Content MarketingМаркетингови инструменти

Как да проверите, премахнете и предотвратите злонамерен софтуер от вашия WordPress сайт

Тази седмица беше доста натоварена. Една от организациите с нестопанска цел, които познавам, се оказа в доста затруднено положение – сайтът им в WordPress беше заразен със зловреден софтуер. Сайтът беше хакнат и на посетителите бяха изпълнени скриптове, които направиха две различни неща:

  1. Сайтът се опита да зарази потребителите на Microsoft Windows с зловреден софтуер.
  2. Сайтът пренасочва всички потребители към сайт, който използва JavaScript, за да впрегне компютъра на посетителя моята cryptocurrency.

Открих WordPress сайтът беше хакнат, когато го посетих, след като щракнах върху последния им бюлетин, и веднага ги уведомих за случващото се. За съжаление това беше доста агресивна атака, която успях да премахна, но незабавно заразих отново сайта, след като стартирах. Това е доста често срещана практика от хакерите на злонамерен софтуер – те не само хакват сайта, но и добавят административен потребител към сайта или променят основен WordPress файл, който повторно инжектира хака, ако бъде премахнат.

Какво е зловреден софтуер?

Зловреден софтуер е постоянен проблем в мрежата. Злонамереният софтуер се използва за увеличаване на честотата на кликване върху реклами (рекламна измама), увеличаване на статистиката на сайта, за да се таксуват над рекламодателите, опит за получаване на достъп до финансовите и личните данни на посетителите и най-скоро – за копаене на криптовалута. Копачите получават добре заплащане за копаене на данни, но разходите за изграждане на машини за копаене и плащане на сметките за електричество за тях са значителни. Чрез тайно използване на компютри, миньорите могат да правят пари без разходи.

WordPress и други популярни платформи са огромни цели за хакери, тъй като са в основата на много уебсайтове. WordPress има архитектура на тема и плъгин, която не защитава автоматично основните файлове от дупки в сигурността. Освен това общността на WordPress е изключителна в идентифицирането и закърпването на дупки в сигурността – но собствениците на сайтове не са толкова бдителни да поддържат сайта си актуализиран с най-новите версии.

Този сайт беше хостван на традиционния уеб хостинг на GoDaddy (не на GoDaddy Управляван хостинг на WordPress), който предлага нулева защита. Разбира се, те предлагат a Скенер за злонамерен софтуер и премахване услуга, обаче. Управлявани WordPress хостинг компании като маховик, WP двигателя, LiquidWeb, GoDaddy и Пантеон всички осигуряват автоматизирани актуализации, за да поддържат вашите сайтове актуализирани, когато проблемите бъдат идентифицирани и коригирани. Повечето имат сканиране за злонамерен софтуер и теми и добавки в черен списък, за да помогнат на собствениците на сайтове да предотвратят хакване. Някои компании отиват и крачка напред – Kinsta – високоефективен управляван WordPress хост – дори предлага гаранция за сигурност.

Освен това екипът на Jetpack предлага страхотна услуга за автоматична ежедневна проверка на вашия сайт за зловреден софтуер и други уязвимости. Това е идеално решение, ако сами хоствате WordPress във вашата инфраструктура.

Jetpack сканира WordPress за зловреден софтуер

Можете също така да използвате вграденото сканиране за зловреден софтуер на трети страни в добавки като Всичко-в-едно WP сигурност и защитна стена, който ще докладва дали вашият сайт е в черния списък на активни услуги за наблюдение на зловреден софтуер.

Вашият сайт ли е в черния списък за злонамерен софтуер:

Много сайтове онлайн насърчават проверката на сайта ви за злонамерен софтуер, но имайте предвид, че повечето от тях изобщо не проверяват сайта ви в реално време. Сканирането на зловреден софтуер в реално време изисква инструмент за обхождане на трета страна, който не може незабавно да предостави резултати. Сайтовете, които предоставят незабавна проверка, са сайтове, които преди това са установили, че вашият сайт има злонамерен софтуер. Някои от сайтовете за проверка на зловреден софтуер в мрежата са:

  • Доклад за прозрачност на Google - ако вашият сайт е регистриран при уеб администратори, те незабавно ще ви предупредят, когато обхождат сайта ви и намерят злонамерен софтуер в него.
  • Norton Safe Web - Norton също така работи с приставки за уеб браузър и софтуер на операционната система, които ще блокират потребителите да не отварят вечерта, ако са я поставили в черния списък. Собствениците на уебсайтове могат да се регистрират на сайта и да поискат преразглеждане на сайта им, след като е чист.
  • Sucuri - Sucuri поддържа списък със сайтове със зловреден софтуер, заедно с доклад къде са попаднали в черния списък. Ако сайтът ви е почистен, ще видите a Принудително повторно сканиране връзка под списъка (с много дребен шрифт). Sucuri има изключителен плъгин, който открива проблеми ... и след това ви тласка към годишен договор за тяхното премахване.
  • Yandex - ако търсите Yandex за вашия домейн и видите „Според Yandex този сайт може да е опасен ”, можете да се регистрирате за уеб администратори на Yandex, да добавите вашия сайт, да отидете до Сигурност и нарушения, и поискайте сайтът ви да бъде изчистен.
  • Фищанк – Някои хакери ще поставят фишинг скриптове на вашия сайт, за да вкарат вашия домейн в списъка като фишинг домейн. Ако въведете точния, пълен URL адрес на докладваната страница за злонамерен софтуер във Phishtank, можете да се регистрирате във Phishtank и да гласувате дали това наистина е фишинг сайт или не.

Освен ако вашият сайт не е регистриран и имате акаунт за наблюдение някъде, вероятно ще получите отчет от потребител на тези услуги. Не пренебрегвайте предупреждението… въпреки че може да не видите проблем, рядко се случват фалшиви положителни резултати. Тези проблеми могат да накарат вашия сайт да бъде деиндексиран от търсачките и блокиран от браузърите. Още по-лошо, вашите потенциални клиенти и съществуващи клиенти може да се чудят с каква организация работят.

Как проверявате за злонамерен софтуер?

Няколко компании по-горе говорят колко трудно е да се намери зловреден софтуер, но не е толкова трудно. Трудността е да разберете как е попаднал във вашия сайт! Зловреден код най-често се намира в:

  • поддръжка - Преди нещо, насочете го към a страница за поддръжка и архивирайте сайта си. Не използвайте поддръжката по подразбиране на WordPress или плъгин за поддръжка, тъй като те ще продължат да изпълняват WordPress на сървъра. Искате да сте сигурни, че никой не изпълнява PHP файл на сайта. Докато сте там, проверете своя . Htaccess файл на уеб сървъра, за да се уверите, че няма фалшив код, който може да пренасочва трафика.
  • Търсене файловете на вашия сайт чрез SFTP или FTP и идентифицирайте последните промени в файловете в плъгини, теми или основни файлове на WordPress. Отворете тези файлове и потърсете всички редакции, които добавят скриптове или команди на Base64 (използвани за скриване на изпълнението на сървър-скрипт).
  • сравнение основните файлове на WordPress във вашата основна директория, директория wp-admin и директории wp-include, за да видите дали съществуват нови файлове или файлове с различен размер. Отстранявайте всеки файл. Дори ако откриете и премахнете хак, продължете да търсите, тъй като много хакери напускат задни врати, за да заразят отново сайта. Не просто презаписвайте или преинсталирайте WordPress ... хакерите често добавят злонамерени скриптове в основната директория и извикват скрипта по друг начин за инжектиране на хак. По-малко сложните скриптове за злонамерен софтуер обикновено просто вмъкват файлове със скриптове header.php or footer.php. По-сложните скриптове всъщност ще модифицират всеки PHP файл на сървъра с код за повторно инжектиране, така че да ви е трудно да го премахнете.
  • Премахване рекламни скриптове на трети страни, които може да са източникът. Отказвам да прилагам нови рекламни мрежи, когато прочетох, че са били хакнати онлайн.
  • Проверка вашата таблица с база данни с публикации за вградени скриптове в съдържанието на страницата. Можете да направите това, като извършвате прости търсения с помощта на PHPMyAdmin и търсите URL адресите на заявката или маркерите на скрипта.

Как премахвате злонамерения софтуер

Един мой добър приятел наскоро беше хакнат неговия WordPress блог. Това беше доста злонамерена атака, която можеше да повлияе на класирането му при търсене и, разбира се, на инерцията му в трафика. Ето моят съвет какво да направите, ако WordPress бъде хакнат:

  1. Запази спокойствие! Не започвайте да изтривате неща и да инсталирате всякакви глупости, които обещават да изчистят инсталацията ви. Не знаете кой го е написал и дали просто добавя още злонамерени глупости към вашия блог. Поемете дълбоко въздух, погледнете тази публикация в блога и бавно и умишлено слезте по контролния списък.
  2. Свалете блога. Веднага. Най-лесният начин да направите това с WordPress е да преименувам вашия файл index.php във вашата основна директория. Не е достатъчно просто да поставите страница index.html… трябва да спрете целия трафик към всяка страница от вашия блог. Вместо вашата страница index.php качете текстов файл, който казва, че сте офлайн за поддръжка и ще се върнете скоро. Причината да свалите блога е, че повечето от тези хакове не се правят на ръка; те се извършват чрез злонамерени скриптове, които се прикачват към всеки записваем файл във вашата инсталация. Някой, който посещава вътрешна страница на вашия блог, може да зарази повторно файловете, които работите за поправката.
  3. Архивирайте вашия сайт. Не просто архивирайте вашите файлове, архивирайте и вашата база данни. Съхранявайте го на специално място, ако трябва да се обърнете към някои от файловете или информацията.
  4. Премахнете всички теми. Темите са лесно средство за хакера да напише скрипт и да вмъкне код във вашия блог. Повечето теми също са написани лошо от дизайнери, които не разбират нюансите на защитата на вашите страници, вашия код или вашата база данни.
  5. Премахнете всички приставки. Приставките са най-лесното средство за хакер да скриптира и вмъква код във вашия блог. Повечето приставки са написани зле от разработчици на хакове, които не разбират нюансите на защитата на вашите страници, вашия код или вашата база данни. След като хакер намери файл с шлюз, те просто разгръщат роботите, които търсят други сайтове за тези файлове.
  6. Преинсталирайте WordPress. Когато казвам преинсталиране на WordPress, имам предвид това - включително вашата тема. Не забравяйте wp-config.php, файл, който не се презаписва, когато копирате през WordPress. В този блог открих, че злонамереният скрипт е написан в Base 64, така че просто прилича на петно ​​и е вмъкнат в заглавката на всяка отделна страница, включително wp-config.php.
  7. Прегледайте вашата база данни. Ще искате да прегледате таблицата с опции и таблицата с публикации, особено за да търсите някакви странни външни препратки или съдържание. Ако никога преди не сте разглеждали вашата база данни, бъдете готови да намерите PHPMyAdmin или друг мениджър на заявки към база данни в панела за управление на вашия хост. Не е забавно - но е задължително.
  8. Стартиране на WordPress с тема по подразбиране и без инсталирани приставки. Ако съдържанието ви се появи и не виждате автоматични пренасочвания към злонамерени сайтове, вероятно сте добре. Ако получите пренасочване към злонамерен сайт, вероятно ще искате да изчистите кеша, за да сте сигурни, че работите от най-новото копие на страницата. Може да се наложи да прегледате записа на базата данни по запис, за да се опитате да намерите каквото и да е съдържание, което проправя пътя към вашия блог. Шансовете са, че вашата база данни е чиста ... но никога не се знае!
  9. Инсталирайте вашата тема. Ако злонамереният код се репликира, вероятно ще имате заразена тема. Може да се наложи да преминете ред по ред през вашата тема, за да сте сигурни, че няма злонамерен код. Може би е по-добре просто да започнете отначало. Отворете блога до публикация и вижте дали все още сте заразени.
  10. Инсталирайте вашите приставки. Може да искате да използвате плъгин, първо, като Чисти опции първо, за да премахнете всички допълнителни опции от приставки, които вече не използвате или искате. Не се побърквайте обаче, този плъгин не е най-добрият ... той често се показва и ви позволява да изтриете настройките, на които искате да се придържате. Изтеглете всичките си приставки от WordPress. Пуснете своя блог отново!

Ако видите, че проблемът се появява отново, има вероятност да сте преинсталирали плъгин или тема, които са уязвими ИЛИ е имало нещо скрито в съдържанието на вашия сайт, съхранено в базата данни. Ако проблемът никога не изчезне, вероятно сте опитали да използвате няколко преки пътища за отстраняване на тези проблеми. Не избирайте пряк път.

Тези хакери са гадни хора! Неразбирането на всеки приставка и файл с теми ни излага на риск, така че бъдете бдителни. Инсталирайте приставки, които имат страхотни рейтинги, много инсталации и страхотен запис на изтегляния. Прочетете коментарите, които хората са свързали с тях.

Как предотвратявате хакване на вашия сайт и инсталиране на зловреден софтуер?

Преди да пуснете сайта си на живо ... сега е време да го втвърдите, за да предотвратите незабавно повторно инжектиране или друг хак:

  • Проверете всеки потребител на уебсайта. Хакерите често инжектират скриптове, които добавят администраторски потребител. Премахнете всички стари или неизползвани акаунти и пренасочете съдържанието им към съществуващ потребител. Ако имате потребител на име администратор, добавете нов администратор с уникален вход и изцяло премахнете администраторския акаунт.
  • Нулиране парола на всеки потребител. Много сайтове са хакнати, тъй като потребителят използва проста парола, която е била позната при атака, позволявайки на някой да влезе в WordPress и да прави каквото пожелае.
  • Правя неспособен възможност за редактиране на приставки и теми чрез WordPress Admin. Възможността за редактиране на тези файлове позволява на всеки хакер да направи същото, ако получи достъп. Направете основните файлове на WordPress да не могат да се пишат, така че скриптовете да не могат да пренапишат основния код. Всичко в едно има наистина страхотен плъгин, който предоставя WordPress закалка с много функции.
  • Ръчно изтеглете и преинсталирайте най-новите версии на всеки плъгин, който ви е необходим, и премахнете всички други плъгини. Абсолютно премахнете административните приставки, които дават директен достъп до файловете на сайта или до базата данни, те са особено опасни.
  • Премахване и заменете всички файлове във вашата основна директория, с изключение на папката wp-content (така root, wp-включва, wp-admin) с нова инсталация на WordPress, изтеглена директно от техния сайт.
  • Разлика – Може също да пожелаете да направите разлика между резервно копие на вашия сайт, когато не сте имали злонамерен софтуер, и текущия сайт… това ще ви помогне да видите кои файлове са били редактирани и какви промени са направени. Diff е функция за разработка, която сравнява директории и файлове и ви предоставя сравнение между двете. С броя на актуализациите, направени на WordPress сайтове, това не винаги е най-лесният метод – но понякога кодът на зловреден софтуер наистина се откроява.
  • Поддържайте вашия сайт! Сайтът, на който работих този уикенд, имаше стара версия на WordPress с известни дупки в сигурността, стари потребители, които вече не трябва да имат достъп, стари теми и стари плъгини. Може да е бил някой от тях, който е отворил компанията за хакване. Ако не можете да си позволите да поддържате сайта си, не забравяйте да го преместите в управлявана хостинг компания, която ще го направи! Прекарването на още няколко долара за хостинг би могло да спаси тази компания от това смущение.

След като повярвате, че сте оправили и втвърдили всичко, можете да върнете сайта на живо, като премахнете . Htaccess пренасочване. Веднага щом излезе на живо, потърсете същата инфекция, която преди е била там. Обикновено използвам инструментите за проверка на браузъра, за да наблюдавам мрежовите заявки от страницата. Проследявам всяка мрежова заявка, за да се уверя, че не е злонамерен или загадъчен ... ако е, той е отново в началото и прави стъпките отново.

Запомнете – след като сайтът ви е чист, той няма да бъде премахнат автоматично от черните списъци. Трябва да се свържете с всеки и да направите заявка според нашия списък по-горе.

Хакването по този начин не е забавно. Компаниите взимат няколкостотин долара за премахване на тези заплахи. Работих не по-малко от 8 часа, за да помогна на тази компания да почисти сайта си.

Douglas Karr

Douglas Karr е CMO на OpenINSIGHTS и основателят на Martech Zone. Дъглас е помогнал на десетки успешни стартъпи на MarTech, съдействал е за надлежна проверка на над $5 милиарда в придобивания и инвестиции на Martech и продължава да помага на компаниите при прилагането и автоматизирането на техните стратегии за продажби и маркетинг. Дъглас е международно признат експерт и лектор по дигитална трансформация и MarTech. Дъглас също е публикуван автор на ръководство за манекени и книга за бизнес лидерство.

Свързани статии

Бутон "Нагоре" горе
Близо

Открит е рекламен блок

Martech Zone е в състояние да ви предостави това съдържание безплатно, тъй като осигуряваме приходи от нашия сайт чрез приходи от реклами, партньорски връзки и спонсорство. Ще сме благодарни, ако премахнете блокера си за реклами, докато разглеждате нашия сайт.