Kā pārbaudīt, noņemt un novērst ļaunprātīgu programmatūru no jūsu WordPress vietnes

malware

Šī nedēļa bija diezgan aizņemta. Viena no manis zināmajām bezpeļņas organizācijām nonāca diezgan sarežģītā situācijā - viņu vietne WordPress bija inficēta ar ļaunprātīgu programmatūru. Vietne tika uzlauzta, un skripti tika izpildīti apmeklētājiem, kuri veica divas dažādas darbības:

  1. Mēģināja inficēt Microsoft Windows ar malware.
  2. Novirzīja visus lietotājus uz vietni, kurā tika izmantots JavaScript, lai izmantotu apmeklētāja datoru mīnas kriptogrāfijas valūta.

Es atklāju, ka vietne tika uzlauzta, kad to apmeklēju, noklikšķinot uz viņu jaunākā biļetena, un es nekavējoties viņus informēju par notiekošo. Diemžēl tas bija diezgan agresīvs uzbrukums, kuru es varēju noņemt, bet tūlīt pārinficēju vietni, kad sāku dzīvot. Šī ir diezgan izplatīta ļaunprātīgas programmatūras hakeru prakse - viņi ne tikai uzlauž vietni, bet arī vietnei pievieno administratīvo lietotāju vai maina galveno WordPress failu, kas atkārtoti injicē hakeru, ja tas tiek noņemts.

Ļaunprātīga programmatūra ir aktuāla problēma tīmeklī. Ļaunprātīga programmatūra tiek izmantota, lai palielinātu klikšķu skaitu uz reklāmām (krāpšanās ar reklāmām), vietņu statistikas palielināšanu, lai pārmaksātu reklāmdevējus, lai mēģinātu piekļūt apmeklētāju finanšu un personas datiem, un pavisam nesen - kriptonauda. Kalnračiem tiek maksāta laba samaksa par ieguves datiem, taču izmaksas par kalnrūpniecības mašīnu izgatavošanu un elektrības rēķinu apmaksu ir ievērojamas. Slepus izmantojot datorus, kalnrači var nopelnīt naudu bez izdevumiem.

WordPress un citas izplatītas platformas ir hakeru milzīgi mērķi, jo tie ir tik daudzu vietņu pamats tīmeklī. Turklāt WordPress ir izveidota tēma un spraudņu arhitektūra, kas neaizsargā vietnes galvenos failus no drošības caurumiem. Turklāt WordPress kopiena ir izcila, lai identificētu un aizlāpītu drošības caurumus, taču vietņu īpašnieki nav tik modri par savas vietnes atjaunināšanu ar jaunākajām versijām.

Šī vietne tika mitināta GoDaddy tradicionālajā tīmekļa mitināšanā (nevis Pārvalda WordPress hosting), kas piedāvā nulles aizsardzību. Protams, viņi piedāvā a Ļaunprātīgas programmatūras skeneris un noņemšana pakalpojumu. Pārvaldīti WordPress mitināšanas uzņēmumi, piemēram, spara rats, WP Dzinējs, LiquidWeb, GoDaddy un Panteons visi piedāvā automatizētus atjauninājumus, lai jūsu vietnes tiktu atjauninātas, kad tiek konstatētas un salāpītas problēmas. Lielākajai daļai ir ļaunprātīgas programmatūras skenēšana un melnajā sarakstā iekļautās tēmas un spraudņi, kas vietņu īpašniekiem palīdz novērst uzlaušanu. Daži uzņēmumi iet soli tālāk - Kinsta - augstas veiktspējas pārvaldītā WordPress resursdators - pat piedāvā a drošības garantija.

Vai jūsu vietne ir melnajā sarakstā ļaunprātīgas programmatūras dēļ:

Tiešsaistē ir daudz vietņu, kurās tiek reklamēta jūsu vietnes pārbaude, vai tajā nav ļaunprātīgas programmatūras, taču paturiet prātā, ka lielākā daļa no tām patiesībā nemaz nepārbauda jūsu vietni. Lai reāllaikā skenētu ļaunprātīgu programmatūru, ir nepieciešams trešās puses rāpuļprogramma, kas uzreiz nevar nodrošināt rezultātus. Vietnes, kas nodrošina tūlītēju pārbaudi, ir vietnes, kuras iepriekš ir atradušas jūsu vietni ar ļaunprātīgu programmatūru. Dažas no ļaunprogrammatūru pārbaudes vietnēm tīmeklī ir šādas:

  • Google pārredzamības ziņojums - ja jūsu vietne ir reģistrēta pie tīmekļa pārziņiem, viņi nekavējoties jūs brīdinās, kad pārmeklēs jūsu vietni un atradīs tajā ļaunprātīgu programmatūru.
  • Norton Safe Web - Norton darbojas arī tīmekļa pārlūkprogrammas spraudņi un operētājsistēmas programmatūra, kas lietotājiem liegs vakarā atvērt jūsu lapu, ja viņi to ir iekļāvuši melnajā sarakstā. Vietņu īpašnieki var reģistrēties vietnē un pieprasīt viņu vietnes atkārtotu novērtēšanu, tiklīdz tā ir tīra.
  • Sucuri - Sucuri uztur ļaunprātīgas programmatūras vietņu sarakstu un pārskatu par to, kur tās ir iekļautas melnajā sarakstā. Ja jūsu vietne tiks iztīrīta, redzēsit a Piespiest atkārtotu skenēšanu saite zem saraksta (ļoti mazā drukā). Sucuri ir izcils spraudnis, kas atklāj problēmas ... un pēc tam liek jums noslēgt gada līgumu, lai tos novērstu.
  • Yandex - ja meklējat Yandex savā domēnā un redzat “Pēc Yandex domām, šī vietne var būt bīstama ”, jūs varat reģistrēties Yandex tīmekļa pārziņiem, pievienot savu vietni, doties uz Drošība un pārkāpumiun pieprasiet, lai jūsu vietne tiktu notīrīta.
  • Pikšķerēšanas tvertne - Daži hakeri jūsu vietnē ievietos pikšķerēšanas skriptus, kas jūsu domēnu var iekļaut kā pikšķerēšanas domēnu. Ja Phishtank ievadāt precīzu un pilnu URL par paziņoto ļaunprātīgās programmatūras lapu, varat reģistrēties Phishtank un balsot par to, vai tā patiešām ir pikšķerēšanas vietne.

Ja vien jūsu vietne nav reģistrēta un jums kaut kur nav uzraudzības konta, jūs, iespējams, saņemsit ziņojumu no kāda no šiem pakalpojumiem. Neignorējiet brīdinājumu ... lai gan jūs, iespējams, neredzat problēmu, viltus pozitīvs rezultāts notiek reti. Šīs problēmas var novirzīt jūsu vietni no meklētājprogrammām un bloķēt pārlūkprogrammās. Vēl sliktāk, jūsu potenciālajiem un esošajiem klientiem var rasties jautājums, ar kādu organizāciju viņi strādā.

Kā jūs pārbaudāt, vai nav ļaunprātīgas programmatūras?

Vairāki no iepriekš minētajiem uzņēmumiem runā par to, cik grūti ir atrast ļaunprātīgu programmatūru, taču tas nav tik grūti. Grūti ir saprast, kā tas nonāca jūsu vietnē! Ļaunprātīgs kods visbiežāk atrodas:

  • Uzturēšana - Pirms visa norādiet uz a apkopes lapa un dublējiet savu vietni. Neizmantojiet WordPress noklusējuma uzturēšanu vai apkopes spraudni, jo tie joprojām izpildīs WordPress serverī. Jūs vēlaties pārliecināties, ka neviens vietnē neizpilda nevienu PHP failu. Kamēr esat pie tā, pārbaudiet savu Htaccess failu, lai pārliecinātos, ka tam nav negodīgu kodu, kas, iespējams, novirza trafiku.
  • Meklēt vietnes failus, izmantojot SFTP vai FTP, un identificējiet jaunākās failu izmaiņas spraudņos, motīvos vai galvenajos WordPress failos. Atveriet šos failus un meklējiet visus labojumus, kas pievieno skriptus vai komandas Base64 (ko izmanto, lai paslēptu servera skripta izpildi).
  • Salīdzināt galvenie WordPress faili saknes direktorijā, wp-admin direktorijā un wp-include direktorijos, lai redzētu, vai pastāv kādi jauni faili vai dažāda lieluma faili. Problēmu novēršana katram failam. Pat ja atrodat un noņemat uzlaušanu, turpiniet meklēt, jo daudzi hakeri atstāj sētas durvis, lai atkārtoti inficētu vietni. Nevajag vienkārši pārrakstīt vai pārinstalēt WordPress ... hakeri bieži sakņu direktorijā pievieno ļaunprātīgus skriptus un izsauc skriptu kā citādi, lai injicētu hakeru. Mazāk sarežģītie ļaunprogrammatūras skripti parasti vienkārši ievieto skriptu failus header.php or footer.php. Sarežģītāki skripti faktiski pārveidos katru servera PHP failu ar atkārtotas ievadīšanas kodu, lai jums būtu grūti to noņemt.
  • noņemt trešo pušu reklāmas skripti, kas var būt avots. Esmu atteicies piemērot jaunus reklāmas tīklus, kad esmu izlasījis, ka tie ir uzlauzti tiešsaistē.
  • pārbaude  jūsu ziņu datubāzes tabula, kurā ievietoti skripti lapas saturā. To var izdarīt, veicot vienkāršus meklējumus, izmantojot PHPMyAdmin, un meklējot pieprasījuma URL vai skriptu tagus.

Pirms ievietojat vietni tiešsaistē ... tagad ir pienācis laiks padarīt vietni cietāku, lai novērstu tūlītēju atkārtotu injekciju vai citu uzlaušanu:

Kā novērst vietnes uzlaušanu un ļaunprātīgas programmatūras instalēšanu?

  • Pārbaudīt katrs vietnes lietotājs. Hakeri bieži injicē skriptus, kas pievieno administratīvo lietotāju. Noņemiet visus vecos vai neizmantotos kontus un piešķiriet to saturu esošam lietotājam. Ja jums ir lietotājs ar nosaukumu admin, pievienojiet jaunu administratoru ar unikālu pieteikuminformāciju un pilnībā noņemiet administratora kontu.
  • reset katra lietotāja parole. Daudzas vietnes tiek uzlauztas, jo lietotājs izmantoja vienkāršu paroli, kas tika uzminēta uzbrukumā, ļaujot kādam iekļūt WordPress un darīt visu, ko viņš vēlas.
  • Atslēgt spēja rediģēt spraudņus un motīvus, izmantojot WordPress Admin. Spēja rediģēt šos failus ļauj jebkuram hakerim darīt to pašu, ja viņiem ir piekļuve. Padariet WordPress pamata failus par nerakstāmiem, lai skripti nevarētu pārrakstīt galveno kodu. Viss vienā ir patiešām lielisks spraudnis, kas nodrošina WordPress sacietēšana ar tonnu funkciju.
  • Ar rokām lejupielādējiet un pārinstalējiet visu nepieciešamo spraudņu jaunākās versijas un noņemiet visus citus spraudņus. Pilnīgi noņemiet administratīvos spraudņus, kas nodrošina tiešu piekļuvi vietnes failiem vai datu bāzei, tie ir īpaši bīstami.
  • noņemt un nomainiet visus saknes direktorijā esošos failus, izņemot mapi wp-content (tātad root, wp-include, wp-admin) ar jaunu WordPress instalāciju, kas lejupielādēta tieši no viņu vietnes.
  • Saglabāt jūsu vietne! Vietnē, kurā strādāju šajā nedēļas nogalē, bija veca WordPress versija ar zināmām drošības nepilnībām, veciem lietotājiem, kuriem vairs nevajadzētu piekļūt, vecām tēmām un veciem spraudņiem. Tas varēja būt kāds no šiem, kas atvēra uzņēmumu uzlaušanai. Ja jūs nevarat atļauties uzturēt savu vietni, noteikti pārvietojiet to uz pārvaldītu mitināšanas uzņēmumu, kas to darīs! Iztērējot vēl pāris dolārus par mitināšanu, tas varētu glābt šo uzņēmumu no šī apmulsuma.

Kad esat pārliecināts, ka viss ir salabots un sacietējis, varat atjaunot vietni, noņemot Htaccess novirzīt. Tiklīdz tā ir tiešraide, meklējiet to pašu infekciju, kas iepriekš bija tur. Es parasti izmantoju pārlūkprogrammas pārbaudes rīkus, lai uzraudzītu tīkla pieprasījumus pēc lapas. Es izsekoju katru tīkla pieprasījumu, lai pārliecinātos, ka tas nav ļaunprātīga programmatūra vai noslēpumaina ... ja tā ir, tas ir atpakaļ uz augšu un veic visas darbības no jauna.

Varat arī izmantot pieejamu trešo pusi ļaunprātīgas programmatūras skenēšanas pakalpojums tāpat Vietņu skeneri, kas katru dienu skenēs jūsu vietni un informēs jūs par to, vai esat iekļuvis aktīvo ļaunprātīgas programmatūras uzraudzības pakalpojumu sarakstā. Atcerieties - ja jūsu vietne būs tīra, tā netiks automātiski noņemta no melnajiem sarakstiem. Jums jāsazinās ar katru un jāpieprasa atbilstoši mūsu iepriekšējam sarakstam.

Šādi uzlauzt nav jautri. Uzņēmumi iekasē vairākus simtus dolāru, lai novērstu šos draudus. Es strādāju ne mazāk kā 8 stundas, lai palīdzētu šim uzņēmumam sakopt viņu vietni.

Ko jūs domājat?

Šī vietne izmanto Akismet, lai samazinātu surogātpastu. Uzziniet, kā tiek apstrādāts jūsu komentārs.