Як праверыць, выдаліць і прадухіліць шкоднасныя праграмы з вашага сайта WordPress

шкоднасных праграм

Гэты тыдзень быў даволі насычаным. Адзін з некамерцыйных арганізацый, якога я ведаю, апынуўся ў даволі цяжкім становішчы - іх сайт WordPress быў заражаны шкоднасным ПЗ. Сайт быў узламаны і выкананы сцэнарыі для наведвальнікаў, якія зрабілі дзве розныя рэчы:

  1. Спрабаваў заразіць Microsoft Windows шкоднаснага.
  2. Перанакіраваў усіх карыстальнікаў на сайт, які выкарыстоўваў JavaScript для выкарыстання ПК наведвальніка шахта криптовалюта.

Я выявіў, што сайт быў узламаны, калі наведаў яго пасля націску на іх апошнюю інфармацыйную рассылку, і я адразу ж апавясціў іх пра тое, што адбываецца. На жаль, гэта была даволі агрэсіўная атака, якую я змог выдаліць, але адразу ж заразіў сайт пасля выхаду ў прамую трансляцыю. Гэта даволі распаўсюджаная практыка хакераў-шкоднасных праграм - яны не толькі ўзламаюць сайт, але і дадаюць адміністратара на сайт, альбо змяняюць асноўны файл WordPress, які паўторна ўводзіць узлом пры выдаленні.

Шкоднаснае ПА з'яўляецца пастаяннай праблемай у Інтэрнэце. Шкоднаснае праграмнае забеспячэнне выкарыстоўваецца для павелічэння колькасці клікаў на рэкламе (махлярства з рэкламай), павелічэння статыстыкі сайта, каб перазарадзіць рэкламадаўцаў, паспрабаваць атрымаць доступ да фінансавых і асабістых дадзеных наведвальнікаў, а зусім нядаўна - для здабычы крыптавалюты. Шахцёры нядрэнна плацяць за дадзеныя майнинга, але выдаткі на стварэнне машын для здабычы і аплату рахункаў за электрычнасць за іх значныя. Сакрэтна выкарыстоўваючы камп'ютэры, майнеры могуць зарабляць грошы без выдаткаў.

WordPress і іншыя распаўсюджаныя платформы з'яўляюцца велізарнай мэтай для хакераў, бо яны з'яўляюцца асновай вялікай колькасці сайтаў у Інтэрнэце. Акрамя таго, WordPress мае тэму і архітэктуру убудоў, якія не абараняюць асноўныя файлы сайта ад дзірак у бяспецы. Акрамя таго, супольнасць WordPress выдатна выяўляе і латае дзіркі ў бяспецы, але ўладальнікі сайтаў не так пільна ставяцца да таго, каб абнаўляць іх сайт апошнімі версіямі.

Гэты сайт размяшчаўся на традыцыйным вэб-хостынгу GoDaddy (не Кіраваныя WordPress хостынг), які забяспечвае нулявую абарону. Вядома, яны прапануюць Сканер шкоднасных праграм і выдаленне служба, праўда. Кіруемыя хостынгавыя кампаніі WordPress, такія як маховым кола, WP рухавіка, LiquidWeb, GoDaddy і пантэон усе прапануюць аўтаматызаваныя абнаўленні, каб падтрымліваць вашыя сайты ў курсе, калі праблемы былі выяўлены і выпраўлены. У большасці ёсць сканіраванне шкоднаснага праграмнага забеспячэння, а таксама тэмы і ўбудовы, якія дапамагаюць уладальнікам сайтаў прадухіліць узлом. Некаторыя кампаніі ідуць на крок далей - Kinsta - высокапрадукцыйны хост кіраванага WordPress - прапануе нават гарантыя бяспекі.

Ці з'яўляецца ваш сайт у чорным спісе для шкоднасных праграм:

У Інтэрнэце існуе мноства сайтаў, якія прапагандуюць "праверку" вашага сайта на наяўнасць шкоднасных праграм, але майце на ўвазе, што большасць з іх на самой справе не правяраюць ваш сайт у рэжыме рэальнага часу. У рэжыме рэальнага часу для сканавання шкоднаснага ПЗ патрабуецца інструмент сканавання, які не можа імгненна даць вынік. Сайты, якія забяспечваюць імгненную праверку - гэта сайты, якія раней выяўлялі, што на вашым сайце было шкоднаснае праграмнае забеспячэнне. Некаторыя сайты праверкі шкоднаснага ПА ў Інтэрнэце:

  • Справаздача празрыстасці Google - калі ваш сайт зарэгістраваны вэб-майстрамі, яны неадкладна папярэдзяць вас, калі скануюць ваш сайт і знойдуць на ім шкоднаснае ПА.
  • Нортан Safe Web - Norton таксама працуе з убудовамі для вэб-аглядальніка і праграмным забеспячэннем аперацыйнай сістэмы, якія забароняць карыстальнікам адкрываць вашу старонку ўвечары, калі яны ўнясуць яе ў спіс. Уладальнікі вэб-сайтаў могуць зарэгістравацца на сайце і папрасіць яго перагледзець, як толькі ён будзе чысты.
  • Sucuri - Sucuri вядзе спіс шкоднасных праграм разам са справаздачай пра тое, дзе яны трапілі ў чорны спіс. Калі ваш сайт будзе ачышчаны, вы ўбачыце Прымусіце паўторнае сканаванне спасылка пад спісам (вельмі дробным шрыфтам). У Sucuri ёсць выдатны убудова, які выяўляе праблемы ... а потым падштурхоўвае вас да штогадовага кантракту на іх выдаленне.
  • Яндэкс - калі вы шукаеце ў Яндэксе свой дамен і бачыце «На думку Яндэкса, гэты сайт можа быць небяспечным ", вы можаце зарэгістравацца на вэб-майстрах Яндэкса, дадаць свой сайт, перайсці да Бяспека і парушэнніі запатрабуйце выдалення вашага сайта.
  • Фіштанк - Некаторыя хакеры будуць размяшчаць на вашым сайце фішынг-скрыпты, якія могуць перанесці ваш дамен у спіс фішынгавых. Калі вы ўвядзеце дакладны поўны URL-паведамленне старонкі, пра якую паведамляецца пра шкоднаснае ПА, у Phishtank, вы можаце зарэгістравацца ў Phishtank і прагаласаваць, ці сапраўды гэта фішынг-сайт.

Калі ваш сайт не зарэгістраваны і ў вас дзе-небудзь няма ўліковага запісу, вы, верагодна, атрымаеце справаздачу ад карыстальніка адной з гэтых паслуг. Не ігнаруйце папярэджанне ... хаця вы не бачыце праблемы, ілжывыя спрацоўванні здараюцца рэдка. Гэтыя праблемы могуць прымусіць ваш сайт дэіндэксаваць пошукавыя сістэмы і заблакаваць яго ў аглядальніках. Горш за тое, вашы патэнцыйныя кліенты і існуючыя кліенты могуць задацца пытаннем, з якой арганізацыяй яны працуюць.

Як праверыць шкоднаснае ПА?

Некалькі вышэйпералічаных кампаній кажуць пра тое, як складана знайсці шкоднаснае ПА, але гэта не так ужо і складана. Складана зразумець, як ён трапіў на ваш сайт! Шкоднасны код часцей за ўсё знаходзіцца ў:

  • тэхнічнае абслугоўванне - Перад чым-небудзь, накіруйце на старонка тэхнічнага абслугоўвання і зрабіце рэзервовую копію вашага сайта. Не выкарыстоўвайце стандартнае абслугоўванне WordPress або ўбудова для тэхнічнага абслугоўвання, бо яны ўсё яшчэ будуць выконваць WordPress на серверы. Вы хочаце пераканацца, што ніхто не запускае любы файл PHP на сайце. Пакуль вы гэта робіце, праверце . Htaccess файл на вэб-серверы, каб пераканацца, што ў ім няма няправільнага кода, які можа перанакіроўваць трафік.
  • пошук файлы вашага сайта праз SFTP або FTP і вызначыць апошнія змены файлаў ва ўбудовах, тэмах або асноўных файлах WordPress. Адкрыйце гэтыя файлы і пашукайце любыя змены, якія дадаюць сцэнарыі альбо каманды Base64 (выкарыстоўваюцца для схавання выканання сцэнарыяў сервера).
  • параўнаць асноўныя файлы WordPress у вашым каранёвым каталогу, каталогу wp-admin і каталогах wp-include, каб даведацца, ці ёсць новыя файлы альбо файлы іншага памеру. Вырашайце праблемы з кожным файлам. Нават калі вы знойдзеце і выдаліце ​​хакер, працягвайце шукаць, бо многія хакеры пакідаюць задні план, каб зноў заразіць сайт. Не проста перазапісвайце альбо пераўсталёўвайце WordPress ... хакеры часта дадаюць шкодныя сцэнарыі ў каранёвую дырэкторыю і называюць скрыпт якім-небудзь іншым спосабам увядзення ўзлому. Менш складаныя сцэнарыі шкоднасных праграм звычайна проста ўстаўляюць файлы сцэнарыяў header.php or footer.php. Больш складаныя сцэнарыі на самай справе будуць мадыфікаваць кожны PHP-файл на серверы з кодам паўторнай ін'екцыі, так што вам будзе цяжка выдаліць яго.
  • Выдаленне староннія рэкламныя сцэнарыі, якія могуць быць крыніцай. Я адмовіўся ўжываць новыя рэкламныя сеткі, калі прачытаў, што яны ўзламаны ў Інтэрнэце.
  • праверыць  табліца баз дадзеных вашых паведамленняў для ўбудаваных сцэнарыяў у змест старонкі. Вы можаце зрабіць гэта, зрабіўшы просты пошук з дапамогай PHPMyAdmin і пошук URL-адрасоў запыту альбо тэгаў сцэнарыяў.

Перад тым, як запусціць свой сайт у рэжыме рэальнага часу ... надышоў час загартаваць яго, каб не дапусціць неадкладнага паўторнага ўвядзення альбо іншага ўзлому:

Як прадухіліць узлом сайта і ўсталёўку шкоднасных праграм?

  • праверыць кожны карыстальнік на сайце. Хакеры часта ўводзяць сцэнарыі, якія дадаюць адміністратара. Выдаліце ​​ўсе старыя альбо невыкарыстоўваныя ўліковыя запісы і прызначыце іх змест існуючаму карыстальніку. Калі ў вас ёсць карыстальнік з імем адмін, дадайце новага адміністратара з унікальным лагінам і ўвогуле выдаліце ​​ўліковы запіс адміністратара.
  • Скід пароль кожнага карыстальніка. Многія сайты ўзламаны, таму што карыстальнік выкарыстаў просты пароль, які быў здагаданы падчас нападу, што дазволіла камусьці патрапіць у WordPress і рабіць усё, што заўгодна.
  • Забараняць магчымасць рэдагавання убудоў і тэм з дапамогай адміністратара WordPress. Магчымасць рэдагаваць гэтыя файлы дазваляе любому хакеру зрабіць тое ж самае, калі атрымае доступ. Зрабіце асноўныя файлы WordPress непішучымі, каб сцэнарыі не маглі перапісаць асноўны код. Усё ў адным мае сапраўды выдатны убудова, які забяспечвае WordPress ўмацаванне з масай функцый.
  • Ўручную загрузіце і пераўсталюйце апошнія версіі кожнага ўбудова, які вам патрэбен, і выдаліце ​​любыя іншыя ўбудовы. Абсалютна выдаліце ​​адміністрацыйныя ўбудовы, якія даюць прамы доступ да файлаў сайта альбо да базы дадзеных, гэта асабліва небяспечна.
  • Выдаленне і заменіце ўсе файлы ў каранёвым каталогу, за выключэннем папкі wp-content (so root, wp-includes, wp-admin), свежай устаноўкай WordPress, загружанай непасрэдна з іх сайта.
  • Падтрымліваць ваш сайт! На сайце, на якім я працаваў у гэтыя выхадныя, была старая версія WordPress з вядомымі дзіркамі ў бяспецы, старымі карыстальнікамі, якія больш не павінны мець доступу, старымі тэмамі і старымі ўбудовамі. Магчыма, любы з іх адкрыў кампанію для ўзлому. Калі вы не можаце дазволіць сабе падтрымліваць свой сайт, пераканайцеся ў яго кіраваную хостынгавую кампанію! Выдаткаванне яшчэ некалькіх грошай на хостынг магло б выратаваць гэтую кампанію ад гэтага збянтэжанасці.

Як толькі вы паверыце, што ў вас усё выпраўлена і загартавана, вы можаце аднавіць сайт, выдаліўшы . Htaccess перанакіраваць. Як толькі гэта будзе ў прамым эфіры, пашукайце тую самую інфекцыю, якая была раней. Я звычайна выкарыстоўваю інструменты агляду браўзэра для кантролю сеткавых запытаў па старонцы. Я адсочваю кожны сеткавы запыт, каб пераканацца, што ён не шкоднасны і загадкавы ... калі ён ёсць, ён зноў уверсе і робіць усё зноў і зноў.

Вы таксама можаце скарыстацца даступнай незалежнай кампаніяй служба праверкі шкоднасных праграм як Сканеры сайтаў, які будзе штодня сканаваць ваш сайт і паведамляць вам, ці не патрапілі вы ў чорны спіс актыўных службаў маніторынгу шкоднасных праграм. Памятаеце - як толькі ваш сайт будзе чысты, ён не будзе аўтаматычна выдалены з чорных спісаў. Вы павінны звязацца з кожным і зрабіць запыт у адпаведнасці з нашым спісам вышэй.

Атрымліваць такі ўзлом - не весела. Кампаніі бяруць некалькі сотняў долараў за выдаленне гэтых пагроз. Я працаваў не менш за 8 гадзін, каб дапамагчы гэтай кампаніі ачысціць свой сайт.

Што вы думаеце?

Гэты сайт выкарыстоўвае Akismet для барацьбы са спамам. Даведайцеся, як дадзеныя апрацоўваюцца каментар.