Kuinka tarkistaa, poistaa ja estää haittaohjelmia WordPress-sivustoltasi

haittaohjelmat

Tämä viikko oli melko kiireinen. Yksi voittoa tavoittelemattomista yrityksistä, jonka tiedän, joutui melko hankalaan asemaan - heidän WordPress-sivustonsa oli saanut haittaohjelmia. Sivusto hakkeroitiin ja komentosarjat suoritettiin vierailijoille, jotka tekivät kahta erilaista asiaa:

  1. Yritti tartuttaa Microsoft Windowsia haittaohjelmat.
  2. Ohjattiin kaikki käyttäjät sivustolle, joka käytti JavaScriptiä kävijän tietokoneen valjastamiseen minun salausvaluutta.

Huomasin, että sivustoon hakkeroitiin, kun kävin siellä napsauttamalla heidän viimeisintä uutiskirjettä ja ilmoitin heti heille, mitä tapahtui. Valitettavasti se oli melko aggressiivinen hyökkäys, jonka pystyin poistamaan, mutta infektoin sivuston välittömästi uudelleen lähtiessäni. Tämä on haittaohjelmien hakkereiden melko yleinen käytäntö - he eivät vain hakkeroi sivustoa, vaan joko lisäävät sivustolle järjestelmänvalvojan käyttäjän tai muuttavat ydin WordPress-tiedostoa, joka lisää hakkerin uudelleen, jos se poistetaan.

Haittaohjelma on jatkuva ongelma verkossa. Haittaohjelmia käytetään mainosten napsautussuhteiden nostamiseen (mainospetokset), sivustotilastojen nostamiseen mainostajien ylihinnoittelemiseksi, vierailijoiden taloudellisten ja henkilötietojen saamiseksi ja viimeisimpänä - kryptovaluutan louhimiseksi. Kaivostyöläisille maksetaan hyvin kaivostiedoista, mutta kustannukset kaivoskoneiden rakentamiseen ja sähkölaskujen maksamiseen ovat merkittävät. Valjastamalla tietokoneita salaa kaivostyöläiset voivat ansaita rahaa ilman kustannuksia.

WordPress ja muut yleiset alustat ovat valtava kohde hakkereille, koska ne ovat niin monien verkkosivustojen perusta. Lisäksi WordPressillä on teema- ja laajennusarkkitehtuuri, joka ei suojaa ydinsivustotiedostoja tietoturva-aukkoilta. Lisäksi WordPress-yhteisö tunnistaa ja korjaa tietoturva-aukkoja, mutta sivustojen omistajat eivät ole yhtä valppaina pitämään sivustoaan ajan tasalla uusimmilla versioilla.

Tätä tiettyä sivustoa isännöitiin GoDaddyn perinteisessä verkkopalvelussa (ei Managed WordPress hosting), joka tarjoaa nollasuojauksen. Tietenkin he tarjoavat a Haittaohjelmien skanneri ja poisto palvelu. Hallinnoidut WordPress-isäntäyritykset, kuten vauhtipyörä, WP Moottori, LiquidWeb, GoDaddy ja Pantheon kaikki tarjoavat automaattisia päivityksiä pitääkseen sivustosi ajan tasalla, kun tunnistamme ja korjaamme ongelmat. Useimmilla on haittaohjelmien skannaus ja mustalla listalla olevat teemat ja laajennukset, jotka auttavat sivuston omistajia estämään hakkeroinnin. Jotkut yritykset menevät askeleen pidemmälle - Kinsta - korkean suorituskyvyn Managed WordPress -isäntä - tarjoaa jopa a turvatakuu.

Onko sivustosi mustalla listalla haittaohjelmien varalta:

Verkossa on paljon sivustoja, jotka mainostavat sivustosi haittaohjelmien tarkistamista, mutta pidä mielessä, että suurin osa niistä ei todellakaan tarkista sivustoasi reaaliajassa. Reaaliaikainen haittaohjelmien skannaus vaatii kolmannen osapuolen indeksointityökalun, joka ei pysty tuottamaan tuloksia välittömästi. Välittömän tarkistuksen tarjoavat sivustot ovat sivustoja, jotka ovat aiemmin löytäneet sivustollasi haittaohjelmia. Joitakin haittaohjelmien tarkistussivustoja verkossa ovat:

  • Googlen avoimuusraportti - Jos sivustosi on rekisteröity verkkovastaaville, he ilmoittavat sinulle välittömästi, kun indeksoivat sivustosi ja löytävät siitä haittaohjelmia.
  • Norton Safe Web - Norton käyttää myös verkkoselaimen laajennuksia ja käyttöjärjestelmäohjelmistoja, jotka estävät käyttäjiä avaamasta sivusi illalla, jos he ovat lisänneet sen mustalle listalle. Verkkosivustojen omistajat voivat rekisteröityä sivustolle ja pyytää niiden uudelleenarviointia, kun se on puhdas.
  • Sucuri - Sucuri ylläpitää luetteloa haittaohjelmasivustoista ja raportin siitä, missä ne on lisätty mustalle listalle. Jos sivustosi puhdistetaan, näet a Pakota uudelleentarkistus linkki luettelon alla (hyvin pienellä painettuna). Sucurilla on erinomainen laajennus, joka havaitsee ongelmat ... ja työntää sinut sitten vuotuiseen sopimukseen niiden poistamiseksi.
  • Yandex - jos haet Yandexiltä verkkotunnustasi ja näetYandexin mukaan tämä sivusto saattaa olla vaarallinen ”, voit rekisteröityä Yandexin verkkovastaaviin, lisätä sivustosi, navigoida osoitteeseen Turvallisuus ja rikkomuksetja pyydä sivustosi tyhjentämistä.
  • Phishtank - Jotkut hakkerit asettavat tietojenkalasteluohjelmat sivustoosi, mikä voi saada verkkotunnuksesi tietojenkalastelualueeksi. Jos syötät ilmoitetun haittaohjelmasivun tarkan, täydellisen URL-osoitteen Phishtankissa, voit rekisteröityä Phishtankiin ja äänestää, onko se todella tietojenkalastelusivusto vai ei.

Ellei sivustoasi ole rekisteröity ja sinulla on valvontatili jossain, saat todennäköisesti raportin jonkin näistä palveluista. Älä ohita ilmoitusta ... vaikka et ehkä näe ongelmaa, vääriä positiivisia tapahtuu harvoin. Näiden ongelmien vuoksi sivustosi voidaan indeksoida hakukoneista ja estää selaimet. Mikä pahempaa, potentiaaliset asiakkaasi ja nykyiset asiakkaasi saattavat miettiä, minkälaisen organisaation kanssa he työskentelevät.

Kuinka haittaohjelmat tarkistetaan?

Useat yllä mainituista yrityksistä puhuvat siitä, kuinka vaikeaa on löytää haittaohjelmia, mutta se ei ole aivan niin vaikeaa. Vaikea on itse asiassa selvittää, miten se pääsi sivustoosi! Haitallinen koodi sijaitsee useimmiten:

  • kunnossapito - Osoita ennen kaikkea a huoltosivu ja varmuuskopioi sivustosi. Älä käytä WordPressin oletushuoltoa tai ylläpitolaajennusta, koska ne suorittavat edelleen WordPressin palvelimella. Haluat varmistaa, ettei kukaan suorita mitään PHP-tiedostoa sivustolla. Kun olet siinä, tarkista .htaccess tiedosto Web-palvelimella varmistaaksesi, että siinä ei ole väärennettyä koodia, joka saattaa ohjata liikennettä.
  • Haku sivustosi tiedostot SFTP: n tai FTP: n kautta ja tunnista viimeisimmät tiedostomuutokset laajennuksissa, teemoissa tai WordPress-ydintiedostoissa. Avaa nuo tiedostot ja etsi kaikki muokkaukset, jotka lisäävät komentosarjoja tai Base64-komentoja (käytetään palvelimen komentosarjojen suorittamisen piilottamiseen).
  • Verrata juurihakemistosi, wp-admin-hakemiston ja wp-include-hakemistojen ydin WordPress-tiedostot nähdäksesi onko olemassa uusia tiedostoja tai erikokoisia tiedostoja. Vianmääritys jokaiselle tiedostolle. Vaikka löytäisitkin hakkerin ja poistat sen, jatka etsimistä, koska monet hakkerit jättävät takaoven tartuttaakseen sivuston uudelleen. Älä yksinkertaisesti korvaa tai asenna WordPressia uudelleen ... hakkerit lisäävät usein haittaohjelmia juurihakemistoon ja kutsuvat komentosarjaa jollakin muulla tavalla injektoimaan hakkerointi. Vähemmän monimutkaiset haittaohjelmakoodit lisäävät yleensä vain komentotiedostot header.php or footer.php. Monimutkaisemmat komentosarjat muokkaavat jokaista palvelimen PHP-tiedostoa uudelleensyöttökoodilla niin, että sen poistaminen on vaikeaa.
  • poista kolmannen osapuolen mainoskoodit, jotka voivat olla lähde. Olen kieltäytynyt käyttämästä uusia mainosverkostoja, kun olen lukenut, että niihin on hakkeroitu verkossa.
  • Tarkistaa  viestitietokantataulukko upotetuille komentosarjoille sivun sisältöön. Voit tehdä tämän tekemällä yksinkertaisia ​​hakuja PHPMyAdminin avulla ja etsimällä pyyntöjen URL-osoitteita tai komentotunnisteita.

Ennen kuin laitat sivustosi livenä ... on nyt aika kovettaa sivustosi estääkseen välitön uudelleensyöttö tai muu hakkerointi:

Kuinka estät sivustosi hakkeroinnin ja haittaohjelmien asentamisen?

  • Todentaa jokainen verkkosivuston käyttäjä. Hakkerit injektoivat usein komentosarjoja, jotka lisäävät järjestelmänvalvojan käyttäjän. Poista kaikki vanhat tai käyttämättömät tilit ja määritä niiden sisältö uudelleen olemassa olevalle käyttäjälle. Jos sinulla on käyttäjä nimeltä admin, lisää uusi järjestelmänvalvoja, jolla on yksilöllinen sisäänkirjautuminen, ja poista järjestelmänvalvojan tili kokonaan.
  • asettaa uudelleen jokaisen käyttäjän salasana. Moniin sivustoihin on murtauduttu, koska käyttäjä käytti yksinkertaista salasanaa, joka arvattiin hyökkäyksessä, jolloin joku pääsi WordPressiin ja teki mitä haluaa.
  • Poista mahdollisuus muokata laajennuksia ja teemoja WordPress-järjestelmänvalvojan kautta. Mahdollisuus muokata näitä tiedostoja antaa hakkereille mahdollisuuden tehdä samoin, jos he pääsevät siihen. Tee WordPress-ydintiedostoista kirjoittamaton, jotta komentosarjat eivät voi kirjoittaa ydinkoodia uudelleen. Kaikki yhdessä on todella hieno lisäosa, joka tarjoaa WordPressin karkaisu paljon ominaisuuksia.
  • Käsin lataa ja asenna uudelleen kaikkien tarvitsemiesi laajennusten uusimmat versiot ja poista muut laajennukset. Poista ehdottomasti hallinnolliset laajennukset, jotka tarjoavat suoran pääsyn sivustotiedostoihin tai tietokantaan, nämä ovat erityisen vaarallisia.
  • poista ja korvaa kaikki juurihakemiston tiedostot, lukuun ottamatta wp-content-kansiota (eli root, wp-include, wp-admin) uudella WordPress-asennuksella, joka on ladattu suoraan heidän sivustoltaan.
  • Ylläpitää sinun sivusi! Sivustolla, jolla työskentelin tänä viikonloppuna, oli vanha versio WordPressistä, jossa oli tunnettuja suojausreikiä, vanhoja käyttäjiä, joilla ei enää pitäisi olla pääsyä, vanhoja teemoja ja vanhoja laajennuksia. Se olisi voinut olla mikä tahansa näistä, joka avasi yrityksen hakkerointiin. Jos sinulla ei ole varaa ylläpitää sivustoasi, muista siirtää se hallitulle hosting-yritykselle! Muutaman muun taalan käyttäminen isännöinnille olisi voinut pelastaa tämän yrityksen hämmennyksestä.

Kun uskot, että kaikki on korjattu ja karkaistu, voit tuoda sivuston takaisin eloon poistamalla .htaccess uudelleenohjaus. Heti kun se elää, etsi sama infektio, joka oli aiemmin siellä. Käytän yleensä selaimen tarkastustyökaluja verkkosivupyyntöjen seuraamiseen. Seuraan kaikki verkkopyynnöt varmistaakseni, että ne eivät ole haittaohjelmia tai salaperäisiä ... jos se on, se palaa alkuun ja tekee vaiheet uudestaan.

Voit myös käyttää edullista kolmatta osapuolta haittaohjelmien skannauspalvelu pitää Sivustoskannerit, joka skannaa sivustosi päivittäin ja ilmoittaa, oletko mustalla listalla aktiivisissa haittaohjelmien seurantapalveluissa. Muista - kun sivustosi on puhdas, sitä ei poisteta automaattisesti mustista listoista. Ota yhteyttä kumpaankin ja tee pyyntö yllä olevan luettelomme mukaisesti.

Näin hakkerointi ei ole hauskaa. Yritykset veloittavat useita satoja dollareita näiden uhkien poistamiseksi. Olen työskennellyt vähintään 8 tuntia auttaakseni tätä yritystä siivoamaan sivustoaan.

Mitä mieltä olet?

Tämä sivusto käyttää Akismetiä roskapostin vähentämiseksi. Lue, miten kommenttitietosi käsitellään.