Hoe om malware op u WordPress-werf te kontroleer, te verwyder en te voorkom

Hoe om wanware van WordPress te verwyder

Hierdie week was redelik besig. Een van die nie-winsorganisasies wat ek ken, het hulself in 'n taamlike penarie bevind – hul WordPress-werf was met wanware besmet. Die webwerf is gehack en skrifte is uitgevoer op besoekers wat twee verskillende dinge gedoen het:

  1. Probeer Microsoft Windows besmet met malware.
  2. Het alle gebruikers herlei na 'n webwerf wat JavaScript gebruik om die rekenaar van die besoeker in te span my cryptocurrency.

Ek het ontdek dat die webwerf gekap is toe ek dit besoek het nadat ek op hul nuutste nuusbrief deurgekyk het, en ek het hulle dadelik in kennis gestel van wat aangaan. Ongelukkig was dit 'n aggressiewe aanval wat ek kon verwyder, maar die webwerf onmiddellik weer geïnfekteer het. Dit is 'n baie algemene gebruik deur kwaadwillige hackers - hulle kap nie net die webwerf nie, maar voeg ook 'n administratiewe gebruiker by die webwerf of verander 'n kern WordPress-lêer wat die hack herinspuit indien dit verwyder word.

Wanware is 'n voortdurende probleem op die web. Wanware word gebruik om deurklikkoerse op advertensies op te blaas (advertensiebedrog), werfstatistieke op te blaas om adverteerders te oorlaai, toegang tot besoekers se finansiële en persoonlike data te probeer verkry, en mees onlangs – om kriptogeldeenhede te ontgin. Mynwerkers word goed betaal vir myndata, maar die koste om mynmasjiene te bou en die elektriese rekeninge daarvoor te betaal is aansienlik. Deur in die geheim rekenaars in te span, kan mynwerkers geld verdien sonder die onkoste.

WordPress en ander algemene platforms is groot teikens vir hackers, want dit is die grondslag van soveel webwerwe op die internet. Daarbenewens het WordPress 'n tema- en inprop-argitektuur wat nie kernlêers beskerm teen sekuriteitsgate nie. Daarbenewens is die WordPress-gemeenskap uitmuntend in die identifisering en pleister van veiligheidsgate, maar werfbesitters is nie so waaksaam om hul webwerf op hoogte te hou van die nuutste weergawes nie.

Hierdie spesifieke webwerf is aangebied op GoDaddy se tradisionele webhosting (nie Bestuurde WordPress hosting), wat geen beskerming bied nie. Natuurlik bied hulle 'n Malwareskandeerder en verwydering diens, al is. Bestuurde WordPress-hostingondernemings soos vliegwiel, WP Engine, LiquidWeb, GoDaddy, en Pantheon almal bied outomatiese opdaterings om jou werwe op datum te hou wanneer probleme geïdentifiseer en reggemaak word. Die meeste het wanware-skandering en swartlys-temas en inproppe om werfeienaars te help om 'n hack te voorkom. Sommige maatskappye gaan 'n stap verder - Kinsta - 'n hoëprestasie Bestuurde WordPress-gasheer - bied selfs 'n sekuriteitswaarborg.

Daarbenewens het die span by Jetpack bied 'n uitstekende diens om u webwerf outomaties te kontroleer vir wanware en ander kwesbaarhede op 'n daaglikse basis. Dit is 'n ideale oplossing as jy self WordPress op jou eie infrastruktuur aanbied.

Jetpack skandeer WordPress vir wanware

U kan ook 'n bekostigbare derde party gebruik malware skandering diens soos Werfskandeerders, wat jou werf daagliks sal skandeer en jou laat weet of jy op die aktiewe wanware-moniteringsdienste geswartlys is of nie.

Is u werf op die swartlys vir malware:

Daar is baie webwerwe aanlyn wat bevorder kontrole jou werf vir wanware, maar hou in gedagte dat die meeste van hulle jou werf glad nie intyds nagaan nie. Intydse skandering van wanware vereis 'n derdeparty-kruipinstrument wat nie onmiddellik resultate kan lewer nie. Die werwe wat 'n onmiddellike kontrole verskaf, is werwe wat voorheen gevind het dat jou werf wanware het. Sommige van die wanware-kontrolewerwe op die web is:

  • Google-deursigtigheidsverslag - as u webwerf by Webmasters geregistreer is, sal hulle u dadelik in kennis stel wanneer hulle u webwerf deursoek en malware daarop vind.
  • Norton Veilige Web - Norton gebruik ook invoegtoepassings in die webblaaier en sagteware vir die bestuurstelsel om gebruikers te verhoed om u bladsy vanaand oop te maak as hulle dit op die swartlys geplaas het. Webwerf-eienaars kan op die webwerf registreer en versoek dat hul webwerf weer beoordeel word sodra dit skoon is.
  • Sucuri - Sucuri hou 'n lys met malware-webwerwe saam met 'n verslag oor waar dit op die swartlys geplaas is. As u webwerf skoongemaak word, sien u a Dwing 'n herskandering skakel onder die lys (in baie klein druk). Sucuri het 'n uitstekende invoegtoepassing wat probleme opspoor ... en u dan in 'n jaarlikse kontrak stoot om dit te verwyder.
  • Yandex - as u Yandex na u domein soek en sien "Volgens Yandex kan hierdie webwerf gevaarlik wees ”, u kan registreer vir Yandex-webmeesters, u webwerf byvoeg, navigeer na Veiligheid en oortredings, en versoek dat u webwerf skoongemaak word.
  • Vistank - Sommige hackers sal phishing-skrifte op u webwerf plaas, wat u domein as 'n phishing-domein kan laat sien. As u die presiese, volledige URL van die gerapporteerde malware-bladsy in Phishtank invoer, kan u by Phishtank registreer en stem of dit werklik 'n phishing-webwerf is.

Tensy jou werf geregistreer is en jy iewers 'n moniteringsrekening het, sal jy waarskynlik 'n verslag van 'n gebruiker van een van hierdie dienste kry. Moenie die waarskuwing ignoreer nie ... terwyl jy dalk nie 'n probleem sien nie, gebeur vals positiewes selde. Hierdie kwessies kan jou werf van soekenjins de-indekseer en van blaaiers geblokkeer word. Erger nog, jou potensiële kliënte en bestaande kliënte wonder dalk met watter soort organisasie hulle werk.

Hoe kyk u of daar nie malware is nie?

Verskeie van die maatskappye hierbo praat oor hoe moeilik dit is om wanware te vind, maar dit is nie heeltemal so moeilik nie. Die moeilikheid is eintlik om uit te vind hoe dit op jou webwerf beland het! Kwaadwillige kode is meestal geleë in:

  • Onderhoud - Wys dit voordat u iets a onderhoud bladsy en rugsteun u werf. Gebruik nie WordPress se standaardonderhoud of 'n instandhoudingsinprop nie, aangesien WordPress steeds op die bediener sal werk. U wil verseker dat niemand enige PHP-lêer op die werf uitvoer nie. Terwyl u besig is, kyk na u . Htaccess lêer op die webbediener om te verseker dat dit nie skelm kode het wat dalk verkeer herlei nie.
  • Soek lêers van u werf via SFTP of FTP en identifiseer die nuutste lêerveranderings in plugins, temas of kern WordPress-lêers. Maak die lêers oop en soek na wysigings wat skripte of Base64-opdragte byvoeg (wat gebruik word om die uitvoering van die bedienerskrip te verberg).
  • Vergelyk die kern WordPress-lêers in u hoofmap, wp-admin-gids en wp-gids bevat om te sien of daar nuwe lêers of lêers van verskillende grootte bestaan. Probleemoplossing van elke lêer. Selfs as u 'n hack vind en verwyder, hou aan om te kyk, aangesien baie hackers agterdeure verlaat om die webwerf weer te besmet. Moenie WordPress eenvoudig oorskryf of weer installeer nie ... hackers voeg dikwels kwaadwillige skrifte in die wortelgids by en noem die skrif op 'n ander manier om die hack in te spuit. Die minder ingewikkelde malware-skrifte voeg gewoonlik net skriflêers in header.php or footer.php. Meer ingewikkelde skrifte sal elke PHP-lêer op die bediener met die herinspuitingskode verander, sodat u dit moeilik kan verwyder.
  • Verwyder derdeparty-advertensieskrifte wat die bron kan wees. Ek het geweier om nuwe advertensienetwerke toe te pas toe ek gelees het dat dit aanlyn gekap is.
  • Gaan jou plasingsdatabasistabel vir ingebedde skrifte in die bladsyinhoud. U kan dit doen deur eenvoudige soektogte te doen met PHPMyAdmin en na die versoek-URL's of script-etikette te soek.

Voordat u u webwerf lewendig stel ... is dit nou tyd om u webwerf te verhard om onmiddellike inspuiting of 'n ander inbraak te voorkom:

Hoe kan u voorkom dat u webwerf gekap word en wanware geïnstalleer word?

  • Verifieer elke gebruiker op die webwerf. Hackers spuit dikwels skrifte in wat 'n administratiewe gebruiker byvoeg. Verwyder enige ou of ongebruikte rekeninge en ken die inhoud daarvan weer toe aan 'n bestaande gebruiker. As u 'n gebruiker het met die naam admin, voeg 'n nuwe administrateur by met 'n unieke aanmelding en verwyder die admin-rekening heeltemal.
  • Herstel elke gebruiker se wagwoord. Baie webwerwe word gekap omdat 'n gebruiker 'n eenvoudige wagwoord gebruik wat in 'n aanval geraai is, wat iemand in staat stel om by WordPress in te gaan en te doen wat hy wil.
  • Skakel die vermoë om plugins en temas via WordPress Admin te wysig. Die vermoë om hierdie lêers te wysig, kan elke hacker dieselfde doen as hulle toegang kry. Maak die kern-WordPress-lêers onskryfbaar sodat skrifte nie die kernkode kan herskryf nie. Alles in 'n het 'n wonderlike plugin wat WordPress bied verharding met 'n klomp funksies.
  • Met die hand laai en installeer die nuutste weergawes van elke inprop wat u benodig, en verwyder alle ander inproppe. Verwyder administratiewe invoegtoepassings wat direk toegang gee tot werflêers of die databasis, absoluut, dit is veral gevaarlik.
  • Verwyder en vervang alle lêers in u hoofmap met die uitsondering van die wp-inhoudmap (dus root, wp-includes, wp-admin) met 'n nuwe installasie van WordPress wat direk vanaf hul webwerf afgelaai word.
  • Verskil – Jy sal dalk ook 'n verskil wil maak tussen 'n rugsteun van jou werf wanneer jy nie wanware gehad het nie en die huidige werf ... dit sal jou help om te sien watter lêers geredigeer is en watter veranderinge aangebring is. Diff is 'n ontwikkelingsfunksie wat gidse en lêers vergelyk en bied jou 'n vergelyking tussen die twee. Met die aantal opdaterings wat aan WordPress-webwerwe gemaak is, is dit nie altyd die maklikste metode nie – maar soms staan ​​die malware-kode regtig uit.
  • Handhaaf jou webwerf! Die webwerf waaraan ek die naweek gewerk het, het 'n ou weergawe van WordPress met bekende veiligheidsgate, ou gebruikers wat nie meer toegang sou hê nie, ou temas en ou inproppe. Dit kon een van die twee gewees het wat die maatskappy oopgemaak het om gekap te word. As u dit nie kan bekostig om u webwerf te onderhou nie, skuif dit dan na 'n beheerde hosting-onderneming wat dit sal doen! Die besteding van nog 'n paar dollar aan hosting kon hierdie maatskappy van hierdie verleentheid red.

Sodra u glo dat u alles reggemaak en verhard het, kan u die webwerf weer lewendig terugbring deur die . Htaccess herlei. Sodra dit lewendig is, moet u na dieselfde infeksie kyk as voorheen. Ek gebruik gewoonlik 'n blaaier se inspeksie-instrumente om netwerkversoeke per bladsy te monitor. Ek spoor elke netwerkversoek op om te verseker dat dit nie wanware of geheimsinnig is nie.

Onthou – sodra jou werf skoon is, sal dit nie outomaties van swartlyste verwyder word nie. U moet elkeen kontak en die versoek volgens ons lys hierbo rig.

Om so gekap te word is nie lekker nie. Maatskappye vra etlike honderde dollars om hierdie dreigemente te verwyder. Ek het nie minder nie as 8 uur gewerk om hierdie onderneming te help om hul werf skoon te maak.

Wat dink jy?

Hierdie webwerf gebruik Akismet om spam te verminder. Leer hoe jou opmerking verwerk is.