Kako očistiti in popraviti okuženo (vlomljeno) WordPress spletno stran?

Kako vem, da so mi vdrli v mojo WP spletno stran?

6 najpogostejših znakov, ki kažejo na vdor:

  • Opozorila od Googla, da je vaša stran na t.i. Blacklist
  • Opozorila vašega ponudnika spletnega gostovanja, da je prišlo do okužbe/vdora
    Od Zabec.net prejmete sledeče sporočilo:screen-shot-2016-12-05-at-14-31-29screen-shot-2016-12-05-at-14-33-01
  • Nenavadno obnašanje spletnega brsklanika
  • Spam v iskalniku vsebine strani
  • Spremenjena vsebina ali opozorilo na spletni strani
  • Opozorila v samem Google iskalniku

Kaj storiti?

Držali se bomo 3 ključnih korakov:
1. idetifikacija vdora, 2. odstranjevanje posledic ter 3. kako ravnati naprej, da do tega več ne bi prišlo.

  1. Idetifikacija vdora
  • Eden boljših vtičnikov za idetifikacijo ali je prišlo do vdora v vašo WP stran, je vtičnik Sucuri security plugin > opravite inštalacijo.
  • Naredite t.i. scan svoje spletne strani > uporabite Securi vtičnik.
    Pojdite pod njihov Malware ter kliknite na Scan Website.
    V kolikor imate več strani na enem gostovanju, svetujemo, da opravite scan prav vseh.
    Če je vaša stran okužena se vam prikaže spodnji zapis (primer):

screen-shot-2016-12-05-at-14-48-48Pomembno je povedati, da se nekatere večje varnostne težave ne prikažejo ob malware scanu – napr. phishing, servers-based scripts…prikažejo pa se na strežniku. 

  • Preverite jedro
    Uporabite že prej omenjen Securi vtičnik, pojdite pod Dashboard ter Review the Core Integrity. Vsaka sprememba / dodane datoteke so lahko znak vdora.

Svetujemo da za hitro preverbo v direktoriju wp-content mawarea uporabite FTP client > FTPS, SSH sta boljša kot nekriptiran FTP.

  • Preverite ali je prišlo v dokumentih do sprememb
    Securi vtičnik > Dashboard > Review the Audit Logs.
    Neznane prilagoditve stare nekje 7-30 dni so sumljive.
  • Kdo vse se je prijavil?
    Uporabite Securi vtičnik > Last login
    Nepričakovane / nezane prijave so znak, da je nekdo nepovabljen vstopil v vaš račun.

Da je nekdo izrabil spletno stran se lahko prepričate tudi tako, da primerjate zdajšnje stanje vaše spletne strani s prejšnjim stanjem (backup).

2. Odstranimo posledice vdora

  • Počistimo datoteke
    V kolikor se okužba nanaša na jedro ali na vtičnike zadevo lahko odstranite z uporabo Securi vtičnika.
    Seveda lahko to naredite tudi ročno, vendar ne odstranite oz. ne prepišite wp-config.php ali wp-content datoteke.Prijavite se v Securi > Dashboard > pregeljte obvestila pod Core Integrity > isberite Modified in Removed files ter izberite restore source. Obkljukate I understand that thi operation can not be reverted > kliknite Proceed > Izberite Added files in izberite delete files.

    Datoteke povrnete s kopijami ali backupom.Opozorilo!
    Ročno odstranjevanje datotek in dokumentov iz vaše spletne strani je lahko izjemno rizično (v kolikor ne veste kaj delate), zato ga nikoli ne izvajajte brez backupa!
  • Počistimo okuženo podatkovno bazo tabel
    Za čiščene uporabite database admin panel s katerim se povežete na podatkovno bazo.
    Začetniki lahko uporabite vsebino sporočila, ki vam jo je podal malware scanner, tisti bolj napredni pa lahko uporabite PHP funkcije kot mapr. eval, base64_decode, gzinflate, preg_replace, str_replace…

Opozorilo!
Ročno odstranjevanje okužene kode iz vaše spletne strani je lahko izjemno rizično, zato ga nikoli ne izvajajte brez backupa, v kolikor niste prepričani v dejanja, vam svetujemo, da pošiščete profesionalno ekipo, ki vam bo uredila zadeve.

  • Zaščitite uporabniše račune
    V kolikor ste opazili nenavadne oz. nepoznane uporabnike jih odstranite iz računa.
    Poenostavite ostala gesla uporabnikom.
    Brisanje nepoznanih uporabnikov > Prijavite se v WP kot admin > Users > Delete.
  • Odstranite skrite prehode
    Heckerji si skoraj vedno pustijo nekakšne skrite prehode preko katerih lahko še vedno vstopajo v vašo spletno stran.
    Pri Securi so odkrili več različnih tipov skritih prehodov pri WP straneh.
    Pravijo, da so ti prehodi pogosto vgrajeni v dokumente, ki so zelo podobno poimenovani kot WordPress core dokumenti, datoteke.
    Pogosto pa lahko vlomilci vstavijo te prehode v datoteke kot so wp-config.php in direktorije kot so themes, plugins, uploads.Takšni skriti prehodi pogosto vsebujejo sledeče PHP funkcije:
    – base64
    – system
    – assert
    – stripsplashes
    – preg_replace (with /e/)
    – move_uploaded_file
    – str_rot13
    – gzuncompress
    – eval
    – exec
    – create_functionPozor!
    Te funkcije lahko čisto legitimno uporabljajo tudi vtičniki, zato prej zadeve testirajte.
  • Odstranjevanje sporočil o Malwaru
    Če ste pristali na Googlovi Blacklisti lahko zahtevate ponovni pregled strani, seveda, ko ste odstranili in popravili “poškodovane” stvari.
    Takšni pregled in odstranjevanje lahko trajata več dni.

3. Kako naprej?

  • Posodobite in ponastavite konfiguracijske nastavitve
    To velja prav za vse – posodobitev programske opreme, vtičnikov, tem, aplikacij…Kako ročno ponastaviti in uporabiti posodobitve WP software:
    – Prijavite se preko SSHja ali SFTPja
    – Naredite backup strani, baz…
    – Odstranite wp-admin in wp-includes direktorije
    – Nadomestite wp-admin in wp-includes z uporabo kopij iz uradnega WP gradiva
    – Ročno odstranite in zamenjajte teme, vtičnike…s kopijami iz uradnega vira.
    – Prijavite se v WP kot admin in kliknite na Dashboard > Updates
    – Vnesite manjkakoče posodobitve
    – Odprite vašo spletno stran, da vidite, če deluje. 

Opozorilo!
Ne dotikajte se wp-config ali wp-content, saj bo to pokvarilo vašo spletno stran. 

  • Ponastavite vsa dostopna gesla
    WP uporabniške račune, kontrolna plošča, SSH, FTP) > le ta naj bodo močna.
  • Ustvarite nove skrite ključe
  • Izvajajte varnostne kopije (backup)
  • Prečiščite svoj računalnik s protivirusnim programom (nekateri brezplačni: Avast, Avria, Malwarebytes…)
  • Redno posodabljanje WP (tem, vtičnikov), tudi tistih, ki jih ne potrebujete ali pa jih odstranite.

Z vdorom v vašo spletno stran ste lahko odgovorni tudi za oškodovanje ostalih, saj v večini nepridipravi ne ciljajo natanko vas, vendar izrabijo vaše neposodobljene spletne strani za (tudi ciljane) napade in okužbe ostalih uporabnikov.
S tem da ne skrbte za vašo spletno stran, ne škodujete samo sebi in svojemu poslu, ogledu… temveč tudi ostalim.

Vir in bolj natančna navodila: https://sucuri.net/guides/how-to-clean-hacked-wordpress

WordPress Pepper

Različica WordPress 4.6 ali tudi WordPress Pepper, vam je sedaj na voljo.
(Kako posodobim WordPress?)

Poimenovan je po jazz bariton saksofonistu – Park Frederick “Pepper” Adams III.

Pomembnejše posodobitve:

  • na voljo v 50 jezikih
  • enostavnejše (bolj pregledno) posodabljanje: med posodabljanjem, nameščanjem ali brisanjem vtičnikov ter tem ostanete na isti strani (mestu).
  • nadzorna plošča izkoristi pisave, ki jih že imate.
    Tako se le-te nalagajo hitreje na katerikoli napravi.
  • izboljšan urednik: preverjanje linkov (v kolikor je vaš link napačen, vas WP obvesti, da ga je potrebno popraviti) in obnovitev vsebine (med tipkanjem WP shrani vsebino v brskalniku).
  • v ozadju: t.i. namig vira (pomaga brskalniku kateri vir naj pridobi ter obdela vnaprej. WP 4.6. te namige doda avtomatsko za vaše stile ter skripte, kar posledično naredi vašo stran hitrejšo), Meta Registration API (razširjen  za podpiranje tipov, opisov ter REST API vidiljovsti), prilagajanje APIjev za nastavitve validacij ter obvestil, Robust Requests (HTTP API sedaj dopolnjuje t.i. Request knjižnico, izboljšuje Http standardno podporo ter podpira internacionalizirana domenska imena), prevod na zahtevo (v kolikor želite bo WP namestil najnovejše jezikovne pakete za vaše vtičnike ter teme – takoj ko bodo na voljo), hitrejše strani (predpomnjenje in celovite poizvedbe na mestu), JavaScript knjižnične posodobitve (Masonry 3.3.2, imagesLoaded 3.2.0, MediaElement.js 2.22.0, TinyMCE 4.4.1 in Backbone.js 1.3.3. so v paketu) in nova WP_Term_Query in WP_Post_Type.

Vir: https://wordpress.org/news/2016/08/pepper/

 

Varnost odprtokodnih CMSjev (WordPress, Magento, Drupal in Joomla!) v prvem četrtletju 2016

Poročilo temelji na zbranih podatkih in analizi skupine Securi Remediation Group (RG) v katero sta vključena IRT (Incident Response Team) in MRT (Malware Research Team).

Celotno poročilo iz katerega smo črpali si lahko preberete TUKAJ, mi pa smo naredili krajši pregled in izbor podatkov za katere menimo, da so zanimivi, uporabni za vas.

Število spletnih strani narašča z razvojem tehnologije in dostopnostjo odprtokodnih CMSjev, med njimi so najbolj popularni štirje (pravijo, da je preko njih izdelanih več kot tretjino spleta):

  • WordPress
  • Joomla!
  • Drupal
  • Magento

WordPress je vodilni na CMS trgu z več kot 60% tržnim deležom.
Nišno pa hitreje rastejo druge platforme – napr. Magento je zelo popularen med prodajnimi stranmi in večjimi organizacijami, medtem ko Drupal pokriva predvsem vladne organizacije, na splošno, če vse skupaj zaokrožimo pa ostaja WP še vednjo kralj.

Platforme pa so nam s svojo odprtostjo prinesle tudi izzive, če gledamo na internet kot celoto, saj se je pojavila množica nekvalificiranih “razvijalcev” in “upravljalcev” strani izdelanih na teh platformah, ki na koncu še vedno potrebujejo nekoga z znanjem, ko pride do bolj “zapletenih” zadev ali težav.

Securi analiza je pokazala, da je bilo od 11.000+ okuženih straneh kar 75% narejenih na WP platformi in kar 50%+ teh strani je bilo zastaranih.
V primerjavi s podobnimi platformami (Joomla! in Drupal) je bilo to še “vredu”, saj je bilo tam kar 80% softwara zastaranega.

Marca 2016 je Googlovo poročilo pokazalo, da so več kot 50 milijonov spletnih uporabnikov “pozdravili” s sporočilom o nevarnosti spletne strani na katero želijo vstopiti, bodisi naj bi jim ta skušala namestiti škodljivo programsko opremo ali celo skušala ukrasti podatke.
V primerjavi z lanskim letom (marec 2015) naj bi bilo to število 17 milijonov.

Screen Shot 2016-05-20 at 11.04.57

Google trenutno na črno listo (Kaj je črna lista si lahko preberete TUKAJ) vsak teden uvrsti več kot 70.000* spletnih strani (približno 20 tisoč zaradi malware in 50 tisoč zaradi phishinga).
*brez spam SEO in ostalih taktik

I. POROČILO

Pri Securi pravijo:
“To poročilo temelji na reprezentativnem vzorcu celotnih spletnih mest na katerih smo delali v Q1, v koledarskem letu (CY), 2016 (CY16-Q1).
Skupno smo uporabili 11.485 okuženih spletnih strani. Gre za vzorčenje, ki nam je dalo najbolj dosledne podatke iz katerih smo lahko pripravili to poročilo.”

Več kot 78% spletnih strani na katerih so delali v prvem četrtletju 2016 je bilo zgrajenih na WordPress platformi, sledi Joomla! s 14%.
V vseh primerih, ne glede na platformo, je vodilni vzrok za okužbe izkoriščanje programskih ranljivosti prilagodljivih komponent, ne pa samega jedra.
Prilagodljive komponente so neposredno povezane z integracijo vtičnikov, drugih razširitev, komponent, modulov, predlog, tem…

SLIKA1

Opazimo lahko, da se v prvi četrtini tega leta ni zgodilo nič presenetljivega glede na zadnjo četrtino lanskega leta, opazimo celo lahko celo manjši padec okužb pri WP in povečanje števila okužb pri Joomla! spletnih straneh.

Pri WP so še posebej izkoriščeni vtičniki.
Tri vodilne ranljivosti programske opreme, ki so vplivalne na večno spletnih mest v prvem četrtletju so bile: RevSLider, GravityForms vtičniki in skripta TimThumb.

SLIKA5

SLIKA2

SLIKA3

Povečan procent pri Magentu naj bi povzročila ShopLift Supee 5344 ranljivost (ena najbolj resnih razkritih ranljivosti oz. RCE ranljivost imenovana tudi shoplift bug) in XSS ranljivost (pri tej ranljivosti napadalci prevzamejo administrativni račun in vstavijo novega).

Glede na druge platforme (ki jih napadalci po večini ozkoriščajo za SEO, phishing ali spam) se pri Magentu pokaže, da napadalci direktno ciljajo na kreditne kartice kar je običajno za prodajne spletne strani, vendar jih je največ oz. je največji porast prav pri Magentu.
Zakaj?
Predvidevajo da uporabniki (v testu) Magenta obdelujejo podatke o karticah lokalno na strežniku namesto prek tretjih oseb in napadalci se tega zavedajo.

II. ZASTARELOST

 

Screen Shot 2016-05-20 at 14.03.26

Zastarelost sofwara je problem že od nekdaj, saj napadalci hitro ugotovijo njegovo ranljivosti.

CMS je smatran za zastarel, če ga ni bilo na zadnji različici priporočene varnostne različice v odzivnem času, ko se je zgodi incident.

Kljub temu, da WP vedno bolj opozarja na pomembnost posodabljanja, je bilo od 11 tisoč + okuženih strani kar 56% od vseh okuženih WP strani zastarelih. Kar je “super” če to številko primerjamo z Magentom – cca. 96%!

Izziv glede zastarelosti se kaže predvsem glede treh stvari: težave z združljivostjo, pomanjkanja osebja na voljo za pomoč pri migraciji ter izvedba po meri uporabnika.

Zaključimo lahko s tem, da lastniki spletnih strani na teh platformah, kljub varnostnim grožnjam in obvestilom o ranljivosti niso sposobni dohajati vseh teh opozoril in groženj, zato se vedno bolj zanašajo na WAF (Website Application Firewall) ali na napredno tehniko virtualnega patchinga.

III. ZLONAMERNA PROGRAMSKA OPREMA

Zlorabljene spletne strani so lahko okužene z različnimi “družinami” zlonamerene programske opreme, odvisno kaj napadalec želi z njo doseči.

SLIKA6

Približno 32% vseh okuženih primerov spletnih strani je izrabljenih za SEO spam kampanje –  stran je okužena s spam vsebino ali preusmeri uporabnika na spam stran. Največkrat uporabljene spam vsebine so v povezavi s farmacevtskimi izdelki (viagra, erekcija, cialis…) sledi zabava (kazinoji in porno).

IV. ZAKLJUČEK

Argument, da naj lastniki spletnih strani le-te preprosto samo posodabljajo, sam po sebi ni dovolj, zavedati se je potrebno, da je večina teh strani del večjega bolj kompleksnejšega okolja v katera lastniki spletnih strani vključijo, namestijo vse kar jim je dostopno. Lastniki se morajo osredotočiti na vse spletne strani in ostale integracije v tem okolju, da pri preprečili t.i. cross-site okužbe. Kar pa zna biti precej zapleteno zaradi vseh novosti in nastavitev, ki so jim na voljo, na splošno pa primankuje spletnega znanja glede poznavanja celotnega sistema ter nastavitev oz. namestitev.

Vir in originalni članek:
https://sucuri.net/website-security/Reports/Sucuri-Website-Hacked-Report-2016Q1.pdf

Na svoji WordPress strani bi rad imel prijavo na e-novice

Morda imamo za ponudit marsikaj, veliko zanimivih in odličnih stvari za povedati, pa nimamo nikogar s katerim bi lahko to delili.

Kako zgraditi nam primerno bazo, ki bo z veseljem brala ali izkoristila naše ponudbe?

Eden od načinov je zbiranje emailov/prijav na vaši spletni strani, blogu…

Screen Shot 2016-04-29 at 12.42.36

Kako “postavimo” obrazec na WP strani:

  1. Prijavite se v vaš wp-admin
  2. Namestite si vtičnik (plugin) imenovan WP Marketing Screen Shot 2016-04-28 at 11.00.43
  3. Ko bo vtičnik nameščen boste na stranskem meniju opazili kategorijo Marketing Screen Shot 2016-04-28 at 11.02.37
  4. Kliknite na Create New CTA (call-to-action)
  5. Vpišite ime CTA (za vašo evidenco)
  6. Izberite kaj želite, da CTA naredi > Ker želimo ustvariti obrazec za e-novice kliknite na Screen Shot 2016-04-28 at 11.05.28
    Contact Form.
  7. Izberite kje naj se obrazec na strani pokaže (zgoraj, spodaj, na sredini, levo,desno)

SETUP (namestitev):

  1. Vpišite naslov obrazca, ki ga bodo obiskovalci strani/bloga videli (What is the headline?) > napr. Prijavi se na naše super e-novice.
  2. Napišite kratko vsebino (What is the subhedline or content paragraph?)
  3. Dodajte polja, ki so potrebna za prijavo na e-novice (napr. ime, email) > Add Field
  4. Želimo pridobiti ime potem izberite > Text > Lable (Ime) > Key (name) > Placeholder (kar se bo videlo v okencu > tvoje/vaše ime)
  5. Potrebujemo še email polje, izberite > Email > Lable (email) > Key (email) > Placeholder (email)
  6. Sedaj rabimo še gumb za potrditev > polje (What should the submit button say?). Napr. potrdi, vpiši se, prijavi me….
  7. Shranite spremembe (Save Changes)

APPEARANCE (izgled):

  1. Obkljukajte > Show a close button
  2. Izberite med barvami naslova, vsebine, gumba…tako, da se bo obrazec lepo ujemal z vašo stranjo.
  3. Izberite širino obrazca v px
  4. Shranite spremembe (Save Changes)

VISIBILITY (vidnost):

  1. Po kolikšnem času naj se obrazec prikaže obiskovalcu? Pojdite pod Visibility > How many seconds to delay before showing? Vpišite sekunde.
  2. Izberete lahko tudi kje naj se obrazec ne prikaže > napr. na mobilnih napravah.
  3. Pri What event should display this CTA? nastavite On Page Load (ali kaj drugega – sami lahko izberete)
  4. Pri When should this CTA be shown to a visitor? pa lahko nastavite Every Time until They Interact (lahko izberete tudi enkrat, enkrat na dan….)
  5. Shrani spremembe (Save Changes)

ACTIONS (dejanja):

Ker se želimo uporabniku zahvaliti za prijavo v naše e-novice pojdimo pod:

  1. Actions > What is the on-page thank you message? Napišite napr; hvala, hvala za vašo prijavo, sedaj boste prejemali najbolj nore novičke….
  2. Lahko dodate tudi t.i. Notification email, ki ga prejme uporabnik (Add Notification Email).
  3. Shranite spremembe (Save Changes)

KJE VIDIM KDO SE JE PRIJAVIL?

Pojdite pod Responses (odzivi).

Video kako uporabiti WP-Marketing CTA

WordPres 4.4. ali WordPress Clifford – kaj je novega?

Screen Shot 2015-12-10 at 09.59.51

Tokrat so novo različico WordPressa poimenovali Clifford – v čast jazz trobentarju Cliffordu Brownu.

Kaj je novega v 4.4?

  1. Nova privzeta tema Twenty Sixteen
    – klasičen, “čisti” dizajn
    – dober izgled na vseh napravah (desktop, telefoni in tablice)
    – prilagodljiva glava
    – izbira barvne sheme

    Screen Shot 2015-12-10 at 10.09.28
    https://wordpress.org/themes/twentysixteen/

  2. Responsive slike
    – za odličen izgled in uporabniško iskušnjo na vsaki napravi

    Screen Shot 2015-12-10 at 10.11.50

  3. Poenostavljena objava WP vsebine
    – sedaj lahko vstavite vašo vsebino enostavno in hitro na drugi straneh (tudi WP straneh).
    Enostavno dodate URL v urejevalnik in prikazal se vam bo instanten predogled vaše vstavljene vsebine.
    Dodajte naslov in slike.
    WP pa bo sam vstavil vašo ikono strani in linke za komentarje ter delitev.

    Screen Shot 2015-12-10 at 10.13.42

  4. Podpora večim “embed” ponudnikom
    – WP sedaj podpira tudi Cloudup, Reddit Comments, ReverbNation, Speaker Deck, in VideoPress
  5. Pod površino
    A. REST API infrastruktura: http://wp-api.org
    B. Meta izrazi sedaj podpirajo metadata, tako kot objave
    C. Comment queries imajo sedaj cache, ki poskrbi za boljšo zmogljivost
    D. Izrazi (WP_Term), komentarji (WP_Comment) in omrežni predmeti (WP_Network) so sedaj bolj predvidljivi in intuativni v kodi.

Video predstavitev: https://videopress.com/v/J44FHXvg