Как да проверите, премахнете и предотвратите злонамерен софтуер от вашия WordPress сайт

зловреден софтуер

Тази седмица беше доста натоварена. Една от нестопанските организации, които познавам, се оказа в доста тежко положение - техният сайт на WordPress беше заразен със злонамерен софтуер. Сайтът беше хакнат и изпълнени скриптове за посетители, които направиха две различни неща:

  1. Опитах се да заразя Microsoft Windows с зловреден софтуер.
  2. Пренасочи всички потребители към сайт, който използва JavaScript, за да използва компютъра на посетителя моята cryptocurrency.

Открих, че сайтът е хакнат, когато го посетих, след като щракнах върху последния им бюлетин и веднага ги уведомих за случващото се. За съжаление, това беше доста агресивна атака, която успях да премахна, но незабавно реинфектирах сайта, когато стартирахме. Това е доста често срещана практика от хакери на зловреден софтуер - те не само хакват сайта, но и добавят администраторски потребител към сайта, или променят основен WordPress файл, който отново инжектира хака, ако бъде премахнат.

Зловредният софтуер е постоянен проблем в мрежата. Зловредният софтуер се използва за надуване на честотата на кликване върху рекламите (рекламна измама), надуване на статистиката на сайта, за да се прекали с рекламодателите, за да се опита да постигне достъп до финансовите и личните данни на посетителите и наскоро - за добива на криптовалута. Миньорите получават добри плащания за данни за добив, но разходите за изграждане на машини за добив и плащане на сметки за електричество за тях са значителни. Като впрягат тайно компютрите, миньорите могат да правят пари без разходи.

WordPress и други често срещани платформи са огромна цел за хакерите, тъй като те са в основата на толкова много сайтове в мрежата. Освен това WordPress има архитектура на теми и приставки, която не защитава основните файлове на сайта от дупки в сигурността. Освен това общността на WordPress е изключителна в идентифицирането и закърпването на дупки в сигурността, но собствениците на сайтове не са толкова бдителни, че поддържат сайта си актуализиран с най-новите версии.

Този конкретен сайт се хоства на традиционния уеб хостинг на GoDaddy (не Управляван хостинг на WordPress), който предлага нулева защита. Разбира се, те предлагат a Скенер за злонамерен софтуер и премахване услуга, обаче. Управлявани WordPress хостинг компании като маховик, WP двигателя, LiquidWeb, GoDaddy и Пантеон всички предлагат автоматизирани актуализации, за да поддържат вашите сайтове актуални, когато нашите проблеми са идентифицирани и закърпени. Повечето имат сканиране за злонамерен софтуер и теми и приставки в черния списък, за да помогнат на собствениците на сайтове да предотвратят хак. Някои компании правят стъпка по-далеч - Kinsta - високоефективен управляван WordPress хост - дори предлага a гаранция за сигурност.

Вашият сайт ли е в черния списък за злонамерен софтуер:

Има много сайтове онлайн, които насърчават „проверка“ на вашия сайт за злонамерен софтуер, но имайте предвид, че повечето от тях всъщност изобщо не проверяват сайта ви в реално време. Сканирането за злонамерен софтуер в реално време изисква инструмент за обхождане на трета страна, който не може незабавно да предостави резултати. Сайтовете, които осигуряват незабавна проверка, са сайтове, които по-рано са открили, че вашият сайт е имал злонамерен софтуер. Някои от сайтовете за проверка на злонамерен софтуер в мрежата са:

  • Доклад за прозрачност на Google - ако вашият сайт е регистриран при уеб администратори, те незабавно ще ви предупредят, когато обхождат сайта ви и намерят злонамерен софтуер в него.
  • Norton Safe Web - Norton също така работи с приставки за уеб браузър и софтуер за операционна система, които ще блокират потребителите да не отварят вечерта, ако са я включили в черния списък. Собствениците на уебсайтове могат да се регистрират на сайта и да поискат преразглеждане на сайта им, след като е чист.
  • Sucuri - Sucuri поддържа списък със сайтове със злонамерен софтуер, заедно с доклад къде са попаднали в черния списък. Ако сайтът ви е почистен, ще видите a Принудително повторно сканиране връзка под списъка (с много дребен шрифт). Sucuri има изключителен плъгин, който открива проблеми ... и след това ви тласка към годишен договор за тяхното премахване.
  • Yandex - ако търсите Yandex за вашия домейн и видите „Според Yandex този сайт може да е опасен ”, можете да се регистрирате за уеб администратори на Yandex, да добавите вашия сайт, да отидете до Сигурност и нарушения, и поискайте сайтът ви да бъде изчистен.
  • Фищанк - Някои хакери ще поставят фишинг скриптове на вашия сайт, което може да направи вашия домейн в списъка като фишинг домейн. Ако въведете точния, пълен URL адрес на съобщената страница за злонамерен софтуер в Phishtank, можете да се регистрирате в Phishtank и да гласувате дали това наистина е фишинг сайт.

Освен ако сайтът ви не е регистриран и някъде имате акаунт за наблюдение, вероятно ще получите отчет от потребител на една от тези услуги. Не пренебрегвайте предупреждението ... макар да не виждате проблем, рядко се случват фалшиви положителни резултати. Тези проблеми могат да направят вашия сайт деиндексиран от търсачките и блокиран от браузърите. Още по-лошо, вашите потенциални клиенти и съществуващи клиенти може да се чудят с каква организация работят.

Как проверявате за злонамерен софтуер?

Няколко от компаниите по-горе говорят колко трудно е да се намери зловреден софтуер, но не е толкова трудно. Трудно е всъщност да разберете как е попаднал във вашия сайт! Злонамереният код най-често се намира в:

  • поддръжка - Преди нещо, насочете го към a страница за поддръжка и архивирайте вашия сайт. Не използвайте поддръжката по подразбиране на WordPress или приставката за поддръжка, тъй като те все още ще изпълняват WordPress на сървъра. Искате да се уверите, че никой не изпълнява никакъв PHP файл на сайта. Докато сте готови, проверете вашите . Htaccess файл на уеб сървъра, за да се увери, че няма измамен код, който може да пренасочва трафика.
  • Търсене файловете на вашия сайт чрез SFTP или FTP и идентифицирайте последните промени в файловете в плъгини, теми или основни файлове на WordPress. Отворете тези файлове и потърсете всички редакции, които добавят скриптове или команди на Base64 (използвани за скриване на изпълнението на сървър-скрипт).
  • сравнение основните файлове на WordPress във вашата основна директория, директория wp-admin и директории wp-include, за да видите дали съществуват нови файлове или файлове с различен размер. Отстранявайте всеки файл. Дори ако откриете и премахнете хак, продължете да търсите, тъй като много хакери напускат задни врати, за да заразят отново сайта. Не просто презаписвайте или преинсталирайте WordPress ... хакерите често добавят злонамерени скриптове в основната директория и извикват скрипта по друг начин за инжектиране на хак. По-малко сложните скриптове за злонамерен софтуер обикновено просто вмъкват файлове със скриптове header.php or footer.php. По-сложните скриптове всъщност ще модифицират всеки PHP файл на сървъра с код за повторно инжектиране, така че да ви е трудно да го премахнете.
  • Премахване рекламни скриптове на трети страни, които може да са източникът. Отказах да прилагам нови рекламни мрежи, когато прочетох, че са били хакнати онлайн.
  • Проверка  вашата таблица на базата данни за вградени скриптове в съдържанието на страницата. Можете да направите това, като правите прости търсения с помощта на PHPMyAdmin и търсите URL адресите на заявките или маркерите на скриптове.

Преди да пуснете сайта си на живо ... сега е време да го втвърдите, за да предотвратите незабавно повторно инжектиране или друг хак:

Как предотвратявате хакване на вашия сайт и инсталиране на зловреден софтуер?

  • Проверете всеки потребител на уебсайта. Хакерите често инжектират скриптове, които добавят администраторски потребител. Премахнете всички стари или неизползвани акаунти и пренасочете съдържанието им към съществуващ потребител. Ако имате потребител на име администратор, добавете нов администратор с уникален вход и изцяло премахнете администраторския акаунт.
  • Нулиране парола на всеки потребител. Много сайтове са хакнати, тъй като потребителят използва проста парола, която е била позната при атака, позволявайки на някой да влезе в WordPress и да прави каквото пожелае.
  • Правя неспособен възможност за редактиране на приставки и теми чрез WordPress Admin. Възможността за редактиране на тези файлове позволява на всеки хакер да направи същото, ако получи достъп. Направете основните WordPress файлове без възможност за запис, така че скриптовете да не могат да пренапишат основния код. Всичко в едно има наистина страхотен плъгин, който предоставя WordPress закалка с много функции.
  • Ръчно изтеглете и преинсталирайте най-новите версии на всеки плъгин, който ви е необходим, и премахнете всички други плъгини. Абсолютно премахнете административните приставки, които дават директен достъп до файловете на сайта или до базата данни, те са особено опасни.
  • Премахване и заменете всички файлове във вашата основна директория, с изключение на папката wp-content (така root, wp-включва, wp-admin) с нова инсталация на WordPress, изтеглена директно от техния сайт.
  • Поддържайте вашия сайт! Сайтът, на който работих този уикенд, имаше стара версия на WordPress с известни дупки в сигурността, стари потребители, които вече не трябва да имат достъп, стари теми и стари приставки. Може да е бил някой от тях, който е отворил компанията за хакване. Ако не можете да си позволите да поддържате сайта си, не забравяйте да го преместите в управлявана хостинг компания, която ще го направи! Прекарването на още няколко долара за хостинг би могло да спаси тази компания от това смущение.

След като повярвате, че сте оправили и втвърдили всичко, можете да върнете сайта на живо, като премахнете . Htaccess пренасочване. Веднага щом излезе на живо, потърсете същата инфекция, която беше и преди. Обикновено използвам инструментите за проверка на браузъра, за да наблюдавам мрежовите заявки от страницата. Проследявам всяка мрежова заявка, за да се уверя, че не е злонамерен или загадъчен ... ако е, то е обратно в началото и прави стъпките отново.

Можете също така да използвате достъпна трета страна услуга за сканиране на злонамерен софтуер като Скенери за сайтове, който ще сканира сайта ви ежедневно и ще ви уведоми дали сте в черния списък на активни услуги за мониторинг на зловреден софтуер. Не забравяйте - след като сайтът ви е чист, той няма автоматично да бъде премахнат от черните списъци. Трябва да се свържете с всеки и да направите заявката съгласно нашия списък по-горе.

Хакването по този начин не е забавно. Компаниите взимат няколкостотин долара за премахване на тези заплахи. Работих не по-малко от 8 часа, за да помогна на тази компания да почисти сайта си.

Какво мислите?

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните за коментарите ви.