Kako provjeriti, ukloniti i spriječiti zlonamjerni softver sa vaše WordPress stranice

malware

Ova sedmica je bila prilično zauzeta. Jedna od neprofitnih organizacija za koju znam da se našla u prilično teškoj situaciji - njihova WordPress stranica zaražena je zlonamjernim softverom. Stranica je hakirana i skripte izvršene na posjetiteljima koji su učinili dvije različite stvari:

  1. Pokušao da zarazi Microsoft Windows malware.
  2. Preusmjerio je sve korisnike na web mjesto koje je koristilo JavaScript za korištenje računala posjetitelja moja kriptocutnost.

Otkrio sam da je stranica hakirana kad sam je posjetio nakon što sam kliknuo njihov najnoviji bilten i odmah sam ih obavijestio o tome što se događa. Nažalost, bio sam prilično agresivan napad koji sam uspio ukloniti, ali sam odmah zarazio stranicu nakon pokretanja. Ovo je prilično česta praksa hakera zlonamjernog softvera - oni ne samo da hakiraju web lokaciju, već na nju dodaju administrativnog korisnika ili mijenjaju osnovnu WordPress datoteku koja ponovo ubrizgava hak ako se ukloni.

Zlonamjerni softver je stalni problem na webu. Zlonamjerni softver koristi se za napuhavanje stope učestalosti klikova na oglase (prevara s oglasima), napuhavanje statistike web mjesta radi prekomjerne naplate oglašivača, za pokušaj postizanja pristupa financijskim i ličnim podacima posjetitelja, a nedavno i za kopanje kripto valute. Rudari dobro plaćaju podatke o rudarstvu, ali troškovi izgradnje rudarskih mašina i plaćanja računa za električnu energiju za njih su značajni. Potajno uprežući računare, rudari mogu zaraditi novac bez troškova.

WordPress i druge uobičajene platforme ogromna su meta za hakere, jer su temelj toliko mnogo web lokacija. Uz to, WordPress ima temu i arhitekturu dodataka koja ne štiti osnovne datoteke web mjesta od sigurnosnih rupa. Pored toga, WordPress zajednica izvanredna je u prepoznavanju i krpanju sigurnosnih rupa - ali vlasnici web lokacija nisu toliko oprezni u održavanju svoje stranice ažuriranom najnovijim verzijama.

Ova posebna web lokacija bila je hostirana na tradicionalnom GoDaddy web hostingu (ne Managed WordPress hosting), koji nudi nultu zaštitu. Naravno, oni nude a Skener i uklanjanje zlonamjernog softvera usluga, doduše. Upravljane WordPress hosting kompanije kao što su zamašnjak, WP Engine, LiquidWeb, GoDaddy i panteon svi nude automatizirana ažuriranja kako bi vaše web stranice bile u toku kada su naši problemi identificirani i zakrpani. Većina ima skeniranje zlonamjernog softvera i teme i dodatke na crnoj listi koji pomažu vlasnicima web lokacija da spriječe hakiranje. Neke kompanije idu korak dalje - Kinsta - upravljani WordPress domaćin visokih performansi - čak nudi i garancija sigurnosti.

Je li vaša web lokacija na crnoj listi zbog zlonamjernog softvera:

Postoji mnogo web lokacija na mreži koje promoviraju "provjeru" vaše web lokacije na zlonamjerni softver, ali imajte na umu da većina njih zapravo uopće ne provjerava vašu stranicu u stvarnom vremenu. Skeniranje zlonamjernog softvera u stvarnom vremenu zahtijeva alat za indeksiranje treće strane koji ne može trenutno pružiti rezultate. Web lokacije koje pružaju trenutnu provjeru su stranice koje su ranije pronašle da je vaša web lokacija imala zlonamjerni softver. Neke web lokacije za provjeru zlonamjernog softvera na internetu su:

  • Googleovo izvješće o transparentnosti - ako je vaša web lokacija registrirana kod webmastera, odmah će vas upozoriti kada indeksiraju vašu web lokaciju i na njoj pronađu zlonamjerni softver.
  • Norton Safe Web - Norton takođe koristi dodatke za veb pregledače i softver operativnog sistema koji će onemogućiti korisnicima večernje otvaranje vaše stranice ako su je stavili na crnu listu. Vlasnici web stranica mogu se registrirati na web lokaciji i zatražiti ponovnu procjenu njihove web stranice nakon što je čista.
  • Sucuri - Sucuri održava listu web lokacija sa zlonamjernim softverom, zajedno s izvještajem o tome gdje su na crnoj listi. Ako je vaša web lokacija očišćena, vidjet ćete Prisilno ponovno skeniranje link ispod popisa (vrlo malim slovima). Sucuri ima izvanredan dodatak koji otkriva probleme ... i zatim vas gura u godišnji ugovor da ih uklonite.
  • Yandex - ako pretražite Yandex za svoju domenu i vidite “Prema Yandexu, ova stranica bi mogla biti opasna ”, možete se registrirati za Yandexove webmastere, dodati svoju web stranicu, krenuti do Sigurnost i kršenjai zatražite brisanje vaše web lokacije.
  • Phishtank - Neki hakeri će na vašu web lokaciju staviti skripte za krađu identiteta, zbog čega će vaša domena biti navedena kao phishing domena. Ako unesete tačan, puni URL prijavljene stranice zlonamjernog softvera u Phishtank, možete se registrirati kod Phishtanka i glasati je li to zaista phishing stranica.

Ako vaša web lokacija nije registrirana i ako negdje nemate nadzorni račun, vjerojatno ćete od korisnika jedne od ovih usluga dobiti izvještaj. Ne zanemarujte upozorenje ... iako možda nećete vidjeti problem, lažni pozitivni rezultati se rijetko događaju. Zbog ovih problema vaša web lokacija može se indeksirati iz pretraživača i blokirati u preglednicima. Još gore, vaši potencijalni klijenti i postojeći kupci mogu se zapitati s kakvom organizacijom rade.

Kako provjeravate zlonamjerni softver?

Nekoliko gore navedenih kompanija govori o tome kako je teško pronaći zlonamjeran softver, ali nije baš tako teško. Teško je zapravo shvatiti kako je ušlo na vašu web lokaciju! Zlonamjeran se kod najčešće nalazi u:

  • održavanje - Prije bilo čega, usmjerite ga na a stranica održavanja i napravite sigurnosnu kopiju svoje web lokacije. Ne koristite WordPress-ovo zadano održavanje ili dodatak za održavanje, jer će oni i dalje izvršavati WordPress na serveru. Želite biti sigurni da niko ne izvršava nijednu PHP datoteku na web lokaciji. Dok ste već kod toga, provjerite svoje .htaccess datoteku na web serveru kako bi se osiguralo da nema prevarenog koda koji možda preusmjerava promet.
  • pretraživanje datoteke vaše web lokacije putem SFTP-a ili FTP-a i prepoznajte najnovije promjene datoteka u dodacima, temama ili jezgrovitim WordPress datotekama. Otvorite te datoteke i potražite bilo kakve izmjene koje dodaju skripte ili Base64 naredbe (koriste se za skrivanje izvršavanja skripte poslužitelja).
  • porediti osnovne WordPress datoteke u vašem osnovnom direktoriju, wp-admin direktorijumu i wp-include direktorijima da biste vidjeli postoje li nove datoteke ili datoteke različitih veličina. Rješavanje problema sa svakom datotekom. Čak i ako pronađete i uklonite haker, nastavite tražiti, jer mnogi hakeri izlaze iz backdoor-a da ponovno zaraze web lokaciju. Nemojte jednostavno prebrisati ili ponovo instalirati WordPress ... hakeri često dodaju zlonamjerne skripte u korijenski direktorij i pozivaju skriptu na neki drugi način za ubacivanje haka. Manje složene skripte zlonamjernog softvera obično samo ubace datoteke skripti header.php or footer.php. Složenije skripte zapravo će izmijeniti svaku PHP datoteku na serveru s kodom za ponovno ubrizgavanje, tako da ćete je teško ukloniti.
  • ukloniti skripte za oglašavanje treće strane koje mogu biti izvor. Odbio sam primijeniti nove oglasne mreže kad sam pročitao da su hakirane na mreži.
  • Check  tabela baze podataka vaših postova za ugrađene skripte u sadržaj stranice. To možete učiniti jednostavnim pretraživanjem pomoću PHPMyAdmina i pretraživanjem URL-ova zahtjeva ili oznaka skripti.

Prije nego što svoju web lokaciju objavite uživo, sada je vrijeme da je očvrsnete kako biste spriječili trenutno ponovno ubrizgavanje ili neko drugo hakiranje:

Kako spriječiti hakiranje web lokacije i instaliranje zlonamjernog softvera?

  • provjeriti svaki korisnik na web lokaciji. Hakeri često ubacuju skripte koje dodaju administrativnog korisnika. Uklonite sve stare ili neiskorištene račune i dodijelite njihov sadržaj postojećem korisniku. Ako imate korisnika s imenom admin, dodajte novog administratora sa jedinstvenom prijavom i potpuno uklonite administratorski račun.
  • Resetovanje lozinku svakog korisnika. Mnoge web stranice su hakirane jer je korisnik koristio jednostavnu lozinku koja je pretpostavljena u napadu, omogućavajući nekome da uđe u WordPress i radi sve što želi.
  • Onemogući mogućnost uređivanja dodataka i tema putem WordPress administratora. Mogućnost uređivanja ovih datoteka omogućava bilo kojem hakeru da učini isto ako dobije pristup. Učinite ključne WordPress datoteke nepisljivima tako da skripte ne mogu prepisati osnovni kôd. Sve u jednom ima zaista sjajan dodatak koji pruža WordPress kaljenje s mnoštvom karakteristika.
  • Ručno preuzmite i ponovo instalirajte najnovije verzije svakog dodatka koji vam je potreban i uklonite sve druge dodatke. Apsolutno uklonite administrativne dodatke koji omogućavaju izravan pristup datotekama web lokacija ili bazi podataka, što je posebno opasno.
  • ukloniti i zamijenite sve datoteke u root direktorijumu, osim mape wp-content (dakle root, wp-uključuje, wp-admin), novom instalacijom WordPress-a preuzetom direktno s njihove web lokacije.
  • Održavajte vaše web mjesto! Web lokacija na kojoj sam radio ovog vikenda imala je staru verziju WordPressa s poznatim sigurnosnim rupama, starim korisnicima koji više ne bi trebali imati pristup, starim temama i starim dodacima. Mogao je bilo koji od njih otvoriti kompaniju za hakiranje. Ako si ne možete priuštiti održavanje web stranice, premjestite je u upravljenu hosting tvrtku koja hoće! Trošenje još nekoliko dolara na hosting moglo je spasiti ovu kompaniju od ove sramote.

Jednom kada povjerujete da ste sve popravili i očvrsnuli, možete vratiti web stranicu uživo uklanjanjem datoteke .htaccess preusmjeriti. Čim je uživo, potražite istu infekciju koja je ranije bila tamo. Obično koristim alate pregledača preglednika za nadgledanje mrežnih zahtjeva po stranici. Pratim svaki mrežni zahtjev kako bih osigurao da nije zlonamjerni softver ili misteriozan ... ako jest, vratio se na vrh i iznova izvodio korake.

Takođe možete koristiti pristupačnu treću stranu usluga skeniranja zlonamjernog softvera kao Skeneri web lokacija, koji će svakodnevno skenirati vašu web lokaciju i obavještavati vas da li ste na crnoj listi aktivnih usluga praćenja zlonamjernog softvera ili ne. Zapamtite - nakon što je vaša web lokacija čista, neće se automatski ukloniti s crnih lista. Trebali biste kontaktirati svakog i podnijeti zahtjev prema našoj gornjoj listi.

Ovako hakirati nije zabavno. Kompanije naplaćuju nekoliko stotina dolara za uklanjanje ovih prijetnji. Radio sam ne manje od 8 sati kako bih pomogao ovoj kompaniji da očisti svoje web mjesto.

Šta ti misliš?

Ova stranica koristi Akismet kako bi smanjila neželjenu poštu. Saznajte kako se podaci vašeg komentara obrađuju.