Kako provjeriti, ukloniti i spriječiti zlonamjerni softver sa svoje web stranice WordPress

malware

Ovaj je tjedan bio prilično zauzet. Jedna od neprofitnih organizacija za koju znam da se našla u prilično teškoj situaciji - njihova WordPress stranica zaražena je zlonamjernim softverom. Web mjesto je hakirano i skripte su izvršene na posjetiteljima koji su učinili dvije različite stvari:

  1. Pokušao zaraziti Microsoft Windows sa malware.
  2. Preusmjerio je sve korisnike na web mjesto koje je koristilo JavaScript za korištenje računala posjetitelja moja kriptovaluta.

Otkrio sam da je stranica hakirana kad sam je posjetio nakon što sam kliknuo njihov najnoviji bilten i odmah sam ih obavijestio o tome što se događa. Nažalost, bio sam prilično agresivan napad koji sam uspio ukloniti, ali sam odmah zarazio web mjesto nakon pokretanja. Ovo je prilično česta praksa hakera zlonamjernog softvera - oni ne samo da hakiraju web lokaciju, već na nju dodaju administrativnog korisnika ili mijenjaju temeljnu WordPress datoteku koja ponovno ubrizgava hak ako se ukloni.

Zlonamjerni softver stalni je problem na webu. Zlonamjerni softver koristi se za napuhavanje stope klikanja na oglase (prijevara s oglasima), napuhavanje statistike web mjesta radi prekomjerne naplate oglašivača, pokušavanja postizanja pristupa financijskim i osobnim podacima posjetitelja, a nedavno i za kopanje kriptovalute. Rudari dobro plaćaju podatke o rudarstvu, ali troškovi izrade rudarskih strojeva i plaćanja računa za električnu energiju za njih su značajni. Potajno uprežući računala, rudari mogu zaraditi novac bez troškova.

WordPress i druge uobičajene platforme ogromna su meta za hakere jer su temelj toliko mnogo web mjesta. Uz to, WordPress ima temu i arhitekturu dodataka koja ne štiti osnovne datoteke web mjesta od sigurnosnih rupa. Uz to, WordPress zajednica izvanredna je u prepoznavanju i krpanju sigurnosnih rupa - ali vlasnici web lokacija nisu toliko oprezni u održavanju svoje web stranice ažuriranom najnovijim verzijama.

Ova posebna web lokacija bila je hostirana na tradicionalnom web hostingu tvrtke GoDaddy (ne Upravljani WordPress hosting), koji nudi nultu zaštitu. Naravno, oni nude a Skener i uklanjanje zlonamjernog softvera usluga, doduše. Upravljane tvrtke za hosting WordPressa kao što su zamašnjak, WP motora, LiquidWeb, GoDaddy i Panteon svi nude automatizirana ažuriranja kako bi vaše web stranice bile ažurne kada su naši problemi identificirani i zakrpani. Većina ima skeniranje zlonamjernog softvera i teme i dodatke na crnoj listi koji pomažu vlasnicima web lokacija da spriječe hakiranje. Neke tvrtke idu korak dalje - Kinsta - upravljani WordPress domaćin s visokim performansama - čak nudi i jamstvo sigurnosti.

Je li vaše web mjesto na crnoj listi zbog zlonamjernog softvera:

Puno je web stranica na mreži koje promiču "provjeru" vaše web stranice na zlonamjerni softver, ali imajte na umu da većina njih zapravo uopće ne provjerava vašu stranicu u stvarnom vremenu. Skeniranje zlonamjernog softvera u stvarnom vremenu zahtijeva alat za indeksiranje treće strane koji ne može trenutno pružiti rezultate. Web mjesta koja pružaju trenutnu provjeru su mjesta koja su prethodno pronašla da je na vašem mjestu bilo zlonamjernog softvera. Neke web stranice za provjeru zlonamjernog softvera na webu su:

  • Googleovo izvješće o transparentnosti - ako je vaše web mjesto registrirano kod webmastera, odmah će vas upozoriti kad indeksiraju vaše web mjesto i na njemu pronađu zlonamjerni softver.
  • Norton Safe Web - Norton također poslužuje dodatke za web preglednik i softver operativnog sustava koji će onemogućiti korisnicima večernje otvaranje vaše stranice ako su je stavili na crnu listu. Vlasnici web stranica mogu se registrirati na web mjestu i zatražiti ponovnu ocjenu njihovog web mjesta nakon što je čisto.
  • Sucuri - Sucuri održava popis web lokacija sa zlonamjernim softverom, zajedno s izvještajem o tome gdje su na crnoj listi. Ako je vaše web mjesto očišćeno, vidjet ćete Prisilno ponovno skeniranje link ispod popisa (vrlo malim slovima). Sucuri ima izvanredan dodatak koji otkriva probleme ... i zatim vas gura u godišnji ugovor da ih uklonite.
  • Yandex - ako tražite Yandex za svoju domenu i vidite “Prema Yandexu, ova bi web lokacija mogla biti opasna ”, možete se registrirati za Yandexove webmastere, dodati svoje web mjesto, krenuti do Sigurnost i kršenjai zatražite da se vaše web mjesto očisti.
  • Phishtank - Neki će hakeri na vašu web lokaciju staviti skripte za krađu identiteta, zbog čega će vaša domena biti navedena kao phishing domena. Ako unesete točan, puni URL prijavljene stranice zlonamjernog softvera u Phishtank, možete se registrirati na Phishtank i glasati je li to doista phishing web lokacija.

Ako vaša web lokacija nije registrirana i ako negdje nemate nadzorni račun, vjerojatno ćete dobiti izvješće od korisnika jedne od ovih usluga. Ne zanemarujte upozorenje ... iako možda nećete vidjeti problem, lažni pozitivni rezultati se rijetko događaju. Zbog ovih problema vaša web lokacija može se indeksirati na pretraživačima i blokirati u preglednicima. Još gore, vaši se potencijalni klijenti i postojeći kupci mogu zapitati s kakvom organizacijom rade.

Kako provjeriti ima li zlonamjernog softvera?

Nekoliko gore navedenih tvrtki govori kako je teško pronaći zlonamjerni softver, ali nije baš tako teško. Teško je zapravo odgonetnuti kako je ušlo na vašu stranicu! Zlonamjeran se kod najčešće nalazi u:

  • održavanje - Prije svega, usmjerite ga na a stranica održavanja i napravite sigurnosnu kopiju svoje web lokacije. Ne koristite zadano održavanje WordPressa ili dodatak za održavanje jer će oni i dalje izvršavati WordPress na poslužitelju. Želite osigurati da nitko ne izvršava nijednu PHP datoteku na web mjestu. Dok ste već kod toga, provjerite svoje .htaccess datoteku na web poslužitelju kako bi se osiguralo da nema nepoštenog koda koji možda preusmjerava promet.
  • Traži datoteke vašeg web mjesta putem SFTP-a ili FTP-a i prepoznajte najnovije promjene datoteka u dodacima, temama ili temeljnim WordPress datotekama. Otvorite te datoteke i potražite bilo kakve izmjene koje dodaju skripte ili naredbe Base64 (koriste se za skrivanje izvršavanja skripte poslužitelja).
  • Usporedi temeljne WordPress datoteke u vašem korijenskom direktoriju, direktoriju wp-admin i direktorija wp-include da biste vidjeli postoje li nove datoteke ili datoteke različitih veličina. Rješavanje problema sa svakom datotekom. Čak i ako pronađete i uklonite haker, nastavite tražiti jer mnogi hakeri izlaze iz backdoorsa da ponovno zaraze stranicu. Nemojte jednostavno prebrisati ili ponovno instalirati WordPress ... hakeri često dodaju zlonamjerne skripte u korijenski direktorij i pozivaju skriptu na neki drugi način za ubacivanje haka. Manje složene skripte zlonamjernog softvera obično samo umetnu datoteke skripti u header.php or footer.php. Složenije skripte zapravo će izmijeniti svaku PHP datoteku na poslužitelju s kodom za ponovno ubrizgavanje tako da ćete je teško ukloniti.
  • ukloniti skripte za oglašavanje treće strane koje mogu biti izvor. Odbio sam primijeniti nove oglasne mreže kad sam pročitao da su hakirane na mreži.
  • Provjeriti  tablica baze podataka vaših postova za ugrađene skripte u sadržaj stranice. To možete učiniti jednostavnim pretraživanjem pomoću PHPMyAdmina i pretraživanjem URL-ova zahtjeva ili oznaka skripti.

Prije nego što objavite web mjesto uživo, sada je vrijeme da ga učvrstite kako biste spriječili trenutno ponovno ubrizgavanje ili neko drugo hakiranje:

Kako spriječiti hakiranje web lokacije i instaliranje zlonamjernog softvera?

  • Provjeriti svaki korisnik na web mjestu. Hakeri često ubacuju skripte koje dodaju administrativnog korisnika. Uklonite sve stare ili neiskorištene račune i dodijelite njihov sadržaj postojećem korisniku. Ako imate korisnika s imenom admin, dodajte novog administratora s jedinstvenom prijavom i potpuno uklonite administratorski račun.
  • Reset lozinku svakog korisnika. Mnoge su web stranice hakirane jer je korisnik upotrijebio jednostavnu lozinku koja je pretpostavljena u napadu, omogućavajući nekome da uđe u WordPress i radi sve što želi.
  • Onesposobiti mogućnost uređivanja dodataka i tema putem WordPress administratora. Mogućnost uređivanja ovih datoteka omogućuje bilo kojem hakeru da učini isto ako dobije pristup. Učinite ključne datoteke WordPressa neispisivima kako skripte ne bi mogle prepisati jezgru koda. Ucelo ima stvarno izvrstan dodatak koji pruža WordPress kaljenje s tonom značajki.
  • ručno preuzmite i ponovo instalirajte najnovije verzije svakog dodatka koji vam je potreban i uklonite sve druge dodatke. Apsolutno uklonite administrativne dodatke koji daju izravan pristup datotekama web mjesta ili bazi podataka, što je posebno opasno.
  • ukloniti i zamijenite sve datoteke u korijenskom direktorijumu, osim mape wp-content (dakle root, wp-uključuje, wp-admin), novom instalacijom WordPressa preuzetom izravno s njihove web stranice.
  • Održavati vaše web mjesto! Web stranica na kojoj sam radio ovog vikenda imala je staru verziju WordPressa s poznatim sigurnosnim rupama, starim korisnicima koji više ne bi trebali imati pristup, starim temama i starim dodacima. Mogao je bilo tko od njih otvoriti tvrtku za hakiranje. Ako si ne možete priuštiti održavanje web stranice, premjestite je u upravljenu hosting tvrtku koja hoće! Trošenje još nekoliko dolara na hosting moglo je spasiti ovu tvrtku od ove neugodnosti.

Jednom kada povjerujete da ste sve popravili i otvrdnuli, možete vratiti web stranicu uživo uklanjanjem datoteke .htaccess preusmjeriti. Čim je uživo, potražite istu infekciju koja je bila i prije. Obično koristim alate pregledavanja preglednika za nadgledanje mrežnih zahtjeva prema stranici. Pratim svaki mrežni zahtjev kako bih osigurao da nije zlonamjerni softver ili tajnovit ... ako jest, vratio se na vrh i iznova izvodio korake.

Također možete koristiti pristupačnu treću stranu usluga skeniranja zlonamjernog softvera kao Skeneri web mjesta, koji će svakodnevno skenirati vašu web lokaciju i obavijestiti vas jeste li na crnoj listi aktivnih usluga praćenja zlonamjernog softvera. Zapamtite - nakon što je vaša web lokacija čista, neće se automatski ukloniti s crnih popisa. Trebali biste kontaktirati svakog i podnijeti zahtjev prema našem popisu gore.

Ovako hakirati nije zabavno. Tvrtke naplaćuju nekoliko stotina dolara za uklanjanje tih prijetnji. Radio sam ne manje od 8 sati kako bih pomogao ovoj tvrtki da očisti svoje web mjesto.

Što vi mislite?

Ova web stranica koristi Akismet za smanjenje neželjene pošte. Saznajte kako se podaci vašeg komentara obrađuju.