WordPress zhakowany? Dziesięć kroków do naprawy bloga

WordPress uszkodzony

Mój dobry przyjaciel został niedawno zhakowany na swoim blogu WordPress. To był dość złośliwy atak, który mógł mieć wpływ na jego ranking wyszukiwania i, oczywiście, na jego dynamikę ruchu. Jest to jeden z powodów, dla których radzę dużym firmom korzystać z korporacyjnej platformy blogowej, takiej jak Kompendium - gdzie czuwa zespół monitorujący. (Ujawnienie: jestem udziałowcem)

Firmy nie rozumieją, dlaczego miałyby płacić za platformę taką jak Compendium… dopóki nie zatrudnią mnie do naprawy przez całą noc wolny Blog WordPress! (FYI: WordPress oferuje również Wersja VIP a Typepad oferuje również plik wersja biznesowa. )

Dla tych z Was, których nie stać na platformę blogową z oferowanymi przez nią usługami, oto moja rada, co zrobić, jeśli WordPress zostanie zhakowany:

  1. Zachowaj spokój! Nie zaczynaj usuwać rzeczy i instalować wszelkiego rodzaju bzdur, które obiecują wyczyścić instalację. Nie wiesz, kto to napisał i czy jest to po prostu dodawanie złośliwych bzdur do Twojego bloga. Weź głęboki oddech, przejrzyj ten wpis na blogu i powoli i celowo przejdź do listy kontrolnej.
  2. Usuń bloga. Natychmiast. Najłatwiej to zrobić za pomocą WordPressa przemianować plik index.php w katalogu głównym. Nie wystarczy po prostu utworzyć stronę index.html… musisz zatrzymać cały ruch na dowolnej stronie swojego bloga. W miejscu umieszczenia swojej strony index.php prześlij plik tekstowy z informacją, że jesteś offline w celu konserwacji i wkrótce wrócisz. Powodem, dla którego musisz usunąć bloga, jest to, że większość tych hacków nie jest wykonywana ręcznie, ale za pośrednictwem złośliwych skryptów, które dołączają się do każdego zapisywalnego pliku w Twojej instalacji. Ktoś odwiedzający wewnętrzną stronę Twojego bloga może ponownie zainfekować pliki, nad którymi pracujesz.
  3. Utwórz kopię zapasową swojego bloga. Nie tylko twórz kopie zapasowe plików, ale także twórz kopie zapasowe bazy danych. Przechowuj go w specjalnym miejscu na wypadek, gdybyś potrzebował odnieść się do niektórych plików lub informacji.
  4. Usuń wszystkie motywy. Motywy to dla hakera łatwy sposób na skrypty i wstawianie kodu do Twojego bloga. Większość motywów jest również źle napisana przez projektantów, którzy nie rozumieją niuansów związanych z zabezpieczaniem stron, kodu lub bazy danych.
  5. Usuń wszystkie wtyczki. Wtyczki są najłatwiejszym sposobem dla hakera do skryptu i wstawienia kodu do Twojego bloga. Większość wtyczek jest źle napisana przez hackerów, którzy nie rozumieją niuansów zabezpieczania stron, kodu lub bazy danych. Gdy haker znajdzie plik z bramą, po prostu wdraża roboty przeszukujące inne witryny w poszukiwaniu tych plików.
  6. Zainstaluj ponownie WordPress. Kiedy mówię, zainstaluj ponownie WordPress, mam na myśli to - łącznie z twoim motywem. Nie zapomnij o wp-config.php, pliku, który nie jest nadpisywany podczas kopiowania przez WordPress. Na tym blogu odkryłem, że złośliwy skrypt został napisany w Base 64, więc wyglądał jak kropla tekstu i został wstawiony w nagłówku każdej strony, w tym wp-config.php.
  7. Przejrzyj swoją bazę danych. Będziesz chciał przejrzeć tabelę opcji, a zwłaszcza tabelę postów - szukając dziwnych zewnętrznych odniesień lub treści. Jeśli nigdy wcześniej nie przeglądałeś swojej bazy danych, przygotuj się na znalezienie PHPMyAdmin lub innego menedżera zapytań bazy danych w panelu zarządzania twojego hosta. To nie jest zabawne - ale musi.
  8. Uruchom WordPress z domyślnym motywem i bez zainstalowanych wtyczek. Jeśli pojawia się Twoja treść i nie widzisz żadnych automatycznych przekierowań do złośliwych witryn, prawdopodobnie wszystko w porządku. Jeśli pojawi się przekierowanie do złośliwej witryny, prawdopodobnie będziesz chciał wyczyścić pamięć podręczną, aby upewnić się, że pracujesz z najnowszą kopią strony. Może zajść potrzeba przejrzenia rekordu bazy danych po rekordzie, aby spróbować zlokalizować zawartość, która może tam być, która toruje drogę do Twojego bloga. Prawdopodobnie Twoja baza danych jest czysta… ale nigdy nie wiadomo!
  9. Zainstaluj swój motyw. Jeśli złośliwy kod zostanie zreplikowany, prawdopodobnie będziesz mieć zainfekowany motyw. Może być konieczne przejście linii po linii przez motyw, aby upewnić się, że nie ma złośliwego kodu. Być może lepiej będzie, jeśli zaczniesz od nowa. Otwórz bloga na posta i sprawdź, czy nadal jesteś zainfekowany.
  10. Zainstaluj swoje wtyczki. Możesz najpierw użyć wtyczki, takiej jak Czyste opcje najpierw, aby usunąć wszelkie dodatkowe opcje z wtyczek, których już nie używasz lub nie chcesz. Nie zwariuj jednak, ta wtyczka nie jest najlepsza… często wyświetla i pozwala usunąć ustawienia, na których chcesz się zawiesić. Pobierz wszystkie swoje wtyczki z WordPress. Uruchom ponownie swojego bloga!

Jeśli zauważysz, że problem powrócił, prawdopodobnie ponownie zainstalowałeś wtyczkę lub motyw, który jest podatny na ataki. Jeśli problem nigdy nie ustępuje, prawdopodobnie próbowałeś zastosować kilka skrótów podczas rozwiązywania tych problemów. Nie idź na skróty.

Ci hakerzy to wredni ludzie! Brak zrozumienia każdej wtyczki i pliku motywu naraża nas wszystkich na ryzyko, dlatego zachowaj czujność. Zainstaluj wtyczki, które mają świetne oceny, mnóstwo instalacji i świetny rekord pobrań. Przeczytaj komentarze, które ludzie z nimi powiązali.

Komentarze 15

  1. 1

    Dzięki za wskazówki, o których tu wspomniałeś. Chcę zapytać, co się stanie, jeśli haker po prostu zmieni hasło do Twojej witryny. Nie możesz nawet połączyć się z folderem wordpress przez FTP.

  2. 2

    Cześć Tech,

    Miałem to już wcześniej. Najłatwiejszym sposobem na to jest otwarcie bazy danych i edycja adresu e-mail administratora. Zmień adres e-mail z powrotem na swój adres, a następnie zresetuj hasło. Reset administratora zostanie następnie wysłany na Twój adres e-mail, a nie hakerów - i wtedy możesz je zablokować na stałe.

    Doug

  3. 3
  4. 4
  5. 5

    Cześć,

    Właśnie dotarłem do Twojego bloga, szukając rozwiązania problemu z włamaniem do witryny. Moja strona - http://www.namaskarkolkata.com. nagle dzisiaj rano zauważyłem moją stronę Palestine Hacker - !! HacKed By T3eS !! . czy możesz spojrzeć - jak mogę to naprawić. Zmienili moją nazwę użytkownika i hasło administratora WordPress, a także podczas próby odzyskania przez mój e-mail jest - też zniknął. Czuję się bezradna. Proszę, prowadź mnie.

    Wielkie dzięki,

    Bidyut

    • 6

      Bidyut,

      W rzeczywistości istnieje łatwy sposób na odzyskanie kontroli. Korzystając z programu takiego jak phpMyAdmin, który jest ładowany na większości witryn, możesz przejść do tabeli wp_users i zmienić adres e-mail administratora z powrotem na siebie. W tym momencie możesz zrobić „zapomniałem hasła” na ekranie logowania i zresetować hasło.

      Doug

      • 7

        Cześć Doug - dzięki za tę szybką naprawę… Szkoda, że ​​nie wiedziałem o tym 2 tygodnie temu, kiedy jedna z moich witryn została zhakowana… Obsługa hostingu była prawie bezużyteczna i musiałem wyrzucić całą witrynę i zacząć od nowa! Dzięki tobie nie będę musiał ponownie przechodzić przez ten ból na mojej ostatniej stronie, która została zhakowana. Jakieś sugestie dotyczące ochrony przed hakerami? - z wdzięcznością, Dee

      • 9

        Cześć Doug - dzięki za tę szybką naprawę… Szkoda, że ​​nie wiedziałem o tym 2 tygodnie temu, kiedy jedna z moich witryn została zhakowana… Obsługa hostingu była prawie bezużyteczna i musiałem wyrzucić całą witrynę i zacząć od nowa! Dzięki tobie nie będę musiał ponownie przechodzić przez ten ból na mojej ostatniej stronie, która została zhakowana. Jakieś sugestie dotyczące ochrony przed hakerami? - z wdzięcznością, Dee

  6. 10

    Cześć, dzięki za Twój post. Moja witryna została zhakowana i jak dotąd wszystko, co się wydarzyło, to dodanie użytkowników WP i opublikowanie trzech postów na blogu. Mój hostingowy uważa, że ​​to tylko „bot”, który naruszył moje hasło WP, ale trochę się martwię. Zmieniłem wszystkie moje hasła, dodałem ochronę hasłem w edytorze .htaccess, zarchiwizowałem moje pliki WP, ustawienia mojego motywu i moje bazy danych oraz poddałem stronę konserwacji - wszystko w przygotowaniu do ponownej instalacji WP i mojego motywu. Mimo to jest to trudna sprawa dla początkującego. Jestem trochę zdezorientowany, jak czysto ponownie zainstalować WP i mój motyw - tak, aby na moim serwerze ftp nie pozostały żadne stare pliki. Jestem również zdezorientowany, jeśli chodzi o przeglądanie moich baz danych, patrzenie na wszystkie moje tabele w phpMYadmin - Jak rozpoznać złośliwy kod? Najbardziej niepokojące jest to, że co tydzień aktualizuję wszystkie swoje wtyczki i WP. Dziękuję za pomoc w wyjaśnieniu tego wszystkiego!

    • 11

      W większości przypadków są to pliki w treści wp, które są zwykle hakowane. Twój plik wp-config.php zawiera Twoje poświadczenia, a folder wp-content zawiera Twój motyw i wtyczki. Spróbowałbym pobrać nową instalację WordPress i skopiować wszystko oprócz katalogu wp-content. Następnie będziesz chciał ustawić poświadczenia w nowym pliku wp-config.php (nie użyłbym starego). Byłbym wtedy bardzo ostrożny, używając tego samego motywu i wtyczek… jeśli któryś z nich zostanie zhakowany, mogą rozprzestrzenić problem na nich wszystkich.

      Złośliwy kod jest zwykle kopiowany do każdego pliku i używa terminów takich jak eval lub base64_decode… szyfrują kod i używają tych funkcji do dekodowania.

      Po utworzeniu kopii zapasowej całej witryny możesz również zainstalować wtyczkę do skanowania, która wykryje, czy jakiekolwiek pliki główne zostały zmienione, na przykład: http://wordpress.org/extend/plugins/wp-security-scan/

  7. 12

    Cześć Doug! Myślę, że mój blog został zhakowany. Mam nad tym kontrolę, ale jeśli chcę udostępnić adres URL posta na LinkedIn, tytuł wyświetla kup z…. (lek) i nie wiem, co zrobić ani jak to naprawić. Zdecydowanie czuję się trochę nieswojo z powodu usunięcia całego mojego bloga… jest ogromny !!! Co się stanie, jeśli zainstaluję wordpress new w innym katalogu, a następnie dodam motyw, przetestuję go i przetestuję wtyczki, a następnie przeniosę całą zawartość i usunę oryginalny katalog? Czy to zadziała? adres mojego bloga to hispanic-marketing.com (na wypadek gdybyś chciał się temu przyjrzeć) bardzo dziękuję !!!

    • 13

      Cześć Claudia,

      Nie widzę żadnych dowodów na to, że Twoja witryna została zhakowana. Zwykle po włamaniu do witryny Twój motyw jest zagrożony, więc ponowna instalacja WordPress w rzeczywistości wcale nie pomaga.

      Doug

  8. 14

    WordPress VIP ma tego typu wsparcie, ale jest przeznaczony dla dużych branż. Ale mają też produkt o nazwie VaultPress, który nie jest zbyt drogi i ma wsparcie. Nie ma czegoś takiego jak pomoc techniczna „WordPress”. Moja rada to hostowanie witryny w WPEngine - https://martech.zone/wpe - mają doskonałe wsparcie, automatyczne kopie zapasowe, monitorowanie bezpieczeństwa itp. I są super szybkie! Jesteśmy partnerem i na nich znajduje się nasza witryna!

  9. 15

    Hej Douglas, chciałbym dodać do twojej listy jako # 11. Musisz również ponownie przesłać witrynę w Narzędziach Google dla webmasterów, aby mogli ją ponownie zaindeksować i wyjaśnić. Zwykle zajmuje to teraz tylko 24 godziny, czyli znacznie krócej niż wcześniej. W którym ponowne indeksowanie zajęło tydzień.

Co o tym myślisz?

Ta strona używa Akismet do redukcji spamu. Dowiedz się, jak przetwarzane są dane komentarza.