Com comprovar, eliminar i prevenir el programari maliciós del vostre lloc de WordPress

Com eliminar programari maliciós de WordPress

Aquesta setmana ha estat força ocupada. Una de les organitzacions sense ànim de lucre que conec es va trobar en una situació molt difícil: el seu lloc de WordPress estava infectat amb programari maliciós. El lloc va ser piratejat i es van executar scripts als visitants que feien dues coses diferents:

  1. He intentat infectar Microsoft Windows amb el malware.
  2. Ha redirigit tots els usuaris a un lloc que utilitzava JavaScript per aprofitar l'ordinador del visitant la meva criptomoneda.

Vaig descobrir que el lloc estava piratejat quan el vaig visitar després de fer clic al seu darrer butlletí i els vaig notificar immediatament del que passava. Malauradament, va ser un atac força agressiu que vaig poder eliminar, però vaig reinfeccionar immediatament el lloc en entrar en directe. Aquesta és una pràctica bastant habitual dels pirates informàtics: no només pirategen el lloc, sinó que també afegeixen un usuari administratiu al lloc o alteren un fitxer bàsic de WordPress que torna a injectar-lo si s’elimina.

El programari maliciós és un problema constant al web. El programari maliciós s'utilitza per augmentar les taxes de clics als anuncis (frau publicitari), inflar les estadístiques del lloc per sobrecarregar als anunciants, intentar obtenir accés a les dades financeres i personals dels visitants i, més recentment, per extreure criptomoneda. Els miners es paguen bé per les dades de mineria, però el cost per construir màquines mineres i pagar les factures d'electricitat és important. Mitjançant l'aprofitament secret dels ordinadors, els miners poden guanyar diners sense la despesa.

WordPress i altres plataformes habituals són objectius enormes per als pirates informàtics, ja que són la base de tants llocs del web. A més, WordPress té una arquitectura de temes i complements que no protegeix els fitxers bàsics del lloc dels forats de seguretat. A més, la comunitat de WordPress és excel·lent en identificar i corregir forats de seguretat, però els propietaris del lloc no estan tan atents a mantenir el seu lloc actualitzat amb les últimes versions.

Aquest lloc concret es va allotjar a l'allotjament web tradicional de GoDaddy (no Allotjament gestionat de WordPress), que ofereix protecció zero. Per descomptat, ofereixen un Eliminació i escaneig de programari maliciós servei, però. Empreses d’allotjament WordPress gestionades com volant, WP Engine, LiquidWeb, GoDaddy i Panteó tots ofereixen actualitzacions automàtiques per mantenir els vostres llocs actualitzats quan s'identifiquin i corregeixin problemes. La majoria tenen escaneig de programari maliciós i temes i connectors a la llista negra per ajudar els propietaris de llocs a prevenir un pirateig. Algunes empreses van un pas més enllà: Kinsta, un amfitrió de WordPress gestionat d'alt rendiment, fins i tot ofereix un garantia de seguretat.

A més, l'equip de Jetpack ofereix un gran servei per comprovar automàticament el vostre lloc per detectar programari maliciós i altres vulnerabilitats diàriament. Aquesta és una solució ideal si esteu allotjant WordPress a la vostra pròpia infraestructura.

Jetpack analitza WordPress per a programari maliciós

També podeu utilitzar un tercer assequible servei d’escaneig de programari maliciós M'agrada Escàners de llocs, que escanejarà el vostre lloc diàriament i us informarà si esteu o no a la llista negra dels serveis actius de control de programari maliciós.

El vostre lloc és a la llista negra per a programari maliciós:

Hi ha molts llocs en línia que promocionen de xecs al vostre lloc per si hi ha programari maliciós, però tingueu en compte que la majoria d'ells no estan comprovant el vostre lloc en absolut en temps real. L'exploració de programari maliciós en temps real requereix una eina de rastreig de tercers que no pot proporcionar resultats instantàniament. Els llocs que proporcionen una comprovació instantània són llocs que anteriorment van trobar que el vostre lloc tenia programari maliciós. Alguns dels llocs web de comprovació de programari maliciós són:

  • Informe de transparència de Google - si el vostre lloc està registrat a administradors web, us avisaran immediatament quan rastregin el lloc i hi trobin programari maliciós.
  • Norton Safe Web - Norton també opera connectors del navegador web i programari del sistema operatiu que impedirà als usuaris obrir la pàgina al vespre si l'han inclosa a la llista negra. Els propietaris de llocs web poden registrar-se al lloc i sol·licitar que es revalori un cop estigui neta.
  • Sucuri - Sucuri manté una llista de llocs maliciosos juntament amb un informe sobre on han estat inclosos a la llista negra. Si es neteja el lloc, veureu un Força una nova exploració enllaç a la llista (amb lletra molt petita). Sucuri té un complement excel·lent que detecta problemes ... i després us empeny a contractar anualment per eliminar-los.
  • Yandex - si cerqueu el vostre domini a Yandex i veieu "Segons Yandex, aquest lloc podria ser perillós ”, podeu registrar-vos als administradors web de Yandex, afegir el vostre lloc i anar a Seguretat i infraccionsi sol·liciteu que es netegi el vostre lloc.
  • PhishTank - Alguns pirates informàtics posaran scripts de pesca al vostre lloc, que poden fer que el vostre domini aparegui com a domini de pesca. Si introduïu l'URL exacte i complet de la pàgina de programari maliciós informat a Phishtank, podeu registrar-vos a Phishtank i votar si realment és un lloc de pesca (suplantació d'identitat).

A menys que el vostre lloc estigui registrat i tingueu un compte de monitoratge en algun lloc, probablement rebeu un informe d'un usuari d'un d'aquests serveis. No ignoreu l'alerta... tot i que és possible que no vegeu cap problema, rarament es produeixen falsos positius. Aquests problemes poden fer que el vostre lloc es desindexi dels motors de cerca i es bloquegi dels navegadors. Pitjor encara, els vostres clients potencials i clients existents poden preguntar-se amb quin tipus d'organització estan treballant.

Com es comprova si hi ha programari maliciós?

Algunes de les empreses anteriors parlen del difícil que és trobar programari maliciós, però no és tan difícil. La dificultat és esbrinar com va entrar al vostre lloc! El codi maliciós es troba més sovint a:

  • manteniment - Abans de res, assenyaleu-lo a pàgina de manteniment i feu una còpia de seguretat del vostre lloc. No utilitzeu el manteniment per defecte de WordPress ni un complement de manteniment, ja que seguiran executant WordPress al servidor. Voleu assegurar-vos que ningú executi cap fitxer PHP al lloc. Mentre hi estigueu, comproveu el vostre . Htaccess fitxer al servidor web per assegurar-vos que no tingui codi fraudulent que pugui estar redirigint el trànsit.
  • Cerca els fitxers del vostre lloc mitjançant SFTP o FTP i identifiqueu els darrers canvis de fitxers en connectors, temes o fitxers bàsics de WordPress. Obriu aquests fitxers i cerqueu qualsevol edició que afegeixi scripts o ordres de Base64 (que s'utilitzen per amagar l'execució de scripts del servidor).
  • comparar els fitxers bàsics de WordPress al directori arrel, al directori wp-admin i als directoris wp-include per veure si existeixen fitxers nous o fitxers de mida diferent. Resolució de problemes de tots els fitxers. Fins i tot si trobeu i elimineu un hack, continueu buscant, ja que molts hackers surten de les portes posteriors per tornar a infectar el lloc. No simplement sobreescriviu ni torneu a instal·lar WordPress ... Els pirates informàtics sovint afegeixen scripts maliciosos al directori arrel i anomenen el script d'una altra manera d'injectar el hack. Els scripts de programari maliciós menys complexos solen inserir fitxers de script a header.php or footer.php. Scripts més complexos realment modificaran tots els fitxers PHP del servidor amb codi de reinjecció de manera que tingueu dificultats per eliminar-lo.
  • Remove scripts publicitaris de tercers que poden ser la font. M’he negat a aplicar noves xarxes publicitàries quan he llegit que s’han piratejat en línia.
  • comprovar la vostra taula de base de dades de publicacions per als scripts incrustats al contingut de la pàgina. Podeu fer-ho fent cerques senzilles amb PHPMyAdmin i cercant els URL de sol·licitud o les etiquetes d'script.

Abans de publicar el vostre lloc ... ara és hora d’endurir-lo per evitar una reinjecció immediata o un altre pirateig:

Com podeu evitar que el vostre lloc sigui piratejat i que s’instal·li programari maliciós?

  • Verificar tots els usuaris del lloc web. Els pirates informàtics solen injectar scripts que afegeixen un usuari administratiu. Traieu els comptes antics o no utilitzats i reassigneu el contingut a un usuari existent. Si teniu un usuari anomenat admin, afegiu un administrador nou amb un inici de sessió únic i elimineu completament el compte d'administrador.
  • reajustar la contrasenya de cada usuari. Molts llocs són piratejats perquè un usuari utilitzava una simple contrasenya que es va endevinar en un atac, cosa que permetia a algú entrar a WordPress i fer el que vulgués.
  • Desactiva la possibilitat d'editar connectors i temes mitjançant l'administrador de WordPress. La possibilitat d’editar aquests fitxers permet a qualsevol pirata informàtic fer el mateix si té accés. Feu que els fitxers bàsics de WordPress no es puguin escriure perquè els scripts no puguin reescriure el codi bàsic. Tot en un té un complement realment fantàstic que proporciona WordPress enduriment amb un munt de funcions.
  • A mà descarregueu i torneu a instal·lar les darreres versions de tots els connectors que necessiteu i elimineu-ne qualsevol altre. Elimineu absolutament els connectors administratius que donen accés directe als fitxers del lloc o a la base de dades, ja que són especialment perillosos.
  • Remove i substituïu tots els fitxers del directori arrel amb l'excepció de la carpeta wp-content (per tant, root, wp-includes, wp-admin) per una nova instal·lació de WordPress descarregada directament del seu lloc.
  • Dif – També podeu fer una diferència entre una còpia de seguretat del vostre lloc quan no teníeu programari maliciós i el lloc actual... això us ajudarà a veure quins fitxers s'han editat i quins canvis s'han fet. Diff és una funció de desenvolupament que compara directoris i fitxers i us proporciona una comparació entre els dos. Amb el nombre d'actualitzacions fetes als llocs de WordPress, aquest no sempre és el mètode més fàcil, però de vegades el codi de programari maliciós destaca realment.
  • Mantenir el vostre lloc El lloc on he treballat aquest cap de setmana tenia una versió antiga de WordPress amb forats de seguretat coneguts, usuaris antics als quals ja no hi hauria d’haver accés, temes antics i connectors antics. Podria haver estat qualsevol d’aquestes les que van obrir l’empresa per ser piratejada. Si no us podeu permetre el manteniment del vostre lloc, assegureu-vos de traslladar-lo a una empresa d’allotjament gestionada que ho faci. Gastar uns quants diners més en allotjament podria haver salvat aquesta empresa d’aquesta vergonya.

Un cop creieu que ho teniu tot arreglat i endurit, podeu recuperar el lloc en directe eliminant el fitxer . Htaccess redirecció. Tan bon punt estigui activa, busqueu la mateixa infecció que hi havia abans. Normalment utilitzo les eines d’inspecció d’un navegador per controlar les sol·licituds de xarxa de la pàgina. Rastrejo totes les sol·licituds de xarxa per assegurar-me que no sigui malware o misteriós ... si és així, torna a la part superior i fa els passos de nou.

Recordeu: un cop el vostre lloc estigui net, no s'eliminarà automàticament de les llistes negres. Hauríeu de contactar amb cadascun i fer la sol·licitud segons la nostra llista anterior.

Fer-se piratejar així no és divertit. Les empreses cobren diversos centenars de dòlars per eliminar aquestes amenaces. Vaig treballar no menys de vuit hores per ajudar aquesta empresa a netejar el seu lloc.

Què et sembla?

Aquest lloc utilitza Akismet per reduir el correu no desitjat. Esbrineu com es processa el vostre comentari.