Content Marketingmarkedsførings~~POS=TRUNC

Hvordan sjekke, fjerne og forhindre skadelig programvare fra WordPress-siden din

Denne uken har vært ganske travel. En av de ideelle organisasjonene som jeg kjenner befant seg i en ganske vanskelig situasjon – WordPress-nettstedet deres var infisert med skadelig programvare. Nettstedet ble hacket, og skript ble utført på besøkende som gjorde to forskjellige ting:

  1. Nettstedet forsøkte å infisere Microsoft Windows-brukere med malware.
  2. Nettstedet omdirigerte alle brukere til et nettsted som brukte JavaScript til å bruke den besøkendes PC til min cryptocurrency.

Jeg oppdaget WordPress nettstedet ble hacket da jeg besøkte det etter å ha klikket gjennom det siste nyhetsbrevet deres, og jeg varslet dem umiddelbart om hva som foregikk. Dessverre var det et ganske aggressivt angrep som jeg klarte å fjerne, men som umiddelbart infiserte nettstedet på nytt da jeg gikk live. Dette er en ganske vanlig praksis for malware-hackere – de hacker ikke bare nettstedet, de legger også enten til en administrativ bruker på nettstedet eller endrer en kjerne-WordPress-fil som injiserer hacket på nytt hvis det fjernes.

Hva er skadelig programvare?

Skadelig programvare er et pågående problem på nettet. Skadelig programvare brukes til å øke klikkfrekvensen på annonser (annonsesvindel), blåse opp nettstedstatistikk for å overbelaste annonsører, prøve å få tilgang til besøkendes økonomiske og personlige data, og sist – for å utvinne kryptovaluta. Gruvearbeidere får godt betalt for gruvedata, men kostnadene for å bygge gruvemaskiner og betale strømregningene for dem er betydelige. Ved å bruke datamaskiner i hemmelighet, kan gruvearbeidere tjene penger uten kostnad.

WordPress og andre populære plattformer er enorme mål for hackere siden de er grunnlaget for mange nettsteder. WordPress har et tema og en plugin-arkitektur som ikke automatisk beskytter kjernefiler fra sikkerhetshull. I tillegg er WordPress-fellesskapet enestående når det gjelder å identifisere og reparere sikkerhetshull – men nettstedeiere er ikke like årvåkne med å holde nettstedet oppdatert med de nyeste versjonene.

Dette nettstedet ble hostet på GoDaddys tradisjonelle webhotell (ikke GoDaddys Administrert WordPress hosting), som gir null beskyttelse. Selvfølgelig tilbyr de en Skanning og fjerning av skadelig programvare tjenesten, skjønt. Administrerte WordPress hosting selskaper som flywheel, WP Engine, LiquidWeb, GoDaddy, og Pantheon alle gir automatiske oppdateringer for å holde nettstedene dine oppdatert når problemer er identifisert og rettet. De fleste har skanning av skadelig programvare og svartelistede temaer og plugins for å hjelpe nettstedeiere med å forhindre et hack. Noen selskaper går et skritt videre – Kinsta – en høyytelses administrert WordPress-vert – tilbyr til og med en sikkerhetsgaranti.

I tillegg har teamet kl jetpack tilbyr en flott tjeneste for automatisk å sjekke nettstedet ditt for skadelig programvare og andre sårbarheter daglig. Dette er en ideell løsning hvis du selv hoster WordPress på infrastrukturen din.

Jetpack skanner WordPress for skadelig programvare

Du kan også bruke tredjeparts skanning av skadelig programvare inn i plugins som Alt-i-ett WP-sikkerhet og brannmur, som vil rapportere om nettstedet ditt er svartelistet på aktive overvåkingstjenester for skadelig programvare.

Er nettstedet ditt svartelistet for skadelig programvare:

Mange nettsteder på nettet markedsfører å sjekke nettstedet ditt for skadelig programvare, men husk at de fleste av dem ikke sjekker nettstedet ditt i det hele tatt i sanntid. Skanning av skadelig programvare i sanntid krever et tredjeparts gjennomsøkingsverktøy som ikke umiddelbart kan gi resultater. Nettstedene som gir en umiddelbar sjekk er nettsteder som tidligere fant ut at nettstedet ditt hadde skadelig programvare. Noen av nettstedene som sjekker skadelig programvare på nettet er:

  • Googles gjennomsiktighetsrapport - hvis nettstedet ditt er registrert hos webmastere, vil de umiddelbart varsle deg når de gjennomsøker nettstedet ditt og finner skadelig programvare på det.
  • Norton Safe Web - Norton driver også plugins for nettleser og operativsystemprogramvare som vil blokkere brukere fra å åpne siden din hvis de har svartelisten. Nettstedeiere kan registrere seg på nettstedet og be om at nettstedet deres blir vurdert på nytt når det er rent.
  • Sucuri - Sucuri opprettholder en liste over skadelige sider sammen med en rapport om hvor de har blitt svartelistet. Hvis nettstedet ditt blir ryddet opp, ser du et Tving til en ny skanning lenke under oppføringen (med veldig liten skrift). Sucuri har en enestående plugin som oppdager problemer ... og skyver deg deretter inn i en årlig kontrakt for å fjerne dem.
  • Yandex - hvis du søker i Yandex etter domenet ditt og ser “I følge Yandex kan dette nettstedet være farlig ”, du kan registrere deg for Yandex webmastere, legge til nettstedet ditt, navigere til Sikkerhet og brudd, og be om at nettstedet ditt blir ryddet.
  • Phishtank – Noen hackere vil sette phishing-skript på nettstedet ditt for å få domenet ditt oppført som et phishing-domene. Hvis du skriver inn den nøyaktige, fullstendige URL-en til den rapporterte skadevaresiden i Phishtank, kan du registrere deg hos Phishtank og stemme om det virkelig er et phishing-nettsted eller ikke.

Med mindre nettstedet ditt er registrert og du har en overvåkingskonto et sted, vil du sannsynligvis få en rapport fra en bruker av disse tjenestene. Ikke ignorer varselet... selv om du kanskje ikke ser et problem, skjer det sjelden falske positive. Disse problemene kan få nettstedet ditt deindeksert fra søkemotorer og blokkert fra nettlesere. Enda verre, potensielle kunder og eksisterende kunder kan lure på hva slags organisasjon de jobber med.

Hvordan ser du etter skadelig programvare?

Flere selskaper ovenfor snakker om hvor vanskelig det er å finne skadelig programvare, men det er ikke fullt så vanskelig. Vanskeligheten er å finne ut hvordan det kom inn på nettstedet ditt! Skadelig kode er oftest lokalisert i:

  • Vedlikehold - Før noe, pek det på en vedlikeholdsside og sikkerhetskopiere nettstedet ditt. Ikke bruk WordPress' standardvedlikehold eller en vedlikeholdsplugin, da disse fortsatt vil kjøre WordPress på serveren. Du vil sikre at ingen kjører noen PHP-fil på nettstedet. Mens du er i gang, sjekk din .htaccess fil på webserveren for å sikre at den ikke har falsk kode som kan omdirigere trafikk.
  • Søk nettstedets filer via SFTP eller FTP og identifisere de siste filendringene i plugins, temaer eller kjerne WordPress-filer. Åpne disse filene og se etter endringer som legger til skript eller Base64-kommandoer (brukes til å skjule kjøring av serverskript).
  • Sammenligne kjerne WordPress-filene i rotkatalogen, wp-admin-katalogen og wp-inkluderer katalogene for å se om det finnes nye filer eller filer med annen størrelse. Feilsøk hver fil. Selv om du finner og fjerner et hack, må du fortsette å lete siden mange hackere forlater bakdører for å infisere nettstedet. Ikke bare overskriv eller installer WordPress på nytt ... hackere legger ofte til ondsinnede skript i rotkatalogen og kaller skriptet på en annen måte for å injisere hacket. De mindre komplekse malware-skriptene setter vanligvis bare inn skriptfiler i header.php or footer.php. Mer komplekse skript vil faktisk endre hver PHP-fil på serveren med nyinjeksjonskode, slik at du har vanskelig for å fjerne den.
  • fjerne tredjeparts reklameskripter som kan være kilden. Jeg har nektet å bruke nye annonsenettverk når jeg har lest at de har blitt hacket online.
  • Trykk her din postdatabasetabell for innebygde skript i sideinnholdet. Du kan gjøre dette ved å gjøre enkle søk ved å bruke PHPMyAdmin og søke etter forespørsels-URLene eller skripttaggene.

Hvordan fjerner du skadelig programvare

En god venn av meg fikk nylig WordPress-bloggen sin hacket. Det var et ganske ondsinnet angrep som kunne påvirke søkerangeringen hans og selvfølgelig farten hans i trafikken. Her er mitt råd for hva du skal gjøre hvis WordPress blir hacket:

  1. Hold deg rolig! Ikke begynn å slette ting og installer all slags dritt som lover å rydde opp i installasjonen din. Du vet ikke hvem som har skrevet det og om det bare legger til mer ondsinnet dritt til bloggen din. Ta et dypt pust, se på dette blogginnlegget, og sakte og bevisst gå ned i sjekklisten.
  2. Ta ned bloggen. Umiddelbart. Den enkleste måten å gjøre dette med WordPress på er å endre navn din index.php-fil i rotkatalogen din. Det er ikke nok å bare sette opp en index.html-side... du må stoppe all trafikk til en hvilken som helst side på bloggen din. I stedet for index.php-siden din laster du opp en tekstfil som sier at du er frakoblet for vedlikehold og kommer tilbake snart. Grunnen til at du må ta ned bloggen er at de fleste av disse hackingene ikke gjøres for hånd; de gjøres gjennom ondsinnede skript som fester seg til hver skrivbare fil i installasjonen din. Noen som besøker en intern side i bloggen din kan infisere filene du jobber med å reparere på nytt.
  3. Sikkerhetskopier nettstedet ditt. Ikke bare sikkerhetskopier filene dine, sikkerhetskopier også databasen. Lagre den et spesielt sted hvis du trenger å referere til noen av filene eller informasjonen.
  4. Fjern alle temaene. Temaer er en enkel måte for en hacker å skripte og sette inn kode i bloggen din. De fleste temaer er også dårlig skrevet av designere som ikke forstår nyansene ved å sikre sidene, koden eller databasen.
  5. Fjern alle plugins. Plugins er det enkleste for en hacker å skripte og sette inn kode i bloggen din. De fleste plugins er skrevet dårlig av hackutviklere som ikke forstår nyansene ved å sikre sidene, koden eller databasen din. Når en hacker finner en fil med en gateway, distribuerer de ganske enkelt crawlere som søker på andre nettsteder etter disse filene.
  6. Installer WordPress på nytt. Når jeg sier installere WordPress på nytt, mener jeg det - inkludert temaet ditt. Ikke glem wp-config.php, en fil som ikke blir overskrevet når du kopierer over WordPress. I denne bloggen fant jeg ut at det ondsinnede skriptet ble skrevet i Base 64, så det så ut som en klatt tekst, og det ble satt inn i overskriften på hver eneste side, inkludert wp-config.php.
  7. Gjennomgå databasen din. Du vil spesielt vurdere alternativtabellen og innleggstabellen din - på jakt etter rare eksterne referanser eller innhold. Hvis du aldri har sett på databasen din før, må du være forberedt på å finne PHPMyAdmin eller en annen databasespøringsbehandling i vertsens administrasjonspanel. Det er ikke gøy - men det er et must.
  8. Start WordPress med et standardtema og ingen plugins installert. Hvis innholdet ditt vises og du ikke ser noen automatiske viderekoblinger til ondsinnede nettsteder, er du sannsynligvis i orden. Hvis du får en viderekobling til et ondsinnet nettsted, vil du sannsynligvis tømme hurtigbufferen for å sikre at du jobber fra den siste kopien av siden. Du må kanskje gå gjennom databaseposten for posten for å prøve å finne alt innholdet som kan være der som baner vei for bloggen din. Sjansen er stor for at databasen din er ren ... men du vet aldri!
  9. Installer temaet ditt. Hvis den ondsinnede koden replikeres, vil du sannsynligvis ha et infisert tema. Du må kanskje gå linje for linje gjennom temaet ditt for å sikre at det ikke er noen ondsinnet kode. Det kan hende du har det bedre bare å starte fersk. Åpne bloggen for et innlegg og se om du fortsatt er smittet.
  10. Installer pluginene dine. Det kan være lurt å bruke et plugin først, for eksempel Rene alternativer først, for å fjerne eventuelle tilleggsalternativer fra plugins du ikke lenger bruker eller ønsker. Ikke bli gal, skjønt, dette pluginet er ikke det beste ... det vises ofte og lar deg slette innstillinger du vil henge på. Last ned alle pluginene dine fra WordPress. Kjør bloggen din igjen!

Hvis du ser at problemet kommer tilbake, er sjansen stor for at du har reinstallert en plugin eller et tema som er sårbart ELLER det var noe skjult i innholdet på nettstedet ditt lagret i databasen. Hvis problemet aldri forsvinner, har du sannsynligvis prøvd å ta et par snarveier for å feilsøke disse problemene. Ikke ta en snarvei.

Disse hackerne er ekkel folkens! Ikke å forstå hvert plugin og temafil setter oss alle i fare, så vær årvåken. Installer plugins som har gode rangeringer, mange installasjoner og en god oversikt over nedlastinger. Les kommentarene folk har assosiert med dem.

Hvordan forhindrer du at nettstedet ditt blir hacket og skadelig programvare installert?

Før du setter nettstedet ditt live ... er det nå på tide å herde nettstedet ditt for å forhindre en øyeblikkelig injeksjon eller et annet hack:

  • Bekreft hver bruker på nettstedet. Hackere injiserer ofte skript som legger til en administrativ bruker. Fjern eventuelle gamle eller ubrukte kontoer og tilordne innholdet på nytt til en eksisterende bruker. Hvis du har en bruker som heter admin, legg til en ny administrator med en unik pålogging og fjern administratorkontoen helt.
  • Tilbakestill hver brukeres passord. Mange nettsteder er hacket fordi en bruker brukte et enkelt passord som ble gjettet i et angrep, slik at noen kan komme inn på WordPress og gjøre hva de vil.
  • Deaktiver muligheten til å redigere plugins og temaer via WordPress Admin. Evnen til å redigere disse filene gjør at enhver hacker kan gjøre det samme hvis de får tilgang. Gjør kjerne-WordPress-filene omskrivbare, slik at skript ikke kan omskrive kjernekoden. Alt i ett har et veldig flott plugin som gir WordPress herding med massevis av funksjoner.
  • Manuelt last ned og installer de nyeste versjonene av alle pluginene du trenger, og fjern eventuelle andre plugins. Fjern administrative plugins som gir direkte tilgang til nettstedsfiler eller databasen, disse er spesielt farlige.
  • fjerne og erstatt alle filene i rotkatalogen din med unntak av mappen wp-content (så root, wp-includes, wp-admin) med en ny installasjon av WordPress lastet ned direkte fra nettstedet deres.
  • diff – Det kan også være lurt å gjøre en forskjell mellom en sikkerhetskopi av nettstedet ditt når du ikke hadde skadelig programvare og det gjeldende nettstedet... dette vil hjelpe deg å se hvilke filer som ble redigert og hvilke endringer som ble gjort. Diff er en utviklingsfunksjon som sammenligner kataloger og filer og gir deg en sammenligning mellom de to. Med antallet oppdateringer som er gjort på WordPress-nettsteder, er ikke dette alltid den enkleste metoden – men noen ganger skiller skadevarekoden seg virkelig ut.
  • Vedlikeholde din side! Nettstedet jeg jobbet med i helgen hadde en gammel versjon av WordPress med kjente sikkerhetshull, gamle brukere som ikke burde ha tilgang lenger, gamle temaer og gamle plugins. Det kunne ha vært noen av disse som åpnet selskapet for å bli hacket. Hvis du ikke har råd til å vedlikeholde nettstedet ditt, må du flytte det til et administrert vertsfirma som vil! Å bruke noen ekstra kroner på hosting kunne ha reddet dette selskapet fra denne forlegenheten.

Når du tror du har fått alt løst og herdet, kan du bringe nettstedet tilbake live ved å fjerne .htaccess omdirigere. Så snart den er live, se etter den samme infeksjonen som tidligere var der. Jeg bruker vanligvis en nettlesers inspeksjonsverktøy for å overvåke nettverksforespørsler fra siden. Jeg sporer alle nettverksforespørsler for å sikre at det ikke er skadelig programvare eller mystisk ... hvis det er, er det tilbake til toppen og gjør trinnene på nytt.

Husk – når nettstedet ditt er rent, vil det ikke automatisk bli fjernet fra svartelistene. Du bør kontakte hver og en og gjøre forespørselen i henhold til listen ovenfor.

Å bli hacket som dette er ikke gøy. Bedrifter tar flere hundre dollar for å fjerne disse truslene. Jeg jobbet ikke mindre enn 8 timer for å hjelpe dette selskapet med å rydde opp på nettstedet deres.

Douglas Karr

Douglas Karr er CMO for Åpne INSIGHTS og grunnleggeren av Martech Zone. Douglas har hjulpet dusinvis av vellykkede MarTech-startups, har bistått med due diligence på over 5 milliarder dollar i Martech-oppkjøp og -investeringer, og fortsetter å hjelpe selskaper med å implementere og automatisere salgs- og markedsføringsstrategier. Douglas er en internasjonalt anerkjent digital transformasjons- og MarTech-ekspert og foredragsholder. Douglas er også en publisert forfatter av en Dummies guide og en bok om lederskap for bedrifter.

Relaterte artikler

Tilbake til toppen-knappen
Lukke

Annonseblokkering oppdaget

Martech Zone er i stand til å gi deg dette innholdet uten kostnad fordi vi tjener penger på nettstedet vårt gjennom annonseinntekter, tilknyttede lenker og sponsing. Vi vil sette pris på om du vil fjerne annonseblokkeringen når du ser på nettstedet vårt.