Ako skontrolovať, odstrániť a zabrániť malvéru z vášho webu WordPress

Ako odstrániť malvér z WordPress

Tento týždeň bol dosť nabitý. Jedna z neziskových organizácií, ktoré poznám, sa ocitla v pomerne ťažkej situácii – ich stránka WordPress bola infikovaná škodlivým softvérom. Stránka bola napadnutá a na návštevníkoch boli spustené skripty, ktoré robili dve rôzne veci:

  1. Pokúsil sa infikovať Microsoft Windows malware.
  2. Všetci používatelia boli presmerovaní na web, ktorý pomocou jazyka JavaScript využil počítač návštevníka moja kryptocurrency.

Zistil som, že stránka bola napadnutá, keď som ju navštívil, po prekliknutí na ich najnovší spravodaj a okamžite som ich informoval o tom, o čo ide. Bohužiaľ to bol dosť agresívny útok, ktorý som dokázal odstrániť, ale miesto som okamžite spustil a znova spustil. Je to celkom bežná prax hackerov škodlivého softvéru - nielen hackujú web, ale tiež na neho pridajú správcovského používateľa, alebo zmenia hlavný súbor WordPress, ktorý opätovne vloží hack, ak je odstránený.

Malvér je na webe pretrvávajúci problém. Malvér sa používa na zvyšovanie miery prekliknutia na reklamy (reklamné podvody), na zvyšovanie štatistík stránok s cieľom predražiť inzerentov, na pokusy o získanie prístupu k finančným a osobným údajom návštevníkov a najnovšie aj na ťažbu kryptomien. Baníci dostávajú dobre zaplatené za ťažobné údaje, ale náklady na stavbu ťažobných strojov a zaplatenie účtov za elektrinu za ne sú značné. Tajným využívaním počítačov môžu baníci zarábať peniaze bez nákladov.

WordPress a ďalšie bežné platformy sú pre hackerov obrovským cieľom, pretože sú základom toľkých webov na webe. WordPress má navyše architektúru tém a doplnkov, ktorá nechráni základné súbory webov pred bezpečnostnými dierami. Komunita WordPress je navyše vynikajúca v identifikácii a opravách bezpečnostných dier - vlastníci webov však nie sú takí ostražití pri udržiavaní svojich stránok aktualizovaných najnovšími verziami.

Táto konkrétna stránka bola hostená na tradičnom webhostingu spoločnosti GoDaddy (nie Spravované hosťovanie WordPress), ktorý ponúka nulovú ochranu. Samozrejme, že ponúkajú a Malware Scanner a odstránenie služba. Spravované WordPress hostingové spoločnosti ako napr zotrvačník, WP Engine, LiquidWeb, GoDaddy a Panteón všetky ponúkajú automatické aktualizácie, aby boli vaše stránky aktuálne, keď sa zistia a opravia problémy. Väčšina z nich má skenovanie škodlivého softvéru a motívy a doplnky na čiernej listine, ktoré pomáhajú vlastníkom stránok zabrániť hackingu. Niektoré spoločnosti idú ešte o krok ďalej – Kinsta – vysokovýkonný spravovaný hostiteľ WordPress – dokonca ponúka a bezpečnostná záruka.

Okrem toho tím na jetpack ponúka skvelú službu na každodennú automatickú kontrolu vášho webu na prítomnosť malvéru a iných zraniteľností. Toto je ideálne riešenie, ak vlastníte WordPress na svojej vlastnej infraštruktúre.

Jetpack skenovanie WordPress na malvér

Môžete tiež využiť cenovo dostupnú tretiu stranu služba skenovania škodlivého softvéru Ako Webové skenery, ktorý bude denne skenovať vašu stránku a oznámi vám, či ste alebo nie ste na čiernej listine v službách aktívneho monitorovania škodlivého softvéru.

Je váš web na zozname zakázaných škodlivých softvérov:

Na internete je veľa stránok, ktoré propagujú kontrolu Na vašej stránke sa nenachádza škodlivý softvér, no majte na pamäti, že väčšina z nich v skutočnosti vôbec nekontroluje vašu stránku v reálnom čase. Skenovanie škodlivého softvéru v reálnom čase vyžaduje nástroj na indexové prehľadávanie tretej strany, ktorý nemôže okamžite poskytnúť výsledky. Stránky, ktoré poskytujú okamžitú kontrolu, sú stránky, ktoré predtým zistili, že vaše stránky obsahujú škodlivý softvér. Niektoré zo stránok na kontrolu škodlivého softvéru na webe sú:

  • Správa o transparentnosti Google - ak je váš web registrovaný u správcov webu, okamžite vás upozorní, keď prehľadá váš web a nájde na ňom malvér.
  • Norton Safe Web - Norton tiež prevádzkuje doplnky webového prehľadávača a softvér operačného systému, ktoré blokujú používateľov pred večerným otvorením vašej stránky, ak sa dostanú na čiernu listinu. Majitelia webových stránok sa môžu na webe zaregistrovať a požiadať o prehodnotenie ich stránok, až budú čisté.
  • Šučur - Sucuri udržuje zoznam webov s malvérom spolu so správou o tom, kam sa dostali na čiernu listinu. Ak je váš web vyčistený, zobrazí sa a Vynútiť opätovné skenovanie odkaz pod výpisom (veľmi malým písmom). Sucuri má vynikajúci doplnok, ktorý detekuje problémy ... a potom vás tlačí do ročnej zmluvy na ich odstránenie.
  • Yandex - ak hľadáte Yandex pre svoju doménu a vidíte „Podľa Yandexu môže byť tento web nebezpečný “, môžete sa zaregistrovať pre správcov webových stránok Yandex, pridať svoje stránky, prejsť na stránku Bezpečnosť a porušeniaa požiadajte o vymazanie svojich stránok.
  • Phishtank - Niektorí hackeri vložia na vaše stránky phishingové skripty, vďaka ktorým bude vaša doména uvedená ako phishingová doména. Ak zadáte presnú a úplnú adresu URL nahlásenej stránky s malvérom v serveri Phishtank, môžete sa zaregistrovať v serveri Phishtank a hlasovať o tom, či skutočne ide o phishingovú stránku.

Pokiaľ nie je vaša stránka zaregistrovaná a nemáte niekde monitorovací účet, pravdepodobne dostanete správu od používateľa jednej z týchto služieb. Neignorujte upozornenie... aj keď možno nevidíte problém, falošne pozitívne výsledky sa vyskytujú len zriedka. Tieto problémy môžu spôsobiť, že vaše stránky budú deindexované z vyhľadávačov a zablokované v prehliadačoch. Čo je horšie, vaši potenciálni klienti a existujúci zákazníci sa môžu čudovať, s akým druhom organizácie spolupracujú.

Ako zistíte prítomnosť malvéru?

Niekoľko z vyššie uvedených spoločností hovorí o tom, aké ťažké je nájsť malvér, ale nie je to až také ťažké. Problém je v skutočnosti zistiť, ako sa to dostalo na vašu stránku! Škodlivý kód sa najčastejšie nachádza v:

  • údržba - Predtým niečo nasmerujte na a stránka údržby a zálohujte svoje stránky. Nepoužívajte predvolenú údržbu WordPress ani doplnok údržby, pretože tie budú WordPress stále spúšťať na serveri. Chcete sa ubezpečiť, že na webe nikto nespúšťa žiadny súbor PHP. Keď ste pri tom, skontrolujte svoje .htaccess súbor na webovom serveri, aby ste sa uistili, že neobsahuje nečestný kód, ktorý by mohol presmerovať prevádzku.
  • Vyhľadanie súbory na vašom webe prostredníctvom protokolu SFTP alebo FTP a identifikujte najnovšie zmeny súborov v doplnkoch, témach alebo základných súboroch WordPress. Otvorte tieto súbory a vyhľadajte všetky úpravy, ktoré pridávajú skripty alebo príkazy Base64 (slúžia na skrytie vykonania skriptu servera).
  • porovnať základné súbory WordPress vo vašom koreňovom adresári, adresári wp-admin a wp-include, aby ste zistili, či existujú nejaké nové súbory alebo súbory rozdielnej veľkosti. Riešenie problémov s každým súborom. Aj keď nájdete a odstránite hacker, hľadajte ďalej, pretože veľa hackerov opúšťa zadné vrátka, aby stránku znova infikovali. Nepoužívajte jednoduché prepisovanie alebo preinštalovanie WordPress ... hackeri často pridávajú škodlivé skripty do koreňového adresára a skript nazývajú iným spôsobom, aby hack vložili. Menej zložité skripty proti malvéru zvyčajne iba vkladajú súbory skriptov header.php or footer.php. Zložitejšie skripty skutočne upravia každý súbor PHP na serveri kódom opätovného vstrekovania, aby ste ho odstránili ťažko.
  • odstrániť reklamné skripty tretích strán, ktoré môžu byť zdrojom. Keď som sa dočítal, že boli napadnuté online, odmietol som použiť nové reklamné siete.
  • check tabuľka databázy vašich príspevkov pre skripty vložené do obsahu stránky. Môžete to urobiť jednoduchým vyhľadávaním pomocou PHPMyAdmin a hľadaním adries URL požiadaviek alebo značiek skriptov.

Predtým, ako uvediete svoj web naživo ... je teraz čas web spevniť, aby ste zabránili okamžitému opätovnému vloženiu alebo ďalšiemu hacknutiu:

Ako zabránite tomu, aby boli vaše stránky napadnuté hackermi a nainštalovaný malvér?

  • Overiť si každý používateľ webovej stránky. Hackeri často vkladajú skripty, ktoré pridávajú administratívneho používateľa. Odstráňte všetky staré alebo nepoužívané účty a znova pridelte ich obsah existujúcemu používateľovi. Ak máte meno používateľa admin, pridajte nového správcu s jedinečným prihlásením a účet administrátora úplne odstráňte.
  • resetovať heslo každého používateľa. Mnoho webov je napadnutých, pretože používateľ použil jednoduché heslo, ktoré bolo uhádnuté pri útoku, čo umožňovalo niekomu dostať sa do WordPressu a robiť čokoľvek, čo by chcel.
  • zakázať možnosť upravovať doplnky a témy cez WordPress Admin. Schopnosť upravovať tieto súbory umožňuje každému hackerovi urobiť to isté, ak získa prístup. Upravte základné súbory WordPress tak, aby ich nebolo možné napísať, aby skripty nemohli prepisovať hlavný kód. Všetko v jednom má skutočne skvelý doplnok, ktorý poskytuje WordPress kalenie s kopou funkcií.
  • ručne stiahnite si a preinštalujte najnovšie verzie všetkých požadovaných doplnkov a odstráňte všetky ďalšie doplnky. Absolútne odstráňte administratívne doplnky, ktoré umožňujú priamy prístup k súborom lokalít alebo k databáze, sú to obzvlášť nebezpečné.
  • odstrániť a nahraďte všetky súbory v koreňovom adresári s výnimkou priečinka wp-content (teda root, wp-includes, wp-admin) novou inštaláciou WordPress stiahnutej priamo z ich stránok.
  • Diff – Možno budete chcieť urobiť rozdiel medzi zálohou vašej lokality, keď ste nemali škodlivý softvér, a aktuálnou stránkou... pomôže vám to zistiť, ktoré súbory boli upravené a aké zmeny boli vykonané. Diff je vývojová funkcia, ktorá porovnáva adresáre a súbory a poskytuje vám porovnanie medzi nimi. Vzhľadom na množstvo aktualizácií vykonaných na stránkach WordPress to nie je vždy najjednoduchšia metóda – niekedy však kód malvéru skutočne vyniká.
  • Udržiavať vaše stránky! Stránka, na ktorej som tento víkend pracoval, mala starú verziu WordPressu so známymi bezpečnostnými dierami, starých používateľov, ktorí by už nemali mať prístup, staré témy a staré doplnky. Mohla to byť ktorákoľvek z nich, ktorá otvorila spoločnosť kvôli hacknutiu. Ak si nemôžete dovoliť udržiavať svoje stránky, nezabudnite ich presunúť do riadenej hostingovej spoločnosti, ktorá to urobí! Výdavky ďalších pár dolárov na hosťovanie mohli túto spoločnosť zachrániť pred touto blamážou.

Keď sa domnievate, že máte všetko opravené a zaistené, môžete daný web znova spustiť odstránením súboru .htaccess presmerovanie. Hneď ako to bude živé, vyhľadajte tú istú infekciu, ktorá tu bola predtým. Spravidla používam inšpekčné nástroje prehliadača na sledovanie sieťových požiadaviek podľa stránky. Sledujem každú požiadavku na sieť, aby som sa ubezpečil, že to nie je malware alebo záhadné ... ak je, je to späť na začiatok a robím kroky znova.

Pamätajte, že keď bude vaša stránka čistá, nebude automaticky odstránená zo zoznamov zakázaných položiek. Mali by ste kontaktovať každého a podať žiadosť podľa nášho zoznamu vyššie.

Takto sa hacknúť nie je zábava. Spoločnosti si za odstránenie týchto hrozieb účtujú niekoľko stoviek dolárov. Pracoval som nie menej ako 8 hodín, aby som tejto spoločnosti pomohol vyčistiť jej web.

Čo si myslíte?

Táto stránka používa Akismet na zníženie spamu. Zistite, ako sa spracúvajú údaje vašich komentárov.