Kuinka tarkistaa, poistaa ja estää haittaohjelmia WordPress-sivustoltasi

Kuinka poistaa haittaohjelmat WordPressistä

Tämä viikko oli aika kiireinen. Yksi tuntemistani voittoa tavoittelemattomista järjestöistä joutui melkoiseen ahdinkoon – heidän WordPress-sivustonsa oli saastunut haittaohjelmista. Sivusto hakkeroitiin ja skriptejä suoritettiin vierailijoille, jotka tekivät kahta eri asiaa:

  1. Yritti tartuttaa Microsoft Windowsia haittaohjelmat.
  2. Ohjattiin kaikki käyttäjät sivustolle, joka käytti JavaScriptiä kävijän tietokoneen valjastamiseen minun salausvaluutta.

Huomasin, että sivustoon hakkeroitiin, kun kävin siellä napsauttamalla heidän viimeisintä uutiskirjettä ja ilmoitin heti heille, mitä tapahtui. Valitettavasti se oli melko aggressiivinen hyökkäys, jonka pystyin poistamaan, mutta infektoin sivuston välittömästi uudelleen lähtiessäni. Tämä on haittaohjelmien hakkereiden melko yleinen käytäntö - he eivät vain hakkeroi sivustoa, vaan joko lisäävät sivustolle järjestelmänvalvojan käyttäjän tai muuttavat ydin WordPress-tiedostoa, joka lisää hakkerin uudelleen, jos se poistetaan.

Haittaohjelmat ovat jatkuva ongelma verkossa. Haittaohjelmia käytetään kasvattamaan mainosten napsautussuhteita (mainospetoksia), kasvattamaan sivuston tilastoja mainostajien yliveloittamiseen, yrittämään päästä käsiksi vierailijoiden taloudellisiin ja henkilökohtaisiin tietoihin ja viimeisimpänä – kryptovaluutan louhimiseen. Kaivostyöläiset saavat hyvää palkkaa kaivostiedoista, mutta kaivoskoneiden rakentaminen ja niiden sähkölaskujen maksaminen ovat merkittäviä. Käyttämällä salaa tietokoneita kaivostyöläiset voivat ansaita rahaa ilman kuluja.

WordPress ja muut yleiset käyttöympäristöt ovat valtava kohde hakkereille, koska ne ovat niin monien verkkosivustojen perusta. Lisäksi WordPressillä on teema- ja laajennusarkkitehtuuri, joka ei suojaa ydinsivustotiedostoja tietoturva-aukkoilta. Lisäksi WordPress-yhteisö tunnistaa ja korjaa tietoturva-aukkoja, mutta sivustojen omistajat eivät ole yhtä valppaina pitämään sivustoaan ajan tasalla uusimmilla versioilla.

Tätä sivustoa isännöitiin GoDaddyn perinteisessä web-isännöinnissä (ei Managed WordPress hosting), joka tarjoaa nollasuojauksen. Tietenkin he tarjoavat a Haittaohjelmien skanneri ja poisto palvelu. Hallinnoidut WordPress-isäntäyritykset, kuten vauhtipyörä, WP Moottori, LiquidWeb, GoDaddy ja Pantheon kaikki tarjoavat automaattisia päivityksiä, jotka pitävät sivustosi ajan tasalla, kun ongelmat havaitaan ja korjataan. Useimmissa niistä on haittaohjelmien tarkistus ja mustalle listalle lisätyt teemat ja laajennukset, jotka auttavat sivustojen omistajia estämään hakkeroinnin. Jotkut yritykset menevät askeleen pidemmälle – Kinsta – tehokas Managed WordPress -isäntä – tarjoaa jopa a turvatakuu.

Lisäksi joukkue klo rakettireppu tarjoaa erinomaisen palvelun, joka tarkistaa sivustosi automaattisesti haittaohjelmien ja muiden haavoittuvuuksien varalta päivittäin. Tämä on ihanteellinen ratkaisu, jos isännöit WordPressiä itse omassa infrastruktuurissasi.

Jetpack-tarkistus WordPressistä haittaohjelmien varalta

Voit myös käyttää edullista kolmatta osapuolta haittaohjelmien skannauspalvelu pitää Sivustoskannerit, joka tarkistaa sivustosi päivittäin ja ilmoittaa, oletko aktiivisten haittaohjelmien seurantapalveluiden mustalla listalla.

Onko sivustosi mustalla listalla haittaohjelmien varalta:

Verkossa on paljon sivustoja, jotka mainostavat tarkkailun sivustosi haittaohjelmien varalta, mutta muista, että useimmat heistä eivät itse tarkista sivustoasi ollenkaan reaaliajassa. Reaaliaikainen haittaohjelmien tarkistus vaatii kolmannen osapuolen indeksointityökalun, joka ei pysty antamaan tuloksia välittömästi. Sivustot, jotka tarjoavat välittömän tarkistuksen, ovat sivustoja, jotka ovat aiemmin löytäneet sivustollasi haittaohjelmia. Jotkut haittaohjelmien tarkistussivustoista verkossa ovat:

  • Googlen avoimuusraportti - Jos sivustosi on rekisteröity verkkovastaaville, he ilmoittavat sinulle välittömästi, kun indeksoivat sivustosi ja löytävät siitä haittaohjelmia.
  • Norton Safe Web - Norton käyttää myös verkkoselaimen laajennuksia ja käyttöjärjestelmäohjelmistoja, jotka estävät käyttäjiä avaamasta sivusi illalla, jos he ovat lisänneet sen mustalle listalle. Verkkosivustojen omistajat voivat rekisteröityä sivustolle ja pyytää niiden uudelleenarviointia, kun se on puhdas.
  • Sucuri - Sucuri ylläpitää luetteloa haittaohjelmasivustoista ja raportin siitä, missä ne on lisätty mustalle listalle. Jos sivustosi puhdistetaan, näet a Pakota uudelleentarkistus linkki luettelon alla (hyvin pienellä painettuna). Sucurilla on erinomainen laajennus, joka havaitsee ongelmat ... ja työntää sinut sitten vuotuiseen sopimukseen niiden poistamiseksi.
  • Yandex - jos haet Yandexiltä verkkotunnustasi ja näetYandexin mukaan tämä sivusto saattaa olla vaarallinen ”, voit rekisteröityä Yandexin verkkovastaaviin, lisätä sivustosi, navigoida osoitteeseen Turvallisuus ja rikkomuksetja pyydä sivustosi tyhjentämistä.
  • Phishtank - Jotkut hakkerit asettavat tietojenkalasteluohjelmat sivustoosi, mikä voi saada verkkotunnuksesi tietojenkalastelualueeksi. Jos syötät ilmoitetun haittaohjelmasivun tarkan, täydellisen URL-osoitteen Phishtankissa, voit rekisteröityä Phishtankiin ja äänestää, onko se todella tietojenkalastelusivusto vai ei.

Ellei sivustoasi ole rekisteröity ja sinulla on seurantatili jossain, saat luultavasti raportin jonkun näistä palveluista. Älä jätä hälytystä huomioimatta… vaikka et ehkä näe ongelmaa, vääriä positiivisia tuloksia tapahtuu harvoin. Nämä ongelmat voivat saada sivustosi indeksoinnin pois hakukoneista ja estää selaimet. Mikä pahempaa, potentiaaliset asiakkaasi ja nykyiset asiakkaasi saattavat ihmetellä, minkälaisen organisaation kanssa he työskentelevät.

Kuinka haittaohjelmat tarkistetaan?

Useat yllä olevista yrityksistä puhuvat siitä, kuinka vaikeaa haittaohjelmien löytäminen on, mutta se ei ole niin vaikeaa. Vaikeus on itse asiassa selvittää, kuinka se pääsi sivustollesi! Haitallinen koodi sijaitsee useimmiten:

  • kunnossapito - Osoita ennen kaikkea a huoltosivu ja varmuuskopioi sivustosi. Älä käytä WordPressin oletushuoltoa tai ylläpitolaajennusta, koska ne suorittavat edelleen WordPressin palvelimella. Haluat varmistaa, ettei kukaan suorita mitään PHP-tiedostoa sivustolla. Kun olet siinä, tarkista .htaccess tiedosto verkkopalvelimelle varmistaaksesi, ettei siinä ole väärää koodia, joka saattaa ohjata liikennettä.
  • Haku sivustosi tiedostot SFTP: n tai FTP: n kautta ja tunnista viimeisimmät tiedostomuutokset laajennuksissa, teemoissa tai WordPress-ydintiedostoissa. Avaa nuo tiedostot ja etsi kaikki muokkaukset, jotka lisäävät komentosarjoja tai Base64-komentoja (käytetään palvelimen komentosarjojen suorittamisen piilottamiseen).
  • Verrata juurihakemistosi, wp-admin-hakemiston ja wp-include-hakemistojen WordPress-ydintiedostot nähdäksesi onko olemassa uusia tai erikokoisia tiedostoja. Vianmääritys jokaiselle tiedostolle. Vaikka löytäisitkin hakkerin ja poistat sen, jatka etsimistä, koska monet hakkerit jättävät takaoven tartuttaakseen sivuston uudelleen. Älä yksinkertaisesti kirjoita WordPressiä tai asenna sitä uudelleen ... hakkerit lisäävät usein haittaohjelmia juurihakemistoon ja kutsuvat komentosarjaa jollakin muulla tavalla injektoimaan hakkerointi. Vähemmän monimutkaiset haittaohjelmakoodit lisäävät yleensä vain komentotiedostot header.php or footer.php. Monimutkaisemmat komentosarjat muokkaavat jokaista palvelimen PHP-tiedostoa uudelleensyöttökoodilla niin, että sen poistaminen on vaikeaa.
  • poista kolmannen osapuolen mainoskoodit, jotka voivat olla lähde. Olen kieltäytynyt käyttämästä uusia mainosverkostoja, kun olen lukenut, että niihin on hakkeroitu verkossa.
  • Tarkistaa viestisi tietokantataulukko sivun sisältöön upotetuille komentosarjoille. Voit tehdä tämän tekemällä yksinkertaisia ​​hakuja PHPMyAdminilla ja etsimällä pyyntöjen URL-osoitteita tai komentosarjatunnisteita.

Ennen kuin laitat sivustosi livenä… on nyt aika kovettaa sivustosi estääkseen välitön uudelleensyöttö tai uusi hakkerointi:

Kuinka estät sivustosi hakkeroinnin ja haittaohjelmien asentamisen?

  • Todentaa jokainen verkkosivuston käyttäjä. Hakkerit injektoivat usein komentosarjoja, jotka lisäävät järjestelmänvalvojan käyttäjän. Poista kaikki vanhat tai käyttämättömät tilit ja määritä niiden sisältö uudelleen olemassa olevalle käyttäjälle. Jos sinulla on käyttäjä nimeltä admin, lisää uusi järjestelmänvalvoja, jolla on yksilöllinen sisäänkirjautuminen, ja poista järjestelmänvalvojan tili kokonaan.
  • asettaa uudelleen jokaisen käyttäjän salasana. Monet sivustot on hakkeroitu, koska käyttäjä käytti yksinkertaista salasanaa, joka arvattiin hyökkäyksessä, jolloin joku pääsi WordPressiin ja teki mitä haluaa.
  • Poista mahdollisuus muokata laajennuksia ja teemoja WordPress-järjestelmänvalvojan kautta. Mahdollisuus muokata näitä tiedostoja antaa hakkereille mahdollisuuden tehdä samoin, jos he pääsevät siihen. Tee WordPress-ydintiedostoista kirjoittamaton, jotta komentosarjat eivät voi kirjoittaa ydinkoodia uudelleen. Kaikki yhdessä on todella hieno lisäosa, joka tarjoaa WordPressin karkaisu paljon ominaisuuksia.
  • Käsin lataa ja asenna uudelleen kaikkien tarvitsemiesi laajennusten uusimmat versiot ja poista muut laajennukset. Poista ehdottomasti hallinnolliset laajennukset, jotka tarjoavat suoran pääsyn sivustotiedostoihin tai tietokantaan, nämä ovat erityisen vaarallisia.
  • poista ja korvaa kaikki juurihakemiston tiedostot, lukuun ottamatta wp-content-kansiota (eli root, wp-include, wp-admin) uudella WordPress-asennuksella, joka on ladattu suoraan heidän sivustoltaan.
  • Ero – Voit myös tehdä eron sivustosi varmuuskopion välillä, kun sinulla ei ollut haittaohjelmia, ja nykyisen sivuston välillä… tämä auttaa sinua näkemään, mitä tiedostoja on muokattu ja mitä muutoksia on tehty. Diff on kehitystoiminto, joka vertaa hakemistoja ja tiedostoja ja tarjoaa vertailun näiden kahden välillä. Koska WordPress-sivustoille on tehty paljon päivityksiä, tämä ei ole aina helpoin tapa – mutta joskus haittaohjelmakoodi erottuu todella joukosta.
  • Ylläpitää sinun sivusi! Sivustolla, jolla työskentelin tänä viikonloppuna, oli vanha WordPress-versio tunnetuista tietoturva-aukoista, vanhat käyttäjät, joilla ei pitäisi enää olla pääsyä, vanhat teemat ja vanhat laajennukset. Se olisi voinut olla mikä tahansa näistä, joka avasi yrityksen hakkerointiin. Jos sinulla ei ole varaa ylläpitää sivustoasi, muista siirtää se hallitulle hosting-yritykselle! Muutaman muun taalan käyttäminen isännöinnille olisi voinut pelastaa tämän yrityksen hämmennyksestä.

Kun uskot, että sinulla on kaikki korjattu ja karkaistu, voit tuoda sivuston takaisin eloon poistamalla .htaccess uudelleenohjaus. Heti kun se on elossa, etsi sama infektio, joka oli aiemmin siellä. Käytän yleensä selaimen tarkastustyökaluja verkkosivupyyntöjen seuraamiseen. Seuraan kaikki verkkopyynnöt varmistaakseni, että ne eivät ole haittaohjelmia tai salaperäisiä ... jos on, se palaa alkuun ja suorittaa vaiheet uudestaan.

Muista – kun sivustosi on puhdas, sitä ei automaattisesti poisteta mustilta listoilta. Sinun tulee ottaa yhteyttä jokaiseen ja tehdä pyyntö yllä olevan luettelomme mukaisesti.

Näin hakkerointi ei ole hauskaa. Yritykset veloittavat useita satoja dollareita näiden uhkien poistamiseksi. Olen työskennellyt vähintään 8 tuntia auttaakseni tätä yritystä siivoamaan sivustoaan.

Mitä mieltä olet?

Tämä sivusto käyttää Akismetiä roskapostin vähentämiseksi. Lue, miten kommenttitietosi käsitellään.