A rosszindulatú programok ellenőrzése, eltávolítása és megakadályozása a WordPress webhelyéről

malware

Ez a hét elég mozgalmas volt. Az egyik nonprofit szervezet, amelyről tudom, meglehetősen nehéz helyzetbe került - a WordPress webhelyüket rosszindulatú programok fertőzték meg. A webhelyet feltörték, és szkripteket hajtottak végre a látogatókon, amelyek két különböző dolgot tettek:

  1. Megpróbálta megfertőzni a Microsoft Windows rendszert malware.
  2. Átirányított minden felhasználót egy olyan webhelyre, amely JavaScript-et használt a látogató számítógépének kiaknázására az enyém cryptocurrency.

Rájöttem, hogy a webhelyet feltörték, amikor meglátogattam, miután rákattintottam a legújabb hírlevelükre, és azonnal értesítettem őket a történtekről. Sajnos meglehetősen agresszív támadás volt, amelyet sikerült eltávolítanom, de azonnal megfertőztem a webhelyet, amikor élőben láttam. Ez a rosszindulatú programok hackerei általánosan elterjedt gyakorlata - nemcsak feltörik a webhelyet, hanem adminisztrátori felhasználót is felvesznek a webhelyre, vagy megváltoztatnak egy alapvető WordPress-fájlt, amely eltávolításuk után újból befecskendezi a hacket.

A rosszindulatú programok az interneten folyamatos probléma. A rosszindulatú programokat használják a hirdetések átkattintási arányának (hirdetési csalások), a webhelystatisztikák növelésére a hirdetők túlterhelésére, a látogatók pénzügyi és személyes adataihoz való hozzáférés kipróbálására, legutóbb pedig a kriptovaluta bányászására. A bányászok jól fizetnek a bányászati ​​adatokért, de a bányagépek felépítésének és az azokért fizetett villanyszámlának a költsége jelentős. A számítógépek titkos felhasználásával a bányászok pénz nélkül kereshetnek pénzt.

A WordPress és más közös platformok hatalmas célpontok a hackerek számára, mivel ezek az internetes oldalak alapját jelentik. Ezenkívül a WordPress olyan témájú és beépülő modul-architektúrával rendelkezik, amely nem védi meg az alapvető webhelyfájlokat a biztonsági résektől. Ezenkívül a WordPress közösség kiemelkedő szerepet játszik a biztonsági rések azonosításában és foltozásában - a webhelytulajdonosok azonban nem figyelnek annyira éberen arra, hogy webhelyüket a legfrissebb verziókkal frissítsék.

Ezt a webhelyet a GoDaddy hagyományos webtárhelyének hozták létre (nem Kezelt WordPress hosting), amely nulla védelmet nyújt. Természetesen felajánlják a Malware Scanner és eltávolítás szolgáltatás. A WordPress által üzemeltetett hosting cégek, mint pl lendkerék, WP Engine, LiquidWeb, GoDaddy és Panteon mindegyik kínál automatikus frissítéseket, hogy naprakészen tartsa webhelyeit, amikor a problémákat azonosítottuk és foltoztuk. A legtöbb rosszindulatú programot keres, és feketelistán szereplő témákat és bővítményeket használ, amelyek segítenek a webhelytulajdonosoknak megakadályozni a feltörést. Egyes vállalatok egy lépéssel tovább mennek - a Kinsta - egy nagyteljesítményű Managed WordPress gazdagép - még a biztonsági garancia.

Feketelistára került-e webhelye rosszindulatú programok miatt:

Számos olyan webhely található online, amely népszerűsíti webhelye rosszindulatú programok ellen való ellenőrzését, de ne feledje, hogy a legtöbbjük valójában egyáltalán nem ellenőrzi valós időben a webhelyet. A rosszindulatú programok valós idejű vizsgálatához egy harmadik féltől származó feltérképező eszközre van szükség, amely nem képes azonnal eredményt nyújtani. Az azonnali ellenőrzést biztosító webhelyek azok a webhelyek, amelyek korábban rájöttek, hogy webhelyén rosszindulatú programok voltak. Néhány rosszindulatú programokat ellenőrző webhely az interneten:

  • Google átláthatósági jelentés - ha webhelyét regisztrálták a webmestereknél, azonnal figyelmeztetni fogják Önt, amikor feltérképezik a webhelyet, és rosszindulatú programokat találnak rajta.
  • Norton Safe Web - A Norton webböngésző bővítményeket és operációs rendszer szoftvereket is üzemeltet, amelyek megakadályozzák a felhasználókat abban, hogy esténként megnyissák az oldaladat, ha feketelistára tették. A webhelytulajdonosok regisztrálhatnak a webhelyen, és kérhetik a webhelyük újbóli értékelését, miután az tiszta.
  • Sucuri - A Sucuri karbantartja a rosszindulatú programokkal foglalkozó webhelyek listáját, valamint jelentést készít arról, hogy hol kerültek feketelistára. Ha megtisztítja webhelyét, akkor a Kényszerítsen újraszkennelést link a felsorolás alatt (nagyon apró betűkkel). A Sucuri rendelkezik egy kiemelkedő pluginnal, amely észleli a problémákat ..., majd egy éves szerződésbe kényszeríti, hogy eltávolítsa azokat.
  • Yandex - ha a domainjére keres a Yandex-ben, és a következőt látja:A Yandex szerint ez a webhely veszélyes lehet ”, regisztrálhat a Yandex webmestereihez, hozzáadhatja webhelyét, navigálhat Biztonság és jogsértések, és kérje webhelyének törlését.
  • Phishtank - Egyes hackerek adathalász szkripteket helyeznek el a webhelyén, amelyek az Ön domainjét adathalász domainként vehetik fel. Ha beírja a jelentett rosszindulatú programok oldalának teljes, teljes URL-jét a Phishtankban, regisztrálhat a Phishtanknál, és szavazhat arról, hogy valóban adathalász webhelyről van-e szó.

Hacsak nincs regisztrálva a webhelye, és van valahol felügyeleti fiókja, valószínűleg jelentést kap e szolgáltatások egyikének felhasználójától. Ne hagyja figyelmen kívül a figyelmeztetést ... bár lehet, hogy nem lát problémát, hamis pozitív eredmények ritkán fordulnak elő. Ezekkel a problémákkal indexelheti a webhelyet a keresőmotoroktól és blokkolhatja a böngészőket. Rosszabb esetben a potenciális ügyfelek és a meglévő ügyfelek elgondolkodhatnak azon, hogy milyen szervezettel dolgoznak.

Hogyan ellenőrizheti a rosszindulatú programokat?

A fenti vállalatok közül többen arról beszélnek, hogy milyen nehéz megtalálni a rosszindulatú programokat, de ez nem is olyan nehéz. A nehéz valójában kitalálni, hogyan került a webhelyére! A rosszindulatú kód leggyakrabban a következő helyen található:

  • karbantartás - Bármi előtt mutasson rá a karbantartási oldal és készítsen biztonsági másolatot a webhelyéről. Ne használja a WordPress alapértelmezett karbantartását vagy egy karbantartási plugint, mivel ezek továbbra is végrehajtják a WordPress alkalmazást a szerveren. Biztosítani szeretné, hogy senki ne futtasson PHP-fájlokat a webhelyen. Amíg itt vagy, ellenőrizd a .htaccess fájlt a webkiszolgálón annak biztosítására, hogy ne legyen szélhámos kódja, amely átirányíthatja a forgalmat.
  • Keresés webhelyének fájljait SFTP vagy FTP segítségével, és azonosítsa a bővítmények, a témák vagy az alapvető WordPress fájlok legfrissebb változásait. Nyissa meg ezeket a fájlokat, és keresse meg azokat a szerkesztéseket, amelyek szkripteket vagy Base64 parancsokat adnak hozzá (a szerver-szkriptek végrehajtásának elrejtésére szolgálnak).
  • Összehasonlítás a gyökérkönyvtárban, a wp-admin könyvtárban és a wp-include könyvtárakban található alapvető WordPress fájlok, hogy lássanak új fájlokat vagy más méretű fájlokat. Hibaelhárítás minden fájlt. Még akkor is, ha talál és eltávolít egy feltörést, folytassa a keresést, mivel sok hacker otthagyja a hátsó ajtókat, hogy újra megfertőzze a webhelyet. Ne egyszerűen írja felül vagy telepítse újra a WordPress programot ... A hackerek gyakran rosszindulatú parancsfájlokat adnak a gyökérkönyvtárba, és a szkriptet más módon hívják a hack beadására. A kevésbé összetett rosszindulatú program-szkriptek általában csak szkriptfájlokat illesztenek be header.php or footer.php. A bonyolultabb szkriptek valóban módosítják a szerver minden PHP-fájlját újrabefecskendezési kóddal, így nehezen tudja eltávolítani azokat.
  • eltávolít harmadik fél hirdetési szkriptjei lehetnek a forrás. Nem voltam hajlandó új hirdetési hálózatokat alkalmazni, amikor olvastam, hogy online feltörték őket.
  • Jelölje be  a bejegyzések adatbázisának táblázata az oldal tartalmába beágyazott szkriptekhez. Ezt úgy teheti meg, hogy egyszerű kereséseket hajt végre a PHPMyAdmin használatával, és megkeresi a kérelem URL-jeit vagy szkript címkéit.

Mielőtt élővé tenné webhelyét ... itt az ideje, hogy megkeményítse webhelyét, hogy megakadályozza az azonnali újbóli injekciót vagy újabb feltörést:

Hogyan akadályozhatja meg webhelyének feltörését és rosszindulatú programok telepítését?

  • Ellenőrzése a webhely minden felhasználója. A hackerek gyakran szkripteket injektálnak, amelyek adminisztrátori felhasználót adnak hozzá. Távolítson el minden régi vagy fel nem használt fiókot, és hozzárendelje azok tartalmát egy meglévő felhasználóhoz. Ha van felhasználója admin, adjon hozzá egy új rendszergazdát egyedi bejelentkezéssel, és teljesen távolítsa el az adminisztrátori fiókot.
  • vissza minden felhasználó jelszavát. Számos webhelyet feltörnek, mert a felhasználó egy egyszerű jelszót használt, amelyet egy támadás során kitaláltak, és ez lehetővé tette valakinek, hogy belépjen a WordPress programba, és bármit megtehessen.
  • Kikapcsolja bővítmények és témák szerkesztésének képessége a WordPress Admin segítségével. Ezeknek a fájloknak a szerkesztése lehetővé teszi, hogy minden hacker ugyanezt tegye, ha hozzáférést kap. Írja írhatatlanná az alapvető WordPress fájlokat, hogy a parancsfájlok ne írhassák át az alapkódot. All in One van egy igazán nagyszerű pluginja, amely biztosítja a WordPress szolgáltatást keményedés rengeteg funkcióval.
  • Manuálisan töltse le és telepítse újra minden szükséges plugin legújabb verzióját, és távolítsa el az összes többi bővítményt. Feltétlenül távolítsa el azokat az adminisztratív bővítményeket, amelyek közvetlen hozzáférést biztosítanak a webhelyfájlokhoz vagy az adatbázishoz, ezek különösen veszélyesek.
  • eltávolít és cserélje le a gyökérkönyvtár összes fájlját, a wp-content mappa kivételével (tehát a root, wp-tartalmazza, wp-admin) a WordPress friss telepítésével, amelyet közvetlenül a webhelyükről töltöttek le.
  • Fenntart te oldalad! Azon a webhelyen, ahol ezen a hétvégén dolgoztam, a WordPress régi verziója volt ismert biztonsági lyukakkal, régi felhasználókkal, akiknek már nem kellett volna hozzáférniük, régi témákkal és régi beépülő modulokkal. Ezek bármelyike ​​megnyithatta a vállalatot a feltörés miatt. Ha nem engedheti meg magának, hogy fenntartsa a webhelyét, mindenképpen vigye át egy menedzselt hosting céghez, amelyik megteszi! Még néhány dollár elköltése a tárhelyre megmenthette volna ezt a céget ettől a zavartól.

Ha úgy gondolja, hogy mindent megjavított és megerõsített, a webhely eltávolításával élõvé teheti a webhelyet .htaccess átirányítás. Amint él, keresse meg ugyanazt a fertőzést, amely korábban ott volt. Általában egy böngésző ellenőrző eszközeit használom az oldalankénti hálózati kérések figyelemmel kísérésére. Minden hálózati kérést nyomon követek, hogy megbizonyosodjak arról, hogy nem rosszindulatú programok vagy titokzatosak ... ha mégis, akkor visszatér a tetejére, és újra elvégzi a lépéseket.

Használhat megfizethető harmadik feleket is rosszindulatú programok vizsgálata mint Helyszkennerek, amely naponta átvizsgálja webhelyét, és tudatja Önnel, hogy szerepel-e feketelistán az aktív rosszindulatú programokat figyelő szolgáltatásokban. Ne feledje - ha a webhelye tiszta, akkor nem távolítja el automatikusan a feketelistákról. Vegye fel a kapcsolatot velük, és a kérelmet a fenti listánk szerint kell megtenni.

Ilyen feltörés nem szórakoztató. A vállalatok több száz dollárt számítanak fel e fenyegetések elhárításáért. Nem kevesebb, mint 8 órát dolgoztam, hogy segítsek ennek a cégnek az oldaluk megtisztításában.

Mit gondolsz?

Ez az oldal Akismet-et használ a levélszemét csökkentése érdekében. Ismerje meg, hogyan dolgozik a megjegyzésed.