Сайт, который я размещал, недавно был взломан. На индексной странице внизу (чуть выше закрывающего тега тела) был добавлен следующий код:
<script language="javascript">document.write('<div style="font-family:Tahoma,Arial,Helvetica,sans-serif;font-size:12px;overflow:hidden;color:#FF0000;height:' + (325 * 3 - 974) + 'px;width:' + (18 * 786 - 14147) + 'px;font-weight:bold;margin-top:0px;margin-bottom:0px;">'); </script>
С последующим...
Множество тегов, отправляющих спам на сайты ...
На нашем сервере установлен suphp, поэтому я не думаю, что это могло произойти из-за другой учетной записи. В этой учетной записи действительно установлен Wordpress, так что это может быть проблемой.
Есть какие-нибудь советы, что делать дальше?
Спасибо!
Измените логин по умолчанию для Wordpress и MySQL имена и пароли. Используя имена по умолчанию, вы дали хакерам половину головоломки с учетными данными.
Убедитесь, что все ваши услуги (PHP, WP, MySQL) обновлены.
Проверьте сторонние плагины на наличие известных уязвимостей и обновлений (включая библиотеки и плагины javascript)
Это хорошее начало. Да, и вы можете захотеть начать смотреть свои журналы немного ближе, чтобы увидеть, сможете ли вы точно определить, как это происходит, если это произойдет снова.
Ваши журналы, скорее всего, хранятся в / var / log / apache2. Начните поиск в журналах доступа. Вы можете сделать это вручную с помощью grep или использовать такой инструмент, как апач-скальп для поиска распространенных эксплойтов в ваших журналах.
Некоторые темы, которые могут быть полезны:
Я бы предложил установить модуль Apache mod_security: http://www.modsecurity.org/.
Кроме того, убедитесь, что код вашего приложения не подвержен Атаки с использованием SQL-инъекций.
Также дважды проверьте правила вашего брандмауэра и убедитесь, что только порт 80 открыт для публики.