Πώς να ελέγξετε, να καταργήσετε και να αποτρέψετε κακόβουλο λογισμικό από τον ιστότοπό σας στο WordPress

malware

Αυτή η εβδομάδα ήταν πολύ απασχολημένη. Ένα από τα μη κερδοσκοπικά όργανα που γνωρίζω βρισκόταν σε πολύ δύσκολη θέση - ο ιστότοπός τους στο WordPress είχε μολυνθεί από κακόβουλο λογισμικό. Ο ιστότοπος παραβιάστηκε και εκτελέστηκαν σενάρια σε επισκέπτες που έκαναν δύο διαφορετικά πράγματα:

  1. Προσπάθησε να μολύνει τα Microsoft Windows με malware.
  2. Ανακατεύθυνση όλων των χρηστών σε έναν ιστότοπο που χρησιμοποίησε JavaScript για να αξιοποιήσει τον υπολογιστή του επισκέπτη κρυπτογράφηση.

Ανακάλυψα ότι ο ιστότοπος είχε παραβιαστεί όταν τον επισκέφτηκα αφού έκανα κλικ στο τελευταίο ενημερωτικό δελτίο τους και τους ενημέρωσα αμέσως για το τι συνέβαινε. Δυστυχώς, ήταν μια αρκετά επιθετική επίθεση που κατάφερα να καταργήσω, αλλά αμέσως ξανά μολύνθηκε ο ιστότοπος όταν μεταδόθηκα ζωντανά. Αυτή είναι μια πολύ συνηθισμένη πρακτική από τους χάκερ κακόβουλου λογισμικού - όχι μόνο παραβιάζουν τον ιστότοπο, αλλά είτε προσθέτουν έναν διαχειριστικό χρήστη στον ιστότοπο είτε τροποποιούν ένα βασικό αρχείο WordPress που επανατοποθετεί την εισβολή εάν αφαιρεθεί.

Το κακόβουλο λογισμικό είναι ένα διαρκές ζήτημα στον Ιστό. Το κακόβουλο λογισμικό χρησιμοποιείται για να διογκώσει τις αναλογίες κλικ προς αριθμό εμφανίσεων σε διαφημίσεις (απάτη διαφημίσεων), να αυξήσει τα στατιστικά στοιχεία του ιστότοπου για να υπερφορτίσει τους διαφημιζόμενους, να προσπαθήσει και να αποκτήσει πρόσβαση στα οικονομικά και προσωπικά δεδομένα των επισκεπτών και πιο πρόσφατα - για να εξορύξει το κρυπτογράφηση. Οι ανθρακωρύχοι πληρώνονται καλά για δεδομένα εξόρυξης, αλλά το κόστος κατασκευής μηχανημάτων εξόρυξης και πληρωμής των ηλεκτρικών λογαριασμών είναι σημαντικό. Με την κρυφή αξιοποίηση υπολογιστών, οι ανθρακωρύχοι μπορούν να βγάλουν λεφτά χωρίς τα έξοδα.

Το WordPress και άλλες κοινές πλατφόρμες είναι τεράστιοι στόχοι για χάκερ, δεδομένου ότι αποτελούν το θεμέλιο τόσων πολλών ιστότοπων στον ιστό. Επιπλέον, το WordPress διαθέτει αρχιτεκτονική θέματος και προσθηκών που δεν προστατεύει τα βασικά αρχεία ιστότοπου από τρύπες ασφαλείας. Επιπλέον, η κοινότητα του WordPress είναι εξαιρετική στον εντοπισμό και την επιδιόρθωση τρυπών ασφαλείας - αλλά οι ιδιοκτήτες ιστότοπων δεν είναι τόσο προσεκτικοί όσον αφορά την ενημέρωση του ιστότοπού τους με τις πιο πρόσφατες εκδόσεις.

Αυτός ο συγκεκριμένος ιστότοπος φιλοξενήθηκε στην παραδοσιακή φιλοξενία ιστοσελίδων του GoDaddy (όχι Διαχείριση φιλοξενίας του WordPress), η οποία προσφέρει μηδενική προστασία. Φυσικά, προσφέρουν ένα Σαρωτής και αφαίρεση κακόβουλου λογισμικού υπηρεσία, ωστόσο. Διαχειριζόμενες εταιρείες φιλοξενίας WordPress όπως βολάν, Κινητήρας WP, LiquidWeb, GoDaddy και Πάνθεο Όλα προσφέρουν αυτοματοποιημένες ενημερώσεις για να διατηρούν ενημερωμένους τους ιστότοπούς σας όταν εκδίδονται ταυτοποιημένα και διορθωμένα στοιχεία. Τα περισσότερα έχουν σάρωση κακόβουλου λογισμικού και θέματα και προσθήκες μαύρης λίστας για να βοηθήσουν τους κατόχους ιστότοπων να αποτρέψουν την παραβίαση. Ορισμένες εταιρείες προχωρούν ένα βήμα παραπέρα - το Kinsta - ένας υψηλής απόδοσης κεντρικός υπολογιστής WordPress - προσφέρει ακόμη και ένα εγγύηση ασφαλείας.

Είναι ο ιστότοπός σας αποκλεισμένος για κακόβουλο λογισμικό:

Υπάρχουν πολλοί ιστότοποι στο διαδίκτυο που προωθούν τον «έλεγχο» του ιστότοπού σας για κακόβουλο λογισμικό, αλλά λάβετε υπόψη ότι οι περισσότεροι από αυτούς δεν ελέγχουν καθόλου τον ιστότοπό σας σε πραγματικό χρόνο. Η σάρωση κακόβουλου λογισμικού σε πραγματικό χρόνο απαιτεί ένα εργαλείο ανίχνευσης τρίτου μέρους που δεν μπορεί να παρέχει άμεσα αποτελέσματα. Οι ιστότοποι που παρέχουν έναν στιγμιαίο έλεγχο είναι ιστότοποι που προηγουμένως βρήκαν ότι ο ιστότοπός σας είχε κακόβουλο λογισμικό. Μερικοί από τους ιστότοπους ελέγχου κακόβουλου λογισμικού στον ιστό είναι:

  • Αναφορά διαφάνειας Google - εάν ο ιστότοπός σας είναι εγγεγραμμένος σε Webmasters, θα σας ειδοποιήσει αμέσως όταν ανιχνεύσουν τον ιστότοπό σας και θα βρουν κακόβουλο λογισμικό σε αυτόν.
  • Norton Safe Web - Η Norton διαθέτει επίσης πρόσθετα προγράμματος περιήγησης ιστού και λογισμικό λειτουργικού συστήματος που θα αποκλείουν τους χρήστες από το βράδυ να ανοίξουν τη σελίδα σας εάν τη έχουν κάνει μαύρη λίστα. Οι κάτοχοι ιστότοπων μπορούν να εγγραφούν στον ιστότοπο και να ζητήσουν την εκ νέου αξιολόγηση του ιστότοπού τους όταν είναι καθαρός.
  • Sucuri - Η Sucuri διατηρεί μια λίστα με ιστότοπους κακόβουλου λογισμικού μαζί με μια αναφορά για το πού έχουν συμπεριληφθεί στη μαύρη λίστα. Εάν ο ιστότοπός σας καθαριστεί, θα δείτε ένα Αναγκάστε μια νέα σάρωση σύνδεσμος κάτω από την λίστα (σε πολύ μικρή εκτύπωση). Η Sucuri διαθέτει ένα εξαιρετικό πρόσθετο που εντοπίζει προβλήματα… και στη συνέχεια σας ωθεί σε μια ετήσια σύμβαση για την κατάργησή τους.
  • Yandex - εάν κάνετε αναζήτηση στο Yandex για τον τομέα σας και δείτε "Σύμφωνα με τον Yandex, αυτός ο ιστότοπος μπορεί να είναι επικίνδυνος », μπορείτε να εγγραφείτε για webmasters Yandex, να προσθέσετε τον ιστότοπό σας, να πλοηγηθείτε στο Ασφάλεια και παραβιάσειςκαι ζητήστε την εκκαθάριση του ιστότοπού σας.
  • Phishtank - Ορισμένοι χάκερ θα βάλουν σενάρια ηλεκτρονικού ψαρέματος στον ιστότοπό σας, οι οποίες μπορούν να καταγράψουν τον τομέα σας ως τομέα ηλεκτρονικού ψαρέματος. Εάν εισαγάγετε την ακριβή, πλήρη διεύθυνση URL της σελίδας κακόβουλου λογισμικού που αναφέρθηκε στο Phishtank, μπορείτε να εγγραφείτε στο Phishtank και να ψηφίσετε εάν είναι πραγματικά ένας ιστότοπος ηλεκτρονικού ψαρέματος.

Εκτός αν ο ιστότοπός σας είναι εγγεγραμμένος και δεν έχετε λογαριασμό παρακολούθησης κάπου, πιθανότατα θα λάβετε μια αναφορά από έναν χρήστη μιας από αυτές τις υπηρεσίες. Μην αγνοείτε την ειδοποίηση… ενώ μπορεί να μην βλέπετε κάποιο πρόβλημα, σπάνια συμβαίνουν ψευδώς θετικά. Αυτά τα ζητήματα μπορούν να καταργήσουν το ευρετήριο του ιστότοπού σας από μηχανές αναζήτησης και να αποκλειστούν από προγράμματα περιήγησης. Ακόμη χειρότερα, οι δυνητικοί πελάτες σας και οι υπάρχοντες πελάτες σας μπορεί να αναρωτιούνται με τι είδους οργανισμό συνεργάζονται.

Πώς ελέγχετε για κακόβουλο λογισμικό;

Αρκετές από τις παραπάνω εταιρείες μιλούν για το πόσο δύσκολο είναι να βρουν κακόβουλο λογισμικό, αλλά δεν είναι τόσο δύσκολο. Το δύσκολο είναι να καταλάβεις πώς μπήκε στον ιστότοπό σου! Ο κακόβουλος κώδικας βρίσκεται πιο συχνά στη διεύθυνση:

  • Συντήρηση - Πριν από οτιδήποτε, δείξτε το σε ένα σελίδα συντήρησης και δημιουργήστε αντίγραφα ασφαλείας του ιστότοπού σας. Μην χρησιμοποιείτε την προεπιλεγμένη συντήρηση του WordPress ή ένα πρόσθετο συντήρησης, καθώς αυτά θα συνεχίσουν να εκτελούν το WordPress στον διακομιστή. Θέλετε να βεβαιωθείτε ότι κανείς δεν εκτελεί κανένα αρχείο PHP στον ιστότοπο. Ενώ είστε σε αυτό, ελέγξτε το .htaccess αρχείο στον διακομιστή ιστού για να βεβαιωθείτε ότι δεν διαθέτει απατεώνα κώδικα που μπορεί να ανακατευθύνει την κυκλοφορία.
  • Βρες τα αρχεία του ιστότοπού σας μέσω SFTP ή FTP και προσδιορίστε τις τελευταίες αλλαγές αρχείων σε προσθήκες, θέματα ή βασικά αρχεία WordPress. Ανοίξτε αυτά τα αρχεία και αναζητήστε τυχόν τροποποιήσεις που προσθέτουν σενάρια ή εντολές Base64 (χρησιμοποιούνται για απόκρυψη εκτέλεσης σεναρίου διακομιστή).
  • Συγκρίνω τα βασικά αρχεία WordPress στον κατάλογο ρίζας σας, στον κατάλογο wp-admin και στους καταλόγους wp-include για να δείτε εάν υπάρχουν νέα αρχεία ή αρχεία διαφορετικού μεγέθους. Αντιμετώπιση προβλημάτων κάθε αρχείου. Ακόμα κι αν εντοπίσετε και καταργήσετε μια εισβολή, συνεχίστε να ψάχνετε, καθώς πολλοί χάκερ εγκαταλείπουν το δρόμο για να μολύνουν ξανά τον ιστότοπο. Μην απλώς αντικαθιστάτε ή επανεγκαθιστάτε το WordPress… οι εισβολείς συχνά προσθέτουν κακόβουλα σενάρια στον ριζικό κατάλογο και καλούν το σενάριο με κάποιον άλλο τρόπο για να κάνουν την εισβολή. Τα λιγότερο περίπλοκα σενάρια κακόβουλου λογισμικού συνήθως εισάγουν αρχεία σεναρίου header.php or footer.php. Πιο περίπλοκα σενάρια θα τροποποιήσουν πραγματικά κάθε αρχείο PHP στο διακομιστή με κωδικό εκ νέου ένεσης, ώστε να δυσκολευτείτε να το αφαιρέσετε.
  • ΑΦΑΙΡΕΣΗ διαφημιστικά σενάρια τρίτων που μπορεί να είναι η πηγή Αρνήθηκα να εφαρμόσω νέα δίκτυα διαφημίσεων όταν έχω διαβάσει ότι έχουν παραβιαστεί στο διαδίκτυο.
  • Έλεγχος  ο πίνακας βάσεων δεδομένων αναρτήσεων για ενσωματωμένα σενάρια στο περιεχόμενο της σελίδας. Μπορείτε να το κάνετε κάνοντας απλές αναζητήσεις χρησιμοποιώντας το PHPMyAdmin και αναζητώντας τις διευθύνσεις URL ή τις ετικέτες σεναρίου.

Πριν βάλετε τον ιστότοπό σας ζωντανά… ήρθε η ώρα να σκληρύνετε τον ιστότοπό σας για να αποτρέψετε την άμεση επανεγχύση ή άλλη παραβίαση:

Πώς αποτρέπετε την παραβίαση του ιστότοπού σας και την εγκατάσταση κακόβουλου λογισμικού;

  • Επαλήθευση κάθε χρήστης στον ιστότοπο. Οι χάκερ συχνά εισάγουν σενάρια που προσθέτουν έναν διαχειριστή χρήστη. Καταργήστε τυχόν παλιούς ή αχρησιμοποίητους λογαριασμούς και εκχωρήστε εκ νέου το περιεχόμενό τους σε έναν υπάρχοντα χρήστη. Εάν έχετε όνομα χρήστη διαχειριστής, προσθέστε έναν νέο διαχειριστή με μοναδική σύνδεση και καταργήστε εντελώς τον λογαριασμό διαχειριστή.
  • Επαναφορά τον κωδικό πρόσβασης κάθε χρήστη. Πολλοί ιστότοποι έχουν παραβιαστεί επειδή ένας χρήστης χρησιμοποίησε έναν απλό κωδικό πρόσβασης που μαντέφτηκε σε μια επίθεση, επιτρέποντας σε κάποιον να μπει στο WordPress και να κάνει ό, τι θέλει.
  • Απενεργοποίηση τη δυνατότητα επεξεργασίας προσθηκών και θεμάτων μέσω του Διαχειριστή WordPress. Η δυνατότητα επεξεργασίας αυτών των αρχείων επιτρέπει σε κάθε χάκερ να κάνει το ίδιο εάν αποκτήσει πρόσβαση. Κάντε τα βασικά αρχεία WordPress μη εγγράψιμα, ώστε τα σενάρια να μην μπορούν να ξαναγράψουν τον βασικό κώδικα. Όλα σε Ένα έχει μια πολύ καλή προσθήκη που παρέχει WordPress σκλήρυνση με πολλά χαρακτηριστικά.
  • χειροκίνητα κατεβάστε και επανεγκαταστήστε τις τελευταίες εκδόσεις κάθε plugin που χρειάζεστε και αφαιρέστε τυχόν άλλες προσθήκες. Καταργήστε εντελώς τα πρόσθετα διαχείρισης που παρέχουν άμεση πρόσβαση σε αρχεία ιστότοπου ή στη βάση δεδομένων, αυτά είναι ιδιαίτερα επικίνδυνα.
  • ΑΦΑΙΡΕΣΗ και αντικαταστήστε όλα τα αρχεία στον ριζικό σας κατάλογο με την εξαίρεση του φακέλου περιεχομένου wp (έτσι root, wp-include, wp-admin) με μια νέα εγκατάσταση του WordPress που κατεβάστηκε απευθείας από τον ιστότοπό τους.
  • Διατηρήστε ο ιστότοπός σας! Ο ιστότοπος που δούλευα αυτό το Σαββατοκύριακο είχε μια παλιά έκδοση του WordPress με γνωστές τρύπες ασφαλείας, παλιούς χρήστες που δεν θα έπρεπε πλέον να έχουν πρόσβαση, παλιά θέματα και παλιά plugins. Θα μπορούσε να ήταν οποιοδήποτε από αυτά που άνοιξε την εταιρεία για να χακαριστεί. Εάν δεν μπορείτε να συντηρήσετε τον ιστότοπό σας, φροντίστε να τον μετακινήσετε σε μια διαχειριζόμενη εταιρεία φιλοξενίας που θα το κάνει! Το να ξοδέψετε λίγα περισσότερα χρήματα στη φιλοξενία θα μπορούσε να σώσει αυτήν την εταιρεία από αυτήν την αμηχανία.

Μόλις πιστέψετε ότι έχετε διορθώσει και σκληρύνει τα πάντα, μπορείτε να επαναφέρετε τον ιστότοπο ζωντανό καταργώντας το .htaccess διευθύνω πάλιν. Μόλις είναι ζωντανή, αναζητήστε την ίδια λοίμωξη που ήταν προηγουμένως εκεί. Χρησιμοποιώ συνήθως εργαλεία επιθεώρησης ενός προγράμματος περιήγησης για την παρακολούθηση αιτημάτων δικτύου από τη σελίδα. Παρακολουθώ κάθε αίτημα δικτύου για να βεβαιωθώ ότι δεν είναι κακόβουλο λογισμικό ή μυστηριώδες… αν είναι, επιστρέφει στην κορυφή και κάνει τα βήματα ξανά.

Μπορείτε επίσης να χρησιμοποιήσετε ένα προσιτό τρίτο μέρος υπηρεσία σάρωσης κακόβουλου λογισμικού όπως Σαρωτές ιστότοπου, η οποία θα σαρώνει τον ιστότοπό σας καθημερινά και θα σας ενημερώνει εάν έχετε μαύρη λίστα ή όχι σε ενεργές υπηρεσίες παρακολούθησης κακόβουλου λογισμικού. Να θυμάστε - όταν ο ιστότοπός σας είναι καθαρός, δεν θα καταργηθεί αυτόματα από τις μαύρες λίστες. Θα πρέπει να επικοινωνήσετε με το καθένα και να υποβάλετε το αίτημα σύμφωνα με την παραπάνω λίστα.

Το να χακάρεις έτσι δεν είναι διασκεδαστικό. Οι εταιρείες χρεώνουν αρκετές εκατοντάδες δολάρια για την εξάλειψη αυτών των απειλών. Δούλεψα τουλάχιστον 8 ώρες για να βοηθήσω αυτήν την εταιρεία να καθαρίσει τον ιστότοπό της.

Ποια είναι η γνώμη σας;

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει το spam. Μάθετε πώς επεξεργάζονται τα δεδομένα των σχολίων σας.