Kā pārbaudīt, noņemt un novērst ļaunprātīgu programmatūru no jūsu WordPress vietnes

Kā noņemt ļaunprātīgu programmatūru no WordPress

Šī nedēļa bija diezgan darbīga. Viena no man zināmajām bezpeļņas organizācijām nokļuva diezgan grūtā situācijā — viņu WordPress vietne bija inficēta ar ļaunprātīgu programmatūru. Vietne tika uzlauzta, un apmeklētājiem tika izpildīti skripti, kuri veica divas dažādas darbības:

  1. Mēģināja inficēt Microsoft Windows ar malware.
  2. Novirzīja visus lietotājus uz vietni, kurā tika izmantots JavaScript, lai izmantotu apmeklētāja datoru mīnas kriptogrāfijas valūta.

Es atklāju, ka vietne tika uzlauzta, kad to apmeklēju, noklikšķinot uz viņu jaunākā biļetena, un es nekavējoties viņus informēju par notiekošo. Diemžēl tas bija diezgan agresīvs uzbrukums, kuru es varēju noņemt, bet tūlīt pārinficēju vietni, kad sāku dzīvot. Šī ir diezgan izplatīta ļaunprātīgas programmatūras hakeru prakse - viņi ne tikai uzlauž vietni, bet arī vietnei pievieno administratīvo lietotāju vai maina galveno WordPress failu, kas atkārtoti injicē hakeru, ja tas tiek noņemts.

Ļaunprātīga programmatūra ir pastāvīga problēma tīmeklī. Ļaunprātīga programmatūra tiek izmantota, lai palielinātu vidējo klikšķu skaitu uz reklāmām (krāpšana ar reklāmām), palielinātu vietņu statistiku, lai iekasētu pārmaksu no reklāmdevējiem, mēģinātu piekļūt apmeklētāju finanšu un personas datiem, un pēdējā laikā – lai iegūtu kriptovalūtu. Kalnrači saņem labu samaksu par ieguves datiem, taču izmaksas, kas saistītas ar ieguves mašīnu būvniecību un elektrības rēķinu apmaksu par tām, ir ievērojamas. Slepus izmantojot datorus, kalnrači var pelnīt naudu bez izdevumiem.

WordPress un citas izplatītas platformas ir hakeru milzīgi mērķi, jo tie ir tik daudzu vietņu pamats tīmeklī. Turklāt WordPress ir izveidota tēma un spraudņu arhitektūra, kas neaizsargā vietnes galvenos failus no drošības caurumiem. Turklāt WordPress kopiena ir izcila, lai identificētu un aizlāpītu drošības caurumus, taču vietņu īpašnieki nav tik modri par savas vietnes atjaunināšanu ar jaunākajām versijām.

Šī vietne tika mitināta GoDaddy tradicionālajā tīmekļa mitināšanā (nevis Pārvalda WordPress hosting), kas piedāvā nulles aizsardzību. Protams, viņi piedāvā a Ļaunprātīgas programmatūras skeneris un noņemšana pakalpojumu. Pārvaldīti WordPress mitināšanas uzņēmumi, piemēram, spara rats, WP Dzinējs, LiquidWeb, GoDaddy un Panteons visi piedāvā automatizētus atjauninājumus, lai jūsu vietnes būtu atjauninātas, kad tiek konstatētas un novērstas problēmas. Lielākajai daļai ir ļaunprātīgas programmatūras skenēšana un melnajā sarakstā iekļauti motīvi un spraudņi, kas palīdz vietņu īpašniekiem novērst uzlaušanu. Daži uzņēmumi sper soli tālāk — Kinsta — augstas veiktspējas pārvaldīts WordPress resursdators — pat piedāvā a drošības garantija.

Turklāt komanda plkst Jetpack piedāvā lielisku pakalpojumu, lai katru dienu automātiski pārbaudītu, vai jūsu vietnē nav ļaunprātīgas programmatūras un citu ievainojamību. Šis ir ideāls risinājums, ja pats mitināt WordPress savā infrastruktūrā.

Jetpack skenēšana WordPress ļaunprātīgai programmatūrai

Varat arī izmantot pieejamu trešo pusi ļaunprātīgas programmatūras skenēšanas pakalpojums tāpat Vietņu skeneri, kas katru dienu pārbaudīs jūsu vietni un informēs, vai esat iekļauts aktīvo ļaunprātīgas programmatūras uzraudzības pakalpojumu melnajā sarakstā.

Vai jūsu vietne ir melnajā sarakstā ļaunprātīgas programmatūras dēļ:

Tiešsaistē ir daudz vietņu, kas reklamē pārbaude jūsu vietnē nav ļaunprātīgas programmatūras, taču ņemiet vērā, ka lielākā daļa no tiem faktiski nepārbauda jūsu vietni reāllaikā. Reāllaika ļaunprātīgas programmatūras skenēšanai ir nepieciešams trešās puses rāpuļprogrammas rīks, kas nevar uzreiz nodrošināt rezultātus. Vietnes, kas nodrošina tūlītēju pārbaudi, ir vietnes, kurās iepriekš tika konstatēta ļaunprātīga programmatūra. Dažas no ļaunprātīgas programmatūras pārbaudes vietnēm tīmeklī ir:

  • Google pārredzamības ziņojums - ja jūsu vietne ir reģistrēta pie tīmekļa pārziņiem, viņi nekavējoties jūs brīdinās, kad pārmeklēs jūsu vietni un atradīs tajā ļaunprātīgu programmatūru.
  • Norton Safe Web - Norton darbojas arī tīmekļa pārlūkprogrammas spraudņi un operētājsistēmas programmatūra, kas lietotājiem liegs vakarā atvērt jūsu lapu, ja viņi to ir iekļāvuši melnajā sarakstā. Vietņu īpašnieki var reģistrēties vietnē un pieprasīt viņu vietnes atkārtotu novērtēšanu, tiklīdz tā ir tīra.
  • Sucuri - Sucuri uztur ļaunprātīgas programmatūras vietņu sarakstu un pārskatu par to, kur tās ir iekļautas melnajā sarakstā. Ja jūsu vietne tiks iztīrīta, redzēsit a Piespiest atkārtotu skenēšanu saite zem saraksta (ļoti mazā drukā). Sucuri ir izcils spraudnis, kas atklāj problēmas ... un pēc tam liek jums noslēgt gada līgumu, lai tos novērstu.
  • Yandex - ja meklējat Yandex savā domēnā un redzat “Pēc Yandex domām, šī vietne var būt bīstama ”, jūs varat reģistrēties Yandex tīmekļa pārziņiem, pievienot savu vietni, doties uz Drošība un pārkāpumiun pieprasiet, lai jūsu vietne tiktu notīrīta.
  • Pikšķerēšanas tvertne - Daži hakeri jūsu vietnē ievietos pikšķerēšanas skriptus, kas jūsu domēnu var iekļaut kā pikšķerēšanas domēnu. Ja Phishtank ievadāt precīzu un pilnu URL par paziņoto ļaunprātīgās programmatūras lapu, varat reģistrēties Phishtank un balsot par to, vai tā patiešām ir pikšķerēšanas vietne.

Ja vien jūsu vietne nav reģistrēta un jums kaut kur ir uzraudzības konts, jūs, iespējams, saņemsit ziņojumu no kāda no šiem pakalpojumiem lietotāja. Neignorējiet brīdinājumu… lai gan jūs, iespējams, neredzat problēmu, kļūdaini pozitīvi gadījumi notiek reti. Šo problēmu dēļ jūsu vietne var tikt noņemta no meklētājprogrammām un bloķēta pārlūkprogrammās. Vēl ļaunāk, jūsu potenciālie klienti un esošie klienti var brīnīties, ar kādu organizāciju viņi strādā.

Kā jūs pārbaudāt, vai nav ļaunprātīgas programmatūras?

Vairāki no iepriekš minētajiem uzņēmumiem runā par to, cik grūti ir atrast ļaunprātīgu programmatūru, taču tas nav tik grūti. Grūtības patiesībā ir izdomāt, kā tas nokļuva jūsu vietnē! Ļaunprātīgais kods visbiežāk atrodas:

  • Uzturēšana - Pirms visa norādiet uz a apkopes lapa un dublējiet savu vietni. Neizmantojiet WordPress noklusējuma uzturēšanu vai apkopes spraudni, jo tie joprojām izpildīs WordPress serverī. Jūs vēlaties pārliecināties, ka neviens vietnē neizpilda nevienu PHP failu. Kamēr esat pie tā, pārbaudiet savu Htaccess failu tīmekļa serverī, lai nodrošinātu, ka tajā nav krāpnieciska koda, kas varētu novirzīt trafiku.
  • Meklēt vietnes failus, izmantojot SFTP vai FTP, un identificējiet jaunākās failu izmaiņas spraudņos, motīvos vai galvenajos WordPress failos. Atveriet šos failus un meklējiet visus labojumus, kas pievieno skriptus vai komandas Base64 (ko izmanto, lai paslēptu servera skripta izpildi).
  • Salīdzināt galvenie WordPress faili saknes direktorijā, wp-admin direktorijā un wp-include direktorijos, lai redzētu, vai pastāv kādi jauni faili vai dažāda lieluma faili. Problēmu novēršana katram failam. Pat ja atrodat un noņemat uzlaušanu, turpiniet meklēt, jo daudzi hakeri atstāj sētas durvis, lai atkārtoti inficētu vietni. Nevajag vienkārši pārrakstīt vai pārinstalēt WordPress ... hakeri bieži sakņu direktorijā pievieno ļaunprātīgus skriptus un izsauc skriptu kā citādi, lai injicētu hakeru. Mazāk sarežģītie ļaunprogrammatūras skripti parasti vienkārši ievieto skriptu failus header.php or footer.php. Sarežģītāki skripti faktiski pārveidos katru servera PHP failu ar atkārtotas ievadīšanas kodu, lai jums būtu grūti to noņemt.
  • noņemt trešo pušu reklāmas skripti, kas var būt avots. Esmu atteicies piemērot jaunus reklāmas tīklus, kad esmu izlasījis, ka tie ir uzlauzti tiešsaistē.
  • pārbaude jūsu ziņu datu bāzes tabula lapas saturā iegultiem skriptiem. To var izdarīt, veicot vienkāršu meklēšanu, izmantojot PHPMyAdmin, un meklējot pieprasījuma URL vai skripta tagus.

Pirms ievietojat vietni tiešsaistē ... tagad ir pienācis laiks padarīt vietni cietāku, lai novērstu tūlītēju atkārtotu injekciju vai citu uzlaušanu:

Kā novērst vietnes uzlaušanu un ļaunprātīgas programmatūras instalēšanu?

  • Pārbaudīt katrs vietnes lietotājs. Hakeri bieži injicē skriptus, kas pievieno administratīvo lietotāju. Noņemiet visus vecos vai neizmantotos kontus un piešķiriet to saturu esošam lietotājam. Ja jums ir lietotājs ar nosaukumu admin, pievienojiet jaunu administratoru ar unikālu pieteikuminformāciju un pilnībā noņemiet administratora kontu.
  • Atjaunot katra lietotāja parole. Daudzas vietnes tiek uzlauztas, jo lietotājs izmantoja vienkāršu paroli, kas tika uzminēta uzbrukumā, ļaujot kādam iekļūt WordPress un darīt visu, ko viņš vēlas.
  • Atslēgt spēja rediģēt spraudņus un motīvus, izmantojot WordPress Admin. Spēja rediģēt šos failus ļauj jebkuram hakerim darīt to pašu, ja viņiem ir piekļuve. Padariet WordPress pamata failus par nerakstāmiem, lai skripti nevarētu pārrakstīt galveno kodu. Viss vienā ir patiešām lielisks spraudnis, kas nodrošina WordPress sacietēšana ar tonnu funkciju.
  • Ar rokām lejupielādējiet un pārinstalējiet visu nepieciešamo spraudņu jaunākās versijas un noņemiet visus citus spraudņus. Pilnīgi noņemiet administratīvos spraudņus, kas nodrošina tiešu piekļuvi vietnes failiem vai datu bāzei, tie ir īpaši bīstami.
  • noņemt un nomainiet visus saknes direktorijā esošos failus, izņemot mapi wp-content (tātad root, wp-include, wp-admin) ar jaunu WordPress instalāciju, kas lejupielādēta tieši no viņu vietnes.
  • Atšķirība – Varat arī veikt atšķirību starp vietnes dublējumu, kad jums nebija ļaunprātīgas programmatūras, un pašreizējo vietni… tas palīdzēs jums redzēt, kuri faili ir rediģēti un kādas izmaiņas tika veiktas. Diff ir izstrādes funkcija, kas salīdzina direktorijus un failus un nodrošina to abu salīdzinājumu. Ņemot vērā WordPress vietnēs veikto atjauninājumu skaitu, šī ne vienmēr ir vienkāršākā metode, taču dažreiz ļaunprātīgas programmatūras kods patiešām izceļas.
  • Saglabāt jūsu vietne! Vietnē, kurā strādāju šajā nedēļas nogalē, bija veca WordPress versija ar zināmām drošības nepilnībām, veciem lietotājiem, kuriem vairs nevajadzētu piekļūt, vecām tēmām un veciem spraudņiem. Tas varēja būt kāds no šiem, kas atvēra uzņēmumu uzlaušanai. Ja jūs nevarat atļauties uzturēt savu vietni, noteikti pārvietojiet to uz pārvaldītu mitināšanas uzņēmumu, kas to darīs! Iztērējot vēl pāris dolārus par mitināšanu, tas varētu glābt šo uzņēmumu no šī apmulsuma.

Kad esat pārliecināts, ka viss ir salabots un sacietējis, varat atjaunot vietni, noņemot Htaccess novirzīt. Tiklīdz tā ir tiešraide, meklējiet to pašu infekciju, kas iepriekš bija tur. Es parasti izmantoju pārlūkprogrammas pārbaudes rīkus, lai uzraudzītu tīkla pieprasījumus pēc lapas. Es izsekoju katru tīkla pieprasījumu, lai pārliecinātos, ka tas nav ļaunprātīga programmatūra vai noslēpumaina ... ja tā ir, tas ir atpakaļ uz augšu un veic visas darbības no jauna.

Atcerieties — tiklīdz jūsu vietne būs tīra, tā netiks automātiski noņemta no melnajiem sarakstiem. Jums jāsazinās ar katru un jāiesniedz pieprasījums saskaņā ar mūsu iepriekš minēto sarakstu.

Šādi uzlauzt nav jautri. Uzņēmumi iekasē vairākus simtus dolāru, lai novērstu šos draudus. Es strādāju ne mazāk kā 8 stundas, lai palīdzētu šim uzņēmumam sakopt viņu vietni.

Ko jūs domājat?

Šī vietne izmanto Akismet, lai samazinātu surogātpastu. Uzziniet, kā tiek apstrādāts jūsu komentārs.