Jak sprawdzać, usuwać i zapobiegać złośliwemu oprogramowaniu w witrynie WordPress

malware

Ten tydzień był dość pracowity. Jedna ze znanych mi organizacji non-profit znalazła się w dość trudnym położeniu - ich witryna WordPress została zainfekowana złośliwym oprogramowaniem. Witryna została zhakowana, a na odwiedzających wykonano skrypty, które zrobiły dwie różne rzeczy:

  1. Próbował zainfekować system Microsoft Windows za pomocą malware.
  2. Przekierowano wszystkich użytkowników do witryny, która wykorzystywała JavaScript do wykorzystania komputera odwiedzającego moja kryptowaluta.

Odkryłem, że witryna została zhakowana, kiedy odwiedziłem ją po kliknięciu ich najnowszego biuletynu i natychmiast powiadomiłem ich o tym, co się dzieje. Niestety był to dość agresywny atak, który udało mi się usunąć, ale zaraz po uruchomieniu ponownie zainfekowałem witrynę. Jest to dość powszechna praktyka hakerów złośliwego oprogramowania - nie tylko hakują witrynę, ale także dodają do niej użytkownika administracyjnego lub zmieniają podstawowy plik WordPress, który po usunięciu ponownie wstrzykuje hack.

Złośliwe oprogramowanie to ciągły problem w sieci. Złośliwe oprogramowanie jest wykorzystywane do zawyżania współczynników klikalności reklam (oszustwa reklamowe), zawyżania statystyk witryny w celu nadmiernego obciążenia reklamodawców, prób uzyskania dostępu do danych finansowych i osobistych odwiedzających, a ostatnio - do wydobywania kryptowaluty. Górnicy dobrze zarabiają za dane wydobywcze, ale koszt budowy maszyn górniczych i płacenia za nie rachunków za energię elektryczną jest znaczny. Potajemnie wykorzystując komputery, górnicy mogą zarabiać pieniądze bez ponoszenia kosztów.

WordPress i inne popularne platformy są ogromnym celem hakerów, ponieważ stanowią podstawę wielu witryn w Internecie. Ponadto WordPress ma motyw i architekturę wtyczek, które nie chronią podstawowych plików witryny przed lukami w zabezpieczeniach. Ponadto społeczność WordPressa jest znakomita w identyfikowaniu i łataniu luk w zabezpieczeniach - ale właściciele witryn nie są tak czujni, jeśli chodzi o aktualizowanie swojej witryny do najnowszych wersji.

Ta konkretna witryna była hostowana na tradycyjnym hostingu internetowym GoDaddy (nie Zarządzany hosting WordPress), który zapewnia zerową ochronę. Oczywiście oferują Skaner i usuwanie złośliwego oprogramowania usługa, chociaż. Zarządzane firmy hostingowe WordPress, takie jak koło zamachowe, Silnik WP, LiquidWeb, GoDaddy i Panteon wszystkie oferują automatyczne aktualizacje, aby zapewnić aktualność witryn w przypadku zidentyfikowania i załatania problemów. Większość oferuje skanowanie w poszukiwaniu złośliwego oprogramowania oraz motywy i wtyczki na czarnej liście, które pomagają właścicielom witryn zapobiegać włamaniom. Niektóre firmy idą o krok dalej - Kinsta - wysokowydajny zarządzany host WordPress - oferuje nawet plik gwarancja bezpieczeństwa.

Czy Twoja witryna znajduje się na czarnej liście z powodu złośliwego oprogramowania:

W internecie jest wiele witryn, które promują „sprawdzanie” witryny pod kątem złośliwego oprogramowania, ale należy pamiętać, że większość z nich w rzeczywistości wcale nie sprawdza witryny w czasie rzeczywistym. Skanowanie złośliwego oprogramowania w czasie rzeczywistym wymaga narzędzia do indeksowania innej firmy, które nie zapewnia natychmiastowych wyników. Witryny zapewniające natychmiastową kontrolę to witryny, które wcześniej wykryły, że Twoja witryna zawiera złośliwe oprogramowanie. Niektóre ze stron internetowych sprawdzających złośliwe oprogramowanie to:

  • Raport przejrzystości Google - jeśli Twoja witryna jest zarejestrowana u webmasterów, będą oni natychmiast ostrzegać Cię o zaindeksowaniu witryny i znalezieniu w niej złośliwego oprogramowania.
  • Norton Safe Web - Norton obsługuje również wtyczki do przeglądarek internetowych i oprogramowanie systemu operacyjnego, które zablokuje użytkownikom możliwość wieczornego otwierania strony, jeśli umieścili ją na czarnej liście. Właściciele witryn mogą zarejestrować się w witrynie i poprosić o ponowną ocenę witryny, gdy będzie czysta.
  • Sucuri - Sucuri prowadzi listę złośliwych witryn wraz z raportem, gdzie zostały umieszczone na czarnej liście. Jeśli Twoja witryna zostanie wyczyszczona, zobaczysz plik Wymuś ponowne skanowanie link pod listą (bardzo małym drukiem). Sucuri ma wyjątkową wtyczkę, która wykrywa problemy ... a następnie popycha Cię do rocznej umowy, aby je usunąć.
  • Yandex - jeśli wyszukasz swoją domenę w Yandex i zobaczysz „Według Yandex ta strona może być niebezpieczna ”, możesz zarejestrować się dla webmasterów Yandex, dodać swoją witrynę, przejść do Bezpieczeństwo i naruszeniai poproś o wyczyszczenie witryny.
  • Phishtank - Niektórzy hakerzy umieszczają w Twojej witrynie skrypty phishingowe, które mogą spowodować wyświetlenie domeny jako domeny phishingowej. Jeśli podasz dokładny, pełny adres URL strony zgłoszonego złośliwego oprogramowania w Phishtank, możesz zarejestrować się w Phishtank i zagłosować, czy to naprawdę witryna phishingowa.

O ile Twoja witryna nie jest zarejestrowana i nie masz gdzieś konta monitorującego, prawdopodobnie otrzymasz raport od użytkownika jednej z tych usług. Nie ignoruj ​​alertu… chociaż możesz nie widzieć problemu, rzadko zdarzają się fałszywe alarmy. Te problemy mogą spowodować usunięcie Twojej witryny z wyszukiwarek i zablokowanie dostępu do przeglądarek. Co gorsza, Twoi potencjalni i obecni klienci mogą się zastanawiać, z jaką organizacją współpracują.

Jak sprawdzić, czy nie ma złośliwego oprogramowania?

Kilka z powyższych firm mówi o tym, jak trudno jest znaleźć złośliwe oprogramowanie, ale nie jest to takie trudne. Trudno jest dowiedzieć się, w jaki sposób trafił on do Twojej witryny! Złośliwy kod najczęściej znajduje się w:

  • Konserwacja - Przede wszystkim wskaż plik strona konserwacji i utwórz kopię zapasową witryny. Nie używaj domyślnej konserwacji WordPress ani wtyczki konserwacyjnej, ponieważ będą one nadal uruchamiać WordPress na serwerze. Chcesz mieć pewność, że nikt nie wykonuje żadnego pliku PHP w witrynie. Skoro już to robisz, sprawdź .htaccess na serwerze internetowym, aby upewnić się, że nie zawiera nieuczciwego kodu, który może przekierowywać ruch.
  • Szukaj pliki Twojej witryny przez SFTP lub FTP i zidentyfikuj najnowsze zmiany plików we wtyczkach, motywach lub podstawowych plikach WordPress. Otwórz te pliki i poszukaj zmian, które dodają skrypty lub polecenia Base64 (używane do ukrywania wykonywania skryptów serwera).
  • Porównaj podstawowe pliki WordPress w katalogu głównym, katalogu wp-admin i katalogach wp-include, aby sprawdzić, czy istnieją nowe pliki lub pliki o różnych rozmiarach. Rozwiąż problemy z każdym plikiem. Nawet jeśli znajdziesz i usuniesz włamanie, szukaj dalej, ponieważ wielu hakerów opuszcza tylne drzwi, aby ponownie zainfekować witrynę. Nie nadpisuj ani nie instaluj ponownie WordPressa… hakerzy często dodają złośliwe skrypty w katalogu głównym i wywołują skrypt w inny sposób, aby wstrzyknąć hack. Mniej złożone skrypty złośliwego oprogramowania zazwyczaj po prostu wstawiają pliki skryptów do plików header.php or footer.php. Bardziej złożone skrypty faktycznie modyfikują każdy plik PHP na serwerze za pomocą kodu ponownego wstrzykiwania, więc trudno jest go usunąć.
  • usunąć skrypty reklamowe firm zewnętrznych, które mogą być źródłem. Odmówiłem zastosowania nowych sieci reklamowych, gdy przeczytałem, że zostały zhakowane online.
  • Czek  twoja tabela bazy danych postów dla skryptów osadzonych w treści strony. Możesz to zrobić, wykonując proste wyszukiwania za pomocą PHPMyAdmin i wyszukując adresy URL żądań lub znaczniki skryptów.

Zanim uruchomisz witrynę… nadszedł czas, aby ją wzmocnić, aby zapobiec natychmiastowemu ponownemu wstrzyknięciu lub innemu hackowaniu:

Jak zapobiegać włamaniom do witryny i instalowaniu złośliwego oprogramowania?

  • zweryfikować każdy użytkownik serwisu. Hakerzy często wstrzykują skrypty, które dodają użytkownika administracyjnego. Usuń wszystkie stare lub nieużywane konta i ponownie przypisz ich zawartość istniejącemu użytkownikowi. Jeśli masz użytkownika o nazwie Admin, dodaj nowego administratora z unikalnym loginem i całkowicie usuń konto administratora.
  • Zresetuj hasło każdego użytkownika. Wiele witryn jest atakowanych, ponieważ użytkownik użył prostego hasła odgadniętego podczas ataku, umożliwiając komuś wejście do WordPressa i robienie tego, na co ma ochotę.
  • wyłącz możliwość edycji wtyczek i motywów za pośrednictwem WordPress Admin. Możliwość edycji tych plików pozwala każdemu hakerowi zrobić to samo, jeśli uzyska do nich dostęp. Spraw, aby podstawowe pliki WordPress nie były zapisywane, aby skrypty nie mogły przepisać podstawowego kodu. Wszystko w jednym ma naprawdę świetną wtyczkę, która zapewnia WordPress hartowanie z mnóstwem funkcji.
  • Ręcznie pobierz i zainstaluj ponownie najnowsze wersje każdej wymaganej wtyczki i usuń wszystkie inne wtyczki. Absolutnie usuń wtyczki administracyjne, które dają bezpośredni dostęp do plików serwisu lub bazy danych, są one szczególnie niebezpieczne.
  • usunąć i zamień wszystkie pliki w katalogu głównym z wyjątkiem folderu wp-content (czyli root, wp-include, wp-admin) nową instalacją WordPressa pobraną bezpośrednio z ich strony.
  • Utrzymać Twoja strona! Witryna, nad którą pracowałem w ten weekend, miała starą wersję WordPressa ze znanymi lukami w zabezpieczeniach, starymi użytkownikami, którzy nie powinni już mieć dostępu, starymi motywami i starymi wtyczkami. To mógł być którykolwiek z tych, który otworzył firmę przed włamaniem. Jeśli nie możesz sobie pozwolić na utrzymanie witryny, pamiętaj, aby przenieść ją do zarządzanej firmy hostingowej, która to zrobi! Wydanie kilku dodatkowych dolarów na hosting mogłoby uchronić tę firmę przed tym zakłopotaniem.

Gdy uznasz, że wszystko zostało naprawione i wzmocnione, możesz przywrócić witrynę, usuwając rozszerzenie .htaccess przeadresować. Jak tylko się pojawi, poszukaj tej samej infekcji, która była wcześniej. Zwykle używam narzędzi inspekcyjnych przeglądarki, aby monitorować żądania sieciowe wysyłane przez stronę. Śledzę każde żądanie sieciowe, aby upewnić się, że nie jest ono złośliwe ani tajemnicze… jeśli tak jest, wracam na górę i wykonuję wszystkie kroki od nowa.

Możesz również skorzystać z niedrogiej strony trzeciej usługa skanowania złośliwego oprogramowania lubić Skanery witryn, który codziennie skanuje Twoją witrynę i informuje Cię, czy jesteś na czarnej liście aktywnych usług monitorowania złośliwego oprogramowania. Pamiętaj - oczyszczona witryna nie zostanie automatycznie usunięta z czarnych list. Powinieneś skontaktować się z każdym i złożyć wniosek zgodnie z naszą listą powyżej.

Włamanie się w ten sposób nie jest zabawne. Firmy pobierają kilkaset dolarów za usunięcie tych zagrożeń. Pracowałem nie mniej niż 8 godzin, aby pomóc tej firmie oczyścić witrynę.

Co o tym myślisz?

Ta strona używa Akismet do redukcji spamu. Dowiedz się, jak przetwarzane są dane komentarza.