Kuidas kontrollida, eemaldada ja ennetada pahavara oma WordPressi saidilt

malware

See nädal oli päris kiire. Üks minu teada mittetulundusühingutest sattus üsna raskesse olukorda - nende WordPressi sait oli nakatunud pahavaraga. Saiti häkkiti ja külastajatele käivitati skriptid, mis tegid kahte erinevat asja:

  1. Püüdis nakatada Microsoft Windowsi malware.
  2. Suunas kõik kasutajad saidile, mis kasutas JavaScripti abil külastaja arvutit minu mineviku krüptokursus.

Avastasin, et saidile oli sisse häkitud, kui külastasin seda pärast nende viimasele uudiskirjale klõpsamist ja teavitasin neid kohe toimuvast. Kahjuks oli see üsna agressiivne rünnak, mille suutsin eemaldada, kuid nakatasin saidi kohe uuesti elama asudes uuesti. See on pahavara häkkerite üsna tavaline praktika - nad ei häkita ainult saiti, vaid lisavad saidile ka administraatorikasutaja või muudavad WordPressi põhifaili, mis häkkimise eemaldamise korral uuesti süstib.

Pahavara on veebis jätkuv probleem. Pahavara kasutatakse reklaamide klikkimise määra suurendamiseks (reklaamipettused), saidistatistika suurendamiseks reklaamijate ülehindamiseks, külastajate finants- ja isikuandmetele juurdepääsu saamiseks ning viimati krüptoraha kaevandamiseks. Kaevandajad saavad kaevandamisandmete eest hästi makstud, kuid kaevandusmasinate ehitamise ja nende eest elektriarvete maksmise kulud on märkimisväärsed. Salaja arvuteid kasutades saavad kaevurid raha teenida ilma kulutusteta.

WordPress ja muud levinud platvormid on häkkerite jaoks suured sihtmärgid, kuna need on nii paljude veebisaitide aluseks. Lisaks on WordPressil teema ja pistikprogrammi arhitektuur, mis ei kaitse saidi põhifaile turvaaukude eest. Lisaks on WordPressi kogukond silmapaistev turvaaukude tuvastamisel ja lappimisel, kuid saitide omanikud ei ole nii valvsad oma saidi värskemate versioonide värskendamise osas.

Seda konkreetset saiti hostiti GoDaddy traditsioonilises veebimajutuses (mitte Hallatud WordPressi hostimine), mis pakub nullkaitset. Muidugi pakuvad nad a Pahavara skanner ja eemaldamine teenus siiski. Haldatud WordPressi hostimisettevõtted nagu hooratas, WP Mootor, LiquidWeb, GoDaddy ja Panteon kõik pakuvad automaatseid värskendusi, et hoida teie saite ajakohasena, kui meie probleemid on tuvastatud ja paigatud. Enamikul on pahavara skannimine ning mustas nimekirjas olevad teemad ja pistikprogrammid, mis aitavad saitide omanikel häkkimist vältida. Mõni ettevõte läheb sammu kaugemale - Kinsta - suure jõudlusega hallatud WordPressi host - pakub isegi a turvalisuse garantii.

Kas teie sait on pahavaraga mustas nimekirjas:

Internetis on palju saite, mis reklaamivad teie saidi pahavara kontrollimist, kuid pidage meeles, et enamik neist ei kontrolli teie saiti reaalajas üldse. Pahavara reaalajas kontrollimiseks on vaja kolmanda osapoole indekseerimistööriista, mis ei suuda tulemusi kohe anda. Kohe kontrollivad saidid on saidid, mis varem leidsid, et teie saidil oli pahavara. Mõned veebis toimuvad pahavara kontrollivad saidid on:

  • Google'i läbipaistvusaruanne - kui teie sait on veebimeistrite juures registreeritud, teavitavad nad teid kohe, kui nad teie saidil roomavad ja sealt pahavara leiavad.
  • Norton Safe Web - Norton haldab ka veebibrauseri pistikprogramme ja operatsioonisüsteemi tarkvara, mis blokeerib kasutajatel teie lehe õhtuse avamise, kui nad on selle musta nimekirja lisanud. Veebisaitide omanikud saavad saidil registreeruda ja taotleda oma saidi uuesti hindamist, kui see on puhas.
  • Sucuri - Sucuri peab pahavara saitide loendit koos aruandega nende kohta, kuhu nad on musta nimekirja kantud. Kui teie sait on puhastatud, näete a Sundige uuesti skannima link loendi all (väga väikeses kirjas). Sucuril on silmapaistev pistikprogramm, mis tuvastab probleemid ... ja sunnib teid seejärel nende kõrvaldamiseks aastase lepingu sõlmima.
  • Yandex - kui otsite Yandexist oma domeeni ja näeteYandexi sõnul võib see sait olla ohtlik ”, saate registreeruda Yandexi veebimeistrite jaoks, lisada oma saidi ja navigeerida Turvalisus ja rikkumisedja taotlege saidi tühjendamist.
  • Phishtank - Mõned häkkerid panevad teie saidile andmepüügiskriptid, mis võivad teie domeeni lisada andmepüügi domeeniks. Kui sisestate Phishtankis teatatud pahavara lehe täpse täieliku URL-i, saate Phishtankis registreeruda ja hääletada, kas see on tõesti andmepüügisait või mitte.

Kui teie sait pole registreeritud ja teil on kuskil jälgimiskonto, saate tõenäoliselt aruande mõne sellise teenuse kasutajalt. Ärge ignoreerige hoiatust ... kuigi te ei pruugi probleemi näha, juhtub valepositiivseid tulemusi harva. Need probleemid võivad teie saidi otsingumootorites indekseerida ja brauseritest blokeerida. Veelgi hullem, teie potentsiaalsed kliendid ja olemasolevad kliendid võivad küsida, millise organisatsiooniga nad töötavad.

Kuidas kontrollida pahavara olemasolu?

Mitmed ülaltoodud ettevõtted räägivad, kui keeruline on pahavara leida, kuid see pole nii keeruline. Raske on tegelikult välja mõelda, kuidas see teie saidile sattus! Pahatahtlik kood asub kõige sagedamini:

  • hooldus - Enne midagi osuta a hooldusleht ja varundage oma sait. Ärge kasutage WordPressi vaikehooldust ega hoolduse pistikprogrammi, kuna need käivitavad WordPressi ikkagi serveris. Soovite tagada, et keegi ei täidaks saidil ühtegi PHP-faili. Kui olete selle juures, kontrollige oma .htaccess faili veebiserveris veendumaks, et sellel pole petturitekoodi, mis võib liiklust suunata.
  • Otsing saidi failid SFTP või FTP kaudu ja tuvastage pluginate, teemade või WordPressi põhifailide uusimad failimuudatused. Avage need failid ja otsige muudatusi, mis lisavad skripte või Base64 käske (kasutatakse serveri skripti täitmise peitmiseks).
  • Võrdlema WordPressi põhifailid teie juurkataloogis, kataloogis wp-admin ja kataloogides wp-include, et näha, kas on olemas uusi faile või erineva suurusega faile. Iga faili tõrkeotsing. Isegi kui leiate häkkimise ja eemaldate selle, jätkake otsimist, sest paljud häkkerid lahkuvad tagauksest saidi uuesti nakatamiseks. Ärge lihtsalt WordPressi üle kirjutage ega uuesti installige ... häkkerid lisavad sageli juurkataloogi pahatahtlikke skripte ja kutsuvad skripti muul viisil häkkimise sisestamiseks. Vähem keerukad pahavara skriptid sisestavad tavaliselt lihtsalt skriptifailid header.php or footer.php. Keerukamad skriptid muudavad tegelikult kõiki PHP-faile serveris uuesti süstimise koodiga, nii et teil on selle eemaldamine keeruline.
  • eemaldama allikad võivad olla kolmandate osapoolte reklaamiskriptid. Olen keeldunud uute reklaamivõrgustike kasutamisest, kui olen lugenud, et neid on veebis häkitud.
  • Vaata  teie postituste andmebaasi tabel manustatud skriptide jaoks lehe sisus. Selleks saate teha lihtsaid otsinguid PHPMyAdmini abil ja otsida päringu URL-e või skripti silte.

Enne saidi otseülekannet ... on nüüd aeg oma sait kõvaks muuta, et vältida kohest uuesti süstimist või muud häkkimist:

Kuidas vältida saidi häkkimist ja pahavara installimist?

  • Kontrollima iga veebisaidi kasutaja. Häkkerid süstivad sageli skripte, mis lisavad administraatorikasutaja. Eemaldage kõik vanad või kasutamata kontod ja määrake nende sisu olemasolevale kasutajale. Kui teil on kasutaja nimega admin, lisage uus administraator ainulaadse sisselogimisega ja eemaldage administraatori konto täielikult.
  • lähtestama iga kasutaja parool. Paljud saidid on häkkinud, kuna kasutaja kasutas lihtsat parooli, mis oli rünnakul ära arvatud, võimaldades kellelgi WordPressi siseneda ja teha kõike, mida ta soovis.
  • Keela võimalus muuta pistikprogramme ja teemasid WordPressi administraatori kaudu. Nende failide redigeerimise võimalus võimaldab igal häkkeril teha sama, kui neile juurdepääs on olemas. Muutke WordPressi põhifailid kirjutamatuks, nii et skriptid ei saaks tuumkoodi ümber kirjutada. All in One on tõesti suurepärane plugin, mis pakub WordPressi karastamine paljude funktsioonidega.
  • Käsitsi laadige alla ja installige uuesti kõigi vajalike pistikprogrammide uusimad versioonid ja eemaldage kõik muud pistikprogrammid. Eemaldage absoluutselt administratiivsed pistikprogrammid, mis annavad otsese juurdepääsu saidifailidele või andmebaasile, need on eriti ohtlikud.
  • eemaldama ja asendage kõik juurkataloogis olevad failid, välja arvatud kausta wp-content (so root, wp-include, wp-admin) otse nende saidilt alla laaditud uue WordPressi installiga.
  • Säilitama teie sait! Sellel nädalavahetusel töötanud saidil oli WordPressi vana versioon koos teadaolevate turvaaukudega, vanad kasutajad, kellel ei peaks enam olema juurdepääsu, vanad teemad ja vanad pistikprogrammid. See võis olla üks neist, mis avas ettevõtte häkkimise jaoks. Kui te ei saa oma saidi hooldamist endale lubada, viige see kindlasti hallatavasse hostifirmasse, mis seda teeb! Veel paar taala hostimisele kulutamine oleks selle ettevõtte selle piinlikkuse päästnud.

Kui usute, et kõik on fikseeritud ja karastatud, saate saidi uuesti elama panna, eemaldades selle .htaccess ümbersuunamine. Niipea kui see on otseülekanne, otsige sama nakkust, mis seal varem oli. Tavaliselt kasutan brauseri kontrollivahendeid lehe järgi võrgutaotluste jälgimiseks. Jälgin kõiki võrgutaotlusi, et veenduda, et see pole pahavara ega salapärane ... kui see on nii, siis on see tagasi ülespoole ja teeb samme uuesti.

Võite kasutada ka taskukohast kolmandat osapoolt pahavara skannimisteenus nagu Saidiskannerid, mis kontrollib teie saiti iga päev ja annab teile teada, kas olete aktiivses pahavara jälgimisteenustes mustas nimekirjas. Pidage meeles - kui teie sait on puhas, ei eemaldata seda automaatselt mustadest loenditest. Peaksite igaühega ühendust võtma ja esitama päringu meie ülaltoodud loendi järgi.

Niimoodi häkkimine pole lõbus. Ettevõtted küsivad nende ohtude kõrvaldamiseks mitusada dollarit. Töötasin vähemalt 8 tundi, et aidata sellel ettevõttel nende saiti koristada.

Mis sa arvad?

Sellel saidil kasutatakse rämpsposti vähendamiseks Akismetit. Vaadake, kuidas teie andmeid töödeldakse.