Kaip patikrinti, pašalinti ir užkirsti kelią kenkėjiškoms programoms iš „WordPress“ svetainės

Kaip pašalinti kenkėjiškas programas iš „WordPress“.

Ši savaitė buvo gana užimta. Viena iš man žinomų ne pelno organizacijų atsidūrė gana keblioje padėtyje – jų „WordPress“ svetainė buvo užkrėsta kenkėjiška programa. Į svetainę buvo įsilaužta, o lankytojams, kurie atliko du skirtingus veiksmus, buvo vykdomi scenarijai:

  1. Bandė užkrėsti „Microsoft Windows“ kenkėjiška programa.
  2. Nukreipė visus vartotojus į svetainę, kurioje „JavaScript“ buvo panaudota lankytojo kompiuteriui mano kripto valiuta.

Atradau svetainę, į kurią buvo įsilaužta, kai lankiausi joje, spustelėjęs naujausią jų naujienlaiškį, ir iškart pranešiau jiems, kas vyksta. Deja, tai buvo gana agresyvus išpuolis, kurį sugebėjau pašalinti, bet iš karto perinfekavau svetainę, kai pradėjau gyventi. Tai yra gana įprasta kenkėjiškų programų įsilaužėlių praktika - jie ne tik įsilaužia į svetainę, bet ir prideda prie jos administratoriaus vartotoją arba pakeičia pagrindinį „WordPress“ failą, kuris pakartotinai įterpia įsilaužimą, jei jis pašalinamas.

Kenkėjiškos programos yra nuolatinė žiniatinklio problema. Kenkėjiškos programos naudojamos norint padidinti skelbimų paspaudimų skaičių (skelbimų sukčiavimas), išpūsti svetainės statistiką, kad reklamuotojams būtų permokėta, bandoma pasiekti lankytojų finansinius ir asmeninius duomenis, o pastaruoju metu – išgauti kriptovaliutą. Kalnakasiai gerai apmokami už duomenų gavybą, tačiau kasybos mašinų kūrimo ir elektros sąskaitų už jas apmokėjimo kaina yra didelė. Slapta naudodami kompiuterius kalnakasiai gali užsidirbti pinigų be jokių išlaidų.

„WordPress“ ir kitos įprastos platformos yra didžiuliai įsilaužėlių taikiniai, nes jie yra tiek daug interneto svetainių pagrindas. Be to, „WordPress“ turi temą ir įskiepių architektūrą, kuri neapsaugo pagrindinių svetainės failų nuo saugumo spragų. Be to, „WordPress“ bendruomenė puikiai identifikuoja ir užtaiso saugos spragas, tačiau svetainių savininkai nėra tokie budrūs, kaip atnaujinti savo svetainę su naujausiomis versijomis.

Ši konkreti svetainė buvo priglobta tradiciniame „GoDaddy“ interneto priegloboje (ne Tvarkomas "WordPress" talpinimas), kuri siūlo nulinę apsaugą. Žinoma, jie siūlo a Kenkėjiškų programų skaitytuvas ir pašalinimas tarnyba. Valdomos „WordPress“ prieglobos įmonės, tokios kaip smagratis, WP Variklis, LiquidWeb, GoDaddy ir Panteonas visi siūlo automatinius naujinimus, kad jūsų svetainės būtų atnaujintos, kai nustatomos ir pataisomos problemos. Daugelis jų nuskaito kenkėjiškas programas ir įtraukė į juodąjį sąrašą temų bei papildinių, padedančių svetainių savininkams apsisaugoti nuo įsilaužimo. Kai kurios įmonės žengia žingsnį toliau – „Kinsta“ – didelio našumo valdoma „WordPress“ priegloba – netgi siūlo a saugumo garantija.

Be to, komanda adresu jetpack siūlo puikią paslaugą kasdien automatiškai tikrinti, ar svetainėje nėra kenkėjiškų programų ir kitų pažeidžiamumų. Tai idealus sprendimas, jei savarankiškai priglobiate „WordPress“ savo infrastruktūroje.

„Jetpack“ nuskaito „WordPress“ dėl kenkėjiškų programų

Taip pat galite naudoti įperkamą trečiąją šalį kenkėjiškų programų nuskaitymo paslauga kaip Svetainių skaitytuvai, kuri kasdien nuskaitys jūsų svetainę ir praneš, ar esate įtrauktas į aktyvių kenkėjiškų programų stebėjimo paslaugų juodąjį sąrašą.

Ar jūsų svetainė įtraukta į juodąjį kenkėjiškų programų sąrašą:

Internete yra daug svetainių, kurios reklamuoja tikrinti jūsų svetainėje nėra kenkėjiškų programų, tačiau atminkite, kad dauguma jų iš tikrųjų netikrina jūsų svetainės realiuoju laiku. Kenkėjiškų programų nuskaitymui realiuoju laiku reikalingas trečiosios šalies tikrinimo įrankis, kuris negali akimirksniu pateikti rezultatų. Svetainės, kuriose pateikiama momentinė patikra, yra svetainės, kuriose anksčiau buvo rasta kenkėjiškų programų. Kai kurios kenkėjiškų programų tikrinimo svetainės žiniatinklyje yra:

  • „Google“ skaidrumo ataskaita - jei jūsų svetainė yra užregistruota žiniatinklio valdytojams, jie nedelsdami jus įspės, kai patikrins jūsų svetainę ir joje ras kenkėjiškų programų.
  • "Norton Saugus interneto - „Norton“ taip pat valdo žiniatinklio naršyklės papildinius ir operacinės sistemos programinę įrangą, kuri neleis vartotojams vakare atidaryti jūsų puslapio, jei jie jį įtraukė į juodąjį sąrašą. Svetainių savininkai gali užsiregistruoti svetainėje ir paprašyti, kad jų svetainė būtų iš naujo įvertinta, kai ji bus švari.
  • Sucuri - „Sucuri“ tvarko kenkėjiškų programų svetainių sąrašą kartu su ataskaita apie tai, kur jos buvo įtrauktos į juodąjį sąrašą. Jei jūsų svetainė bus išvalyta, pamatysite Priversti pakartotinai nuskaityti nuoroda po sąrašu (labai smulkiu šriftu). „Sucuri“ turi puikų papildinį, kuris aptinka problemas ... ir paskiria jus į metinę sutartį, kad jas pašalintumėte.
  • "Yandex" - jei ieškosite „Yandex“ savo domenui ir pamatysite „Pasak „Yandex“, ši svetainė gali būti pavojinga “, galite užsiregistruoti „Yandex“ žiniatinklio valdytojams, pridėti savo svetainę ir naršyti Saugumas ir pažeidimaiir paprašykite, kad jūsų svetainė būtų išvalyta.
  • Fishtank - Kai kurie įsilaužėliai į jūsų svetainę įdės sukčiavimo scenarijus, kurie jūsų domeną gali įtraukti į sukčiavimo domeną. Jei „Phishtank“ įvesite tikslų ir visą kenkėjiškos programos puslapio, apie kurį pranešta, URL, galite užsiregistruoti „Phishtank“ ir balsuoti, ar tai tikrai sukčiavimo svetainė.

Jei jūsų svetainė nėra užregistruota ir kažkur turite stebėjimo paskyrą, tikriausiai gausite vienos iš šių paslaugų vartotojo ataskaitą. Neignoruokite perspėjimo... nors ir nematote problemos, klaidingai teigiami rezultatai retai pasitaiko. Dėl šių problemų jūsų svetainė gali būti pašalinta iš paieškos sistemų ir užblokuota naršyklėse. Dar blogiau, jūsų potencialūs ir esami klientai gali stebėtis, su kokia organizacija jie dirba.

Kaip patikrinti, ar nėra kenkėjiškų programų?

Kai kurios iš aukščiau nurodytų įmonių kalba apie tai, kaip sunku rasti kenkėjiškų programų, tačiau tai nėra taip sunku. Iš tikrųjų sunku išsiaiškinti, kaip jis pateko į jūsų svetainę! Kenkėjiškas kodas dažniausiai yra:

  • priežiūra - Prieš viską nurodykite į a priežiūros puslapis ir sukurkite savo svetainės atsarginę kopiją. Nenaudokite numatytosios „WordPress“ priežiūros ar priežiūros papildinio, nes jie vis tiek vykdys „WordPress“ serveryje. Norite įsitikinti, kad niekas nevykdo jokio PHP failo svetainėje. Kol esate jame, patikrinkite savo .htaccess failą žiniatinklio serveryje, kad įsitikintumėte, jog jame nėra nesąžiningo kodo, kuris gali nukreipti srautą.
  • Paieška savo svetainės failus per SFTP arba FTP ir nustatykite naujausius failų pakeitimus įskiepiuose, temose ar pagrindiniuose „WordPress“ failuose. Atidarykite tuos failus ir ieškokite pakeitimų, kurie pridėtų scenarijus ar „Base64“ komandas (naudojamas serverio scenarijų vykdymui slėpti).
  • palyginti pagrindinius „WordPress“ failus jūsų šakniniame kataloge, wp-admin kataloge ir wp-include kataloguose, kad sužinotumėte, ar yra naujų failų, ar kitokio dydžio failų. Trikčių šalinimas kiekviename faile. Net jei rasite ir pašalinsite įsilaužimą, toliau ieškokite, nes daugelis įsilaužėlių palieka užpakalines duris, kad vėl užkrėstų svetainę. Negalima paprasčiausiai perrašyti ar iš naujo neįdiegti „WordPress“ ... įsilaužėliai dažnai šakniniame kataloge prideda kenkėjiškų scenarijų ir paskambina scenarijumi kitu būdu įsilaužti. Ne tokie sudėtingi kenkėjiškų programų scenarijai paprastai įterpia scenarijaus failus į header.php or footer.php. Sudėtingesni scenarijai pakeis kiekvieną serverio PHP failą su pakartotinio įvedimo kodu, kad jums būtų sunku jį pašalinti.
  • pašalinti trečiųjų šalių reklaminiai scenarijai, kurie gali būti šaltinis. Atsisakiau taikyti naujus skelbimų tinklus, kai perskaičiau, kad jie buvo nulaužti internete.
  • Tikrinti savo įrašų duomenų bazės lentelę, skirtą įterptiems scenarijus puslapio turinyje. Tai galite padaryti atlikdami paprastas paieškas naudodami PHPMyAdmin ir ieškodami užklausų URL arba scenarijaus žymų.

Prieš paskelbdami savo svetainę tiesiogiai ... atėjo laikas sugriežtinti savo svetainę, kad būtų išvengta greito pakartotinio injekcijos ar kito įsilaužimo:

Kaip išvengti įsilaužimo į jūsų svetainę ir kenkėjiškų programų įdiegimo?

  • Patikrinti kiekvienas svetainės vartotojas. Įsilaužėliai dažnai injekuoja scenarijus, kurie prideda administracinį vartotoją. Pašalinkite visas senas ar nenaudojamas paskyras ir priskirkite jų turinį esamam vartotojui. Jei turite vartotoją, pavadintą Admin, pridėkite naują administratorių su unikaliu prisijungimo vardu ir visiškai pašalinkite administratoriaus paskyrą.
  • naujo kiekvieno vartotojo slaptažodį. Daugelis svetainių yra nulaužtos, nes vartotojas naudojo paprastą slaptažodį, kuris buvo atspėtas per ataką, leidžiantis kam nors patekti į „WordPress“ ir daryti viską, ko norėtų.
  • išjungti galimybė redaguoti papildinius ir temas per „WordPress Admin“. Galimybė redaguoti šiuos failus leidžia bet kuriam hakeriui padaryti tą patį, jei gauna prieigą. Padarykite pagrindinius „WordPress“ failus nerašomus, kad scenarijai negalėtų perrašyti pagrindinio kodo. Viskas viename turi tikrai puikų papildinį, kuris teikia „WordPress“ grūdinimas su daugybe funkcijų.
  • Rankiniu atsisiųskite ir įdiekite naujausias kiekvieno reikalingo papildinio versijas ir pašalinkite kitus papildinius. Visiškai pašalinkite administracinius papildinius, kurie suteikia tiesioginę prieigą prie svetainės failų ar duomenų bazės, jie yra ypač pavojingi.
  • pašalinti ir pakeiskite visus šakninio katalogo failus, išskyrus „wp-content“ aplanką („root“, „wp-include“, „wp-admin“) nauju „WordPress“ diegimu, atsisiųstu tiesiai iš jų svetainės.
  • DIF – Taip pat galbūt norėsite padaryti skirtumą tarp atsarginės svetainės, kai neturėjote kenkėjiškų programų, ir dabartinės svetainės... tai padės pamatyti, kurie failai buvo redaguoti ir kokie pakeitimai buvo atlikti. Diff yra kūrimo funkcija, kuri lygina katalogus ir failus ir suteikia jums galimybę juos palyginti. Atsižvelgiant į „WordPress“ svetainių atnaujinimų skaičių, tai ne visada yra lengviausias būdas, tačiau kartais kenkėjiškų programų kodas tikrai išsiskiria.
  • Išlaikyti savo svetainę! Svetainėje, kurioje dirbau šį savaitgalį, buvo sena „WordPress“ versija su žinomomis saugumo spragomis, seni vartotojai, kuriems nebeturėjo prieigos, senos temos ir seni papildiniai. Tai galėjo būti bet kuris iš šių, kuris atvėrė įmonę įsilaužimui. Jei negalite sau leisti išlaikyti savo svetainės, būtinai perkelkite ją į valdomą prieglobos bendrovę, kuri tai padarys! Išleidę dar keletą dolerių prieglobai, ši kompanija galėjo išgelbėti nuo šio gėdos.

Kai tikite, kad viską sutvarkėte ir sukietėjote, galite atkurti svetainę, ją pašalinę .htaccess peradresuoti. Kai tik jis gyvas, ieškokite tos pačios infekcijos, kuri anksčiau buvo ten. Aš paprastai naudoju naršyklės tikrinimo įrankius, kad stebėčiau tinklo užklausas pagal puslapį. Stebiu kiekvieną tinklo užklausą, kad įsitikinčiau, jog tai nėra kenkėjiška programa ar paslaptinga ... jei taip, tai vėl grįžta į viršų ir vėl atlieka veiksmus.

Atminkite – kai jūsų svetainė bus švari, ji nebus automatiškai pašalinta iš juodųjų sąrašų. Turėtumėte susisiekti su kiekvienu ir pateikti užklausą pagal aukščiau pateiktą sąrašą.

Taip įsilaužti nėra smagu. Kad pašalintų šias grėsmes, įmonės ima kelis šimtus dolerių. Dirbau ne mažiau kaip 8 valandas, kad padėčiau šiai įmonei išvalyti jų svetainę.

Ką manote?

Ši svetainė naudoja "Akismet", kad sumažintų šlamštą. Sužinokite, kaip apdorojamas jūsų komentaras.