Sådan kontrolleres, fjernes og forhindres malware fra dit WordPress-websted

malware

Denne uge var temmelig travl. En af de nonprofitorganisationer, som jeg kender, befandt sig i en ganske vanskelig situation - deres WordPress-websted var inficeret med malware. Webstedet blev hacket og scripts udført på besøgende, der gjorde to forskellige ting:

  1. Forsøgte at inficere Microsoft Windows med malware.
  2. Omdirigerede alle brugere til et websted, der brugte JavaScript til at udnytte den besøgendes pc til min kryptokurrency.

Jeg opdagede, at webstedet blev hacket, da jeg besøgte det efter at have klikket igennem på deres seneste nyhedsbrev, og jeg underrettede straks dem om, hvad der foregik. Desværre var det et ganske aggressivt angreb, som jeg var i stand til at fjerne, men geninficerede straks webstedet, da jeg kom live. Dette er en ret almindelig praksis af malware-hackere - de hacker ikke kun webstedet, de tilføjer enten en administrativ bruger til webstedet eller ændrer en kerne WordPress-fil, der geninjicerer hacket, hvis det fjernes.

Malware er et løbende problem på nettet. Malware bruges til at sprede klikfrekvenser på annoncer (annoncesvindel), opblåse webstedsstatistikker for at overbelaste annoncører, for at forsøge at få adgang til besøgendes økonomiske og personlige data, og senest - til at udvinde kryptovaluta. Minearbejdere får godt betalt for minedata, men omkostningerne ved at bygge minemaskiner og betale de elektriske regninger for dem er betydelige. Ved hemmeligt at udnytte computere kan minearbejdere tjene penge uden regning.

WordPress og andre almindelige platforme er enorme mål for hackere, da de er grundlaget for så mange sider på internettet. Derudover har WordPress et tema og en plugin-arkitektur, der ikke beskytter kernefilefiler fra sikkerhedshuller. Derudover er WordPress-samfundet fremragende til at identificere og lappe sikkerhedshuller - men webstedsejere er ikke så opmærksomme på at holde deres websted opdateret med de nyeste versioner.

Dette særlige websted blev hostet på GoDaddys traditionelle webhosting (ikke Administreret WordPress hosting), som giver nul beskyttelse. Selvfølgelig tilbyder de en Malwarescanner og fjernelse service, dog. Administrerede WordPress-hostingfirmaer såsom Svinghjul, WP Engine, LiquidWeb, GoDaddy og Pantheon alle tilbyder automatiske opdateringer for at holde dine websteder opdateret, når der udstedes vores identificerede og patchede. De fleste har malware-scanning og sortlistede temaer og plugins for at hjælpe ejere af websteder med at forhindre et hack. Nogle virksomheder går et skridt videre - Kinsta - en højtydende administreret WordPress-vært - tilbyder endda en sikkerhedsgaranti.

Er dit websted sortlistet til malware:

Der er mange steder online, der promoverer "kontrol" af dit websted for malware, men husk at de fleste af dem faktisk ikke kontrollerer dit websted overhovedet i realtid. Realtids-malware-scanning kræver et tredjepartscrawlingsværktøj, der ikke øjeblikkeligt kan give resultater. De websteder, der giver en øjeblikkelig kontrol, er websteder, der tidligere fandt, at dit websted havde malware. Nogle af websteder til kontrol af malware er:

  • Googles gennemsigtighedsrapport - hvis dit websted er registreret hos webmastere, advarer de dig straks, når de gennemsøger dit websted og finder malware på det.
  • Norton Safe Web - Norton driver også webbrowser-plugins og operativsystemsoftware, der forhindrer brugere i at åbne din side om aftenen, hvis de har sortlistet den. Webstedejere kan registrere sig på webstedet og anmode om, at deres site bliver revideret, når det er rent.
  • Sucuri - Sucuri vedligeholder en liste over malware-sider sammen med en rapport om, hvor de er blevet sortlistet. Hvis dit websted er ryddet op, vil du se en Tving en genscanning link under listen (i meget lille skrift). Sucuri har et fremragende plugin, der registrerer problemer ... og derefter skubber dig ind i en årlig kontrakt for at fjerne dem.
  • Yandex - hvis du søger på Yandex efter dit domæne og ser “Ifølge Yandex kan dette websted være farligt ”, du kan tilmelde dig Yandex webmastere, tilføje dit websted, navigere til Sikkerhed og overtrædelser, og bede om, at dit websted ryddes.
  • Phishtank - Nogle hackere lægger phishing-scripts på dit websted, hvilket kan få dit domæne til at blive opført som et phishing-domæne. Hvis du indtaster den nøjagtige, fulde URL på den rapporterede malware-side i Phishtank, kan du registrere dig hos Phishtank og stemme, om det virkelig er et phishing-websted.

Medmindre dit websted er registreret, og du har en overvågningskonto et eller andet sted, får du sandsynligvis en rapport fra en bruger af en af ​​disse tjenester. Ignorer ikke advarslen ... mens du muligvis ikke ser et problem, sker der sjældent falske positive. Disse problemer kan få dit websted de-indekseret fra søgemaskiner og blokeret for browsere. Værre er, at dine potentielle kunder og eksisterende kunder måske spekulerer på, hvilken slags organisation de arbejder med.

Hvordan kontrollerer du for malware?

Flere af ovenstående virksomheder taler om, hvor svært det er at finde malware, men det er ikke så svært. Det vanskelige er faktisk at finde ud af, hvordan det kom ind på dit websted! Ondsindet kode findes oftest i:

  • vedligeholdelse - Før det skal du pege på en vedligeholdelsesside og sikkerhedskopier dit websted. Brug ikke WordPress 'standardvedligeholdelse eller et vedligeholdelses-plugin, da disse stadig udfører WordPress på serveren. Du vil sikre, at ingen udfører nogen PHP-fil på webstedet. Mens du er ved det, skal du kontrollere din .htaccess fil på webserveren for at sikre, at den ikke har slyngelskode, der muligvis omdirigerer trafik.
  • Søg dit websteds filer via SFTP eller FTP og identificer de seneste filændringer i plugins, temaer eller centrale WordPress-filer. Åbn disse filer og se efter eventuelle redigeringer, der tilføjer scripts eller Base64-kommandoer (bruges til at skjule server-script-udførelse).
  • Kalender de vigtigste WordPress-filer i din rodmappe, wp-admin-mappe og wp-inkluderer mapper for at se, om der findes nye filer eller filer i anden størrelse. Fejlfinding af hver fil. Selvom du finder og fjerner et hack, skal du fortsætte med at kigge, da mange hackere forlader bagdøre for at inficere siden igen. Overskriv ikke eller geninstaller ikke WordPress ... hackere tilføjer ofte ondsindede scripts i rodmappen og kalder scriptet på en anden måde for at injicere hacket. De mindre komplekse malware-scripts indsætter typisk bare scriptfiler i header.php or footer.php. Mere komplekse scripts vil faktisk ændre alle PHP-filer på serveren med geninjektionskode, så du har svært ved at fjerne den.
  • Fjern tredjeparts reklameskripter, der kan være kilden. Jeg har nægtet at anvende nye annoncenetværk, når jeg har læst, at de er blevet hacket online.
  • Check  din posts databasetabel til indlejrede scripts i sideindhold. Du kan gøre dette ved at udføre enkle søgninger ved hjælp af PHPMyAdmin og søge efter anmodnings-URL'er eller script-tags.

Før du sætter dit websted live ... er det nu tid til at hærde dit websted for at forhindre en øjeblikkelig geninjektion eller et andet hack:

Hvordan forhindrer du, at dit websted bliver hacket og installeret malware?

  • Bekræft hver bruger på hjemmesiden. Hackere injicerer ofte scripts, der tilføjer en administrativ bruger. Fjern alle gamle eller ubrugte konti, og tildel deres indhold til en eksisterende bruger. Hvis du har en bruger, der hedder admin, tilføj en ny administrator med et unikt login og fjern administratorkontoen helt.
  • Nulstil hver brugers adgangskode. Mange sider er hacket, fordi en bruger brugte en simpel adgangskode, der blev gættet i et angreb, hvilket gjorde det muligt for nogen at komme ind i WordPress og gøre, hvad de vil.
  • Deaktiver muligheden for at redigere plugins og temaer via WordPress Admin. Evnen til at redigere disse filer tillader enhver hacker at gøre det samme, hvis de får adgang. Gør de centrale WordPress-filer uskrivbare, så scripts ikke kan omskrive kernekoden. All in One har et rigtig godt plugin, der leverer WordPress hærdning med masser af funktioner.
  • Manuelt download og geninstaller de nyeste versioner af hvert plugin, du har brug for, og fjern eventuelle andre plugins. Fjern absolut administrative plugins, der giver direkte adgang til webstedsfiler eller databasen, disse er særligt farlige.
  • Fjern og udskift alle filer i din rodkatalog med undtagelse af mappen wp-indhold (så root, wp-inkluderer, wp-admin) med en ny installation af WordPress downloadet direkte fra deres websted.
  • Vedligehold dit websted! Webstedet, jeg arbejdede på i denne weekend, havde en gammel version af WordPress med kendte sikkerhedshuller, gamle brugere, der ikke længere skulle have adgang, gamle temaer og gamle plugins. Det kunne have været en af ​​disse, der åbnede virksomheden for at blive hacket. Hvis du ikke har råd til at vedligeholde dit websted, skal du sørge for at flytte det til et administreret hostingfirma, der vil! At bruge et par kroner mere på hosting kunne have reddet dette firma fra denne forlegenhed.

Når du først har troet, at alt er rettet og hærdet, kan du bringe webstedet tilbage live ved at fjerne .htaccess omdirigere. Så snart det er live, skal du kigge efter den samme infektion, der tidligere var der. Jeg bruger typisk en browsers inspektionsværktøjer til at overvåge netværksanmodninger fra siden. Jeg sporer alle netværksanmodninger for at sikre, at det ikke er malware eller mystisk ... hvis det er, er det tilbage til toppen og gør trinene igen.

Du kan også bruge en overkommelig tredjepart malware-scanningstjeneste ligesom Webstedsskannere, som scanner dit websted dagligt og fortæller dig, om du er sortlistet på aktive malwareovervågningstjenester. Husk - når dit websted er rent, fjernes det ikke automatisk fra sortlister. Du skal kontakte hver og foretage anmodningen i henhold til vores liste ovenfor.

At blive hacket sådan er ikke sjovt. Virksomheder opkræver flere hundrede dollars for at fjerne disse trusler. Jeg arbejdede ikke mindre end 8 timer for at hjælpe dette firma med at rydde op på deres websted.

Hvad mener du?

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.