Hvordan sjekke, fjerne og forhindre skadelig programvare fra WordPress-siden din

Hvordan fjerne skadelig programvare fra WordPress

Denne uken har vært ganske travel. En av de ideelle organisasjonene som jeg kjenner befant seg i en ganske vanskelig situasjon – WordPress-nettstedet deres var infisert med skadelig programvare. Nettstedet ble hacket og skript ble utført på besøkende som gjorde to forskjellige ting:

  1. Prøvde å infisere Microsoft Windows med malware.
  2. Omdirigert alle brukere til et nettsted som brukte JavaScript for å utnytte den besøkendes PC til min cryptocurrency.

Jeg oppdaget at nettstedet ble hacket da jeg besøkte det etter å ha klikket på det siste nyhetsbrevet deres, og jeg informerte dem umiddelbart om hva som foregikk. Dessverre var det et ganske aggressivt angrep som jeg var i stand til å fjerne, men umiddelbart infiserte nettstedet igjen da jeg gikk live. Dette er en ganske vanlig praksis av malware-hackere - de hacker ikke bare nettstedet, de legger også til en administrativ bruker på nettstedet eller endrer en kjerne-WordPress-fil som injiserer hacket på nytt hvis det fjernes.

Skadelig programvare er et pågående problem på nettet. Skadelig programvare brukes til å øke klikkfrekvensen på annonser (annonsesvindel), blåse opp nettstedstatistikk for å overbelaste annonsører, prøve å få tilgang til besøkendes økonomiske og personlige data, og sist – for å utvinne kryptovaluta. Gruvearbeidere får godt betalt for gruvedata, men kostnadene for å bygge gruvemaskiner og betale strømregningene for dem er betydelige. Ved å bruke datamaskiner i hemmelighet, kan gruvearbeidere tjene penger uten kostnad.

WordPress og andre vanlige plattformer er store mål for hackere, siden de er grunnlaget for så mange nettsteder. I tillegg har WordPress et tema og en plugin-arkitektur som ikke beskytter kjernefiler fra sikkerhetshull. I tillegg er WordPress-fellesskapet enestående når det gjelder å identifisere og lappe sikkerhetshull - men nettstedseiere er ikke så årvåkne om å holde nettstedet oppdatert med de nyeste versjonene.

Dette nettstedet ble arrangert på GoDaddys tradisjonelle webhotell (ikke Administrert WordPress hosting), som gir null beskyttelse. Selvfølgelig tilbyr de en Skanning og fjerning av skadelig programvare tjenesten, skjønt. Administrerte WordPress hosting selskaper som flywheel, WP Engine, LiquidWeb, GoDaddy, og Pantheon alle tilbyr automatiserte oppdateringer for å holde nettstedene dine oppdatert når problemer er identifisert og rettet. De fleste har skanning av skadelig programvare og svartelistede temaer og plugins for å hjelpe nettstedeiere med å forhindre et hack. Noen selskaper går et skritt videre – Kinsta – en høyytelses administrert WordPress-vert – tilbyr til og med en sikkerhetsgaranti.

I tillegg har teamet kl jetpack tilbyr en flott tjeneste for automatisk å sjekke nettstedet ditt for skadelig programvare og andre sårbarheter på daglig basis. Dette er en ideell løsning hvis du selv hoster WordPress på din egen infrastruktur.

Jetpack skanner WordPress for skadelig programvare

Du kan også bruke en rimelig tredjepart skanning av skadelig programvare i likhet med Nettstedsskannere, som vil skanne nettstedet ditt daglig og fortelle deg om du er svartelistet på aktive overvåkingstjenester for skadelig programvare.

Er nettstedet ditt svartelistet for skadelig programvare:

Det er mange nettsteder på nettet som markedsfører kontroll nettstedet ditt for skadelig programvare, men husk at de fleste av dem faktisk ikke sjekker nettstedet ditt i det hele tatt i sanntid. Skanning av skadelig programvare i sanntid krever et tredjeparts gjennomsøkingsverktøy som ikke umiddelbart kan gi resultater. Nettstedene som gir en umiddelbar sjekk er nettsteder som tidligere fant ut at nettstedet ditt hadde skadelig programvare. Noen av nettstedene som sjekker skadelig programvare på nettet er:

  • Googles gjennomsiktighetsrapport - hvis nettstedet ditt er registrert hos webmastere, vil de umiddelbart varsle deg når de gjennomsøker nettstedet ditt og finner skadelig programvare på det.
  • Norton Safe Web - Norton driver også plugins for nettleser og operativsystemprogramvare som vil blokkere brukere fra å åpne siden din hvis de har svartelisten. Nettstedeiere kan registrere seg på nettstedet og be om at nettstedet deres blir vurdert på nytt når det er rent.
  • Sucuri - Sucuri opprettholder en liste over skadelige sider sammen med en rapport om hvor de har blitt svartelistet. Hvis nettstedet ditt blir ryddet opp, ser du et Tving til en ny skanning lenke under oppføringen (med veldig liten skrift). Sucuri har en enestående plugin som oppdager problemer ... og skyver deg deretter inn i en årlig kontrakt for å fjerne dem.
  • Yandex - hvis du søker i Yandex etter domenet ditt og ser “I følge Yandex kan dette nettstedet være farlig ”, du kan registrere deg for Yandex webmastere, legge til nettstedet ditt, navigere til Sikkerhet og brudd, og be om at nettstedet ditt blir ryddet.
  • Phishtank - Noen hackere vil legge til phishing-skript på nettstedet ditt, som kan få domenet ditt oppført som et phishing-domene. Hvis du skriver inn den nøyaktige, fullstendige nettadressen til den rapporterte malware-siden i Phishtank, kan du registrere deg hos Phishtank og stemme om det virkelig er et phishing-nettsted.

Med mindre nettstedet ditt er registrert og du har en overvåkingskonto et sted, vil du sannsynligvis få en rapport fra en bruker av en av disse tjenestene. Ikke ignorer varselet... selv om du kanskje ikke ser et problem, skjer det sjelden falske positive. Disse problemene kan få nettstedet ditt deindeksert fra søkemotorer og blokkert fra nettlesere. Enda verre, potensielle kunder og eksisterende kunder kan lure på hva slags organisasjon de jobber med.

Hvordan ser du etter skadelig programvare?

Flere av selskapene ovenfor snakker om hvor vanskelig det er å finne skadelig programvare, men det er ikke fullt så vanskelig. Vanskeligheten er faktisk å finne ut hvordan det kom inn på nettstedet ditt! Skadelig kode er oftest lokalisert i:

  • Vedlikehold - Før noe, pek det på en vedlikeholdsside og sikkerhetskopier nettstedet ditt. Ikke bruk WordPress 'standardvedlikehold eller et vedlikeholds-plugin, da de fremdeles vil utføre WordPress på serveren. Du vil sikre at ingen kjører noen PHP-fil på nettstedet. Mens du er i gang, sjekk din .htaccess fil på webserveren for å sikre at den ikke har falsk kode som kan omdirigere trafikk.
  • Søk nettstedets filer via SFTP eller FTP og identifisere de siste filendringene i plugins, temaer eller kjerne WordPress-filer. Åpne disse filene og se etter endringer som legger til skript eller Base64-kommandoer (brukes til å skjule kjøring av serverskript).
  • Sammenligne kjerne WordPress-filene i rotkatalogen, wp-admin-katalogen og wp-inkluderer katalogene for å se om det finnes nye filer eller filer med annen størrelse. Feilsøk hver fil. Selv om du finner og fjerner et hack, må du fortsette å lete siden mange hackere forlater bakdører for å infisere nettstedet. Ikke bare overskriv eller installer WordPress på nytt ... hackere legger ofte til ondsinnede skript i rotkatalogen og kaller skriptet på en annen måte for å injisere hacket. De mindre komplekse malware-skriptene setter vanligvis bare inn skriptfiler i header.php or footer.php. Mer komplekse skript vil faktisk endre hver PHP-fil på serveren med nyinjeksjonskode, slik at du har vanskelig for å fjerne den.
  • fjerne tredjeparts reklameskripter som kan være kilden. Jeg har nektet å bruke nye annonsenettverk når jeg har lest at de har blitt hacket online.
  • Kryss av din postdatabasetabell for innebygde skript i sideinnholdet. Du kan gjøre dette ved å gjøre enkle søk ved å bruke PHPMyAdmin og søke etter forespørsels-URLene eller skripttaggene.

Før du setter nettstedet ditt live ... er det nå på tide å herde nettstedet ditt for å forhindre en øyeblikkelig injeksjon eller et annet hack:

Hvordan forhindrer du at nettstedet ditt blir hacket og skadelig programvare installert?

  • Bekreft hver bruker på nettstedet. Hackere injiserer ofte skript som legger til en administrativ bruker. Fjern eventuelle gamle eller ubrukte kontoer og tilordne innholdet på nytt til en eksisterende bruker. Hvis du har en bruker som heter admin, legg til en ny administrator med en unik pålogging og fjern administratorkontoen helt.
  • Tilbakestill hver brukeres passord. Mange nettsteder er hacket fordi en bruker brukte et enkelt passord som ble gjettet i et angrep, slik at noen kan komme inn på WordPress og gjøre hva de vil.
  • Deaktiver muligheten til å redigere plugins og temaer via WordPress Admin. Evnen til å redigere disse filene gjør at enhver hacker kan gjøre det samme hvis de får tilgang. Gjør kjerne-WordPress-filene omskrivbare, slik at skript ikke kan omskrive kjernekoden. Alt i ett har et veldig flott plugin som gir WordPress herding med massevis av funksjoner.
  • Manuelt last ned og installer de nyeste versjonene av alle pluginene du trenger, og fjern eventuelle andre plugins. Fjern administrative plugins som gir direkte tilgang til nettstedsfiler eller databasen, disse er spesielt farlige.
  • fjerne og erstatt alle filene i rotkatalogen din med unntak av mappen wp-content (så root, wp-includes, wp-admin) med en ny installasjon av WordPress lastet ned direkte fra nettstedet deres.
  • diff – Det kan også være lurt å gjøre en forskjell mellom en sikkerhetskopi av nettstedet ditt når du ikke hadde skadelig programvare og det gjeldende nettstedet... dette vil hjelpe deg å se hvilke filer som ble redigert og hvilke endringer som ble gjort. Diff er en utviklingsfunksjon som sammenligner kataloger og filer og gir deg en sammenligning mellom de to. Med antallet oppdateringer som er gjort på WordPress-nettsteder, er ikke dette alltid den enkleste metoden – men noen ganger skiller skadevarekoden seg virkelig ut.
  • Vedlikeholde din side! Nettstedet jeg jobbet med i helgen hadde en gammel versjon av WordPress med kjente sikkerhetshull, gamle brukere som ikke burde ha tilgang lenger, gamle temaer og gamle plugins. Det kunne ha vært noen av disse som åpnet selskapet for å bli hacket. Hvis du ikke har råd til å vedlikeholde nettstedet ditt, må du flytte det til et administrert vertsfirma som vil! Å bruke noen ekstra kroner på hosting kunne ha reddet dette selskapet fra denne forlegenheten.

Når du tror du har fått alt løst og herdet, kan du bringe nettstedet tilbake live ved å fjerne .htaccess omdirigere. Så snart den er live, se etter den samme infeksjonen som tidligere var der. Jeg bruker vanligvis en nettlesers inspeksjonsverktøy for å overvåke nettverksforespørsler fra siden. Jeg sporer alle nettverksforespørsler for å sikre at det ikke er skadelig programvare eller mystisk ... hvis det er, er det tilbake til toppen og gjør trinnene på nytt.

Husk – når nettstedet ditt er rent, vil det ikke automatisk bli fjernet fra svartelistene. Du bør kontakte hver og en og gjøre forespørselen i henhold til listen ovenfor.

Å bli hacket som dette er ikke gøy. Bedrifter tar flere hundre dollar for å fjerne disse truslene. Jeg jobbet ikke mindre enn 8 timer for å hjelpe dette selskapet med å rydde opp på nettstedet deres.

Hva tror du?

Dette nettstedet bruker Akismet for å redusere spam. Lær hvordan kommentaren din behandles.