Sut i Wirio, Dileu, ac Atal Malware o'ch Safle WordPress

malware

Roedd yr wythnos hon yn eithaf prysur. Roedd un o'r di-elw y gwn ei fod yn eithaf anodd - roedd eu gwefan WordPress wedi'i heintio â meddalwedd faleisus. Cafodd y wefan ei hacio a gweithredwyd sgriptiau ar ymwelwyr a wnaeth ddau beth gwahanol:

  1. Wedi ceisio heintio Microsoft Windows gyda malware.
  2. Ailgyfeirio'r holl ddefnyddwyr i safle a ddefnyddiodd JavaScript i harneisio cyfrifiadur yr ymwelydd iddo cryptocurrency mwynglawdd.

Darganfyddais fod y wefan wedi'i hacio pan ymwelais â hi ar ôl clicio drwodd ar eu cylchlythyr diweddaraf a rhoddais wybod iddynt ar unwaith am yr hyn oedd yn digwydd. Yn anffodus, roedd yn ymosodiad eithaf ymosodol y llwyddais i gael gwared arno ond ailddiffiniais y safle ar unwaith wrth fynd yn fyw. Mae hyn yn arfer eithaf cyffredin gan hacwyr meddalwedd faleisus - maent nid yn unig yn hacio’r wefan, maent hefyd naill ai’n ychwanegu defnyddiwr gweinyddol i’r wefan neu’n newid ffeil WordPress graidd sy’n ail-chwistrellu’r hac os caiff ei dynnu.

Mae meddalwedd maleisus yn fater parhaus ar y we. Defnyddir meddalwedd faleisus i chwyddo cyfraddau clicio drwodd ar hysbysebion (twyll ad), chwyddo ystadegau safle i godi gormod ar hysbysebwyr, i geisio sicrhau mynediad at ddata ariannol a phersonol ymwelwyr, ac yn fwyaf diweddar - i fwyngloddio cryptocurrency. Mae glowyr yn cael eu talu'n dda am ddata mwyngloddio ond mae'r gost i adeiladu peiriannau mwyngloddio a thalu'r biliau trydan amdanynt yn sylweddol. Trwy harneisio cyfrifiaduron yn gyfrinachol, gall glowyr wneud arian heb y gost.

Mae WordPress a llwyfannau cyffredin eraill yn dargedau enfawr i hacwyr gan mai nhw yw sylfaen cymaint o wefannau ar y we. Yn ogystal, mae gan WordPress thema a phensaernïaeth ategyn nad yw'n amddiffyn ffeiliau safle craidd rhag tyllau diogelwch. Yn ogystal, mae'r gymuned WordPress yn rhagorol o ran nodi a chlytio tyllau diogelwch - ond nid yw perchnogion gwefannau mor wyliadwrus ynghylch diweddaru eu gwefan gyda'r fersiynau diweddaraf.

Cynhaliwyd y wefan benodol hon ar we-letya traddodiadol GoDaddy (ddim Cynnal WordPress wedi'i reoli), sy'n cynnig amddiffyniad sero. Wrth gwrs, maen nhw'n cynnig a Sganiwr Malware a'i dynnu gwasanaeth, er. Rheoli cwmnïau cynnal WordPress fel flywheel, Engine WP, LiquidWeb, GoDaddy, a Pantheon mae pob un yn cynnig diweddariadau awtomataidd i roi'r wybodaeth ddiweddaraf i'ch gwefannau pan fydd materion yn cael eu nodi a'n clytio. Mae gan y mwyafrif ohonynt sganio meddalwedd maleisus a themâu ac ategion ar y rhestr ddu i helpu perchnogion safleoedd i atal hac. Mae rhai cwmnïau'n mynd gam ymhellach - mae Kinsta - gwesteiwr WordPress a Reolir perfformiad uchel - hyd yn oed yn cynnig a gwarant diogelwch.

A yw Eich Gwefan ar Restr Ddu ar gyfer Malware:

Mae yna lawer o wefannau ar-lein sy'n hyrwyddo “gwirio” eich gwefan am ddrwgwedd, ond cofiwch nad yw'r mwyafrif ohonyn nhw mewn gwirionedd yn gwirio'ch gwefan o gwbl mewn amser real. Mae sganio meddalwedd maleisus amser real yn gofyn am offeryn cropian trydydd parti na all ddarparu canlyniadau ar unwaith. Mae'r safleoedd sy'n darparu gwiriad ar unwaith yn wefannau a ganfu yn flaenorol fod gan eich gwefan ddrwgwedd. Dyma rai o'r gwefannau gwirio meddalwedd faleisus ar y we:

  • Adroddiad Tryloywder Google - os yw'ch gwefan wedi'i chofrestru â Gwefeistri, byddant yn eich rhybuddio ar unwaith pan fyddant yn cropian eich gwefan ac yn dod o hyd i ddrwgwedd arno.
  • Gwe Norton Diogel - Mae Norton hefyd yn gweithredu ategion porwr gwe a meddalwedd system weithredu a fydd yn rhwystro defnyddwyr rhag agor eich tudalen gyda'r nos os ydyn nhw wedi ei rhestru. Gall perchnogion gwefannau gofrestru ar y wefan a gofyn i'w safle gael ei ail-werthuso unwaith y bydd yn lân.
  • Sucuri - Mae Sucuri yn cadw rhestr o wefannau meddalwedd faleisus ynghyd ag adroddiad ar ble maen nhw ar y rhestr ddu. Os yw'ch gwefan wedi'i glanhau, fe welwch a Gorfodi Ail-Sganio dolen o dan y rhestru (mewn print bach iawn). Mae gan Sucuri ategyn rhagorol sy'n canfod problemau ... ac yna'n eich gwthio i gontract blynyddol i'w dileu.
  • Yandex - os ydych chi'n chwilio Yandex am eich parth ac yn gweld “Yn ôl Yandex, fe allai’r wefan hon fod yn beryglus ”, gallwch gofrestru ar gyfer gwefeistri Yandex, ychwanegu eich gwefan, llywio i Diogelwch a Throseddau, a gofyn i'ch gwefan gael ei chlirio.
  • Phishtank - Bydd rhai hacwyr yn rhoi sgriptiau gwe-rwydo ar eich gwefan, a all gael eich parth wedi'i restru fel parth gwe-rwydo. Os nodwch union URL llawn y dudalen drwgwedd yr adroddwyd amdani yn Phishtank, gallwch gofrestru gyda Phishtank a phleidleisio a yw'n safle gwe-rwydo ai peidio.

Oni bai bod eich gwefan wedi'i chofrestru a bod gennych gyfrif monitro yn rhywle, mae'n debyg y byddwch yn cael adroddiad gan ddefnyddiwr un o'r gwasanaethau hyn. Peidiwch ag anwybyddu'r rhybudd ... er efallai na welwch broblem, anaml y bydd pethau ffug yn digwydd. Gall y materion hyn gael eich gwefan wedi'i dad-fynegeio o beiriannau chwilio a'i rhwystro rhag porwyr. Yn waeth, efallai y bydd eich darpar gleientiaid a'ch cwsmeriaid presennol yn meddwl tybed pa fath o sefydliad maen nhw'n gweithio gyda nhw.

Sut Ydych chi'n Gwirio am Malware?

Mae nifer o'r cwmnïau uchod yn siarad â pha mor anodd yw dod o hyd i ddrwgwedd ond nid yw mor anodd. Yr anodd mewn gwirionedd yw darganfod sut yr aeth i mewn i'ch gwefan! Mae cod maleisus i'w gael amlaf yn:

  • Cynnal a Chadw - Cyn unrhyw beth, cyfeiriwch ef at a tudalen cynnal a chadw ac wrth gefn eich gwefan. Peidiwch â defnyddio cynhaliaeth ddiofyn WordPress neu ategyn cynnal a chadw gan y bydd y rheini'n dal i weithredu WordPress ar y gweinydd. Rydych chi am sicrhau nad oes unrhyw un yn gweithredu unrhyw ffeil PHP ar y wefan. Tra'ch bod chi arni, gwiriwch eich . Htaccess ffeilio ar y gweinydd gwe i sicrhau nad oes ganddo god twyllodrus a allai fod yn ailgyfeirio traffig.
  • Chwilio ffeiliau eich gwefan trwy SFTP neu FTP a nodi'r newidiadau ffeil diweddaraf mewn ategion, themâu, neu ffeiliau WordPress craidd. Agorwch y ffeiliau hynny a chwiliwch am unrhyw olygiadau sy'n ychwanegu sgriptiau neu orchmynion Base64 (a ddefnyddir i guddio gweithredu sgript gweinydd).
  • cymharu mae'r ffeiliau WordPress craidd yn eich cyfeirlyfr gwreiddiau, cyfeiriadur wp-admin, a chyfeiriaduron wp-include i weld a oes unrhyw ffeiliau newydd neu ffeiliau maint gwahanol yn bodoli. Datrys problemau pob ffeil. Hyd yn oed os byddwch chi'n dod o hyd i hac a'i dynnu, daliwch ati i edrych gan fod llawer o hacwyr yn gadael awyr agored i ail-heintio'r wefan. Peidiwch â trosysgrifo nac ail-osod WordPress yn unig ... mae hacwyr yn aml yn ychwanegu sgriptiau maleisus yn y cyfeirlyfr gwreiddiau ac yn galw'r sgript ryw ffordd arall i chwistrellu'r darnia. Mae'r sgriptiau meddalwedd maleisus llai cymhleth fel arfer yn mewnosod ffeiliau sgript yn unig header.php or footer.php. Bydd sgriptiau mwy cymhleth mewn gwirionedd yn addasu pob ffeil PHP ar y gweinydd gyda chod ail-chwistrellu fel bod gennych amser anodd yn ei dynnu.
  • Dileu sgriptiau hysbysebu trydydd parti a allai fod y ffynhonnell. Rwyf wedi gwrthod defnyddio rhwydweithiau ad newydd pan ddarllenais eu bod wedi cael eu hacio ar-lein.
  • Gwirio  tabl cronfa ddata eich swyddi ar gyfer sgriptiau wedi'u hymgorffori yng nghynnwys y dudalen. Gallwch wneud hyn trwy wneud chwiliadau syml gan ddefnyddio PHPMyAdmin a chwilio am yr URLau cais neu'r tagiau sgript.

Cyn i chi roi eich gwefan yn fyw ... mae'n bryd bellach caledu'ch gwefan i atal ail-chwistrelliad ar unwaith neu hac arall:

Sut Ydych Chi Yn Atal Eich Gwefan rhag Cael Eich Hacio a Gosod Malware?

  • Gwirio pob defnyddiwr ar y wefan. Mae hacwyr yn aml yn chwistrellu sgriptiau sy'n ychwanegu defnyddiwr gweinyddol. Tynnwch unrhyw hen gyfrifon neu gyfrifon nas defnyddiwyd ac ailbennu eu cynnwys i ddefnyddiwr presennol. Os oes gennych ddefnyddiwr wedi'i enwi admin, ychwanegu gweinyddwr newydd gyda mewngofnodi unigryw a thynnu'r cyfrif gweinyddol yn gyfan gwbl.
  • Ailosod cyfrinair pob defnyddiwr. Mae llawer o wefannau yn cael eu hacio oherwydd bod defnyddiwr wedi defnyddio cyfrinair syml a ddyfalwyd mewn ymosodiad, gan alluogi rhywun i fynd i mewn i WordPress a gwneud beth bynnag yr hoffent.
  • Analluoga y gallu i olygu ategion a themâu trwy WordPress Admin. Mae'r gallu i olygu'r ffeiliau hyn yn caniatáu i unrhyw haciwr wneud yr un peth os cânt fynediad. Gwnewch y ffeiliau WordPress craidd yn anysgrifenadwy fel na all sgriptiau ailysgrifennu cod craidd. Y cyfan mewn un mae gan ategyn gwirioneddol wych sy'n darparu WordPress caledu gyda thunnell o nodweddion.
  • Manually dadlwythwch ac ailosodwch y fersiynau diweddaraf o bob ategyn sydd ei angen arnoch a thynnwch unrhyw ategion eraill. Tynnwch yr ategion gweinyddol yn llwyr sy'n rhoi mynediad uniongyrchol i ffeiliau gwefan neu'r gronfa ddata, mae'r rhain yn arbennig o beryglus.
  • Dileu a disodli'r holl ffeiliau yn eich cyfeirlyfr gwreiddiau ac eithrio'r ffolder wp-content (felly gwraidd, wp-include, wp-admin) gyda gosodiad ffres o WordPress wedi'i lawrlwytho'n uniongyrchol o'u gwefan.
  • Cynnal eich gwefan! Roedd gan y wefan y bûm yn gweithio arni y penwythnos hwn hen fersiwn o WordPress gyda thyllau diogelwch hysbys, hen ddefnyddwyr na ddylent gael mynediad mwyach, hen themâu, a hen ategion. Gallai fod wedi bod yn unrhyw un o'r rhain a agorodd y cwmni i gael ei hacio. Os na allwch fforddio cynnal eich gwefan, gwnewch yn siŵr ei symud i gwmni cynnal a reolir a fydd! Gallai gwario ychydig mwy o bychod ar gynnal fod wedi arbed y cwmni hwn rhag yr embaras hwn.

Unwaith y credwch fod popeth wedi'i drwsio a'i galedu, gallwch ddod â'r wefan yn ôl yn fyw trwy gael gwared ar y . Htaccess ailgyfeirio. Cyn gynted ag y bydd yn fyw, edrychwch am yr un haint ag a oedd yno o'r blaen. Fel rheol, rwy'n defnyddio offer archwilio porwr i fonitro ceisiadau rhwydwaith ar y dudalen. Rwy'n olrhain pob cais rhwydwaith i sicrhau nad yw'n ddrwgwedd nac yn ddirgel ... os ydyw, mae'n ôl i'r brig ac yn gwneud y camau drosodd a throsodd.

Gallwch hefyd ddefnyddio trydydd parti fforddiadwy gwasanaeth sganio meddalwedd faleisus fel Sganwyr Safle, a fydd yn sganio'ch gwefan yn ddyddiol ac yn rhoi gwybod i chi a ydych chi ar restr ddu ar wasanaethau monitro meddalwedd maleisus gweithredol ai peidio. Cofiwch - unwaith y bydd eich gwefan yn lân, ni fydd yn cael ei thynnu oddi ar restrau du yn awtomatig. Dylech gysylltu â phob un a gwneud y cais yn unol â'n rhestr uchod.

Nid yw cael eich hacio fel hyn yn hwyl. Mae cwmnïau'n codi cannoedd o ddoleri i gael gwared ar y bygythiadau hyn. Gweithiais ddim llai nag 8 awr i helpu'r cwmni hwn i lanhau eu gwefan.

Beth ydych chi'n feddwl?

Mae'r wefan hon yn defnyddio Akismet i leihau sbam. Dysgwch sut mae eich data sylwadau yn cael ei brosesu.