Com comprovar, eliminar i prevenir el programari maliciós del vostre lloc de WordPress

malware

Aquesta setmana va estar força ocupada. Una de les organitzacions sense ànim de lucre que conec es va trobar en una situació difícil: el seu lloc de WordPress estava infectat amb programari maliciós. El lloc es va piratejar i es van executar scripts als visitants que van fer dues coses diferents:

  1. He intentat infectar Microsoft Windows amb el malware.
  2. Ha redirigit tots els usuaris a un lloc que utilitzava JavaScript per aprofitar el PC del visitant la meva criptomoneda.

Vaig descobrir que el lloc estava piratejat quan el vaig visitar després de fer clic al seu darrer butlletí i els vaig notificar immediatament del que passava. Malauradament, va ser un atac força agressiu que vaig poder eliminar, però vaig reinfeccionar immediatament el lloc en entrar en directe. Aquesta és una pràctica bastant habitual dels pirates informàtics: no només pirategen el lloc, sinó que també afegeixen un usuari administratiu al lloc o alteren un fitxer bàsic de WordPress que torna a injectar-lo si s’elimina.

El programari maliciós és un problema en curs al web. El programari maliciós s’utilitza per inflar els percentatges de clics dels anuncis (frau publicitari), inflar les estadístiques del lloc per cobrar de més els anunciants, per intentar obtenir accés a les dades personals i financeres dels visitants i, més recentment, a la criptomoneda. Els miners es paguen bé per les dades mineres, però el cost de construir màquines per minar i pagar les factures d’electricitat és important. En aprofitar secretament els ordinadors, els miners poden guanyar diners sense la despesa.

WordPress i altres plataformes habituals són objectius enormes per als pirates informàtics, ja que són la base de tants llocs del web. A més, WordPress té una arquitectura de temes i complements que no protegeix els fitxers bàsics del lloc dels forats de seguretat. A més, la comunitat de WordPress és excel·lent en identificar i corregir forats de seguretat, però els propietaris de llocs no estan tan atents a mantenir el seu lloc actualitzat amb les últimes versions.

Aquest lloc concret es va allotjar a l'allotjament web tradicional de GoDaddy (no Allotjament gestionat de WordPress), que ofereix protecció zero. Per descomptat, ofereixen un Eliminació i escaneig de programari maliciós servei, però. Empreses d’allotjament WordPress gestionades com volant, WP Engine, LiquidWeb, GoDaddy i Panteó tots ofereixen actualitzacions automatitzades per mantenir els vostres llocs actualitzats quan es publiquen els problemes identificats i corregits. La majoria tenen exploració de programari maliciós i temes i connectors a la llista negra per ajudar els propietaris de llocs a prevenir un pirateig. Algunes empreses van un pas més enllà: Kinsta, un amfitrió de WordPress gestionat d’alt rendiment, ofereix fins i tot un garantia de seguretat.

El vostre lloc és a la llista negra per a programari maliciós:

Hi ha molts llocs en línia que afavoreixen la "comprovació" del vostre lloc si hi ha programari maliciós, però tingueu en compte que la majoria no ho comproven en temps real. L’escaneig de programari maliciós en temps real requereix una eina de rastreig de tercers que no pugui proporcionar resultats de manera instantània. Els llocs que proporcionen una comprovació instantània són llocs que anteriorment van trobar que el vostre lloc tenia programari maliciós. Alguns dels llocs de comprovació de programari maliciós al web són:

  • Informe de transparència de Google - si el vostre lloc està registrat a administradors web, us avisaran immediatament quan rastregin el lloc i hi trobin programari maliciós.
  • Norton Safe Web - Norton també opera connectors del navegador web i programari del sistema operatiu que impedirà als usuaris obrir la pàgina al vespre si l'han inclosa a la llista negra. Els propietaris de llocs web poden registrar-se al lloc i sol·licitar que es revalori un cop estigui neta.
  • Sucuri - Sucuri manté una llista de llocs maliciosos juntament amb un informe sobre on han estat inclosos a la llista negra. Si es neteja el lloc, veureu un Força una nova exploració enllaç a la llista (amb lletra molt petita). Sucuri té un complement excel·lent que detecta problemes ... i després us empeny a contractar anualment per eliminar-los.
  • Yandex - si cerqueu el vostre domini a Yandex i veieu "Segons Yandex, aquest lloc podria ser perillós ”, podeu registrar-vos als administradors web de Yandex, afegir el vostre lloc i anar a Seguretat i infraccionsi sol·liciteu que es netegi el vostre lloc.
  • PhishTank - Alguns pirates informàtics posaran scripts de pesca al vostre lloc, que poden fer que el vostre domini aparegui com a domini de pesca. Si introduïu l’URL exacte i complet de la pàgina de programari maliciós informat a Phishtank, podeu registrar-vos a Phishtank i votar si realment és un lloc de pesca.

Tret que el vostre lloc estigui registrat i que tingueu un compte de supervisió en algun lloc, probablement rebreu un informe d'un usuari d'un d'aquests serveis. No ignoreu l'alerta ... tot i que és possible que no vegeu cap problema, poques vegades es produeixen falsos positius. Aquests problemes poden desindexar el vostre lloc dels motors de cerca i bloquejar-los als navegadors. Pitjor encara, els vostres clients potencials i els clients existents es poden preguntar amb quin tipus d’organització treballen.

Com es comprova si hi ha programari maliciós?

Diverses de les empreses anteriors parlen del difícil que és trobar programari maliciós, però no és tan difícil. El difícil és, en realitat, esbrinar com va entrar al vostre lloc. El codi maliciós es troba més sovint a:

  • manteniment - Abans de res, assenyaleu-lo a pàgina de manteniment i feu una còpia de seguretat del vostre lloc. No utilitzeu el manteniment per defecte de WordPress ni un complement de manteniment, ja que seguiran executant WordPress al servidor. Voleu assegurar-vos que ningú executi cap fitxer PHP al lloc. Mentre hi estigueu, comproveu el vostre . Htaccess fitxer al servidor web per assegurar-se que no tingui un codi fals que pugui redirigir el trànsit.
  • Cerca els fitxers del vostre lloc mitjançant SFTP o FTP i identifiqueu els darrers canvis de fitxers en connectors, temes o fitxers bàsics de WordPress. Obriu aquests fitxers i cerqueu qualsevol edició que afegeixi scripts o ordres de Base64 (que s'utilitzen per amagar l'execució de scripts del servidor).
  • comparar els fitxers bàsics de WordPress al directori arrel, al directori wp-admin i als directoris wp-include per veure si existeixen fitxers nous o fitxers de mida diferent. Resolució de problemes de tots els fitxers. Fins i tot si trobeu i elimineu un hack, continueu buscant, ja que molts hackers surten de les portes posteriors per tornar a infectar el lloc. No simplement sobreescriviu ni torneu a instal·lar WordPress ... Els pirates informàtics sovint afegeixen scripts maliciosos al directori arrel i anomenen el script d'una altra manera d'injectar el hack. Els scripts de malware menys complexos solen inserir fitxers de script a header.php or footer.php. Scripts més complexos realment modificaran tots els fitxers PHP del servidor amb codi de reinjecció de manera que tingueu dificultats per eliminar-lo.
  • Remove scripts publicitaris de tercers que poden ser la font. M’he negat a aplicar xarxes publicitàries noves quan he llegit que s’han piratejat en línia.
  • comprovar  la taula de base de dades de publicacions per a scripts incrustats al contingut de la pàgina. Podeu fer-ho fent cerques senzilles amb PHPMyAdmin i cercant els URL de sol·licitud o les etiquetes de script.

Abans de publicar el vostre lloc ... ara és hora d’endurir-lo per evitar una reinjecció immediata o un altre pirateig:

Com podeu evitar que el vostre lloc sigui piratejat i que s’instal·li programari maliciós?

  • Verificar tots els usuaris del lloc web. Els pirates informàtics solen injectar scripts que afegeixen un usuari administratiu. Traieu els comptes antics o no utilitzats i reassigneu el contingut a un usuari existent. Si teniu un usuari anomenat admin, afegiu un administrador nou amb un inici de sessió únic i elimineu completament el compte d'administrador.
  • reajustar la contrasenya de cada usuari. Molts llocs són piratejats perquè un usuari utilitzava una simple contrasenya que es va endevinar en un atac, cosa que permetia a algú entrar a WordPress i fer el que vulgués.
  • Desactiva la possibilitat d'editar connectors i temes mitjançant l'administrador de WordPress. La possibilitat d’editar aquests fitxers permet a qualsevol pirata informàtic fer el mateix si té accés. Feu que els fitxers bàsics de WordPress no es puguin escriure perquè els scripts no puguin reescriure el codi bàsic. Tot en un té un complement realment fantàstic que proporciona WordPress enduriment amb un munt de funcions.
  • A mà descarregueu i torneu a instal·lar les darreres versions de tots els connectors que necessiteu i elimineu-ne qualsevol altre. Elimineu absolutament els connectors administratius que donen accés directe als fitxers del lloc o a la base de dades, ja que són especialment perillosos.
  • Remove i substituïu tots els fitxers del directori arrel amb l'excepció de la carpeta wp-content (per tant, root, wp-includes, wp-admin) per una nova instal·lació de WordPress descarregada directament del seu lloc.
  • Mantenir el vostre lloc El lloc on he treballat aquest cap de setmana tenia una versió antiga de WordPress amb forats de seguretat coneguts, usuaris antics als quals ja no hi hauria d’haver accés, temes antics i connectors antics. Podria haver estat qualsevol d’aquestes les que van obrir l’empresa per ser piratejada. Si no us podeu permetre el manteniment del vostre lloc, assegureu-vos de traslladar-lo a una empresa d’allotjament gestionada que ho faci. Gastar uns quants diners més en allotjament podria haver salvat aquesta empresa d’aquesta vergonya.

Un cop creieu que ho teniu tot arreglat i endurit, podeu recuperar el lloc en directe eliminant el fitxer . Htaccess redirecció. Tan bon punt estigui activa, busqueu la mateixa infecció que hi havia abans. Normalment utilitzo les eines d’inspecció d’un navegador per controlar les sol·licituds de xarxa de la pàgina. Rastrejo totes les sol·licituds de xarxa per assegurar-me que no sigui malware o misteriós ... si és així, torna a la part superior i fa els passos de nou.

També podeu utilitzar un tercer assequible servei d’escaneig de programari maliciós M'agrada Escàners de llocs, que escanejarà el vostre lloc diàriament i us informarà si esteu a la llista negra dels serveis actius de supervisió de programari maliciós. Recordeu: un cop netejat el lloc, no s’eliminarà automàticament de les llistes negres. Heu de contactar amb cadascun i fer la sol·licitud segons la nostra llista anterior.

Fer-se piratejar així no és divertit. Les empreses cobren diversos centenars de dòlars per eliminar aquestes amenaces. Vaig treballar no menys de vuit hores per ajudar aquesta empresa a netejar el seu lloc.

Què et sembla?

Aquest lloc utilitza Akismet per reduir el correu no desitjat. Esbrineu com es processa el vostre comentari.