Hvernig á að athuga, fjarlægja og koma í veg fyrir spilliforrit af WordPress vefnum þínum

Hvernig á að fjarlægja malware frá WordPress

Þessi vika var frekar annasöm. Einn af sjálfseignarstofnununum sem ég veit lenti í talsverðum vanda - WordPress síða þeirra var sýkt af spilliforritum. Það var hakkað inn á síðuna og forskriftir voru keyrðar á gesti sem gerðu tvo mismunandi hluti:

  1. Reyndi að smita Microsoft Windows með malware.
  2. Vísaði öllum notendum á vefsíðu sem notaði JavaScript til að virkja tölvu gestsins á minn cryptocurrency.

Ég uppgötvaði að það var brotist inn á síðuna þegar ég heimsótti hana eftir að hafa smellt mér í nýjasta fréttabréfið þeirra og ég tilkynnti þeim strax hvað væri að gerast. Því miður var það nokkuð árásargjarn árás sem ég gat fjarlægt en smitaði strax síðuna aftur þegar hún fór í loftið. Þetta er ansi algeng venja af spilliforritum - þeir hakka ekki aðeins síðuna, heldur bæta þeir annað hvort við stjórnandi notanda á síðuna eða breyta WordPress kjarna sem endursprautar reiðhestinn ef hann er fjarlægður.

Spilliforrit er viðvarandi vandamál á vefnum. Spilliforrit er notað til að auka smellihlutfall auglýsinga (auglýsingasvik), blása upp tölfræði vefsvæða til að ofgjalda auglýsendur, reyna að fá aðgang að fjárhagslegum og persónulegum gögnum gesta og nú síðast - til að vinna úr dulritunargjaldmiðli. Námumenn fá vel borgað fyrir námugögn en kostnaður við að smíða námuvélar og greiða rafmagnsreikninga fyrir þær er verulegur. Með því að virkja tölvur í leyni geta námuverkamenn þénað peninga án kostnaðar.

WordPress og aðrir algengir vettvangar eru mikið skotmark tölvuþrjóta þar sem þeir eru grunnurinn að svo mörgum vefsvæðum. Að auki er WordPress með þema og viðbótararkitektúr sem ver ekki kjarnasíðuskrár frá öryggisholum. Að auki er WordPress samfélagið framúrskarandi við að bera kennsl á og plástra öryggisholur - en eigendur vefsvæða eru ekki eins vakandi yfir því að halda síðunni uppfærð með nýjustu útgáfunum.

Þessi tiltekna síða var hýst á hefðbundinni vefhýsingu GoDaddy (ekki Stýrður WordPress hýsingu), sem býður upp á núllvörn. Auðvitað bjóða þeir upp á Spilliforrit skanni og fjarlæging þjónusta, þó. Stýrt WordPress hýsingarfyrirtæki eins og kasthjól, WP Engine, LiquidWeb, GoDaddy og Pantheon allar bjóða upp á sjálfvirkar uppfærslur til að halda síðunum þínum uppfærðum þegar vandamál eru greind og lagfærð. Flestir eru með spilliforritaskönnun og þemu og viðbætur á svörtum lista til að hjálpa eigendum vefsvæða að koma í veg fyrir hakk. Sum fyrirtæki ganga skrefinu lengra – Kinsta – afkastamikill stýrður WordPress gestgjafi – býður jafnvel upp á a öryggisábyrgð.

Auk þess er liðið kl Jetpack býður upp á frábæra þjónustu til að kanna síðuna þína sjálfkrafa fyrir spilliforrit og aðra veikleika daglega. Þetta er tilvalin lausn ef þú ert sjálfur að hýsa WordPress á þínum eigin innviðum.

Jetpack að skanna WordPress fyrir malware

Þú getur einnig notað hagkvæman þriðja aðila malware skönnun þjónustu eins Vefskannar, sem mun skanna síðuna þína daglega og láta þig vita hvort þú sért á svörtum lista á virkri eftirlitsþjónustu með spilliforritum eða ekki.

Er vefsvæðið þitt svart á lista yfir spilliforrit:

Það eru margar síður á netinu sem kynna stöðva síðuna þína fyrir spilliforrit, en hafðu í huga að flestir þeirra eru í raun ekki að skoða síðuna þína í rauntíma. Rauntíma skanun spilliforrita krefst skriðverkfæris frá þriðja aðila sem getur ekki gefið niðurstöður samstundis. Síðurnar sem veita tafarlausa athugun eru síður sem áður fundu að vefsvæðið þitt væri með spilliforrit. Sumar síður sem skoða spilliforrit á vefnum eru:

  • Gagnsæisskýrsla Google - ef vefsvæðið þitt er skráð hjá vefstjóra munu þeir strax láta þig vita þegar þeir skríða á síðunni þinni og finna spilliforrit á því.
  • Norður Öruggur Vefur - Norton starfrækir einnig viðbætur vefskoðara og stýrikerfishugbúnað sem kemur í veg fyrir að notendur opni síðuna þína á kvöldin ef þeir hafa sett hana á svartan lista. Eigendur vefsíðna geta skráð sig á síðuna og beðið um endurmat á síðunni sinni þegar hún er hrein.
  • Sucuri - Sucuri heldur lista yfir spilliforrit ásamt skýrslu um hvar þeir hafa verið settir á svartan lista. Ef vefsvæðið þitt er hreinsað upp sérðu a Þvingaðu til endurskoðunar hlekkur undir skráningunni (með mjög smáum letri). Sucuri er með framúrskarandi viðbót sem finnur mál ... og ýtir þér síðan inn í árlegan samning til að fjarlægja þau.
  • Yandex - ef þú leitar að Yandex að léninu þínu og sérð „Samkvæmt Yandex gæti þessi síða verið hættuleg “, þú getur skráð þig fyrir Yandex vefstjóra, bætt við síðuna þína, flett til Öryggi og brot, og biðja um að vefsvæðið þitt verði hreinsað.
  • Phishtank - Sumir tölvuþrjótar setja vefveiðarhandrit á síðuna þína, sem getur fengið lénið þitt skráð sem vefveiðilén. Ef þú slærð inn nákvæma, fulla slóð tilkynntra spilliforritssíðunnar í Phishtank geturðu skráð þig hjá Phishtank og kosið hvort það sé raunverulega vefveiðar eða ekki.

Nema síðan þín sé skráð og þú ert með eftirlitsreikning einhvers staðar muntu líklega fá skýrslu frá notanda einni af þessum þjónustum. Ekki hunsa viðvörunina... þó þú sérð kannski ekki vandamál, þá gerast rangar jákvæðar sjaldan. Þessi mál geta fengið síðuna þína af-vísitölu af leitarvélum og læst frá vöfrum. Það sem verra er, hugsanlegir viðskiptavinir þínir og núverandi viðskiptavinir kunna að velta fyrir sér hvers konar stofnun þeir eru að vinna með.

Hvernig kannarðu hvort malware sé að finna?

Nokkur fyrirtækjanna hér að ofan tala um hversu erfitt það er að finna spilliforrit en það er ekki alveg svo erfitt. Erfiðleikarnir eru í raun og veru að finna út hvernig það komst inn á síðuna þína! Skaðlegur kóði er oftast staðsettur í:

  • Viðhald - Áður en nokkuð er bent á a viðhaldssíða og taka afrit af síðunni þinni. Ekki nota sjálfgefið viðhald WordPress eða viðhaldsforrit þar sem það mun enn keyra WordPress á netþjóninum. Þú vilt tryggja að enginn sé að framkvæma neina PHP skrá á vefnum. Á meðan þú ert að því, athugaðu þinn . Htaccess skrá á vefþjóninum til að tryggja að hann hafi ekki rangan kóða sem gæti verið að beina umferð.
  • leit skrár síðunnar þinnar í gegnum SFTP eða FTP og bera kennsl á nýjustu skráabreytingarnar í viðbótum, þemum eða kjarna WordPress skrám. Opnaðu þessar skrár og leitaðu að breytingum sem bæta við forskriftir eða Base64 skipunum (notaðar til að fela framkvæmd miðlara-handrits).
  • bera helstu WordPress skrárnar í rótaskránni þinni, wp-admin skránni og wp-innihalda möppur til að sjá hvort einhverjar nýjar skrár eða skrár af annarri stærð eru til. Leysa hverja og eina skrá. Jafnvel ef þú finnur og fjarlægir hakk skaltu halda áfram að leita þar sem margir tölvuþrjótar yfirgefa bakdyr til að smita síðuna aftur. Ekki einfaldlega skrifa yfir eða setja WordPress upp aftur ... tölvuþrjótar bæta oft við illgjarnan skrift í rótaskránni og hringja í handritið á annan hátt til að sprauta hakkinu. Minna flóknu spilliforritin setja venjulega bara handritaskrár inn í header.php or footer.php. Flóknari forskriftir munu í raun breyta öllum PHP skrám á þjóninum með innspýtingarkóða svo að þú eigir erfitt með að fjarlægja það.
  • Fjarlægja auglýsingahandrit þriðja aðila sem kann að vera uppspretta. Ég hef neitað að nota ný auglýsinganet þegar ég hef lesið að það hafi verið brotist inn á þeim á netinu.
  • athuga gagnagrunnstöflu fyrir innlegg fyrir innbyggð forskriftir í innihald síðunnar. Þú getur gert þetta með því að gera einfalda leit með PHPMyAdmin og leita að beiðnivefslóðum eða skriftumerkjum.

Áður en þú setur síðuna þína í beinni ... þá er kominn tími til að herða síðuna þína til að koma í veg fyrir tafarlausa innspýtingu eða annað hakk:

Hvernig kemur þú í veg fyrir að vefsvæði þitt verði brotist inn og malware sett upp?

  • Staðfestu sérhver notandi á vefsíðunni. Tölvuþrjótar sprauta oft handritum sem bæta við stjórnandi notanda. Fjarlægðu alla gamla eða ónotaða reikninga og úthlutaðu efni þeirra til núverandi notanda. Ef þú ert með notanda að nafni Admin, bættu við nýjum stjórnanda með einstaka innskráningu og fjarlægðu admin reikninginn að öllu leyti.
  • Endurstilla lykilorð hvers notanda. Mörg vefsvæði eru tölvusnápur vegna þess að notandi notaði einfalt lykilorð sem var giskað á í árás, sem gerir einhverjum kleift að komast inn í WordPress og gera hvað sem honum sýnist.
  • Slökkva getu til að breyta viðbótum og þemum í gegnum WordPress stjórnanda. Hæfileikinn til að breyta þessum skrám gerir öllum tölvuþrjótum kleift að gera það sama ef þeir fá aðgang. Gerðu helstu WordPress skrár óskrifanlegar svo að forskriftir geti ekki endurskrifað kjarnakóða. Allt í einu er með virkilega frábært viðbót sem veitir WordPress herða með tonn af lögun.
  • Handvirkt halaðu niður og settu upp nýjustu útgáfur af hverju viðbót sem þú þarft og fjarlægðu önnur viðbætur. Fjarlægðu algjörlega stjórnsýsluforrit sem veita beinan aðgang að vefsíðuskrám eða gagnagrunninum, þau eru sérstaklega hættuleg.
  • Fjarlægja og skiptu um allar skrár í rótaskránni þinni að undanskildum wp-innihaldsmöppunni (svo rót, wp-nær, wp-admin) með nýrri uppsetningu á WordPress sem er hlaðið niður beint frá síðunni þeirra.
  • Diff – Þú gætir líka viljað gera mun á milli öryggisafrits af síðunni þinni þegar þú varst ekki með spilliforrit og núverandi vefsvæðis... þetta mun hjálpa þér að sjá hvaða skrám hafði verið breytt og hvaða breytingar voru gerðar. Diff er þróunaraðgerð sem ber saman möppur og skrár og gefur þér samanburð á þessu tvennu. Með fjölda uppfærslna sem gerðar eru á WordPress síðum er þetta ekki alltaf auðveldasta aðferðin – en stundum sker malwarekóðinn sig virkilega úr.
  • Halda síðuna þína! Síðan sem ég vann á um helgina var með gömlu útgáfu af WordPress með þekktum öryggisholum, gömlum notendum sem ættu ekki að hafa aðgang lengur, gömul þemu og gömul viðbætur. Það gæti hafa verið einhver þessara sem opnaði fyrirtækið fyrir að verða reiðhestur. Ef þú hefur ekki efni á að viðhalda síðunni þinni, vertu viss um að flytja hana til stjórnað hýsingarfyrirtækis sem mun gera það! Að eyða nokkrum dollurum í viðbót í hýsingu hefði getað bjargað þessu fyrirtæki frá þessu vandræði.

Þegar þú trúir því að þú hafir allt lagað og hert, getur þú komið síðunni aftur í beinni með því að fjarlægja . Htaccess tilvísun. Um leið og það er í beinni skaltu leita að sömu sýkingu og áður var. Ég nota venjulega skoðunartæki vafrans til að fylgjast með netbeiðnum eftir síðunni. Ég elta uppi allar netbeiðnir til að tryggja að það sé ekki spilliforrit eða dularfullt ... ef það er, þá er það aftur efst og gerir skrefin upp á nýtt.

Mundu - þegar síðan þín er hreinn verður hún ekki sjálfkrafa fjarlægð af svörtum listum. Þú ættir að hafa samband við hvern og einn og leggja fram beiðnina samkvæmt listanum okkar hér að ofan.

Að hakkast svona er ekki skemmtilegt. Fyrirtæki rukka nokkur hundruð dollara til að fjarlægja þessar ógnir. Ég vann hvorki meira né minna en 8 tíma til að hjálpa þessu fyrirtæki við að hreinsa síðuna sína.

Hvað finnst þér?

Þessi síða notar Akismet til að draga úr ruslpósti. Lærðu hvernig ummæli þín eru unnin.