Kako očistiti in popraviti okuženo (vlomljeno) WordPress spletno stran?
Kako vem, da so mi vdrli v mojo WP spletno stran?
6 najpogostejših znakov, ki kažejo na vdor:
- Opozorila od Googla, da je vaša stran na t.i. Blacklist
- Opozorila vašega ponudnika spletnega gostovanja, da je prišlo do okužbe/vdora
Od Zabec.net prejmete sledeče sporočilo:
- Nenavadno obnašanje spletnega brsklanika
- Spam v iskalniku vsebine strani
- Spremenjena vsebina ali opozorilo na spletni strani
- Opozorila v samem Google iskalniku
Kaj storiti?
Držali se bomo 3 ključnih korakov:
1. idetifikacija vdora, 2. odstranjevanje posledic ter 3. kako ravnati naprej, da do tega več ne bi prišlo.
- Idetifikacija vdora
- Eden boljših vtičnikov za idetifikacijo ali je prišlo do vdora v vašo WP stran, je vtičnik Sucuri security plugin > opravite inštalacijo.
- Naredite t.i. scan svoje spletne strani > uporabite Securi vtičnik.
Pojdite pod njihov Malware ter kliknite na Scan Website.
V kolikor imate več strani na enem gostovanju, svetujemo, da opravite scan prav vseh.
Če je vaša stran okužena se vam prikaže spodnji zapis (primer):
Pomembno je povedati, da se nekatere večje varnostne težave ne prikažejo ob malware scanu – napr. phishing, servers-based scripts…prikažejo pa se na strežniku.
- Preverite jedro
Uporabite že prej omenjen Securi vtičnik, pojdite pod Dashboard ter Review the Core Integrity. Vsaka sprememba / dodane datoteke so lahko znak vdora.
Svetujemo da za hitro preverbo v direktoriju wp-content mawarea uporabite FTP client > FTPS, SSH sta boljša kot nekriptiran FTP.
- Preverite ali je prišlo v dokumentih do sprememb
Securi vtičnik > Dashboard > Review the Audit Logs.
Neznane prilagoditve stare nekje 7-30 dni so sumljive. - Kdo vse se je prijavil?
Uporabite Securi vtičnik > Last login
Nepričakovane / nezane prijave so znak, da je nekdo nepovabljen vstopil v vaš račun.
Da je nekdo izrabil spletno stran se lahko prepričate tudi tako, da primerjate zdajšnje stanje vaše spletne strani s prejšnjim stanjem (backup).
2. Odstranimo posledice vdora
- Počistimo datoteke
V kolikor se okužba nanaša na jedro ali na vtičnike zadevo lahko odstranite z uporabo Securi vtičnika.
Seveda lahko to naredite tudi ročno, vendar ne odstranite oz. ne prepišite wp-config.php ali wp-content datoteke.Prijavite se v Securi > Dashboard > pregeljte obvestila pod Core Integrity > isberite Modified in Removed files ter izberite restore source. Obkljukate I understand that thi operation can not be reverted > kliknite Proceed > Izberite Added files in izberite delete files.
Datoteke povrnete s kopijami ali backupom.Opozorilo!
Ročno odstranjevanje datotek in dokumentov iz vaše spletne strani je lahko izjemno rizično (v kolikor ne veste kaj delate), zato ga nikoli ne izvajajte brez backupa!
- Počistimo okuženo podatkovno bazo tabel
Za čiščene uporabite database admin panel s katerim se povežete na podatkovno bazo.
Začetniki lahko uporabite vsebino sporočila, ki vam jo je podal malware scanner, tisti bolj napredni pa lahko uporabite PHP funkcije kot mapr. eval, base64_decode, gzinflate, preg_replace, str_replace…
Opozorilo!
Ročno odstranjevanje okužene kode iz vaše spletne strani je lahko izjemno rizično, zato ga nikoli ne izvajajte brez backupa, v kolikor niste prepričani v dejanja, vam svetujemo, da pošiščete profesionalno ekipo, ki vam bo uredila zadeve.
- Zaščitite uporabniše račune
V kolikor ste opazili nenavadne oz. nepoznane uporabnike jih odstranite iz računa.
Poenostavite ostala gesla uporabnikom.
Brisanje nepoznanih uporabnikov > Prijavite se v WP kot admin > Users > Delete.
- Odstranite skrite prehode
Heckerji si skoraj vedno pustijo nekakšne skrite prehode preko katerih lahko še vedno vstopajo v vašo spletno stran.
Pri Securi so odkrili več različnih tipov skritih prehodov pri WP straneh.
Pravijo, da so ti prehodi pogosto vgrajeni v dokumente, ki so zelo podobno poimenovani kot WordPress core dokumenti, datoteke.
Pogosto pa lahko vlomilci vstavijo te prehode v datoteke kot so wp-config.php in direktorije kot so themes, plugins, uploads.Takšni skriti prehodi pogosto vsebujejo sledeče PHP funkcije:
– base64
– system
– assert
– stripsplashes
– preg_replace (with /e/)
– move_uploaded_file
– str_rot13
– gzuncompress
– eval
– exec
– create_functionPozor!
Te funkcije lahko čisto legitimno uporabljajo tudi vtičniki, zato prej zadeve testirajte. - Odstranjevanje sporočil o Malwaru
Če ste pristali na Googlovi Blacklisti lahko zahtevate ponovni pregled strani, seveda, ko ste odstranili in popravili “poškodovane” stvari.
Takšni pregled in odstranjevanje lahko trajata več dni.
3. Kako naprej?
- Posodobite in ponastavite konfiguracijske nastavitve
To velja prav za vse – posodobitev programske opreme, vtičnikov, tem, aplikacij…Kako ročno ponastaviti in uporabiti posodobitve WP software:
– Prijavite se preko SSHja ali SFTPja
– Naredite backup strani, baz…
– Odstranite wp-admin in wp-includes direktorije
– Nadomestite wp-admin in wp-includes z uporabo kopij iz uradnega WP gradiva
– Ročno odstranite in zamenjajte teme, vtičnike…s kopijami iz uradnega vira.
– Prijavite se v WP kot admin in kliknite na Dashboard > Updates
– Vnesite manjkakoče posodobitve
– Odprite vašo spletno stran, da vidite, če deluje.
Opozorilo!
Ne dotikajte se wp-config ali wp-content, saj bo to pokvarilo vašo spletno stran.
- Ponastavite vsa dostopna gesla
WP uporabniške račune, kontrolna plošča, SSH, FTP) > le ta naj bodo močna. - Ustvarite nove skrite ključe
- Izvajajte varnostne kopije (backup)
- Prečiščite svoj računalnik s protivirusnim programom (nekateri brezplačni: Avast, Avria, Malwarebytes…)
- Redno posodabljanje WP (tem, vtičnikov), tudi tistih, ki jih ne potrebujete ali pa jih odstranite.
Z vdorom v vašo spletno stran ste lahko odgovorni tudi za oškodovanje ostalih, saj v večini nepridipravi ne ciljajo natanko vas, vendar izrabijo vaše neposodobljene spletne strani za (tudi ciljane) napade in okužbe ostalih uporabnikov.
S tem da ne skrbte za vašo spletno stran, ne škodujete samo sebi in svojemu poslu, ogledu… temveč tudi ostalim.
Vir in bolj natančna navodila: https://sucuri.net/guides/how-to-clean-hacked-wordpress