Kaip patikrinti, pašalinti ir užkirsti kelią kenkėjiškoms programoms iš „WordPress“ svetainės

kenkėjiška programa

Ši savaitė buvo gana užimta. Vienas iš pelno nesiekiančių subjektų, kurį žinau, atsidūrė gana keblioje situacijoje - jų „WordPress“ svetainė buvo užkrėsta kenkėjiškomis programomis. Svetainė buvo nulaužta ir lankytojams buvo vykdomi scenarijai, kurie atliko du skirtingus dalykus:

  1. Bandė užkrėsti „Microsoft Windows“ kenkėjiška programa.
  2. Nukreipė visus vartotojus į svetainę, kurioje „JavaScript“ buvo panaudota lankytojo kompiuteriui mano kripto valiuta.

Atradau svetainę, į kurią buvo įsilaužta, kai lankiausi joje, spustelėjęs naujausią jų naujienlaiškį, ir iškart pranešiau jiems, kas vyksta. Deja, tai buvo gana agresyvus išpuolis, kurį sugebėjau pašalinti, bet iš karto perinfekavau svetainę, kai pradėjau gyventi. Tai yra gana įprasta kenkėjiškų programų įsilaužėlių praktika - jie ne tik įsilaužia į svetainę, bet ir prideda prie jos administratoriaus vartotoją arba pakeičia pagrindinį „WordPress“ failą, kuris pakartotinai įterpia įsilaužimą, jei jis pašalinamas.

Kenkėjiškos programos yra nuolatinė žiniatinklio problema. Kenkėjiška programa naudojama siekiant padidinti skelbimų paspaudimų rodiklius (sukčiavimą dėl skelbimų), padidinti statistiką svetainėse, kad būtų galima perkainoti reklamuotojus, bandyti pasiekti prieigą prie lankytojų finansinių ir asmeninių duomenų, o pastaruoju metu - į kriptovaliutą. Kalnakasiams už kasybos duomenis mokama gerai, tačiau kasybos mašinų sukūrimas ir už jas sumokėtos elektros sąskaitos yra nemažos. Slapta naudodamiesi kompiuteriais, kalnakasiai gali užsidirbti pinigų be išlaidų.

„WordPress“ ir kitos įprastos platformos yra didžiuliai įsilaužėlių taikiniai, nes jie yra tiek daug interneto svetainių pagrindas. Be to, „WordPress“ turi temą ir įskiepių architektūrą, kuri neapsaugo pagrindinių svetainės failų nuo saugumo spragų. Be to, „WordPress“ bendruomenė puikiai identifikuoja ir užtaiso saugos spragas, tačiau svetainių savininkai nėra tokie budrūs, kaip atnaujinti savo svetainę su naujausiomis versijomis.

Ši konkreti svetainė buvo priglobta tradiciniame „GoDaddy“ interneto priegloboje (ne Tvarkomas "WordPress" talpinimas), kuri siūlo nulinę apsaugą. Žinoma, jie siūlo a Kenkėjiškų programų skaitytuvas ir pašalinimas tarnyba. Valdomos „WordPress“ prieglobos įmonės, tokios kaip smagratis, WP Variklis, LiquidWeb, GoDaddy ir Panteonas visi siūlo automatinius naujinius, kad jūsų svetainės būtų atnaujintos, kai bus nustatytos ir pataisytos problemos. Daugelis turi kenkėjiškų programų nuskaitymo ir juodojo sąrašo temų bei papildinių, kurie padės svetainių savininkams išvengti įsilaužimo. Kai kurios įmonės žengia dar žingsnį toliau - „Kinsta“ - didelio našumo „Managed WordPress“ priegloba - netgi siūlo saugumo garantija.

Ar jūsų svetainė įtraukta į juodąjį kenkėjiškų programų sąrašą:

Yra daugybė internetinių svetainių, kuriose reklamuojamas jūsų svetainės „patikrinimas“ dėl kenkėjiškų programų, tačiau nepamirškite, kad dauguma jų iš tikrųjų netikrina jūsų svetainės realiuoju laiku. Realaus laiko kenkėjiškų programų nuskaitymui reikalingas trečiosios šalies tikrinimo įrankis, kuris negali iškart pateikti rezultatų. Svetainės, kuriose atliekamas momentinis patikrinimas, yra svetainės, kurios anksčiau rado jūsų svetainėje kenkėjiškų programų. Kai kurios kenkėjiškų programų žiniatinklio svetainės yra šios:

  • „Google“ skaidrumo ataskaita - jei jūsų svetainė yra užregistruota žiniatinklio valdytojams, jie nedelsdami jus įspės, kai patikrins jūsų svetainę ir ras joje kenkėjišką programą.
  • "Norton Saugus interneto - „Norton“ taip pat valdo žiniatinklio naršyklės papildinius ir operacinės sistemos programinę įrangą, kuri neleis vartotojams vakare atidaryti jūsų puslapio, jei jie jį įtraukė į juodąjį sąrašą. Svetainių savininkai gali užsiregistruoti svetainėje ir paprašyti, kad jų svetainė būtų iš naujo įvertinta, kai ji bus švari.
  • Sucuri - „Sucuri“ tvarko kenkėjiškų programų svetainių sąrašą kartu su ataskaita apie tai, kur jos buvo įtrauktos į juodąjį sąrašą. Jei jūsų svetainė bus išvalyta, pamatysite Priversti pakartotinai nuskaityti nuoroda po sąrašu (labai smulkiu šriftu). „Sucuri“ turi puikų papildinį, kuris aptinka problemas ... ir paskiria jus į metinę sutartį, kad jas pašalintumėte.
  • "Yandex" - jei ieškosite „Yandex“ savo domenui ir pamatysite „Pasak „Yandex“, ši svetainė gali būti pavojinga “, galite užsiregistruoti „Yandex“ žiniatinklio valdytojams, pridėti savo svetainę ir naršyti Saugumas ir pažeidimaiir paprašykite, kad jūsų svetainė būtų išvalyta.
  • Phishtank - Kai kurie įsilaužėliai į jūsų svetainę įdės sukčiavimo scenarijus, todėl jūsų domenas gali būti įtrauktas į sukčiavimo domeną. Jei „Phishtank“ įvesite tikslų ir išsamų kenkėjiškų programų puslapio URL, galite užsiregistruoti „Phishtank“ ir balsuoti, ar tai tikrai sukčiavimo svetainė.

Išskyrus atvejus, kai jūsų svetainė yra užregistruota ir kur nors turite stebėjimo paskyrą, tikriausiai gausite vienos iš šių paslaugų vartotojo ataskaitą. Neignoruokite perspėjimo ... nors ir nematote problemos, klaidingi teiginiai pasitaiko retai. Dėl šių problemų jūsų svetainė gali būti indeksuojama iš paieškos sistemų ir blokuojama naršyklėse. Dar blogiau, jūsų potencialiems klientams ir esamiems klientams gali kilti klausimas, su kokia organizacija jie dirba.

Kaip patikrinti, ar nėra kenkėjiškų programų?

Keletas aukščiau išvardintų bendrovių kalba apie tai, kaip sunku rasti kenkėjiškų programų, tačiau tai nėra taip sunku. Iš tikrųjų sunku suprasti, kaip jis pateko į jūsų svetainę! Kenkėjiškas kodas dažniausiai yra:

  • priežiūra - Prieš viską nurodykite į a priežiūros puslapis ir sukurkite savo svetainės atsarginę kopiją. Nenaudokite numatytosios „WordPress“ priežiūros ar priežiūros papildinio, nes jie vis tiek vykdys „WordPress“ serveryje. Norite įsitikinti, kad niekas nevykdo jokio PHP failo svetainėje. Kol esate jame, patikrinkite savo .htaccess failą žiniatinklio serveryje, kad įsitikintumėte, jog jame nėra nesąžiningo kodo, kuris gali nukreipti srautą.
  • Paieška savo svetainės failus per SFTP arba FTP ir nustatykite naujausius failų pakeitimus įskiepiuose, temose ar pagrindiniuose „WordPress“ failuose. Atidarykite tuos failus ir ieškokite redagavimų, kurie pridėtų scenarijus ar „Base64“ komandas (naudojamas serverio scenarijų vykdymui slėpti).
  • palyginti pagrindinius „WordPress“ failus jūsų šakniniame kataloge, wp-admin kataloge ir wp-include kataloguose, kad sužinotumėte, ar yra naujų failų, ar kitokio dydžio failų. Trikčių šalinimas kiekviename faile. Net jei rasite ir pašalinsite įsilaužimą, toliau ieškokite, nes daugelis įsilaužėlių palieka užpakalines duris, kad iš naujo užkrėstų svetainę. Negalima paprasčiausiai perrašyti ar iš naujo neįdiegti „WordPress“ ... įsilaužėliai dažnai šakniniame kataloge prideda kenkėjiškų scenarijų ir paskambina scenarijumi kitu būdu įsilaužti. Ne tokie sudėtingi kenkėjiškų programų scenarijai paprastai įterpia scenarijų failus į header.php or footer.php. Sudėtingesni scenarijai pakeis kiekvieną serverio PHP failą su pakartotinio įvedimo kodu, kad jums būtų sunku jį pašalinti.
  • pašalinti trečiųjų šalių reklaminiai scenarijai, kurie gali būti šaltinis. Atsisakiau taikyti naujus skelbimų tinklus, kai perskaičiau, kad į juos buvo įsilaužta internete.
  • Tikrinti  jūsų žinučių duomenų bazės lentelė, skirta įdėtiems scenarijams puslapio turinyje. Tai galite padaryti atlikdami paprastas paieškas naudodami PHPMyAdmin ir ieškodami užklausos URL ar scenarijaus žymų.

Prieš paskelbdami savo svetainę tiesiogiai ... dabar laikas sugriežtinti savo svetainę, kad būtų išvengta tiesioginio pakartotinio injekcijos ar kito įsilaužimo:

Kaip išvengti įsilaužimo į jūsų svetainę ir kenkėjiškų programų įdiegimo?

  • Patikrinti kiekvienas svetainės vartotojas. Įsilaužėliai dažnai injekuoja scenarijus, kurie prideda administracinį vartotoją. Pašalinkite visas senas ar nenaudojamas paskyras ir priskirkite jų turinį esamam vartotojui. Jei turite vartotoją, pavadintą Admin, pridėkite naują administratorių su unikaliu prisijungimo vardu ir visiškai pašalinkite administratoriaus paskyrą.
  • naujo kiekvieno vartotojo slaptažodį. Daugelis svetainių yra nulaužtos, nes vartotojas naudojo paprastą slaptažodį, kuris buvo atspėtas per ataką, leidžiantis kam nors patekti į „WordPress“ ir daryti viską, ko norėtų.
  • išjungti galimybė redaguoti papildinius ir temas per „WordPress Admin“. Galimybė redaguoti šiuos failus leidžia bet kuriam hakeriui padaryti tą patį, jei gauna prieigą. Padarykite pagrindinius „WordPress“ failus nerašomus, kad scenarijai negalėtų perrašyti pagrindinio kodo. Viskas viename turi tikrai puikų papildinį, kuris teikia „WordPress“ grūdinimas su daugybe funkcijų.
  • Rankiniu atsisiųskite ir įdiekite naujausias kiekvieno reikalingo papildinio versijas ir pašalinkite kitus papildinius. Visiškai pašalinkite administracinius papildinius, kurie suteikia tiesioginę prieigą prie svetainės failų ar duomenų bazės, jie yra ypač pavojingi.
  • pašalinti ir pakeiskite visus šakninio katalogo failus, išskyrus „wp-content“ aplanką („root“, „wp-include“, „wp-admin“) nauju „WordPress“ diegimu, atsisiųstu tiesiai iš jų svetainės.
  • Išlaikyti savo svetainę! Svetainėje, kurioje dirbau šį savaitgalį, buvo sena „WordPress“ versija su žinomomis saugumo spragomis, seni vartotojai, kuriems nebeturėjo prieigos, senos temos ir seni papildiniai. Tai galėjo būti bet kuris iš šių, kuris atvėrė įmonę įsilaužimui. Jei negalite sau leisti išlaikyti savo svetainės, būtinai perkelkite ją į valdomą prieglobos bendrovę, kuri tai padarys! Išleidę dar kelis pinigus už prieglobą, ši kompanija galėjo išgelbėti nuo šio nemalonumo.

Kai tikite, kad viską sutvarkėte ir sukietėjote, galite atkurti svetainę, kai ją pašalinsite .htaccess peradresuoti. Kai tik jis gyvas, ieškokite tos pačios infekcijos, kuri anksčiau buvo ten. Aš paprastai naudoju naršyklės tikrinimo įrankius, kad stebėčiau tinklo užklausas pagal puslapį. Stebiu kiekvieną tinklo užklausą, kad įsitikinčiau, jog tai nėra kenkėjiška programa ar paslaptinga ... jei taip, tai vėl grįžta į viršų ir vėl atlieka veiksmus.

Taip pat galite naudoti įperkamą trečiąją šalį kenkėjiškų programų nuskaitymo paslauga kaip Svetainių skaitytuvai, kuris kasdien nuskaitys jūsų svetainę ir leis jums sužinoti, ar esate įtrauktas į juodųjų sąrašų sąrašą aktyviose kenkėjiškų programų stebėjimo tarnybose. Atminkite - kai jūsų svetainė bus švari, ji nebus automatiškai pašalinta iš juodųjų sąrašų. Turėtumėte susisiekti su kiekvienu ir pateikti užklausą pagal mūsų aukščiau pateiktą sąrašą.

Taip įsilaužti nėra smagu. Kad pašalintų šias grėsmes, įmonės ima kelis šimtus dolerių. Dirbau ne mažiau kaip 8 valandas, kad padėčiau šiai įmonei išvalyti jų svetainę.

Ką manote?

Ši svetainė naudoja "Akismet", kad sumažintų šlamštą. Sužinokite, kaip apdorojamas jūsų komentaras.