Како проверити, уклонити и спречити малвер са ваше ВордПресс локације

Како уклонити злонамерни софтвер са ВордПресс-а

Ова недеља је била прилично напорна. Једна од непрофитних организација које познајем нашла се у прилично тешкој ситуацији – њихов ВордПресс сајт је био заражен малвером. Сајт је хакован и на посетиоцима су извршене скрипте које су радиле две различите ствари:

  1. Покушао да зарази Мицрософт Виндовс са малваре.
  2. Преусмерио је све кориснике на веб локацију која је користила ЈаваСцрипт за коришћење рачунара посетиоца моја криптоцурренци.

Открио сам да је страница хакована када сам је посетио након што сам кликнуо на њихов најновији билтен и одмах сам их обавестио о томе шта се догађа. На жалост, то је био прилично агресиван напад који сам успео да уклоним, али одмах сам поново заразио локацију након покретања. Ово је прилично честа пракса хакера злонамерног софтвера - они не само да хакују веб локацију, већ додају административног корисника на њу или мењају основну ВордПресс датотеку која поново убризгава хак ако се уклони.

Малвер је стални проблем на вебу. Злонамерни софтвер се користи за повећање стопе учесталости кликова на огласе (превара са огласима), надувавање статистике сајта да би се пренаплатило оглашивачима, покушај да се добије приступ финансијским и личним подацима посетилаца и недавно – за рударење криптовалуте. Рудари су добро плаћени за податке о рударењу, али трошкови за изградњу рударских машина и плаћање рачуна за струју су значајни. Тајним коришћењем рачунара, рудари могу зарадити новац без трошкова.

ВордПресс и друге уобичајене платформе су огромна мета за хакере, јер су темељ толико много веб локација. Поред тога, ВордПресс има тему и архитектуру додатака која не штити основне датотеке веб локација од сигурносних рупа. Поред тога, ВордПресс заједница изванредна је у идентификовању и крпању сигурносних рупа - али власници веб локација нису толико опрезни у погледу одржавања своје веб локације ажурираном најновијим верзијама.

Ова одређена веб локација била је хостирана на традиционалном веб хостингу компаније ГоДадди (не Манагед ВордПресс хостинг), који нуди нулту заштиту. Наравно, они нуде а Скенер и уклањање злонамерног софтвера услуга, додуше. Управљане компаније за хостинг ВордПресс-а као што су замајац, ВП Мотор, ЛикуидВеб, ГоДадди и Пантеон сви нуде аутоматска ажурирања како би ваше веб локације биле ажурне када се проблеми идентификују и закрпе. Већина има скенирање злонамерног софтвера и теме и додатке са црне листе како би помогли власницима сајтова да спрече хакирање. Неке компаније иду корак даље – Кинста – хост за управљање Вордпресом високих перформанси – чак нуди и а гаранција сигурности.

Поред тога, тим на jetpack нуди сјајну услугу за свакодневну аутоматску проверу вашег сајта на малвер и друге рањивости. Ово је идеално решење ако сами хостујете ВордПресс на сопственој инфраструктури.

Јетпацк скенира ВордПресс за малвер

Такође можете користити приступачну независну компанију услуга скенирања малвера као Скенери локација, који ће свакодневно скенирати вашу веб локацију и обавештавати вас да ли сте на црној листи на активним сервисима за праћење малвера.

Да ли је ваша веб локација на црној листи због злонамерног софтвера:

Постоји много сајтова на мрежи који промовишу проверавање на вашој веб локацији за малвер, али имајте на уму да већина њих заправо уопште не проверава вашу веб локацију у реалном времену. Скенирање малвера у реалном времену захтева алатку треће стране за индексирање која не може тренутно да пружи резултате. Сајтови који пружају тренутну проверу су сајтови који су претходно открили да ваш сајт има малвер. Неки од сајтова за проверу малвера на вебу су:

  • Гоогле извештај о транспарентности - ако је ваша веб локација регистрована код вебмастера, одмах ће вас упозорити када попишу вашу веб локацију и на њој пронађу малвер.
  • Нортон Сафе Веб - Нортон такође користи додатке за веб прегледаче и софтвер оперативног система који ће забранити корисницима да увече отворе вашу страницу ако су је ставили на црну листу. Власници веб локација могу се регистровати на веб локацији и затражити да се њихова страница поново процени када је чиста.
  • Суцури - Суцури одржава списак локација са злонамерним софтвером, заједно са извештајем о томе где су на црној листи. Ако је ваша веб локација очишћена, видећете а Присилно поновно скенирање линк испод листе (врло малим словима). Суцури има изванредан додатак који открива проблеме ... а затим вас гура у годишњи уговор да их уклоните.
  • иандек - ако претражите Иандек за свој домен и видите „Према Иандек-у, ова веб локација би могла бити опасна ”, можете се регистровати за вебмастере Иандек-а, додати своју веб страницу, кренути до Безбедност и кршења, и затражите да се ваша страница уклони.
  • Пхисхтанк - Неки хакери ће на вашу веб локацију ставити скрипте за „пецање“, због чега ће ваш домен бити наведен као „пецање“. Ако унесете тачан, пуни УРЛ пријављене странице малвера у Пхисхтанк-у, можете се регистровати код Пхисхтанк-а и гласати да ли је то заиста пхисхинг локација.

Осим ако ваш сајт није регистрован и негде имате налог за праћење, вероватно ћете добити извештај од корисника једне од ових услуга. Немојте игнорисати упозорење... иако можда не видите проблем, лажно позитивни резултати се ретко дешавају. Ови проблеми могу довести до деиндексирања вашег сајта са претраживача и блокирања у прегледачима. Што је још горе, ваши потенцијални и постојећи клијенти могу се запитати са каквом организацијом раде.

Како се проверава малвер?

Неколико горенаведених компанија говори о томе колико је тешко пронаћи злонамерни софтвер, али није тако тешко. Потешкоћа је заправо открити како је доспео на вашу веб локацију! Злонамерни код се најчешће налази у:

  • Одржавање - Пре било чега, усмерите га на а страница одржавања и направите резервну копију веб локације. Не користите ВордПресс-ово подразумевано одржавање или додатак за одржавање, јер ће они и даље извршавати ВордПресс на серверу. Желите да се уверите да нико не извршава ниједну ПХП датотеку на локацији. Док сте већ код тога, проверите своје .хтаццесс датотеку на веб серверу како бисте били сигурни да нема лажни код који можда преусмерава саобраћај.
  • Претрага датотеке ваше веб локације путем СФТП или ФТП и идентификују најновије промене датотека у додацима, темама или основним ВордПресс датотекама. Отворите те датотеке и потражите било какве измене које додају скрипте или наредбе Басе64 (користе се за скривање извршавања скрипте сервера).
  • Упоредити основне ВордПресс датотеке у вашем основном директоријуму, директоријуму вп-админ и директоријуму вп-инцлуде да бисте видели да ли постоје нове датотеке или датотеке различитих величина. Решите проблеме са сваком датотеком. Чак и ако пронађете и уклоните хакер, наставите да тражите јер многи хакери излазе из дворишта да би поново заразили веб локацију. Немојте једноставно преписати или поново инсталирати ВордПресс ... хакери често додају злонамерне скрипте у основни директоријум и позивају скрипту на неки други начин да убризгају хак. Мање сложене скрипте за малвер обично само убацују датотеке скрипти хеадер.пхп or фоотер.пхп. Сложеније скрипте ће заправо изменити сваку ПХП датотеку на серверу помоћу кода за поновно убризгавање тако да ћете је тешко уклонити.
  • уклонити независне скрипте за оглашавање које могу бити извор. Одбио сам да применим нове огласне мреже када сам прочитао да су хаковане на мрежи.
  • Проверити ваша табела базе података постова за уграђене скрипте у садржај странице. То можете учинити једноставним претрагама користећи ПХПМиАдмин и тражењем УРЛ-ова захтева или ознака скрипте.

Пре него што објавите своју веб локацију уживо, сада је време да је учврстите како бисте спречили тренутно поновно убризгавање или неко друго хаковање:

Како спречити да ваша веб локација буде хакована и инсталиран малвер?

  • Провере знања сваки корисник на веб локацији. Хакери често убацују скрипте које додају административног корисника. Уклоните све старе или неискоришћене налоге и доделите њихов садржај постојећем кориснику. Ако имате корисника са именом Администратор, додајте новог администратора са јединственом пријавом и уклоните администраторски налог у потпуности.
  • Ресетовати лозинку сваког корисника. Многе веб локације су хаковане јер је корисник користио једноставну лозинку која је претпостављена у нападу, омогућавајући некоме да уђе у ВордПресс и ради све што жели.
  • Онеспособити могућност уређивања додатака и тема путем ВордПресс администратора. Способност уређивања ових датотека омогућава било којем хакеру да учини исто ако добије приступ. Учините кључне ВордПресс датотеке неписљивим, тако да скрипте не могу преписати основни код. Уцело има заиста одличан додатак који пружа ВордПресс каљење са гомилом карактеристика.
  • Ручно преузмите и поново инсталирајте најновије верзије сваког додатка који вам је потребан и уклоните све друге додатке. Апсолутно уклоните административне додатке који омогућавају директан приступ датотекама локација или бази података, што је посебно опасно.
  • уклонити и замените све датотеке у кореновском директоријуму, изузев директоријума вп-цонтент (дакле роот, вп-инцлудес, вп-админ), новом инсталацијом ВордПресс-а преузетом директно са њихове веб локације.
  • Дифф – Можда ћете желети да направите разлику између резервне копије вашег сајта када нисте имали малвер и тренутне локације... ово ће вам помоћи да видите које су датотеке измењене и које промене су направљене. Дифф је развојна функција која упоређује директоријуме и датотеке и пружа вам поређење између њих. Уз број ажурирања на ВордПресс сајтовима, ово није увек најлакши метод – али понекад се код злонамерног софтвера заиста истиче.
  • Одржавати ваш сајт! Сајт на којем сам радио овог викенда имао је стару верзију ВордПресс-а са познатим рупама у безбедности, старим корисницима који више не би требало да имају приступ, старим темама и старим додацима. Могао је било који од њих отворити компанију за хаковање. Ако не можете да приуштите одржавање ваше веб локације, обавезно је преместите у управљану хостинг компанију која ће то учинити! Трошење још неколико долара на хостинг могло је спасити ову компанију од ове срамоте.

Једном када верујете да сте све поправили и очврснули, можете да вратите веб локацију уживо уклањањем датотеке .хтаццесс преусмерити. Чим је уживо, потражите исту инфекцију која је раније била тамо. Обично користим алате прегледача прегледача за надгледање мрежних захтева по страници. Пратим сваки мрежни захтев како бих се уверио да није злонамерни софтвер или мистериозан ... ако јесте, вратио се на врх и поново изводио кораке.

Запамтите – када ваша веб локација буде чиста, неће аутоматски бити уклоњена са црних листа. Требало би да контактирате сваког и да поднесете захтев према нашој листи изнад.

Овако хаковати није забавно. Компаније наплаћују неколико стотина долара за уклањање ових претњи. Радио сам не мање од 8 сати да помогнем овој компанији да очисти своју веб локацију.

Шта ви мислите?

Ова страница користи Акисмет како би смањила нежељену пошту. Сазнајте како се ваш коментар обрађује.