You have WordPress – it means they are constantly trying to hack you

Так уж получилось, что популярный и простой блогерский движок WordPress установлен почти на трети всех сайтов Интернета. Это связано с простотой установки, наличием огромного количества тем и плагинов и постоянным развитием движка его сообществом, включающим все больше и больше плюшек в эту систему.

Также следует отметить, что код движка WordPress неплохо задокументирован (у него даже есть свой кодекс!) и поэтому зачастую даже “не новички” выбирают вордпресс для того, чтобы потом переделать под свои нужды, используя готовую основу.

Такой распространенный движок не смогли обойти своим вниманием и хакеры, постоянно пытающихся подобрать пароль для входа в панель управления сайтом WordPress – благо все знают, куда надо входить – [название_сайта]/wp-login.php ну или [название_сайта]/wp-admin/.

Что они хотят от моего бедного сайтика?

Причины могут быть самые разные – от “хакеров-школьников”, которые пытаются взломать сайт методом “admin/admin” или “admin/123” чисто ради интереса. До целенаправленного взлома с целью получения доступа для рассылки спама (опять спам!) и майнинга криптовалют (да, в 2020-м еще кто-то майнит).

Как бы то ни было – очень редко “хакер” сидит с красными выпученными глазами пред монитором и вводит пароль вручную – чаще вся работа для подбора паролей автоматизирована с помощью специальных программ, которые все делают сами. Зачастую они используют целые базы данных уже когда-то скомпрометированных паролей и подбирают пароли по списку.

Более подробно почитать сможете на Хабре, в том числе и посмотреть примеры, поэтому останавливаться на данном пункте особо не стоит, а нужно лишь предупредить вас, что:

• Всегда используйте разные сложные пароли для своих учетных записей
• Пароли не должны содержать простых слов, последовательно идущих цифр или символов или распространенных последовательностей. Плохие пароли: qwerty, 123456, 123qwe….
• Генерировать пароли лучше автоматически на тех сайтах, которым вы доверяете. Например генератор паролей, который я сам написал и доверяю ему )
• При генерировании пароля автоматическими сервисами, после создания пароля – меняйте в нем парочку символов на свое усмотрение – это обезопасит вас от сервисов, которые хранят у себя сгенерированные данные паролей
• Если храните свои пароли в специальных сервисах хранения паролей – то пароль от этого хранилища также должен быть сложным
• При малейшем подозрении, что ваш пароль стал известен кому-то другому – меняйте его
• Постарайтесь заранее продумать, что вы будете делать, если забудете пароль – т.е. настройте методы восстановления паролей или другие методы аутентификации (SMS, альтернативный Email или мобильное приложение).

После данного предупреждения опять вернемся к нашей теме о том, что сайты на WordPress постоянно пытаются взломать.

Как я могу увидеть, что мой сайт пытаются взломать?

Все очень просто и тут прослеживается точная логическая связь. Если у вас сайт работает на WordPress и он находится в Интернет – его уже пытаются взломать.

А вот если захотелось узнать, с каких конкретно айпи адресов с какими логинами и паролями происходят попытки взлома, то читайте дальше.

Чисто ради спортивного интереса для начала мы попробуем при неудачной попытке входа на сайт присылать айпи, логин и пароль при помощи которого пытались зайти на сайт себе в телеграм. Это нужно чисто ради интереса, чтобы прочувствовать, как часто кто-то пытается войти на сайт.

Для этого мы будем использовать своего собственного Telegram бота, создание которого описано тут, а нам понадобится лишь его токен для встраивания в код PHP.

Редактировать будем файл, находящийся в корне сайта WordPress – [ваш_сайт]/wp-login.php – открываем его на редактирование и примерно в начале вставляем метод, при помощи которого будем определять айпи адрес зашедшего на сайт клиента.

// узнаем IP адрес клиента
function getRealIpAddr_1() {
	
  if (!empty($_SERVER['HTTP_CLIENT_IP']))   {
    $ip=$_SERVER['HTTP_CLIENT_IP'];
  }  elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))  {
    $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
  }  else  {
    $ip=$_SERVER['REMOTE_ADDR'];
  }
  return $ip;
  
}
// ==========================

Далее ниже по коду ищем часть кода, которая отрабатывает, если при авторизации пользователя возникли ошибки (например, введен неправильный пароль) и именно там добавим вторую часть кода:

    if ( ! empty( $errors ) ) {
        /**
         * Filters the error messages displayed above the login form.
         *
         * @since 2.1.0
         *
         * @param string $errors Login error message.
         */
       
// добавим код тут..... 

// ..... тут дальше какой-то код самого WordPress, который мы трогать не будем

}

С учетом изменений которые внесены, эта часть кода примет вид:

 		if ( ! empty( $errors ) ) {
			/**
			 * Filters the error messages displayed above the login form.
			 *
			 * @since 2.1.0
			 *
			 * @param string $errors Login error message.
			 */
			 
			// НАЧАЛО НАШЕГО КОДА
			if(isset($_POST['pwd'])) {
			
			
				$ipp = getRealIpAddr_1();
					
				// В целях безопасности специальные символы преобразуем в html сущности
				// логин
				$_POST['mes'] = htmlspecialchars($_POST['log']);
				// пароль
				$_POST['pwd'] = htmlspecialchars($_POST['pwd']);

				// формируем текст, который будем отправлять в телеграм
				$text = 'IP - '.$ipp.' попытка входа [ИМЯ_ВАШЕГО_САЙТА]: '.$_POST['mes'].' с паролем: '.$_POST['pwd'];
				$bot_token = '[ТОКЕН_ВАШЕГО_ТЕЛЕГРАМ_БОТА]';
					
				// отправляем сообщение в телеграм
				$chat_id = '[МОЙ_ЧАТ_АЙДИ_ТЕЛЕГРАМ]';
				$mess_url = "https://api.telegram.org/bot".$bot_token."/sendMessage?chat_id=".$chat_id."&text=".$text."";

				$ch = curl_init();
				curl_setopt($ch, CURLOPT_URL, $mess_url); 
				curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
				$output = curl_exec($ch);  			

			}
			// КОНЕЦ НАШЕГО КОДА
			 
			 
			// ..... тут дальше какой-то код самого WordPress, который мы трогать не будем
		}

Как видите, такая доработка помогла увидеть скрытые до этих пор вещи – теперь можно “в онлайне” видеть, что происходит на сайте.

На давайте подумаем, чего мы добьемся кроме того, что увидим эти попытки – а ничего, так как сайт будут продолжать взламывать.

Остановим попытки и побесим хакеров

Думаю, код надо чуть доработать так, чтобы попытку взлома было видно, а следующей попытки взлома уже с этого айпи – уже не было. Т.е. надо записать куда-то IP-адрес и при следующем заходе клиента на страницу авторизации уже не давать ему возможности ввести логин и пароль, не напрягая лишний раз наш движок WordPress.

Ну а чтобы хакеру было интереснее получать отпор подобного характера – то при попытке повторного взлома с одного и того же айпи будем показывать на страничке обидные фразы или просто перенаправлять куда-то запрос. Куда? Да хоть на ютуб – решайте сами.

Итак, в нашей базе данных подготовим таблицу для IP адресов попыток взлома. Для этого через PHPMyAdmin выполним код, применимо к БД, в котором создадим таблицу:

CREATE TABLE `wplogtpsts_antispam` (
  `id` int(10) NOT NULL,
  `ip` varchar(16) CHARACTER SET utf8 COLLATE utf8_unicode_ci NOT NULL,
  `is_banned` int(11) NOT NULL DEFAULT '0',
  `info` varchar(128) CHARACTER SET utf8 COLLATE utf8_unicode_ci NOT NULL DEFAULT '',
  `date_time` varchar(20) CHARACTER SET utf8 COLLATE utf8_unicode_ci NOT NULL DEFAULT ''
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

ALTER TABLE `wplogtpsts_antispam`
  ADD PRIMARY KEY (`id`);

ALTER TABLE `wplogtpsts_antispam`
  MODIFY `id` int(10) NOT NULL AUTO_INCREMENT, AUTO_INCREMENT=1;
COMMIT;

В моем случае я создал таблицу с названием: “wplogtpsts_antispam” и полями:

Теперь модифицируем код и при каждой неудачной попытке будем записывать в БД айпи адреса наших хакеров. А чтобы в таблицу все логировалось уже с меткой времени, то и добавим метод, позволяющий создать строку с текущим временем и датой:

function get_current_date_and_time() {
	$tz = 'Europe/Kiev';
	$timestamp = time();
	$dt = new DateTime("now", new DateTimeZone($tz)); 
	$dt->setTimestamp($timestamp); 
	$ret_str = $dt->format('d.m.Y H:i');	
	return $ret_str;
}

// видоизменяем код при неудачной попытке аутентификации:

// получили айпи
$ipp = getRealIpAddr_1();
// текущая дата и время
$d_date = get_current_date_and_time();
			
// избавились от спецсимволов, если таковые были
$_POST['mes'] = trim(htmlspecialchars($_POST['log']));
$_POST['pwd'] = trim(htmlspecialchars($_POST['pwd']));

// подключились к БД, используя заранее определенные константы, которые у вас будут свои
$pdo = new PDO('mysql:host='.DB_HOST.';dbname='.DB_NAME.';charset='.DB_CHARSET, DB_USER, DB_PASSWORD);
			
$log_info = $_POST['mes']." - ".$_POST['pwd'];
$log_info = htmlspecialchars($log_info);

// создали запрос
$my_sql_query = "INSERT INTO wplogtpsts_antispam (`id`, `ip`, `is_banned`, `info`, `date_time`) VALUES (NULL, '".$ipp."', 1, '".$log_info."', '".$d_date."');";

// выполнили запрос
$stmt = $pdo->query($my_sql_query);	

// ======================================================

Теперь все неудачные попытки входа будут попадать в базу данных, а следовательно, при последующем входе уже известного спаммерского айпи – можно не выполнять код, а сразу выявить нарушителя и сделать ему редирект в другое место.

	$pdo = new PDO('mysql:host='.DB_HOST1.';dbname='.DB_NAME1.';charset='.DB_CHARSET1, DB_USER1, DB_PASSWORD1);
			
	$is_banned = 0;
	$ipa = getRealIpAddr_1();
			
	$my_sql_query = "SELECT is_banned FROM wplogtpsts_antispam WHERE ip='".$ipa."';";
	$stmt = $pdo->query($my_sql_query);	

	while ($row = $stmt->fetch()) {
		$is_banned = $row['is_banned'];
	}

	if($is_banned) {
		
		// а тут мы выполняем любое действие на ваш вкус. именно в этой ветке происходит редирект уже известного спаммера в другое место
		// редирект в другое место
		header('Location: https://topsites.cc/');
		// код умри
                die();
	}

В общем примерно так можно организовать подобие защиты вашего сайта от взлома. Но, скажем так, это более познавательная версия защиты, чем максимально защищающая. По крайней мере так можно избавиться от тех, кто тупо перебирает пароли к вашему вордпрессу. ведь все же есть ненулевая вероятность, что какой-то из паролей подойдет и ваш блог мгновенно превратится в спам-помойку.

Помогает ли гугл капча?

Нет, не помогает)))

Для данного сайта я пробовал включить защиту плагином WordPress – Advanced noCaptcha & Invisible Captcha:

Но даже при появлении горячо любимых всеми “Выберите светофоры”, “Выберите пешеходные переходы” и прочее – попытки взлома не прекращались.

Т.е. у спаммеров в наличии инструменты, которые легко обходят Google Captcha. Выводы сделайте сами )

И что теперь?

А теперь я чуть пособираю статистики по взлому этого сайта и выложу как апдейт к этой статье. Так как при написании статьи существующий список спаммеров я намеренно стер, чтобы снова его собрать.

В общем, пока только ждать )

— UPDATE — 19.09.2020

А теперь самое интересное – немного статистики по взлому

Напоминаю, что при первой попытке взлома – IP-адрес нарушителя сразу отправляется в бан, т.е. второй попытки у него нет.