Kuidas kontrollida, eemaldada ja ennetada pahavara oma WordPressi saidilt

Kuidas WordPressist pahavara eemaldada

See nädal oli päris tegus. Üks minu teada mittetulundusühingutest sattus üsna raskesse olukorda – nende WordPressi sait oli nakatunud pahavaraga. Saidi häkiti ja külastajatel käivitati skripte, kes tegid kahte erinevat asja:

  1. Püüdis nakatada Microsoft Windowsi malware.
  2. Suunas kõik kasutajad saidile, mis kasutas JavaScripti külastaja arvuti kasutamiseks minu mineviku krüptokursus.

Avastasin, et saidile oli sisse häkitud, kui külastasin seda pärast nende viimasele uudiskirjale klõpsamist ja teavitasin neid kohe toimuvast. Kahjuks oli see üsna agressiivne rünnak, mille suutsin eemaldada, kuid nakatasin saidi kohe uuesti elama asudes uuesti. See on pahavara häkkerite üsna tavaline praktika - nad ei häkita ainult saiti, vaid lisavad saidile ka administraatorikasutaja või muudavad WordPressi põhifaili, mis häkkimise eemaldamise korral uuesti süstib.

Pahavara on veebis pidev probleem. Pahavara kasutatakse reklaamide klikkimise määra suurendamiseks (reklaamipettus), saidi statistika suurendamiseks, et reklaamijatelt üle tasuda, külastajate finants- ja isikuandmetele juurdepääsu proovimiseks ja viimasel ajal krüptovaluuta kaevandamiseks. Kaevurid saavad kaevandamisandmete eest hästi palka, kuid kaevandusmasinate ehitamise ja nende eest elektriarvete maksmise kulud on märkimisväärsed. Arvuteid salaja kasutades saavad kaevurid raha teenida ilma kuludeta.

WordPress ja muud levinud platvormid on häkkerite jaoks suured sihtmärgid, kuna need on nii paljude veebisaitide aluseks. Lisaks on WordPressil teema ja pistikprogrammi arhitektuur, mis ei kaitse saidi põhifaile turvaaukude eest. Lisaks on WordPressi kogukond silmapaistev turvaaukude tuvastamisel ja lappimisel, kuid saitide omanikud ei ole nii valvsad oma saidi värskemate versioonide värskendamise osas.

Seda konkreetset saiti hostiti GoDaddy traditsioonilises veebimajutuses (mitte Hallatud WordPressi hostimine), mis pakub nullkaitset. Muidugi pakuvad nad a Pahavara skanner ja eemaldamine teenus siiski. Haldatud WordPressi hostimisettevõtted nagu hooratas, WP Mootor, LiquidWeb, GoDaddy ja Panteon kõik pakuvad automaatseid värskendusi, et hoida teie saidid probleemide tuvastamisel ja parandamisel kursis. Enamikul neist on pahavara skannimine ning musta nimekirja kantud teemad ja pistikprogrammid, mis aitavad saidiomanikel häkkimist vältida. Mõned ettevõtted astuvad sammu kaugemale – Kinsta – suure jõudlusega hallatud WordPressi host – pakub isegi a turvalisuse garantii.

Lisaks meeskond aadressil jetpack pakub suurepärast teenust teie saidi automaatseks igapäevaseks kontrollimiseks pahavara ja muude haavatavuste suhtes. See on ideaalne lahendus, kui hostite WordPressi ise oma infrastruktuuris.

Jetpack skannib WordPressi pahavara jaoks

Võite kasutada ka taskukohast kolmandat osapoolt pahavara skannimisteenus nagu Saidiskannerid, mis skannib teie saiti iga päev ja annab teile teada, kas olete aktiivse pahavara jälgimise teenuste mustas nimekirjas või mitte.

Kas teie sait on pahavaraga mustas nimekirjas:

Internetis on palju saite, mis reklaamivad kontroll teie saidil pole pahavara, kuid pidage meeles, et enamik neist ei kontrolli teie saiti reaalajas üldse. Pahavara reaalajas skannimiseks on vaja kolmanda osapoole roomamistööriista, mis ei suuda kohe tulemusi anda. Saidid, mis pakuvad kohest kontrolli, on saidid, mis varem leidsid, et teie saidil oli pahavara. Mõned pahavara kontrollimise saidid veebis on järgmised:

  • Google'i läbipaistvusaruanne - kui teie sait on veebimeistrite juures registreeritud, teavitavad nad teid kohe, kui nad teie saidil roomavad ja sealt pahavara leiavad.
  • Norton Safe Web - Norton haldab ka veebibrauseri pistikprogramme ja operatsioonisüsteemi tarkvara, mis blokeerib kasutajatel teie lehe õhtuse avamise, kui nad on selle musta nimekirja lisanud. Veebisaitide omanikud saavad saidil registreeruda ja taotleda nende saidi uuesti hindamist, kui see on puhas.
  • Sucuri - Sucuri peab pahavara saitide loendit koos aruandega nende kohta, kuhu nad on musta nimekirja kantud. Kui teie sait on koristatud, näete a Sundige uuesti skannima link loendi all (väga väikeses kirjas). Sucuril on silmapaistev pistikprogramm, mis tuvastab probleemid ... ja sunnib teid seejärel nende kõrvaldamiseks aastase lepingu sõlmima.
  • Yandex - kui otsite Yandexist oma domeeni ja näeteYandexi sõnul võib see sait olla ohtlik ”, saate registreeruda Yandexi veebimeistrite jaoks, lisada oma saidi ja navigeerida Turvalisus ja rikkumisedja taotlege saidi tühjendamist.
  • Phishtank - Mõned häkkerid panevad teie saidile andmepüügiskriptid, mis võimaldavad teie domeeni näidata andmepüügi domeenina. Kui sisestate Phishtankis teatatud pahavara lehe täpse täieliku URL-i, saate Phishtankis registreeruda ja hääletada, kas see on tõesti andmepüügisait või mitte.

Kui teie sait pole registreeritud ja teil on kuskil jälgimiskonto, saate tõenäoliselt mõne sellise teenuse kasutajalt aruande. Ärge ignoreerige hoiatust… kuigi te ei pruugi probleemi näha, juhtub valepositiivseid tulemusi harva. Need probleemid võivad teie saidi otsingumootoritest indeksist eemaldada ja brauserites blokeerida. Mis veelgi hullem, teie potentsiaalsed kliendid ja olemasolevad kliendid võivad küsida, millise organisatsiooniga nad koostööd teevad.

Kuidas kontrollida pahavara olemasolu?

Mitmed ülaltoodud ettevõtted räägivad, kui keeruline on pahavara leidmine, kuid see pole nii keeruline. Raskus seisneb tegelikult selles, kuidas see teie saidile sattus! Pahatahtlik kood asub enamasti:

  • hooldus - Enne midagi osuta a hooldusleht ja varundage oma sait. Ärge kasutage WordPressi vaikehooldust ega hoolduse pistikprogrammi, kuna need käivitavad WordPressi ikkagi serveris. Soovite tagada, et keegi ei täidaks saidil ühtegi PHP-faili. Kui olete selle juures, kontrollige oma .htaccess faili veebiserverisse, et veenduda, et sellel pole võltskoodi, mis võib liiklust ümber suunata.
  • Otsi saidi failid SFTP või FTP kaudu ja tuvastage pistikprogrammide, teemade või WordPressi põhifailide uusimad failimuudatused. Avage need failid ja otsige muudatusi, mis lisavad skripte või Base64 käske (kasutatakse serveri skripti täitmise peitmiseks).
  • Võrdlema WordPressi põhifailid teie juurkataloogis, kataloogis wp-admin ja kataloogides wp-include, et näha, kas on olemas uusi faile või erineva suurusega faile. Iga faili tõrkeotsing. Isegi kui leiate häkkimise ja eemaldate selle, jätkake otsimist, kuna paljud häkkerid lahkuvad tagauksest, et sait uuesti nakatada. Ärge lihtsalt WordPressi üle kirjutage ega uuesti installige ... häkkerid lisavad sageli juurkataloogi pahatahtlikke skripte ja kutsuvad skripti muul viisil häkkimise sisestamiseks. Vähem keerukad pahavara skriptid sisestavad tavaliselt lihtsalt skriptifailid header.php or footer.php. Keerukamad skriptid muudavad tegelikult kõiki PHP-faile serveris uuesti süstimise koodiga, nii et teil on selle eemaldamine keeruline.
  • eemalda allikad võivad olla kolmandate osapoolte reklaamiskriptid. Olen keeldunud uute reklaamivõrgustike kasutamisest, kui olen lugenud, et neid on veebis häkitud.
  • Vaata teie postituste andmebaasi tabel lehe sisu manustatud skriptide jaoks. Seda saate teha lihtsate otsingutega, kasutades PHPMyAdminit ja otsides päringu URL-e või skriptimärgendeid.

Enne saidi otseülekannet ... on nüüd aeg oma sait kõvaks muuta, et vältida kohest uuesti süstimist või muud häkkimist:

Kuidas vältida saidi häkkimist ja pahavara installimist?

  • Kontrollima iga veebisaidi kasutaja. Häkkerid süstivad sageli skripte, mis lisavad administraatorikasutaja. Eemaldage kõik vanad või kasutamata kontod ja määrake nende sisu olemasolevale kasutajale. Kui teil on kasutaja nimega admin, lisage uus administraator ainulaadse sisselogimisega ja eemaldage administraatori konto täielikult.
  • lähtestama iga kasutaja parool. Paljud saidid on häkkinud, kuna kasutaja kasutas lihtsat parooli, mis oli rünnakul ära arvatud, võimaldades kellelgi WordPressi siseneda ja teha kõike, mida ta soovis.
  • Keela võimalus muuta pluginaid ja teemasid WordPressi administraatori kaudu. Nende failide redigeerimisvõimalus võimaldab igal häkkeril sama teha, kui neile juurdepääs tehakse. Muutke WordPressi põhifailid kirjutamatuks, et skriptid ei saaks tuumkoodi ümber kirjutada. All in One on tõesti suurepärane plugin, mis pakub WordPressi karastamine paljude funktsioonidega.
  • Käsitsi laadige alla ja installige uuesti kõigi vajalike pistikprogrammide uusimad versioonid ja eemaldage kõik muud pistikprogrammid. Eemaldage absoluutselt administratiivsed pistikprogrammid, mis annavad otsese juurdepääsu saidifailidele või andmebaasile, need on eriti ohtlikud.
  • eemalda ja asendage kõik juurkataloogis olevad failid, välja arvatud kausta wp-content (so root, wp-include, wp-admin) otse nende saidilt alla laaditud uue WordPressi installiga.
  • Erinevus – Samuti võite soovida teha vahet oma saidi varukoopia vahel, kui teil polnud pahavara, ja praeguse saidi vahel... see aitab teil näha, milliseid faile on muudetud ja milliseid muudatusi tehtud. Diff on arendusfunktsioon, mis võrdleb katalooge ja faile ning annab teile nende kahe võrdluse. WordPressi saitidele tehtud värskenduste arvu tõttu pole see alati kõige lihtsam meetod, kuid mõnikord paistab pahavara kood tõesti silma.
  • Säilitama teie sait! Sellel nädalavahetusel töötanud saidil oli WordPressi vana versioon koos teadaolevate turvaaukudega, vanad kasutajad, kellel ei peaks enam olema juurdepääsu, vanad teemad ja vanad pistikprogrammid. See võis olla üks neist, mis avas ettevõtte häkkimise jaoks. Kui te ei saa oma saidi hooldamist endale lubada, viige see kindlasti hallatavasse hostimisfirmasse, mis seda teeb! Veel paar taala kulutamine hostimisele oleks selle ettevõtte selle piinlikkuse päästnud.

Kui usute, et kõik on fikseeritud ja karastatud, saate saidi uuesti elama tuua, eemaldades selle .htaccess ümbersuunamine. Niipea kui see on otseülekanne, otsige sama nakkust, mis seal varem oli. Tavaliselt kasutan brauseri kontrollivahendeid lehe järgi võrgutaotluste jälgimiseks. Jälgin kõiki võrgutaotlusi, et veenduda, et see pole pahavara ega salapärane ... kui see on nii, siis on see tagasi ülespoole ja teeb samme uuesti.

Pidage meeles – kui teie sait on puhas, ei eemaldata seda automaatselt mustadest nimekirjadest. Peaksite igaühega ühendust võtma ja esitama taotluse vastavalt meie ülaltoodud loendile.

Niimoodi häkkimine pole lõbus. Ettevõtted küsivad nende ohtude kõrvaldamiseks mitusada dollarit. Töötasin vähemalt 8 tundi, et aidata sellel ettevõttel nende saiti koristada.

Mis sa arvad?

Sellel saidil kasutatakse rämpsposti vähendamiseks Akismetit. Vaadake, kuidas teie andmeid töödeldakse.