Sut i Wirio, Dileu, ac Atal Malware o'ch Safle WordPress

Sut i Dileu Malware o WordPress

Roedd yr wythnos hon yn eithaf prysur. Roedd un o'r pethau di-elw yr wyf yn eu hadnabod yn wynebu cryn dipyn o drafferth - roedd eu gwefan WordPress wedi'i heintio â meddalwedd faleisus. Cafodd y wefan ei hacio a gweithredwyd sgriptiau ar ymwelwyr a wnaeth ddau beth gwahanol:

  1. Wedi ceisio heintio Microsoft Windows gyda malware.
  2. Ailgyfeirio'r holl ddefnyddwyr i safle a ddefnyddiodd JavaScript i harneisio cyfrifiadur yr ymwelydd iddo cryptocurrency mwynglawdd.

Darganfyddais fod y wefan wedi'i hacio pan ymwelais â hi ar ôl clicio drwodd ar eu cylchlythyr diweddaraf a rhoddais wybod iddynt ar unwaith am yr hyn oedd yn digwydd. Yn anffodus, roedd yn ymosodiad eithaf ymosodol y llwyddais i gael gwared arno ond ailddiffiniais y safle ar unwaith wrth fynd yn fyw. Mae hyn yn arfer eithaf cyffredin gan hacwyr meddalwedd faleisus - maent nid yn unig yn hacio’r wefan, maent hefyd naill ai’n ychwanegu defnyddiwr gweinyddol i’r wefan neu’n newid ffeil WordPress graidd sy’n ail-chwistrellu’r hac os caiff ei dynnu.

Mae Malware yn broblem barhaus ar y we. Defnyddir Malware i chwyddo cyfraddau clicio drwodd ar hysbysebion (twyll hysbysebu), chwyddo ystadegau gwefan i godi gormod ar hysbysebwyr, ceisio cael mynediad at ddata ariannol a phersonol ymwelwyr, ac yn fwyaf diweddar - i gloddio arian cyfred digidol. Mae glowyr yn cael eu talu'n dda am ddata mwyngloddio ond mae'r gost i adeiladu peiriannau mwyngloddio a thalu'r biliau trydan amdanynt yn sylweddol. Trwy harneisio cyfrifiaduron yn gyfrinachol, gall glowyr wneud arian heb y gost.

Mae WordPress a llwyfannau cyffredin eraill yn dargedau enfawr i hacwyr gan mai nhw yw sylfaen cymaint o wefannau ar y we. Yn ogystal, mae gan WordPress thema a phensaernïaeth ategyn nad yw'n amddiffyn ffeiliau safle craidd rhag tyllau diogelwch. Yn ogystal, mae'r gymuned WordPress yn rhagorol o ran nodi a chlytio tyllau diogelwch - ond nid yw perchnogion gwefannau mor wyliadwrus ynghylch diweddaru eu gwefan gyda'r fersiynau diweddaraf.

Cynhaliwyd y wefan benodol hon ar we-letya traddodiadol GoDaddy (ddim Cynnal WordPress wedi'i reoli), sy'n cynnig amddiffyniad sero. Wrth gwrs, maen nhw'n cynnig a Sganiwr Malware a'i dynnu gwasanaeth, er. Rheoli cwmnïau cynnal WordPress fel flywheel, Engine WP, LiquidWeb, GoDaddy, a Pantheon mae pob un yn cynnig diweddariadau awtomataidd i roi'r wybodaeth ddiweddaraf i'ch gwefannau pan fydd materion yn cael eu nodi a'u clytio. Mae gan y mwyafrif sganio malware a themâu ac ategion ar restr ddu i helpu perchnogion gwefannau i atal darnia. Mae rhai cwmnïau'n mynd gam ymhellach - mae Kinsta - gwesteiwr WordPress Rheoledig perfformiad uchel - hyd yn oed yn cynnig a gwarant diogelwch.

Yn ogystal, mae'r tîm yn Jetpack yn cynnig gwasanaeth gwych ar gyfer gwirio'ch gwefan yn awtomatig am ddrwgwedd a gwendidau eraill yn ddyddiol. Mae hwn yn ateb delfrydol os ydych chi'n cynnal WordPress eich hun ar eich seilwaith eich hun.

Sganio Jetpack WordPress ar gyfer Malware

Gallwch hefyd ddefnyddio trydydd parti fforddiadwy gwasanaeth sganio meddalwedd faleisus fel Sganwyr Safle, a fydd yn sganio'ch gwefan yn ddyddiol ac yn rhoi gwybod i chi a ydych chi ar y rhestr ddu ar wasanaethau monitro malware gweithredol ai peidio.

A yw Eich Gwefan ar Restr Ddu ar gyfer Malware:

Mae yna lawer o wefannau sy'n hyrwyddo gwirio eich gwefan am malware, ond cofiwch nad yw'r rhan fwyaf ohonynt yn gwirio'ch gwefan o gwbl mewn amser real. Mae sganio malware amser real yn gofyn am offeryn cropian trydydd parti na all ddarparu canlyniadau ar unwaith. Mae'r gwefannau sy'n darparu gwiriad ar unwaith yn wefannau sydd wedi canfod bod gan eich gwefan faleiswedd yn flaenorol. Rhai o'r gwefannau gwirio malware ar y we yw:

  • Adroddiad Tryloywder Google - os yw'ch gwefan wedi'i chofrestru â Gwefeistri, byddant yn eich rhybuddio ar unwaith pan fyddant yn cropian eich gwefan ac yn dod o hyd i ddrwgwedd arno.
  • Gwe Norton Diogel - Mae Norton hefyd yn gweithredu ategion porwr gwe a meddalwedd system weithredu a fydd yn rhwystro defnyddwyr rhag agor eich tudalen gyda'r nos os ydyn nhw wedi ei rhestru. Gall perchnogion gwefannau gofrestru ar y wefan a gofyn i'w safle gael ei ail-werthuso unwaith y bydd yn lân.
  • Sucuri - Mae Sucuri yn cadw rhestr o wefannau meddalwedd faleisus ynghyd ag adroddiad ar ble maen nhw ar y rhestr ddu. Os yw'ch gwefan wedi'i glanhau, fe welwch a Gorfodi Ail-Sganio dolen o dan y rhestru (mewn print bach iawn). Mae gan Sucuri ategyn rhagorol sy'n canfod problemau ... ac yna'n eich gwthio i gontract blynyddol i'w dileu.
  • Yandex - os ydych chi'n chwilio Yandex am eich parth ac yn gweld “Yn ôl Yandex, fe allai’r wefan hon fod yn beryglus ”, gallwch gofrestru ar gyfer gwefeistri Yandex, ychwanegu eich gwefan, llywio i Diogelwch a Throseddau, a gofyn i'ch gwefan gael ei chlirio.
  • Tanc Phish - Bydd rhai hacwyr yn rhoi sgriptiau gwe-rwydo ar eich gwefan, a all gael eich parth wedi'i restru fel parth gwe-rwydo. Os nodwch union URL llawn y dudalen drwgwedd yr adroddwyd amdani yn Phishtank, gallwch gofrestru gyda Phishtank a phleidleisio a yw'n safle gwe-rwydo ai peidio.

Oni bai bod eich gwefan wedi'i chofrestru a bod gennych gyfrif monitro yn rhywle, mae'n debyg y byddwch yn cael adroddiad gan ddefnyddiwr un o'r gwasanaethau hyn. Peidiwch ag anwybyddu'r rhybudd ... er efallai na fyddwch chi'n gweld problem, anaml y bydd pethau cadarnhaol ffug yn digwydd. Gall y materion hyn gael eich gwefan i gael ei dad-fynegeio o beiriannau chwilio a'i rhwystro rhag porwyr. Yn waeth, efallai y bydd eich darpar gleientiaid a chwsmeriaid presennol yn meddwl tybed pa fath o sefydliad y maent yn gweithio gyda nhw.

Sut Ydych chi'n Gwirio am Malware?

Mae nifer o'r cwmnïau uchod yn siarad â pha mor anodd yw hi i ddod o hyd i malware ond nid yw mor anodd. Yr anhawster mewn gwirionedd yw darganfod sut y daeth i mewn i'ch gwefan! Mae cod maleisus yn cael ei leoli amlaf yn:

  • Cynnal a Chadw - Cyn unrhyw beth, cyfeiriwch ef at a tudalen cynnal a chadw ac wrth gefn eich gwefan. Peidiwch â defnyddio cynhaliaeth ddiofyn WordPress neu ategyn cynnal a chadw gan y bydd y rheini'n dal i weithredu WordPress ar y gweinydd. Rydych chi am sicrhau nad oes unrhyw un yn gweithredu unrhyw ffeil PHP ar y wefan. Tra'ch bod chi arni, gwiriwch eich . Htaccess ffeil ar y gweinydd gwe i sicrhau nad oes ganddo god twyllodrus a allai fod yn ailgyfeirio traffig.
  • Chwilio ffeiliau eich gwefan trwy SFTP neu FTP a nodi'r newidiadau ffeil diweddaraf mewn ategion, themâu, neu ffeiliau WordPress craidd. Agorwch y ffeiliau hynny a chwiliwch am unrhyw olygiadau sy'n ychwanegu sgriptiau neu orchmynion Base64 (a ddefnyddir i guddio gweithredu sgript gweinydd).
  • cymharu mae'r ffeiliau WordPress craidd yn eich cyfeirlyfr gwreiddiau, cyfeiriadur wp-admin, a chyfeiriaduron wp-include i weld a oes unrhyw ffeiliau newydd neu ffeiliau maint gwahanol yn bodoli. Datrys problemau pob ffeil. Hyd yn oed os byddwch chi'n dod o hyd i hac a'i dynnu, daliwch ati gan fod llawer o hacwyr yn gadael awyr agored i ail-heintio'r wefan. Peidiwch â trosysgrifo nac ail-osod WordPress yn unig ... mae hacwyr yn aml yn ychwanegu sgriptiau maleisus yn y cyfeirlyfr gwreiddiau ac yn galw'r sgript ryw ffordd arall i chwistrellu'r darnia. Mae'r sgriptiau meddalwedd maleisus llai cymhleth fel arfer yn mewnosod ffeiliau sgript yn unig header.php or footer.php. Bydd sgriptiau mwy cymhleth mewn gwirionedd yn addasu pob ffeil PHP ar y gweinydd gyda chod ail-chwistrellu fel bod gennych amser anodd yn ei dynnu.
  • Dileu sgriptiau hysbysebu trydydd parti a allai fod y ffynhonnell. Rwyf wedi gwrthod defnyddio rhwydweithiau ad newydd pan ddarllenais eu bod wedi cael eu hacio ar-lein.
  • Gwirio tabl cronfa ddata eich postiadau ar gyfer sgriptiau wedi'u mewnosod yng nghynnwys y dudalen. Gallwch wneud hyn trwy wneud chwiliadau syml gan ddefnyddio PHPMyAdmin a chwilio am y URLs cais neu'r tagiau sgript.

Cyn i chi roi eich gwefan yn fyw ... mae'n bryd bellach caledu'ch gwefan i atal ail-chwistrelliad ar unwaith neu hac arall:

Sut Ydych Chi Yn Atal Eich Gwefan rhag Cael Eich Hacio a Gosod Malware?

  • Gwirio pob defnyddiwr ar y wefan. Mae hacwyr yn aml yn chwistrellu sgriptiau sy'n ychwanegu defnyddiwr gweinyddol. Tynnwch unrhyw hen gyfrifon neu gyfrifon nas defnyddiwyd ac ailbennu eu cynnwys i ddefnyddiwr presennol. Os oes gennych ddefnyddiwr wedi'i enwi admin, ychwanegu gweinyddwr newydd gyda mewngofnodi unigryw a thynnu'r cyfrif gweinyddol yn gyfan gwbl.
  • Ailosod cyfrinair pob defnyddiwr. Mae llawer o wefannau yn cael eu hacio oherwydd bod defnyddiwr wedi defnyddio cyfrinair syml a ddyfalwyd mewn ymosodiad, gan alluogi rhywun i fynd i mewn i WordPress a gwneud beth bynnag yr hoffent.
  • Analluoga y gallu i olygu ategion a themâu trwy WordPress Admin. Mae'r gallu i olygu'r ffeiliau hyn yn caniatáu i unrhyw haciwr wneud yr un peth os cânt fynediad. Gwnewch y ffeiliau WordPress craidd yn anysgrifenadwy fel na all sgriptiau ailysgrifennu cod craidd. Y cyfan mewn un mae gan ategyn gwirioneddol wych sy'n darparu WordPress caledu gyda thunnell o nodweddion.
  • Manually dadlwythwch ac ailosodwch y fersiynau diweddaraf o bob ategyn sydd ei angen arnoch a thynnwch unrhyw ategion eraill. Tynnwch yr ategion gweinyddol yn llwyr sy'n rhoi mynediad uniongyrchol i ffeiliau gwefan neu'r gronfa ddata, mae'r rhain yn arbennig o beryglus.
  • Dileu a disodli'r holl ffeiliau yn eich cyfeirlyfr gwreiddiau ac eithrio'r ffolder wp-content (felly gwraidd, wp-include, wp-admin) gyda gosodiad ffres o WordPress wedi'i lawrlwytho'n uniongyrchol o'u gwefan.
  • Diff – Efallai y byddwch hefyd am wneud gwahaniaeth rhwng copi wrth gefn o'ch gwefan pan nad oedd gennych faleiswedd a'r wefan gyfredol... bydd hyn yn eich helpu i weld pa ffeiliau a olygwyd a pha newidiadau a wnaed. Mae Diff yn swyddogaeth ddatblygu sy'n cymharu cyfeiriaduron a ffeiliau ac yn rhoi cymhariaeth i chi rhwng y ddau. Gyda nifer y diweddariadau a wneir i wefannau WordPress, nid dyma'r dull hawsaf bob amser - ond weithiau mae'r cod malware yn sefyll allan.
  • Cynnal eich gwefan! Roedd gan y wefan y bûm yn gweithio arni y penwythnos hwn hen fersiwn o WordPress gyda thyllau diogelwch hysbys, hen ddefnyddwyr na ddylent gael mynediad mwyach, hen themâu, a hen ategion. Gallai fod wedi bod yn unrhyw un o'r rhain a agorodd y cwmni i gael ei hacio. Os na allwch fforddio cynnal eich gwefan, gwnewch yn siŵr ei symud i gwmni cynnal a reolir a fydd! Gallai gwario ychydig mwy o bychod ar gynnal fod wedi arbed y cwmni hwn rhag yr embaras hwn.

Unwaith y credwch fod popeth wedi'i drwsio a'i galedu, gallwch ddod â'r wefan yn ôl yn fyw trwy gael gwared ar y . Htaccess ailgyfeirio. Cyn gynted ag y bydd yn fyw, edrychwch am yr un haint ag a oedd yno o'r blaen. Fel rheol, rwy'n defnyddio offer archwilio porwr i fonitro ceisiadau rhwydwaith ar y dudalen. Rwy'n olrhain pob cais rhwydwaith i sicrhau nad yw'n ddrwgwedd nac yn ddirgel ... os ydyw, mae'n ôl i'r brig ac yn gwneud y camau drosodd a throsodd.

Cofiwch – unwaith y bydd eich gwefan yn lân, ni fydd yn cael ei thynnu oddi ar restrau du yn awtomatig. Dylech gysylltu â phob un a gwneud y cais yn unol â'n rhestr uchod.

Nid yw cael eich hacio fel hyn yn hwyl. Mae cwmnïau'n codi cannoedd o ddoleri i gael gwared ar y bygythiadau hyn. Gweithiais ddim llai nag 8 awr i helpu'r cwmni hwn i lanhau eu gwefan.

Beth ydych chi'n feddwl?

Mae'r wefan hon yn defnyddio Akismet i leihau sbam. Dysgwch sut mae eich data sylwadau yn cael ei brosesu.