Jak zkontrolovat, odebrat a zabránit malwaru z vašeho webu WordPress

malware

Tento týden byl docela rušný. Jedna z neziskových organizací, o kterých vím, se ocitla v docela nesnázích - jejich web WordPress byl napaden malwarem. Web byl hacknut a pro návštěvníky byly spuštěny skripty, které prováděly dvě různé věci:

  1. Pokusili jsme se infikovat Microsoft Windows malware.
  2. Přesměrovali všechny uživatele na web, který využíval JavaScript k využití počítače návštěvníka moje kryptocurrency.

Zjistil jsem, že web byl hacknut, když jsem jej navštívil po kliknutí na jejich nejnovější zpravodaj a okamžitě jsem je informoval o tom, co se děje. Bohužel to byl docela agresivní útok, který jsem byl schopen odstranit, ale ihned znovu spustil web po spuštění. To je docela běžná praxe hackerů s malwarem - hackují nejen web, ale také na něj přidávají administrátorského uživatele nebo mění základní soubor WordPress, který znovu vloží hack, pokud je odstraněn.

Malware je na webu trvalým problémem. Malware se používá ke zvýšení míry prokliku reklam (podvodům s reklamami), ke zvýšení statistik webů k nadměrnému nabití inzerentů, k pokusu o získání přístupu k finančním a osobním údajům návštěvníků a nejnověji k těžbě kryptoměny. Horníci dostávají za data o těžbě dobře zaplaceno, ale náklady na stavbu těžebních strojů a zaplacení účtů za elektřinu jsou značné. Díky tajnému využití počítačů mohou těžaři vydělat peníze bez výdajů.

WordPress a další běžné platformy jsou obrovským cílem hackerů, protože jsou základem tolika webů na webu. WordPress má navíc architekturu motivů a pluginů, která nechrání soubory jádra webu před dírami zabezpečení. Komunita WordPress navíc vyniká v identifikaci a opravách bezpečnostních děr - ale vlastníci webů nejsou tak ostražití ohledně toho, aby jejich stránky byly aktualizovány nejnovějšími verzemi.

Tento konkrétní web byl hostován na tradičním webhostingu GoDaddy (ne Spravováno hostingem WordPress), který nabízí nulovou ochranu. Samozřejmě nabízejí Malware Scanner a odstranění služba. Spravované hostingové společnosti WordPress, jako např setrvačník, WP Engine, LiquidWeb, GoDaddy a Panteon všechny nabízejí automatizované aktualizace, aby vaše stránky byly aktuální, když dojde k problémům s naší identifikací a opravou. Většina z nich má skenování malwaru a černé listiny motivů a pluginů, které vlastníkům stránek pomáhají zabránit hackerům. Některé společnosti jdou o krok dále - Kinsta - vysoce výkonný hostitel spravovaného WordPressu - dokonce nabízí a bezpečnostní záruka.

Je váš web na černé listině kvůli malwaru:

Existuje mnoho webů online, které propagují „kontrolu“ vašeho webu na přítomnost malwaru, ale mějte na paměti, že většina z nich ve skutečnosti vůbec nekontroluje váš web v reálném čase. Skenování malwaru v reálném čase vyžaduje nástroj pro procházení třetích stran, který nemůže okamžitě poskytnout výsledky. Weby, které poskytují okamžitou kontrolu, jsou weby, které dříve zjistily, že váš web obsahuje malware. Některé z webů pro kontrolu malwaru na webu jsou:

  • Zpráva o transparentnosti Google - pokud je váš web registrován u webmasterů, okamžitě vás upozorní, když váš web prolezou a najde na něm malware.
  • Norton Safe Web - Norton také provozuje doplňky webového prohlížeče a software operačního systému, který uživatelům zablokuje večerní otevření vaší stránky, pokud ji na černou listinu uvedou. Vlastníci webových stránek se mohou na webu zaregistrovat a požádat, aby byl jejich web přehodnocen, jakmile bude čistý.
  • Sucuri - Sucuri udržuje seznam webů s malwarem spolu se zprávou o tom, kde jsou na černé listině. Pokud je váš web vyčištěn, zobrazí se a Vynutit opětovné skenování odkaz pod výpisem (velmi malým písmem). Sucuri má vynikající plugin, který detekuje problémy ... a poté vás tlačí do roční smlouvy na jejich odstranění.
  • Yandex - pokud prohledáte Yandex pro svou doménu a uvidíte „Podle Yandexu může být tento web nebezpečný “, můžete se zaregistrovat pro webmastery Yandex, přidat svůj web, přejít na Zabezpečení a porušenía požádat o vymazání vašeho webu.
  • Phishtank - Někteří hackeři umístí na váš web phishingové skripty, díky nimž bude vaše doména uvedena jako phishingová doména. Pokud ve Phishtanku zadáte přesnou a úplnou adresu URL nahlášené stránky s malwarem, můžete se zaregistrovat u Phishtanku a hlasovat, zda se jedná o phishingový web.

Pokud váš web není registrován a nemáte někde monitorovací účet, pravděpodobně dostanete zprávu od uživatele některé z těchto služeb. Neignorujte výstrahu ... i když možná nevidíte problém, zřídka se vyskytnou falešné poplachy. Tyto problémy mohou způsobit, že bude váš web indexován z vyhledávačů a zablokován v prohlížečích. Horší je, že vaši potenciální klienti a stávající zákazníci se mohou divit, s jakou organizací pracují.

Jak zkontrolujete malware?

Několik výše uvedených společností hovoří o tom, jak obtížné je najít malware, ale není to tak obtížné. Obtížné je vlastně zjistit, jak se to na váš web dostalo! Škodlivý kód se nejčastěji nachází v:

  • Údržba - Předtím cokoli, přejděte na a stránka údržby a zálohujte svůj web. Nepoužívejte výchozí údržbu WordPress ani plugin pro údržbu, protože ti stále budou WordPress spouštět na serveru. Chcete se ujistit, že na webu nikdo neprovádí žádný soubor PHP. Když jste u toho, zkontrolujte své . Htaccess soubor na webovém serveru, abyste se ujistili, že nemá nepoctivý kód, který může přesměrovat provoz.
  • Vyhledávání soubory vašeho webu prostřednictvím SFTP nebo FTP a identifikujte nejnovější změny souborů v pluginech, motivech nebo základních souborech WordPress. Otevřete tyto soubory a vyhledejte všechny úpravy, které přidávají skripty nebo příkazy Base64 (slouží ke skrytí spuštění skriptu serveru).
  • porovnat základní soubory WordPress ve vašem kořenovém adresáři, adresáři wp-admin a adresáři wp-include, abyste zjistili, zda existují nějaké nové soubory nebo soubory různé velikosti. Odstraňte potíže se všemi soubory. I když hacker najdete a odstraníte, hledejte dál, protože mnoho hackerů opouští zadní vrátka, aby web znovu infikovali. Nepoužívejte jednoduše přepisování nebo opětovnou instalaci WordPress ... hackeři často přidávají škodlivé skripty do kořenového adresáře a skript nazývají jiným způsobem, aby hack vložili. Méně složité malware skripty obvykle stačí vložit soubory skriptu header.php or footer.php. Složitější skripty ve skutečnosti upraví každý soubor PHP na serveru pomocí kódu pro opětovné vložení, takže je obtížné jej odstranit.
  • Odstranit reklamní skripty třetích stran, které mohou být zdrojem. Když jsem četl, že byly napadeny online, odmítl jsem použít nové reklamní sítě.
  • Check  tabulku databáze příspěvků pro vložené skripty do obsahu stránky. Můžete to provést jednoduchým vyhledáváním pomocí PHPMyAdmin a vyhledáním adres URL požadavku nebo značek skriptů.

Než svůj web uvedete do provozu ... je nyní čas web zpevnit, abyste zabránili okamžitému opětovnému vložení nebo dalšímu hacknutí:

Jak zabráníte tomu, aby byl váš web napaden a nainstalován malware?

  • Ověřit si každý uživatel na webu. Hackeři často vkládají skripty, které přidávají administrativního uživatele. Odeberte všechny staré nebo nepoužívané účty a přiřaďte jejich obsah stávajícímu uživateli. Pokud máte uživatele s názvem administrátor, přidejte nového správce s jedinečným přihlášením a úplně odeberte účet správce.
  • resetovat heslo každého uživatele. Mnoho webů je napadeno, protože uživatel použil jednoduché heslo, které bylo uhodnuto při útoku, což někomu umožnilo dostat se do WordPressu a dělat, co se mu zlíbilo.
  • Zakázat možnost upravovat doplňky a motivy prostřednictvím aplikace WordPress Admin. Možnost úpravy těchto souborů umožňuje každému hackerovi udělat totéž, pokud získá přístup. Zajistěte, aby byly základní soubory WordPressu nepsatelné, aby skripty nemohly přepsat základní kód. Vše v jednom má opravdu skvělý plugin, který poskytuje WordPress vytvrzování s hromadou funkcí.
  • Ručně stáhněte a přeinstalujte nejnovější verze všech požadovaných pluginů a odeberte všechny další pluginy. Absolutně odstraňte administrativní doplňky, které poskytují přímý přístup k souborům webů nebo k databázi, jsou obzvláště nebezpečné.
  • Odstranit a nahraďte všechny soubory v kořenovém adresáři s výjimkou složky wp-content (tedy root, wp-includes, wp-admin) novou instalací WordPress staženou přímo z jejich webu.
  • Udržovat tvoje stránka! Stránka, na které jsem tento víkend pracoval, měla starou verzi WordPressu se známými bezpečnostními mezerami, starými uživateli, kteří by k nim již neměli mít přístup, starými motivy a starými pluginy. Mohl to být kdokoli z nich, kdo otevřel společnost kvůli hacknutí. Pokud si nemůžete dovolit údržbu svého webu, přesuňte jej na spravovanou hostingovou společnost, která to udělá! Útrata dalších pár dolarů za hostování mohla tuto společnost zachránit před touto rozpaky.

Jakmile si myslíte, že máte vše opravené a ztvrdlé, můžete web přivést zpět k životu odstraněním . Htaccess přesměrovat. Jakmile to bude živé, podívejte se na stejnou infekci, která tam byla dříve. Obvykle využívám inspekční nástroje prohlížeče k monitorování síťových požadavků na stránce. Sleduji každý požadavek na síť, abych se ujistil, že to není malware nebo záhadné ... pokud ano, je to zpět na začátek a dělám kroky znovu.

Můžete také využít cenově dostupnou třetí stranu služba skenování malwaru jako Webové skenery, který bude váš web denně skenovat a bude vás informovat, zda jste na černé listině aktivních služeb sledování malwaru. Pamatujte - jakmile bude váš web čistý, nebude automaticky odstraněn z černých seznamů. Měli byste každého kontaktovat a odeslat požadavek podle výše uvedeného seznamu.

Takové hackování není zábava. Společnosti účtují za odstranění těchto hrozeb několik stovek dolarů. Pracoval jsem ne méně než 8 hodin, abych této společnosti pomohl vyčistit jejich stránky.

Co si myslíte?

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.