Jak zkontrolovat, odebrat a zabránit malwaru z vašeho webu WordPress

Jak odstranit malware z WordPress

Tento týden byl docela nabitý. Jedna z neziskových organizací, které znám, se ocitla v poměrně obtížné situaci – jejich web WordPress byl infikován malwarem. Stránka byla napadena a na návštěvnících byly spouštěny skripty, které dělaly dvě různé věci:

  1. Pokusili jsme se infikovat Microsoft Windows malware.
  2. Přesměrovali všechny uživatele na web, který využíval JavaScript k využití počítače návštěvníka moje kryptocurrency.

Zjistil jsem, že web byl hacknut, když jsem jej navštívil po kliknutí na jejich nejnovější zpravodaj a okamžitě jsem je informoval o tom, co se děje. Bohužel to byl docela agresivní útok, který jsem byl schopen odstranit, ale ihned znovu spustil web po spuštění. To je docela běžná praxe hackerů s malwarem - hackují nejen web, ale také na něj přidávají administrátorského uživatele nebo mění základní soubor WordPress, který znovu vloží hack, pokud je odstraněn.

Malware je na webu trvalý problém. Malware se používá k navyšování míry prokliku na reklamy (reklamní podvody), k navyšování statistik stránek za účelem předražení inzerentů, k pokusům o získání přístupu k finančním a osobním údajům návštěvníků a v poslední době k těžbě kryptoměn. Těžaři dostávají dobře zaplaceno za těžební data, ale náklady na stavbu těžebních strojů a placení účtů za elektřinu za ně jsou značné. Tajným využíváním počítačů mohou těžaři vydělávat peníze bez výdajů.

WordPress a další běžné platformy jsou obrovským cílem hackerů, protože jsou základem tolika webů na webu. WordPress má navíc architekturu motivů a pluginů, která nechrání soubory jádra webu před dírami zabezpečení. Komunita WordPress navíc vyniká v identifikaci a opravách bezpečnostních děr - ale vlastníci webů nejsou tak ostražití ohledně toho, aby jejich stránky byly aktualizovány nejnovějšími verzemi.

Tento konkrétní web byl hostován na tradičním webhostingu GoDaddy (ne Spravováno hostingem WordPress), který nabízí nulovou ochranu. Samozřejmě nabízejí Malware Scanner a odstranění služba. Spravované hostingové společnosti WordPress, jako např setrvačník, WP Engine, LiquidWeb, GoDaddy a Panteon všechny nabízejí automatické aktualizace, aby byly vaše stránky aktuální, když jsou zjištěny a opraveny problémy. Většina z nich má skenování malwaru a motivy a pluginy na černé listině, které pomáhají vlastníkům stránek zabránit hacknutí. Některé společnosti jdou ještě o krok dále – Kinsta – vysoce výkonný spravovaný hostitel WordPress – dokonce nabízí a bezpečnostní záruka.

Navíc tým na jetpack nabízí skvělou službu pro každodenní automatickou kontrolu vašeho webu na přítomnost malwaru a dalších zranitelností. Toto je ideální řešení, pokud vlastníte WordPress na své vlastní infrastruktuře.

Jetpack skenování WordPress na malware

Můžete také využít cenově dostupnou třetí stranu služba skenování malwaru jako Webové skenery, který bude denně skenovat váš web a bude vám vědět, zda jste nebo nejste na černé listině aktivních služeb sledování malwaru.

Je váš web na černé listině kvůli malwaru:

Na internetu je spousta stránek, které propagují kontrolu váš web neobsahuje malware, ale mějte na paměti, že většina z nich váš web v reálném čase vůbec nekontroluje. Skenování malwaru v reálném čase vyžaduje nástroj pro procházení třetí strany, který nemůže okamžitě poskytnout výsledky. Stránky, které poskytují okamžitou kontrolu, jsou weby, které dříve zjistily, že vaše stránky obsahují malware. Některé z webů pro kontrolu malwaru na webu jsou:

  • Zpráva o transparentnosti Google - pokud je váš web registrován u webmasterů, okamžitě vás upozorní, když váš web prolezou a najde na něm malware.
  • Norton Safe Web - Norton také provozuje doplňky webového prohlížeče a software operačního systému, který uživatelům zablokuje večerní otevření vaší stránky, pokud ji na černou listinu uvedou. Vlastníci webových stránek se mohou na webu zaregistrovat a požádat, aby byl jejich web přehodnocen, jakmile bude čistý.
  • Sucuri - Sucuri udržuje seznam webů s malwarem spolu se zprávou o tom, kde jsou na černé listině. Pokud je váš web vyčištěn, zobrazí se a Vynutit opětovné skenování odkaz pod výpisem (velmi malým písmem). Sucuri má vynikající plugin, který detekuje problémy ... a poté vás tlačí do roční smlouvy na jejich odstranění.
  • Yandex - pokud prohledáte Yandex pro svou doménu a uvidíte „Podle Yandexu může být tento web nebezpečný “, můžete se zaregistrovat pro webmastery Yandex, přidat svůj web, přejít na Zabezpečení a porušenía požádat o vymazání vašeho webu.
  • Phishtank - Někteří hackeři umístí na váš web phishingové skripty, díky nimž bude vaše doména uvedena jako phishingová doména. Pokud ve Phishtanku zadáte přesnou a úplnou adresu URL nahlášené stránky s malwarem, můžete se zaregistrovat u Phishtanku a hlasovat, zda se jedná o phishingový web.

Pokud vaše stránky nejsou registrované a nemáte někde monitorovací účet, pravděpodobně dostanete zprávu od uživatele jedné z těchto služeb. Neignorujte upozornění... i když možná nevidíte problém, falešně pozitivní výsledky se vyskytují jen zřídka. Tyto problémy mohou způsobit, že vaše stránky budou deindexovány z vyhledávačů a zablokovány v prohlížečích. Horší je, že vaši potenciální klienti a stávající zákazníci se mohou divit, s jakou organizací spolupracují.

Jak zkontrolujete malware?

Některé z výše uvedených společností hovoří o tom, jak obtížné je najít malware, ale není to tak obtížné. Potíž je ve skutečnosti zjistit, jak se to dostalo na vaše stránky! Škodlivý kód se nejčastěji nachází v:

  • Údržba - Předtím cokoli, přejděte na a stránka údržby a zálohujte svůj web. Nepoužívejte výchozí údržbu WordPress ani plugin pro údržbu, protože ti budou WordPress stále spouštět na serveru. Chcete zajistit, aby nikdo na webu neprováděl žádný soubor PHP. Když jste u toho, zkontrolujte své . Htaccess soubor na webovém serveru, abyste se ujistili, že neobsahuje podvodný kód, který by mohl přesměrovávat provoz.
  • Vyhledávání soubory vašeho webu pomocí SFTP nebo FTP a identifikujte nejnovější změny souborů v pluginech, motivech nebo základních souborech WordPress. Otevřete tyto soubory a vyhledejte všechny úpravy, které přidávají skripty nebo příkazy Base64 (slouží ke skrytí spuštění skriptu serveru).
  • porovnat základní soubory WordPress ve vašem kořenovém adresáři, adresáři wp-admin a adresáři wp-include, abyste zjistili, zda existují nějaké nové soubory nebo soubory jiné velikosti. Odstraňte potíže se všemi soubory. I když hacker najdete a odstraníte, hledejte dál, protože mnoho hackerů opouští zadní vrátka, aby web znovu infikovali. Nepoužívejte jednoduše přepisování nebo opětovnou instalaci WordPress ... hackeři často přidávají škodlivé skripty do kořenového adresáře a skript nazývají jiným způsobem, aby hack vložili. Méně složité malwarové skripty obvykle pouze vkládají soubory skriptů header.php or footer.php. Složitější skripty ve skutečnosti upraví každý soubor PHP na serveru pomocí kódu pro opětovné vložení, takže je obtížné jej odstranit.
  • Odstranit reklamní skripty třetích stran, které mohou být zdrojem. Když jsem četl, že byly napadeny online, odmítl jsem použít nové reklamní sítě.
  • Check databázová tabulka vašich příspěvků pro vložené skripty v obsahu stránky. Můžete to udělat jednoduchým vyhledáváním pomocí PHPMyAdmin a hledáním adres URL požadavku nebo značek skriptu.

Než svůj web uvedete do provozu ... je nyní čas web ztvrdnout, abyste zabránili okamžitému opětovnému vložení nebo dalšímu hacknutí:

Jak zabráníte tomu, aby byl váš web napaden a nainstalován malware?

  • Ověřit si každý uživatel na webu. Hackeři často vkládají skripty, které přidávají administrativního uživatele. Odeberte všechny staré nebo nepoužívané účty a přiřaďte jejich obsah stávajícímu uživateli. Pokud máte uživatele s názvem administrátor, přidejte nového správce s jedinečným přihlášením a úplně odeberte účet správce.
  • resetovat heslo každého uživatele. Mnoho webů je napadeno, protože uživatel použil jednoduché heslo, které bylo uhodnuto při útoku, což někomu umožnilo dostat se do WordPressu a dělat, co se mu zlíbilo.
  • Zakázat možnost upravovat doplňky a motivy prostřednictvím WordPress Admin. Možnost úpravy těchto souborů umožňuje každému hackerovi udělat totéž, pokud získá přístup. Zajistěte, aby byly základní soubory WordPressu nepsatelné, aby skripty nemohly přepsat základní kód. Vše v jednom má opravdu skvělý plugin, který poskytuje WordPress vytvrzování s hromadou funkcí.
  • Ručně stáhněte a přeinstalujte nejnovější verze všech požadovaných pluginů a odeberte všechny další pluginy. Absolutně odstraňte administrativní doplňky, které poskytují přímý přístup k souborům webů nebo k databázi, jsou obzvláště nebezpečné.
  • Odstranit a nahraďte všechny soubory v kořenovém adresáři s výjimkou složky wp-content (tedy root, wp-includes, wp-admin) novou instalací WordPress staženou přímo z jejich webu.
  • Rozdíl – Můžete také chtít provést rozdíl mezi zálohou vašeho webu, když jste neměli malware, a aktuálním webem… to vám pomůže zjistit, které soubory byly upraveny a jaké změny byly provedeny. Diff je vývojová funkce, která porovnává adresáře a soubory a poskytuje srovnání mezi nimi. Vzhledem k počtu aktualizací provedených na webech WordPress to není vždy nejjednodušší metoda – ale někdy kód malwaru opravdu vyčnívá.
  • Udržovat tvoje stránka! Web, na kterém jsem tento víkend pracoval, měl starou verzi WordPressu se známými bezpečnostními mezerami, starými uživateli, kteří by k nim již neměli mít přístup, starými motivy a starými pluginy. Mohl to být kdokoli z nich, kdo otevřel společnost kvůli hacknutí. Pokud si nemůžete dovolit údržbu svého webu, přesuňte jej na spravovanou hostingovou společnost, která to udělá! Útrata dalších pár dolarů za hostování mohla tuto společnost zachránit před tímto rozpaky.

Jakmile si myslíte, že máte vše opravené a ztvrdlé, můžete web přivést zpět k životu odstraněním . Htaccess přesměrovat. Jakmile to bude živé, podívejte se na stejnou infekci, která tam byla dříve. Obvykle využívám inspekční nástroje prohlížeče k monitorování síťových požadavků na stránce. Vystopuji každý požadavek na síť, abych se ujistil, že to není malware nebo záhadné ... pokud ano, je to zpět na začátek a provádím kroky znovu.

Pamatujte – jakmile bude váš web čistý, nebude automaticky odstraněn z blacklistů. Měli byste kontaktovat každého a provést žádost podle našeho seznamu výše.

Takové hackování není zábava. Společnosti účtují za odstranění těchto hrozeb několik stovek dolarů. Pracoval jsem ne méně než 8 hodin, abych této společnosti pomohl vyčistit jejich stránky.

Co si myslíte?

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.