Kako provjeriti, ukloniti i spriječiti zlonamjerni softver sa vaše WordPress stranice

Kako ukloniti zlonamjerni softver iz WordPress-a

Ova sedmica je bila prilično naporna. Jedna od neprofitnih organizacija koje poznajem našla se u prilično teškoj situaciji – njihova WordPress stranica bila je zaražena zlonamjernim softverom. Stranica je hakovana i na posjetiteljima su izvršene skripte koje su radile dvije različite stvari:

  1. Pokušao da zarazi Microsoft Windows malware.
  2. Preusmjerio je sve korisnike na web lokaciju koja je koristila JavaScript za korištenje računara posjetitelja moja kriptocutnost.

Otkrio sam da je stranica hakirana kad sam je posjetio nakon što sam kliknuo njihov najnoviji bilten i odmah sam ih obavijestio o tome što se događa. Nažalost, bio sam prilično agresivan napad koji sam uspio ukloniti, ali sam odmah zarazio stranicu nakon pokretanja. Ovo je prilično česta praksa hakera zlonamjernog softvera - oni ne samo da hakiraju web lokaciju, već na nju dodaju administrativnog korisnika ili mijenjaju osnovnu WordPress datoteku koja ponovo ubrizgava hak ako se ukloni.

Zlonamjerni softver je stalni problem na webu. Zlonamjerni softver se koristi za povećanje stope klikanja na oglase (prevara s oglasima), naduvavanje statistike web stranice kako bi se prenaplatilo oglašivačima, pokušalo se ostvariti pristup finansijskim i ličnim podacima posjetitelja i nedavno – za rudarenje kriptovalute. Rudari su dobro plaćeni za podatke o rudarenju, ali troškovi izrade rudarskih mašina i plaćanja računa za struju su značajni. Tajnim korištenjem kompjutera rudari mogu zaraditi novac bez troškova.

WordPress i druge uobičajene platforme ogromna su meta za hakere, jer su temelj toliko mnogo web stranica. Pored toga, WordPress ima temu i arhitekturu dodataka koji ne štite osnovne datoteke web mjesta od sigurnosnih rupa. Pored toga, WordPress zajednica izvanredna je u prepoznavanju i krpanju sigurnosnih rupa - ali vlasnici web lokacija nisu toliko oprezni u održavanju svoje stranice ažuriranom najnovijim verzijama.

Ova određena web lokacija bila je domaćin tradicionalnom GoDaddy web hostingu (ne Managed WordPress hosting), koji nudi nultu zaštitu. Naravno, oni nude a Skener i uklanjanje zlonamjernog softvera usluga, doduše. Upravljane WordPress hosting kompanije kao što su zamašnjak, WP Engine, LiquidWeb, GoDaddy i panteon svi nude automatska ažuriranja kako bi vaše web stranice bile ažurne kada se problemi identificiraju i zakrpe. Većina ima skeniranje zlonamjernog softvera i teme i dodatke na crnoj listi kako bi pomogli vlasnicima web lokacija da spriječe hakiranje. Neke kompanije idu i korak dalje – Kinsta – upravljani WordPress host visokih performansi – čak nudi i a garancija sigurnosti.

Pored toga, tim na Jetpack nudi odličnu uslugu za automatsku svakodnevnu automatsku provjeru vaše web stranice na zlonamjerni softver i druge ranjivosti. Ovo je idealno rješenje ako sami hostujete WordPress na vlastitoj infrastrukturi.

Jetpack skenira WordPress za zlonamjerni softver

Takođe možete koristiti pristupačnu treću stranu usluga skeniranja zlonamjernog softvera kao Skeneri web lokacija, koji će svakodnevno skenirati vašu web lokaciju i obavještavati vas da li ste na crnoj listi na aktivnim uslugama praćenja zlonamjernog softvera.

Je li vaša web lokacija na crnoj listi zbog zlonamjernog softvera:

Na internetu postoji mnogo stranica koje promovišu provera na vašoj web lokaciji za zlonamjerni softver, ali imajte na umu da većina njih zapravo uopće ne provjerava vašu web lokaciju u realnom vremenu. Skeniranje zlonamjernog softvera u realnom vremenu zahtijeva alat za indeksiranje treće strane koji ne može trenutno pružiti rezultate. Web lokacije koje pružaju trenutnu provjeru su one koje su prethodno otkrile da vaša web lokacija ima zlonamjerni softver. Neke od web lokacija za provjeru zlonamjernog softvera na webu su:

  • Googleovo izvješće o transparentnosti - ako je vaša web lokacija registrirana kod webmastera, odmah će vas upozoriti kada indeksiraju vašu web lokaciju i na njoj pronađu zlonamjerni softver.
  • Norton Safe Web - Norton takođe koristi dodatke za veb pregledače i softver operativnog sistema koji će blokirati korisnike da ne otvaraju večer ako su je stavili na crnu listu. Vlasnici web stranica mogu se registrirati na web mjestu i zatražiti ponovnu provjeru njihove web stranice nakon što je čista.
  • Sucuri - Sucuri održava listu web lokacija sa zlonamjernim softverom, zajedno s izvještajem o tome gdje su na crnoj listi. Ako je vaša web lokacija očišćena, vidjet ćete Prisilno ponovno skeniranje link ispod popisa (vrlo malim slovima). Sucuri ima izvanredan dodatak koji otkriva probleme ... i zatim vas gura u godišnji ugovor da ih uklonite.
  • Yandex - ako pretražite Yandex za svoju domenu i vidite “Prema Yandexu, ova stranica bi mogla biti opasna ”, možete se registrirati za Yandexove webmastere, dodati svoju web stranicu, krenuti do Sigurnost i kršenjai zatražite brisanje vaše web lokacije.
  • Phishtank - Neki hakeri će na vašu web lokaciju staviti skripte za krađu identiteta, zbog čega će vaša domena biti navedena kao phishing domena. Ako unesete tačan, puni URL prijavljene stranice zlonamjernog softvera u Phishtank, možete se registrirati na Phishtank i glasati je li to zaista phishing stranica.

Osim ako vaša stranica nije registrirana i negdje imate nalog za praćenje, vjerovatno ćete dobiti izvještaj od korisnika nekog od ovih servisa. Nemojte zanemariti upozorenje… iako možda nećete vidjeti problem, lažno pozitivni rezultati se rijetko dešavaju. Ovi problemi mogu dovesti do deindeksiranja vaše web stranice sa pretraživača i blokiranja u pretraživačima. Što je još gore, vaši potencijalni i postojeći klijenti mogu se zapitati s kakvom organizacijom rade.

Kako provjeravate zlonamjerni softver?

Nekoliko gorenavedenih kompanija govori o tome koliko je teško pronaći zlonamjerni softver, ali nije tako teško. Poteškoća je zapravo shvatiti kako je dospjela na vašu web stranicu! Zlonamjerni kod se najčešće nalazi u:

  • održavanje - Prije bilo čega, usmjerite ga na a stranica održavanja i napravite sigurnosnu kopiju svoje web lokacije. Ne koristite WordPress-ovo zadano održavanje ili dodatak za održavanje, jer će oni i dalje izvršavati WordPress na serveru. Želite biti sigurni da niko ne izvršava nijednu PHP datoteku na web lokaciji. Dok ste već kod toga, provjerite svoje .htaccess datoteku na web serveru kako biste osigurali da nema lažni kod koji možda preusmjerava promet.
  • pretraživanje datoteke vaše web lokacije putem SFTP-a ili FTP-a i identificiraju najnovije promjene datoteka u dodacima, temama ili osnovnim WordPress datotekama. Otvorite te datoteke i potražite bilo kakve izmjene koje dodaju skripte ili naredbe Base64 (koriste se za skrivanje izvršavanja skripte poslužitelja).
  • porediti osnovne WordPress datoteke u vašem osnovnom direktoriju, wp-admin direktorijumu i wp-include direktorijima da biste vidjeli postoje li nove datoteke ili datoteke različitih veličina. Riješite probleme sa svakom datotekom. Čak i ako pronađete i uklonite haker, nastavite tražiti jer mnogi hakeri izlaze iz bekista da bi ponovno zarazili web lokaciju. Nemojte jednostavno prebrisati ili ponovo instalirati WordPress ... hakeri često dodaju zlonamjerne skripte u korijenski direktorij i pozivaju skriptu na neki drugi način za ubacivanje haka. Manje složene skripte zlonamjernog softvera obično samo ubace datoteke skripti header.php or footer.php. Složenije skripte zapravo će izmijeniti svaku PHP datoteku na serveru s kodom za ponovno ubrizgavanje, tako da ćete je teško ukloniti.
  • ukloniti skripte za oglašavanje treće strane koje mogu biti izvor. Odbio sam primijeniti nove oglasne mreže kad sam pročitao da su hakirane na mreži.
  • Check tabela vaše baze podataka postova za ugrađene skripte u sadržaj stranice. To možete učiniti jednostavnim pretraživanjem koristeći PHPMyAdmin i traženjem URL-ova zahtjeva ili oznaka skripte.

Prije nego što svoju web stranicu objavite uživo, sada je vrijeme da je učvrstite kako biste spriječili trenutno ponovno ubrizgavanje ili neko drugo hakiranje:

Kako spriječiti hakiranje web lokacije i instaliranje zlonamjernog softvera?

  • provjeriti svaki korisnik na web lokaciji. Hakeri često ubacuju skripte koje dodaju administrativnog korisnika. Uklonite sve stare ili neiskorištene račune i dodijelite njihov sadržaj postojećem korisniku. Ako imate korisnika s imenom admin, dodajte novog administratora sa jedinstvenom prijavom i potpuno uklonite administratorski račun.
  • Resetovanje lozinku svakog korisnika. Mnoge web stranice su hakirane jer je korisnik koristio jednostavnu lozinku koja je pretpostavljena u napadu, omogućavajući nekome da uđe u WordPress i radi sve što želi.
  • Onemogući mogućnost uređivanja dodataka i tema putem WordPress administratora. Mogućnost uređivanja ovih datoteka omogućava bilo kojem hakeru da učini isto ako dobije pristup. Učinite ključne WordPress datoteke nepisljivima tako da skripte ne mogu prepisati osnovni kod. Sve u jednom ima zaista sjajan dodatak koji pruža WordPress kaljenje s mnoštvom karakteristika.
  • Ručno preuzmite i ponovo instalirajte najnovije verzije svakog dodatka koji vam je potreban i uklonite sve druge dodatke. Apsolutno uklonite administrativne dodatke koji omogućavaju izravan pristup datotekama web lokacija ili bazi podataka, što je posebno opasno.
  • ukloniti i zamijenite sve datoteke u root direktorijumu, osim mape wp-content (dakle root, wp-uključuje, wp-admin), novom instalacijom WordPress-a preuzetom direktno s njihove web lokacije.
  • Diff – Možda ćete poželjeti da napravite razliku između sigurnosne kopije vaše stranice kada niste imali zlonamjerni softver i trenutne stranice… ovo će vam pomoći da vidite koji su fajlovi uređivani i koje promjene su napravljene. Diff je razvojna funkcija koja uspoređuje direktorije i datoteke i pruža vam poređenje između njih. Uz broj ažuriranja na WordPress stranicama, ovo nije uvijek najlakši način – ali ponekad se kod zlonamjernog softvera zaista ističe.
  • Održavajte vaše web mjesto! Web lokacija na kojoj sam radio ovog vikenda imala je staru verziju WordPressa s poznatim sigurnosnim rupama, starim korisnicima koji više ne bi trebali imati pristup, starim temama i starim dodacima. Mogao je bilo koji od njih otvoriti kompaniju za hakiranje. Ako si ne možete priuštiti održavanje web stranice, premjestite je u upravljenu hosting tvrtku koja hoće! Trošenje još nekoliko dolara na hosting moglo je spasiti ovu kompaniju od ove sramote.

Jednom kada povjerujete da ste sve popravili i očvrsnuli, možete vratiti web stranicu uživo uklanjanjem datoteke .htaccess preusmjeriti. Čim je uživo, potražite istu infekciju koja je i ranije bila tamo. Obično koristim alate pregledača preglednika za nadgledanje mrežnih zahtjeva po stranici. Pratim svaki mrežni zahtjev kako bih osigurao da nije zlonamjerni softver ili misteriozan ... ako jest, vratio se na vrh i iznova izvodio korake.

Zapamtite – kada vaša stranica bude čista, neće automatski biti uklonjena sa crnih lista. Trebalo bi da kontaktirate svakog i podnesete zahtjev prema našoj gornjoj listi.

Ovako hakirati nije zabavno. Kompanije naplaćuju nekoliko stotina dolara za uklanjanje ovih prijetnji. Radio sam ne manje od 8 sati kako bih pomogao ovoj kompaniji da očisti svoje web mjesto.

Šta ti misliš?

Ova stranica koristi Akismet kako bi smanjila neželjenu poštu. Saznajte kako se podaci vašeg komentara obrađuju.