Как проверить, удалить и предотвратить вредоносное ПО с вашего сайта WordPress

вредоносных программ

Эта неделя была довольно загруженной. Одна из известных мне некоммерческих организаций оказалась в довольно затруднительном положении - их сайт WordPress был заражен вредоносным ПО. Сайт был взломан, и для посетителей выполнялись скрипты, которые выполняли две разные задачи:

  1. Пытался заразить Microsoft Windows с помощью вредоносных программ.
  2. Перенаправил всех пользователей на сайт, который использовал JavaScript, чтобы использовать ПК посетителя для криптовалюта шахт.

Я обнаружил, что сайт был взломан, когда я зашел на него после просмотра их последней рассылки, и сразу же уведомил их о происходящем. К сожалению, это была довольно агрессивная атака, которую я смог удалить, но сразу же повторно заразил сайт после запуска. Это довольно распространенная практика хакеров-вредоносных программ - они не только взламывают сайт, они также либо добавляют на сайт пользователя с правами администратора, либо изменяют основной файл WordPress, который повторно внедряет взлом при удалении.

Вредоносное ПО - постоянная проблема в Интернете. Вредоносное ПО используется для завышения рейтинга кликов по рекламе (рекламное мошенничество), завышения статистики сайта для завышения платы с рекламодателей, для попытки получить доступ к финансовым и личным данным посетителей, а в последнее время - для добычи криптовалюты. Майнерам хорошо платят за добычу данных, но затраты на создание майнинговых машин и оплату счетов за электроэнергию велики. Тайно используя компьютеры, майнеры могут зарабатывать деньги без дополнительных затрат.

WordPress и другие распространенные платформы - огромные цели для хакеров, поскольку они составляют основу множества сайтов в сети. Кроме того, WordPress имеет архитектуру тем и плагинов, которая не защищает файлы ядра сайта от дыр в безопасности. Кроме того, сообщество WordPress отлично выявляет и исправляет дыры в безопасности, но владельцы сайтов не так бдительны, чтобы обновлять свои сайты до последних версий.

Этот конкретный сайт размещался на традиционном веб-хостинге GoDaddy (не Управляемый хостинг WordPress), что обеспечивает нулевую защиту. Конечно, они предлагают Сканер вредоносных программ и удаление сервис, хотя. Управляемые хостинговые компании WordPress, такие как Маховик, WP двигателя, LiquidWeb, GoDaddy и Пантеон Все они предлагают автоматические обновления, чтобы поддерживать ваши сайты в актуальном состоянии при обнаружении и исправлении проблем. Большинство из них имеют сканирование на вредоносное ПО и занесенные в черный список темы и плагины, которые помогают владельцам сайтов предотвратить взлом. Некоторые компании идут еще дальше - Kinsta - высокопроизводительный управляемый хостинг WordPress - даже предлагает гарантия безопасности.

Внесен ли ваш сайт в черный список вредоносных программ:

В Интернете есть множество сайтов, которые продвигают «проверку» вашего сайта на наличие вредоносных программ, но имейте в виду, что большинство из них вообще не проверяют ваш сайт в режиме реального времени. Для сканирования вредоносных программ в реальном времени требуется сторонний инструмент сканирования, который не может мгновенно предоставлять результаты. Сайты, обеспечивающие мгновенную проверку, - это сайты, которые ранее обнаружили на вашем сайте вредоносное ПО. Некоторые из сайтов по проверке вредоносного ПО в Интернете:

  • Отчет о прозрачности Google - если ваш сайт зарегистрирован у веб-мастеров, они сразу же уведомят вас, когда просканируют ваш сайт и обнаружат на нем вредоносное ПО.
  • Нортон Safe Web - Norton также использует плагины для веб-браузера и программное обеспечение операционной системы, которые не позволяют пользователям открывать вашу страницу вечером, если они занесли ее в черный список. Владельцы веб-сайтов могут зарегистрироваться на сайте и запросить повторную оценку своего сайта, как только он станет чистым.
  • Sucuri - Sucuri ведет список вредоносных сайтов вместе с отчетом о том, где они были внесены в черный список. Если ваш сайт очищен, вы увидите Принудительное повторное сканирование ссылка под списком (очень мелким шрифтом). У Sucuri есть замечательный плагин, который обнаруживает проблемы ... а затем подталкивает вас к ежегодному контракту на их устранение.
  • Яндекс - если вы ищете в Яндексе свой домен и видите «По мнению Яндекса, этот сайт может быть опасным », вы можете зарегистрироваться у веб-мастеров Яндекса, добавить свой сайт, перейти на Безопасность и нарушенияи запросите очистку вашего сайта.
  • PhishTank - Некоторые хакеры размещают на вашем сайте фишинговые скрипты, которые могут внести ваш домен в список фишинговых. Если вы введете точный полный URL-адрес страницы с сообщением о вредоносном ПО в Phishtank, вы можете зарегистрироваться в Phishtank и проголосовать, действительно ли это фишинговый сайт.

Если ваш сайт не зарегистрирован и у вас нет учетной записи для мониторинга, вы, вероятно, получите отчет от пользователя одной из этих служб. Не игнорируйте предупреждение… хотя вы можете не видеть проблемы, ложные срабатывания случаются редко. Эти проблемы могут привести к тому, что ваш сайт будет деиндексирован поисковыми системами и заблокирован для браузеров. Хуже того, ваши потенциальные и существующие клиенты могут задаться вопросом, с какой организацией они работают.

Как вы проверяете наличие вредоносного ПО?

Некоторые из вышеперечисленных компаний говорят о том, насколько сложно найти вредоносное ПО, но это не так уж и сложно. На самом деле сложно понять, как он попал на ваш сайт! Вредоносный код чаще всего находится в:

  • Техническое обслуживание - Прежде всего укажите на страница обслуживания и сделайте резервную копию своего сайта. Не используйте стандартное обслуживание WordPress или плагин обслуживания, так как они по-прежнему будут запускать WordPress на сервере. Вы хотите убедиться, что никто не запускает PHP-файл на сайте. Пока вы это делаете, проверьте свой .htaccess файл на веб-сервере, чтобы убедиться, что в нем нет мошеннического кода, который может перенаправлять трафик.
  • Поиск файлы вашего сайта через SFTP или FTP и выявлять последние изменения файлов в плагинах, темах или основных файлах WordPress. Откройте эти файлы и найдите любые изменения, которые добавляют сценарии или команды Base64 (используемые для скрытия выполнения серверных сценариев).
  • Сравнить основные файлы WordPress в корневом каталоге, каталоге wp-admin и каталогах wp-include, чтобы узнать, существуют ли какие-либо новые файлы или файлы другого размера. Устранение неполадок в каждом файле. Даже если вы найдете и удалите взлом, продолжайте поиск, поскольку многие хакеры оставляют бэкдоры, чтобы повторно заразить сайт. Не просто перезаписывайте или переустанавливайте WordPress ... хакеры часто добавляют вредоносные сценарии в корневой каталог и вызывают сценарий каким-либо другим способом, чтобы внедрить взлом. Менее сложные вредоносные сценарии обычно просто вставляют файлы сценариев в header.php or footer.php. Более сложные сценарии фактически изменят каждый файл PHP на сервере с помощью кода повторной инъекции, так что вам будет сложно его удалить.
  • Удалить сторонние рекламные скрипты, которые могут быть источником. Я отказался применять новые рекламные сети, когда прочитал, что их взломали в сети.
  • Проверьте  таблица базы данных ваших сообщений для встроенных скриптов в содержимое страницы. Вы можете сделать это, выполнив простой поиск с помощью PHPMyAdmin и выполнив поиск URL-адресов запроса или тегов скрипта.

Прежде чем запустить свой сайт ... пора укрепить сайт, чтобы предотвратить немедленную повторную инъекцию или другой взлом:

Как предотвратить взлом вашего сайта и установку вредоносного ПО?

  • проверить каждый пользователь на сайте. Хакеры часто внедряют скрипты, которые добавляют администратора. Удалите все старые или неиспользуемые учетные записи и передайте их содержимое существующему пользователю. Если у вас есть пользователь с именем админ, добавьте нового администратора с уникальным логином и полностью удалите учетную запись администратора.
  • Сбросить пароль каждого пользователя. Многие сайты взламываются, потому что пользователь использовал простой пароль, который был угадан в ходе атаки, позволяя кому-то проникнуть в WordPress и делать все, что им заблагорассудится.
  • Отключить возможность редактировать плагины и темы через админку WordPress. Возможность редактировать эти файлы позволяет любому хакеру сделать то же самое, если он получит доступ. Сделайте основные файлы WordPress незаписываемыми, чтобы сценарии не могли перезаписать основной код. Все в одном имеет действительно отличный плагин, который предоставляет WordPress упрочнение с массой функций.
  • Вручную загрузите и переустановите последние версии каждого плагина, который вам нужен, и удалите все остальные плагины. Полностью удалите административные плагины, которые предоставляют прямой доступ к файлам сайта или базе данных, они особенно опасны.
  • Удалить и замените все файлы в корневом каталоге, за исключением папки wp-content (root, wp-includes, wp-admin), на новую установку WordPress, загруженную прямо с их сайта.
  • Поддерживать твой сайт! На сайте, над которым я работал в эти выходные, была старая версия WordPress с известными дырами в безопасности, старые пользователи, которые больше не должны иметь доступа, старые темы и старые плагины. Это мог быть любой из них, который открыл компанию для взлома. Если вы не можете позволить себе поддерживать свой сайт, обязательно переместите его в управляемую хостинговую компанию, которая будет это делать! Потратив еще несколько долларов на хостинг, эта компания могла бы избавиться от этого затруднения.

Как только вы решите, что все исправлено и укреплено, вы можете вернуть сайт к работе, удалив .htaccess перенаправить. Как только он заработает, поищите ту же инфекцию, которая была там ранее. Я обычно использую инструменты проверки браузера для отслеживания сетевых запросов по странице. Я отслеживаю каждый сетевой запрос, чтобы убедиться, что он не является вредоносным или загадочным… если это так, то возвращаюсь к началу и повторяю шаги снова.

Вы также можете использовать доступный сторонний служба сканирования вредоносных программ как Сканеры сайта, который будет ежедневно сканировать ваш сайт и сообщать, внесены ли вы в черный список активных служб мониторинга вредоносных программ. Помните - как только ваш сайт станет чистым, он не будет автоматически удален из черных списков. Вы должны связаться с каждым и сделать запрос в соответствии с нашим списком выше.

Получать такой взлом - это не весело. Компании берут несколько сотен долларов за устранение этих угроз. Я работал не менее 8 часов, чтобы помочь этой компании очистить свой сайт.

Как вы думаете?

Этот сайт использует Akismet для уменьшения количества спама. Узнайте, как обрабатываются ваши данные комментариев.