WordPress взломали? Десять шагов, чтобы исправить ваш блог

WordPress сломан

Мой хороший друг недавно взломал свой блог WordPress. Это была весьма злонамеренная атака, которая могла повлиять на его рейтинг в поиске и, конечно же, на его динамику посещаемости. Это одна из причин, по которой я советую крупным компаниям использовать платформу для корпоративных блогов, например Компендиум - где за вами присматривает группа мониторинга. (Раскрытие информации: я акционер)

Компании не понимают, зачем им платить за такую ​​платформу, как Compendium… пока они не нанимают меня работать всю ночь над ремонтом их бесплатные Блог WordPress! (К вашему сведению: WordPress также предлагает VIP версия и Typepad также предлагает бизнес-версия, )

Для тех из вас, кто не может позволить себе платформу для ведения блогов с услугами, которые они предлагают, вот мой совет, что делать в случае взлома WordPress:

  1. Успокойся! Не начинайте удалять вещи и устанавливать всякую чушь, которая обещает очистить вашу установку. Вы не знаете, кто это написал и добавляет ли это еще больше вредоносного дерьма в ваш блог. Сделайте глубокий вдох, посмотрите это сообщение в блоге и медленно и намеренно пройдите по контрольному списку.
  2. Удалите блог. Немедленно. Самый простой способ сделать это с помощью WordPress - это переименовать ваш файл index.php в корневом каталоге. Недостаточно просто создать страницу index.html ... вам нужно остановить весь трафик на любую страницу вашего блога. В месте размещения вашей страницы index.php загрузите текстовый файл, в котором говорится, что вы отключены от сети для обслуживания и скоро вернетесь. Причина, по которой вам нужно удалить блог, заключается в том, что большинство этих взломов выполняется не вручную, а с помощью вредоносных сценариев, которые прикрепляются к каждому записываемому файлу в вашей установке. Кто-то, посетив внутреннюю страницу вашего блога, может повторно заразить файлы, над исправлением которых вы работаете.
  3. Сделайте резервную копию вашего блога. Создавайте резервные копии не только файлов, но и базы данных. Сохраните его в специальном месте на случай, если вам понадобится обратиться к некоторым файлам или информации.
  4. Удалите все темы. Темы - это простой способ для хакера создать сценарий и вставить код в ваш блог. Большинство тем также плохо написано дизайнерами, которые не понимают нюансов защиты ваших страниц, кода или базы данных.
  5. Удалите все плагины. Плагины - это самый простой способ для хакера создать сценарий и вставить код в ваш блог. Большинство плагинов плохо написаны разработчиками хакеров, которые не понимают нюансов защиты ваших страниц, вашего кода или вашей базы данных. Как только хакер находит файл со шлюзом, он просто запускает сканеры, которые ищут эти файлы на других сайтах.
  6. Переустановите WordPress. Когда я говорю переустановить WordPress, я имею в виду это - включая вашу тему. Не забывайте wp-config.php, файл, который не перезаписывается при копировании поверх WordPress. В этом блоге я обнаружил, что вредоносный сценарий был написан на Base 64, поэтому он выглядел как кусок текста и был вставлен в заголовок каждой отдельной страницы, включая wp-config.php.
  7. Просмотрите свою базу данных. Вы захотите просмотреть свою таблицу параметров и особенно таблицу сообщений - в поисках каких-либо странных внешних ссылок или контента. Если вы никогда раньше не просматривали свою базу данных, будьте готовы найти PHPMyAdmin или другой менеджер запросов к базе данных на панели управления вашего хоста. Это не весело - но обязательно.
  8. Запустите WordPress с темой по умолчанию и без установленных плагинов. Если ваш контент появляется и вы не видите автоматических перенаправлений на вредоносные сайты, вероятно, у вас все в порядке. Если вы получили перенаправление на вредоносный сайт, вы, вероятно, захотите очистить кеш, чтобы убедиться, что вы работаете с последней копии страницы. Возможно, вам придется просмотреть свою запись базы данных за записью, чтобы попытаться найти любой контент, который может быть там, что прокладывает путь в ваш блог. Скорее всего, ваша база данных чистая ... но вы никогда не знаете!
  9. Установите свою тему. Если вредоносный код реплицируется, вероятно, у вас будет зараженная тема. Возможно, вам придется пройти через вашу тему построчно, чтобы убедиться в отсутствии вредоносного кода. Возможно, вам лучше начать с нуля. Откройте блог до публикации и посмотрите, заражены ли вы по-прежнему.
  10. Установите свои плагины. Вы можете сначала использовать плагин, например Чистые варианты во-первых, чтобы удалить любые дополнительные параметры из плагинов, которые вы больше не используете или не хотите. Не сходите с ума, этот плагин не самый лучший ... он часто отображается и позволяет вам удалить настройки, которые вы хотите сохранить. Загрузите все свои плагины из WordPress. Запустите свой блог снова!

Если вы видите, что проблема возвращается, скорее всего, вы переустановили уязвимый плагин или тему. Если проблема никогда не исчезает, вы, вероятно, пытались воспользоваться парой ярлыков для устранения этих проблем. Не выбирайте ярлык.

Эти хакеры - противные люди! Непонимание каждого файла плагина и темы подвергает всех нас опасности, так что будьте бдительны. Устанавливайте плагины с высокими рейтингами, множеством установок и большим количеством загрузок. Прочтите комментарии, которые люди связали с ними.

15 комментариев

  1. 1

    Спасибо за советы, которые вы здесь упомянули. Я хочу спросить, что, если хакер просто изменит пароль вашего сайта. Вы даже не можете подключиться к папке wordpress через FTP.

  2. 2

    Передовые технологии,

    У меня это тоже случалось раньше. Самый простой способ справиться с этим — открыть базу данных и отредактировать адрес электронной почты администратора. Измените адрес электронной почты обратно на свой адрес, а затем выполните сброс пароля. Сброс администратора будет отправлен на ваш адрес электронной почты, а не на хакеров, и тогда вы сможете заблокировать их навсегда.

    Дуг

  3. 3
  4. 4
  5. 5

    Здравствуйте,

    Я только что получил ваш блог, когда искал решение проблемы со взломом моего сайта. Мой сайт - http://www.namaskarkolkata.com. вдруг сегодня утром я заметил мой сайт Palestine Hacker – !! Взломан T3eS !! . не могли бы вы взглянуть - как я могу это исправить. Они изменили мое имя пользователя и пароль администратора WordPress, а также, пока я пытаюсь восстановить свою электронную почту, она также исчезла. Я чувствую себя беспомощным. Пожалуйста, помогите мне.

    Большое спасибо,

    Bidyut

    • 6

      Бидьют,

      На самом деле есть простой способ вернуть контроль. Используя такую ​​программу, как phpMyAdmin, которая загружается на большинстве сайтов, вы можете перейти к таблице wp_users и изменить адрес электронной почты администратора на свой. В этот момент вы можете сделать «забыли пароль» на экране входа в систему и сбросить пароль.

      Дуг

      • 7

        Привет, Даг, спасибо за это быстрое исправление… жаль, что я не знал об этом 2 недели назад, когда один из моих сайтов был взломан… поддержка хостинга была почти бесполезна, и мне пришлось удалить весь сайт и начать заново! Благодаря вам мне больше не придется терпеть эту боль на моем последнем взломанном сайте. Есть предложения по защите от хакеров? – с благодарностью, Ди

        • 8

          Привет, Ди! Есть несколько плагинов, которые блокируют любые изменения файлов вашей темы. Брандмауэр WordPress 2 — один из них. Он не будет обновлять файл темы без вашего разрешения. Это немного мучительно для такого парня, как я, который всегда «настраивает», но, вероятно, это отличный плагин для тех, кто просто не хочет рисковать тем, что кто-то или какой-либо скрипт проникнет туда и взломает ваш сайт!
          http://matthewpavkov.com/wordpress-plugins/wordpress-firewall-2.html

      • 9

        Привет, Даг, спасибо за это быстрое исправление… жаль, что я не знал об этом 2 недели назад, когда один из моих сайтов был взломан… поддержка хостинга была почти бесполезна, и мне пришлось удалить весь сайт и начать заново! Благодаря вам мне больше не придется терпеть эту боль на моем последнем взломанном сайте. Есть предложения по защите от хакеров? – с благодарностью, Ди

  6. 10

    Привет, спасибо за ваш пост. Мой сайт был взломан, и пока все, что произошло, это добавление пользователей WP и размещение трех сообщений в блоге. Мой веб-хост думает, что это был просто «бот», взломавший мой пароль WP, но я немного беспокоюсь. Я изменил все свои пароли, добавил защиту паролем в редакторе .htaccess, сделал резервную копию моих файлов WP, настроек моей темы и моих баз данных и поставил сайт на техническое обслуживание — все в рамках подготовки к переустановке WP и моей темы. Тем не менее, это сложная вещь для новичка. Я немного запутался в том, как правильно переустановить WP и мою тему, чтобы на моем ftp-сервере не осталось старых файлов. Меня также смущает просмотр моих баз данных, просмотр всех моих таблиц в phpMYadmin. Как я вообще могу распознать вредоносный код? больше всего беспокоит то, что я еженедельно обновляю все свои плагины и WP. Спасибо за помощь в разъяснении всего этого!

    • 11

      Чаще всего взламываются файлы в wp-content. Ваш файл wp-config.php содержит ваши учетные данные, а папка wp-content содержит вашу тему и плагины. Я бы попробовал загрузить новую установку WordPress и скопировать все, кроме каталога wp-content. Затем вы захотите установить учетные данные в новом файле wp-config.php (я бы не стал использовать старый). Тогда я был бы очень осторожен, используя одну и ту же тему и плагины… если один из них будет взломан, они могут распространить проблему на всех.

      Вредоносный код обычно копируется в каждый файл и использует такие термины, как eval или base64_decode… они шифруют код и используют эти функции для его декодирования.

      После резервного копирования вашего сайта вы также можете установить плагин сканирования, который обнаружит, были ли изменены какие-либо корневые файлы, например: http://wordpress.org/extend/plugins/wp-security-scan/

  7. 12

    Привет Дуг! Я думаю, что мой блог был взломан. У меня есть контроль над этим, но если я хочу поделиться ссылкой на публикацию в LinkedIn, в заголовке отображается покупка z…. (наркотик), и я не знаю, что делать и как это исправить. Я определенно чувствую себя немного неловко из-за удаления всего моего блога… он огромен!!! Что произойдет, если я установлю wordpress new в другой каталог, а затем добавлю тему, протестирую ее и протестирую плагины, а затем перенесу весь контент и удалю исходный каталог? Будет ли это работать? адрес моего блога hispanic-marketing.com (на случай, если вы захотите взглянуть на него) большое вам спасибо!!!

    • 13

      Привет Клаудия,

      Я не вижу никаких доказательств того, что ваш сайт был взломан. Обычно, когда ваш сайт взломан, ваша тема скомпрометирована, поэтому переустановка WordPress на самом деле совсем не помогает.

      Дуг

  8. 14

    WordPress VIP имеет этот тип поддержки, но он предназначен для крупных отраслей. Но у них также есть продукт под названием VaultPress, который не слишком дорог и имеет поддержку. Нет такой вещи, как техническая поддержка «WordPress». Я бы посоветовал разместить ваш сайт на WPEngine — https://martech.zone/wpe — у них отличная поддержка, автоматическое резервное копирование, мониторинг безопасности и т. д. И они очень быстрые! Мы являемся партнером, и наш сайт размещен на них!

  9. 15

    Эй, Дуглас, я хотел бы добавить к вашему списку как # 11. Вам также необходимо повторно отправить веб-сайт в инструменты Google для веб-мастеров, чтобы они могли повторно просканировать его и дать все ясно. Обычно это занимает всего 24 часа, что намного меньше, чем раньше. В котором на повторный обход ушла неделя.

Как вы думаете?

Этот сайт использует Akismet для уменьшения количества спама. Узнайте, как обрабатываются ваши данные комментариев.