Како проверити, уклонити и спречити малвер са ваше ВордПресс локације

malware

Ова недеља је била прилично заузета. Једна од непрофитних организација за коју знам да се нашла у прилично тешкој ситуацији - њихова ВордПресс страница је заражена малвером. Сајт је хакован и скрипте извршене на посетиоцима који су урадили две различите ствари:

  1. Покушао да зарази Мицрософт Виндовс са малваре.
  2. Преусмерио је све кориснике на веб локацију која је користила ЈаваСцрипт за коришћење рачунара посетиоца моја криптоцурренци.

Открио сам да је страница хакована када сам је посетио након што сам кликнуо на њихов најновији билтен и одмах сам их обавестио о томе шта се догађа. На жалост, то је био прилично агресиван напад који сам успео да уклоним, али одмах сам поново заразио локацију након покретања. Ово је прилично честа пракса хакера злонамерног софтвера - они не само да хакују веб локацију, већ додају административног корисника на њу или мењају основну ВордПресс датотеку која поново убризгава хак ако се уклони.

Злонамерни софтвер је стални проблем на вебу. Злонамерни софтвер се користи за надувавање стопе учесталости кликова на огласе (превара са огласима), надувавање статистике веб локација ради прекомерне наплате оглашивача, за покушај постизања приступа финансијским и личним подацима посетиоца, а најновије и за копање крипто валуте. Рудари добро плаћају податке о рударству, али су трошкови изградње рударских машина и плаћања рачуна за електричну енергију за њих значајни. Потајно упрежући рачунаре, рудари могу зарадити новац без трошкова.

ВордПресс и друге уобичајене платформе су огромна мета за хакере, јер су основа толико много веб локација. Поред тога, ВордПресс има тему и архитектуру додатака који не штите основне датотеке веб локација од сигурносних рупа. Поред тога, ВордПресс заједница је изванредна у идентификовању и крпању сигурносних рупа - али власници веб локација нису толико опрезни у погледу одржавања своје веб локације ажурираном најновијим верзијама.

Ова одређена веб локација била је хостирана на традиционалном веб хостингу компаније ГоДадди (не Манагед ВордПресс хостинг), који нуди нулту заштиту. Наравно, они нуде а Скенер и уклањање злонамерног софтвера услуга, додуше. Управљане компаније за хостинг ВордПресс-а као што су замајац, ВП Мотор, ЛикуидВеб, ГоДадди и Пантеон сви нуде аутоматизована ажурирања како би ваше веб локације биле у току када су наши проблеми идентификовани и закрпани. Већина има скенирање малвера и теме и додатке на црној листи како би помогли власницима сајтова да спрече хаковање. Неке компаније иду корак даље - Кинста - управљани ВордПресс домаћин високих перформанси - чак нуди и гаранција сигурности.

Да ли је ваша веб локација на црној листи због злонамерног софтвера:

Много је веб локација на мрежи које промовишу „проверу“ ваше малваре-а, али имајте на уму да већина њих у ствари уопште не проверава вашу веб локацију. Скенирање злонамерног софтвера у стварном времену захтева независни алат за индексирање који не може тренутно да пружи резултате. Веб локације које пружају тренутну проверу су оне које су раније утврдиле да је на вашој веб локацији било малвера. Неке веб локације за проверу малвера на Интернету су:

  • Гоогле извештај о транспарентности - ако је ваша веб локација регистрована код вебмастера, одмах ће вас упозорити када попишу вашу веб локацију и на њој пронађу малвер.
  • Нортон Сафе Веб - Нортон такође користи додатке за веб прегледаче и софтвер оперативног система који ће забранити корисницима да увече отворе вашу страницу ако су је ставили на црну листу. Власници веб локација могу се регистровати на веб локацији и затражити да се њихова страница поново процени када је чиста.
  • Суцури - Суцури одржава листу локација са злонамерним софтвером, заједно са извештајем о томе где су стављене на црну листу. Ако је ваша веб локација очишћена, видећете Присилно поновно скенирање линк испод листе (врло малим словима). Суцури има изванредан додатак који открива проблеме ... а затим вас гура у годишњи уговор да их уклоните.
  • иандек - ако претражите Иандек за свој домен и видите „Према Иандек-у, ова веб локација би могла бити опасна ”, можете се регистровати за вебмастере Иандек-а, додати своју веб страницу, кренути до Безбедност и кршења, и затражите да се ваша страница уклони.
  • Пхисхтанк - Неки хакери ће на вашу веб локацију ставити скрипте за „пецање“, због чега ће ваш домен бити наведен као „пецање“. Ако унесете тачан, пуни УРЛ пријављене странице малвера у Пхисхтанк, можете се регистровати код Пхисхтанк-а и гласати да ли је то заиста пхисхинг локација.

Ако ваша веб локација није регистрована и ако негде немате надзорни рачун, вероватно ћете добити извештај од корисника једне од ових услуга. Не занемарујте упозорење ... иако можда нећете видети проблем, лажни позитивни резултати се ретко дешавају. Због ових проблема ваша веб локација може да се индексира са претраживача и блокира у прегледачима. Још горе, ваши потенцијални клијенти и постојећи купци могу се запитати с каквом организацијом раде.

Како се проверава малвер?

Неколико горе наведених компанија говори о томе како је тешко пронаћи злонамерни софтвер, али није баш тако тешко. Тешко је заправо открити како је доспео на вашу веб локацију! Злонамерни код се најчешће налази у:

  • Одржавање - Пре било чега, усмерите га на а страница одржавања и направите резервну копију веб локације. Не користите подразумевано одржавање ВордПресс-а или додатак за одржавање, јер ће они и даље извршавати ВордПресс на серверу. Желите да се уверите да нико не извршава ниједну ПХП датотеку на локацији. Док сте већ код тога, проверите своје .хтаццесс датотеку на веб серверу како би се осигурало да нема превареног кода који можда преусмерава саобраћај.
  • Pretraži датотеке ваше веб локације путем СФТП или ФТП и идентификују најновије промене датотека у додатцима, темама или основним ВордПресс датотекама. Отворите те датотеке и потражите било какве измене које додају скрипте или наредбе Басе64 (користе се за скривање извршавања скрипте сервера).
  • Упоредити основне ВордПресс датотеке у вашем основном директоријуму, директоријуму вп-админ и директоријуму вп-инцлуде да бисте видели да ли постоје нове датотеке или датотеке различитих величина. Решите проблеме са сваком датотеком. Чак и ако пронађете и уклоните хакер, наставите да тражите јер многи хакери излазе из бекиста да поново заразе страницу. Немојте једноставно преписати или поново инсталирати ВордПресс ... хакери често додају злонамерне скрипте у основни директоријум и позивају скрипту на неки други начин да убризгају хак. Мање сложене скрипте за малвер обично само убацују датотеке скрипти хеадер.пхп or фоотер.пхп. Сложеније скрипте ће заправо изменити сваку ПХП датотеку на серверу помоћу кода за поновно убризгавање тако да ћете је тешко уклонити.
  • уклонити независне скрипте за оглашавање које могу бити извор. Одбио сам да применим нове огласне мреже када сам прочитао да су хаковане на мрежи.
  • Проверити  табела базе података ваших постова за уграђене скрипте у садржај странице. То можете учинити једноставним претраживањем помоћу ПХПМиАдмин-а и претраживањем УРЛ-ова захтева или ознака скрипти.

Пре него што објавите своју веб локацију уживо, сада је време да је учврстите како бисте спречили тренутно поновно убризгавање или неко друго хаковање:

Како спречити да ваша веб локација буде хакована и инсталиран малвер?

  • Провере знања сваки корисник на веб локацији. Хакери често убацују скрипте које додају административног корисника. Уклоните све старе или неискоришћене налоге и доделите њихов садржај постојећем кориснику. Ако имате корисника са именом Администратор, додајте новог администратора са јединственом пријавом и уклоните администраторски налог у потпуности.
  • Ресетовати лозинку сваког корисника. Многе веб локације су хаковане јер је корисник користио једноставну лозинку која је претпостављена у нападу, омогућавајући некоме да уђе у ВордПресс и ради све што жели.
  • Онеспособити могућност уређивања додатака и тема путем ВордПресс администратора. Способност уређивања ових датотека омогућава било ком хакеру да учини исто ако добије приступ. Учините кључне ВордПресс датотеке неписљивим, тако да скрипте не могу преписати основни код. Уцело има заиста одличан додатак који пружа ВордПресс каљење са гомилом карактеристика.
  • Ручно преузмите и поново инсталирајте најновије верзије сваког додатка који вам је потребан и уклоните све друге додатке. Апсолутно уклоните административне додатке који омогућавају директан приступ датотекама локација или бази података, што је посебно опасно.
  • уклонити и замените све датотеке у кореновском директоријуму, изузев директоријума вп-цонтент (дакле роот, вп-инцлудес, вп-админ), новом инсталацијом ВордПресс-а преузетом директно са њихове веб локације.
  • Одржавати ваш сајт! Сајт на којем сам радио овог викенда имао је стару верзију ВордПресс-а са познатим сигурносним рупама, старим корисницима који више не би требало да имају приступ, старим темама и старим додацима. Могао је било који од њих отворити компанију за хаковање. Ако не можете да приуштите одржавање веб локације, обавезно је преместите у управљану хостинг компанију која ће то учинити! Трошење још неколико долара на хостинг могло је спасити ову компанију од ове срамоте.

Једном када верујете да сте све поправили и очврснули, можете да вратите веб локацију уживо уклањањем датотеке .хтаццесс преусмерити. Чим је уживо, потражите исту инфекцију која је била и раније. Обично користим алате прегледача прегледача за надгледање мрежних захтева по страници. Пратим сваки мрежни захтев како бих се уверио да није злонамерни софтвер или мистериозан ... ако јесте, вратио се на врх и поново изводио кораке.

Такође можете користити приступачну независну компанију услуга скенирања малвера као Скенери локација, који ће свакодневно скенирати вашу веб локацију и обавестити вас да ли сте на црној листи активних услуга праћења малвера. Запамтите - када се ваша веб локација очисти, неће се аутоматски уклонити са црних листа. Требало би да контактирате сваког и поднесете захтев према нашој горњој листи.

Овако хаковати није забавно. Компаније наплаћују неколико стотина долара за уклањање ових претњи. Радио сам не мање од 8 сати да помогнем овој компанији да очисти своју веб локацију.

Шта ви мислите?

Ова страница користи Акисмет како би смањила нежељену пошту. Сазнајте како се ваш коментар обрађује.