Kako preveriti, odstraniti in preprečiti zlonamerno programsko opremo s spletnega mesta WordPress

zlonamerna programska oprema

Ta teden je bil precej zaseden. Eden od neprofitnih organizacij, ki jih poznam, se je znašel v precej stiski - njihovo spletno mesto WordPress je bilo okuženo z zlonamerno programsko opremo. Spletno mesto je bilo vdrto in izvršeni skripti za obiskovalce, ki so naredili dve različni stvari:

  1. Poskušal okužiti Microsoft Windows z zlonamerna programska oprema.
  2. Vse uporabnike je preusmeril na spletno mesto, ki je uporabljalo JavaScript za izkoriščanje računalnika obiskovalca moja kriptovaluta.

Ugotovil sem, da je spletno mesto vdrlo, ko sem ga obiskal po kliku na njihovo zadnje glasilo, in sem jih takoj obvestil o dogajanju. Na žalost sem bil precej agresiven napad, ki sem ga lahko odstranil, vendar sem takoj obnovil spletno mesto, ko sem začel delovati. To je precej pogosta praksa hekerjev zlonamerne programske opreme - ne samo, da vdirajo v spletno mesto, ampak tudi dodajo skrbniškega uporabnika na spletno mesto ali spremenijo jedro datoteke WordPress, ki vdre vdor, če je odstranjen.

Zlonamerna programska oprema je stalna težava v spletu. Zlonamerna programska oprema se uporablja za napihovanje razmerja med prikazi in kliki oglasov (goljufije oglasov), napihovanje statistike spletnega mesta, da bi oglaševalce preveč zaračunaval, poskušal doseči dostop do finančnih in osebnih podatkov obiskovalcev ter nazadnje za pridobivanje kriptovalut. Rudarji so sicer dobro plačani za rudarske podatke, vendar so stroški izdelave rudarskih strojev in plačevanja računov za elektriko zanje znatni. S skrivnim izkoriščanjem računalnikov lahko rudarji zaslužijo brez stroškov.

WordPress in druge običajne platforme so velik cilj za hekerje, saj so temelj toliko spletnih mest. Poleg tega ima WordPress temo in arhitekturo vtičnikov, ki ne ščiti osnovnih datotek spletnega mesta pred varnostnimi luknjami. Poleg tega je skupnost WordPress izjemna pri prepoznavanju in popravljanju varnostnih lukenj - vendar lastniki spletnih mest niso tako pozorni, da bi svoje spletno mesto posodabljali z najnovejšimi različicami.

To spletno mesto je gostovalo na tradicionalnem spletnem gostovanju GoDaddy (ne Upravljano WordPress gostovanje), ki nudi nič zaščito. Seveda ponujajo a Optični bralnik in odstranitev storitev. Upravljana podjetja za gostovanje WordPress, kot so vztrajnik, WP motorja, LiquidWeb, GoDaddy in Pantheon vsi ponujajo avtomatizirane posodobitve, s katerimi redno posodabljate svoja spletna mesta, ko so naše težave ugotovljene in popravljene. Večina jih ima optično branje zlonamerne programske opreme in teme in vtičnike, ki lastnikom spletnih mest pomagajo preprečiti vdor. Nekatera podjetja gredo še korak dlje - Kinsta - visoko zmogljiv gostitelj Upravljani WordPress - ponuja celo varnostno jamstvo.

Ali je vaše spletno mesto uvrščeno na škodno programsko opremo:

V spletu je veliko spletnih mest, ki spodbujajo »preverjanje« vašega spletnega mesta glede zlonamerne programske opreme, vendar ne pozabite, da večina dejansko sploh ne preverja vašega spletnega mesta v realnem času. Skeniranje zlonamerne programske opreme v realnem času zahteva orodje za iskanje po vsebini, ki ne more takoj zagotoviti rezultatov. Spletna mesta, ki omogočajo takojšen pregled, so spletna mesta, na katerih je bilo prej ugotovljeno, da je bilo na njem zlonamerna programska oprema. Nekatera spletna mesta za preverjanje zlonamerne programske opreme so:

  • Googlovo poročilo o preglednosti - če je vaše spletno mesto registrirano pri spletnih skrbnikih, vas takoj opozorijo, ko spletno mesto poiščejo in na njem najdejo zlonamerno programsko opremo.
  • Norton Safe Web - Norton uporablja tudi vtičnike za spletni brskalnik in programsko opremo za operacijski sistem, ki bo uporabnikom preprečil večerno odpiranje strani, če so jo uvrstili na črni seznam. Lastniki spletnih mest se lahko registrirajo na spletnem mestu in zahtevajo, da se ponovno oceni, ko je spletno mesto čisto.
  • Sucuri - Sucuri vzdržuje seznam spletnih mest z zlonamerno programsko opremo in poročilo o tem, kje so jih uvrstili na črno listo. Če je vaše spletno mesto očiščeno, boste videli Prisilno ponovno skeniranje povezava pod seznamom (z zelo drobnim tiskom). Sucuri ima izjemen vtičnik, ki zazna težave ... in vas nato potisne v letno pogodbo, da jih odstranite.
  • Yandex - če v Yandexu iščete svojo domeno in vidite »Po mnenju Yandexa je to spletno mesto lahko nevarno ", lahko se registrirate za spletne skrbnike Yandexa, dodate svoje spletno mesto in se pomaknete do Varnost in kršitvein zahtevajte, da se vaše spletno mesto očisti.
  • Phishtank - Nekateri hekerji bodo na vaše spletno mesto postavili skripte za lažno predstavljanje, s katerimi bo vaša domena navedena kot lažna. Če vnesete natančen, popoln URL prijavljene strani zlonamerne programske opreme v Phishtank, se lahko registrirate pri Phishtanku in glasujete, ali gre res za lažno spletno mesto.

Če vaše spletno mesto ni registrirano in nimate nekje nadzornega računa, boste verjetno dobili poročilo uporabnika ene od teh storitev. Ne prezrite opozorila… Čeprav težave morda ne vidite, se lažni pozitivni učinki redko zgodijo. Zaradi teh težav lahko vaše spletno mesto indeksirajo iskalniki in blokirajo brskalniki. Še huje, vaše potencialne stranke in obstoječe stranke se morda sprašujejo, s kakšno organizacijo sodelujejo.

Kako preverim zlonamerno programsko opremo?

Več zgoraj omenjenih podjetij govori o tem, kako težko je najti zlonamerno programsko opremo, vendar ni tako težko. Težko je dejansko ugotoviti, kako je prišel na vaše spletno mesto! Zlonamerna koda se najpogosteje nahaja v:

  • vzdrževanje - Pred karkoli pokažite na a stran za vzdrževanje in varnostno kopirajte spletno mesto. Ne uporabljajte privzetega vzdrževanja WordPress ali vtičnika za vzdrževanje, saj bo WordPress še vedno zagnan na strežniku. Želite zagotoviti, da nihče ne izvaja nobene datoteke PHP na spletnem mestu. Ko ste že pri tem, preverite svoje .htaccess datoteko na spletnem strežniku, da se prepriča, da nima prevarantske kode, ki morda preusmerja promet.
  • Iščite po strani datotek vašega spletnega mesta prek SFTP ali FTP in prepoznajte najnovejše spremembe datotek v vtičnikih, temah ali osnovnih datotekah WordPress. Odprite te datoteke in poiščite morebitne popravke, ki dodajajo skripte ali ukaze Base64 (uporablja se za skrivanje izvajanja strežniškega skripta).
  • primerjaj cene osnovne datoteke WordPress v korenskem imeniku, imeniku wp-admin in imenikih wp-include, da preverite, ali obstajajo nove datoteke ali datoteke različnih velikosti. Odpravite težave z vsako datoteko. Tudi če najdete in odstranite kramp, nadaljujte z iskanjem, saj mnogi hekerji zapuščajo vrata, da ponovno okužijo spletno mesto. Ne prepisujte ali znova nameščajte WordPressa ... hekerji pogosto dodajajo zlonamerne skripte v korenski imenik in skript pokličejo na drug način, da bi vdrli v kramp. Manj zapleteni skripti za zlonamerno programsko opremo v njih preprosto vstavijo datoteke skriptov header.php or footer.php. Bolj zapleteni skripti bodo dejansko spremenili vsako datoteko PHP na strežniku s kodo za ponovno vbrizgavanje, tako da jo boste težko odstranili.
  • odstrani neodvisni oglaševalski skripti, ki so lahko vir. Zavrnil sem uporabo novih oglasnih omrežij, ko sem prebral, da so vdrli v splet.
  • Preveri  tabela zbirke podatkov vaših objav za vdelane skripte v vsebino strani. To lahko storite s preprostim iskanjem z uporabo PHPMyAdmin in iskanjem URL-jev zahtev ali oznak skriptov.

Preden svoje spletno mesto objavite v živo ... je zdaj čas, da ga utrite, da preprečite takojšnje ponovno vbrizgavanje ali drugo kramljanje:

Kako preprečite, da bi vaše spletno mesto zlomili in namestili zlonamerno programsko opremo?

  • Preverite vsak uporabnik na spletnem mestu. Hekerji pogosto vbrizgajo skripte, ki dodajo skrbniškega uporabnika. Odstranite vse stare ali neuporabljene račune in njihovo vsebino dodelite obstoječemu uporabniku. Če imate uporabnika z imenom admin, dodajte novega skrbnika z edinstveno prijavo in popolnoma odstranite skrbniški račun.
  • Ponastavi geslo vsakega uporabnika. Številna spletna mesta so vdrla, ker je uporabnik uporabil preprosto geslo, ki je bilo ukazano v napadu, kar je omogočilo nekomu, da vstopi v WordPress in naredi, kar želi.
  • Onemogoči možnost urejanja vtičnikov in tem prek WordPress Admin. Možnost urejanja teh datotek omogoča hekerjem, da storijo enako, če dobijo dostop. Jedrnih datotek WordPress naredite nenapisljivih, tako da skripti ne bodo mogli prepisati jedrne kode. Vse v enem ima res odličen vtičnik, ki ponuja WordPress kaljenje s tono funkcij.
  • Ročno prenesite in znova namestite najnovejše različice vseh vtičnikov, ki jih potrebujete, in odstranite vse druge vtičnike. Popolnoma odstranite skrbniške vtičnike, ki omogočajo neposreden dostop do datotek mesta ali baze podatkov, ti so še posebej nevarni.
  • odstrani in nadomestite vse datoteke v korenskem imeniku, z izjemo mape wp-content (torej root, wp-vključuje, wp-admin), s novo namestitvijo WordPressa, ki ste jo prenesli neposredno z njihove strani.
  • Ohranite vaše spletno mesto! Spletno mesto, na katerem sem delal ta vikend, je imelo staro različico WordPressa z znanimi varnostnimi luknjami, stare uporabnike, ki ne bi smeli več imeti dostopa, stare teme in stare vtičnike. Lahko bi bil kateri koli od teh, ki je odprl podjetje za vdore. Če si spletnega mesta ne morete privoščiti, ga vsekakor prestavite k upravljanemu gostovalnemu podjetju! Če bi porabili še nekaj dolarjev za gostovanje, bi to podjetje rešili te zadrege.

Ko verjamete, da ste vse popravili in utrdili, lahko spletno mesto znova odstranite .htaccess preusmeritev. Takoj ko je v živo, poiščite isto okužbo, ki je bila prej tam. Običajno uporabljam orodja za pregledovanje brskalnika za spremljanje omrežnih zahtev po strani. Vsako omrežno zahtevo izsledim, da se prepričam, da ni zlonamerna ali skrivnostna ... če je, je spet na vrhu in znova izvaja korake.

Uporabite lahko tudi cenovno ugodno tretjo osebo storitev iskanja zlonamerne programske opreme kot Skenerji spletnih mest, ki bo dnevno pregledoval vaše spletno mesto in vas obvestil, ali ste na aktivnih storitvah za spremljanje zlonamerne programske opreme. Ne pozabite - ko bo vaše spletno mesto čisto, ne bo samodejno odstranjeno s črnih seznamov. Stopite v stik z vsakim in podajte zahtevo po našem zgornjem seznamu.

Takšen vdor ni zabaven. Podjetja za odstranitev teh groženj zaračunajo več sto dolarjev. Delal sem nič manj kot 8 ur, da sem podjetju pomagal očistiti spletno stran.

Kaj menite?

Ta stran uporablja Akismet za zmanjšanje nezaželene pošte. Preberite, kako se vaš komentar obravnava.