, в котором говорилось, что я просил изменить пароль администратора.

Сообщение электронной почты дает вам представление о том, когда могло произойти взлом и что функция сброса пароля была частью эксплойта.

Где смотреть? В основном вы можете начать с журналов вашего сервера. Какие запросы были сделаны тогда? Ищите запросы POST и GET, некоторые серверы фактически записывают данные POST, которые могут быть полезны для получения дополнительной информации, хотя это не всегда так.

Как только злоумышленник получил доступ администратора к вашему блогу, он / она обычно может изменять все файлы в настройке Wordpress. Это цена, которую нужно заплатить за реализацию автообновления в Wordpress, потому что большинство файлов должны быть доступны. Однако при безопасной установке файлы доступны только для записи. Эта информация может помочь понять, как можно выполнить взлом и как предотвратить его в будущем.

Также ищите обновления wordpress в линейке 3.2.x или понижение до 3.1.4, 3.2.1 является довольно новым и не так протестировано в дикой природе, особенно для эксплойтов.

Еще один способ отследить ситуацию - установить приманку с той же конфигурацией с включенным полным ведением журнала и уведомлениями, чтобы узнать больше о происходящих атаках. Многие атаки выполняются автоматически для рассылки спама (или просто с помощью червей), поэтому вы можете использовать сайт-приманку для обнаружения таких шаблонов атак. Вы знаете, что сайт подвергся атаке, когда файлы были изменены или добавлены.