Content MàrquetingEines de màrqueting

Com comprovar, eliminar i prevenir el programari maliciós del vostre lloc de WordPress

Aquesta setmana ha estat força ocupada. Una de les organitzacions sense ànim de lucre que conec es va trobar en una situació molt difícil: el seu lloc de WordPress estava infectat amb programari maliciós. El lloc va ser piratejat i es van executar scripts als visitants que feien dues coses diferents:

  1. El lloc va intentar infectar els usuaris de Microsoft Windows el malware.
  2. El lloc va redirigir tots els usuaris a un lloc que utilitzava JavaScript per aprofitar l'ordinador del visitant la meva criptomoneda.

Vaig descobrir el WordPress El lloc va ser piratejat quan el vaig visitar després de fer clic al seu darrer butlletí i els vaig notificar immediatament del que estava passant. Malauradament, va ser un atac bastant agressiu que vaig poder eliminar, però immediatament vaig reinfectar el lloc en posar-me en marxa. Aquesta és una pràctica força habitual dels pirates informàtics de programari maliciós: no només pirategen el lloc, sinó que també afegeixen un usuari administratiu al lloc o modifiquen un fitxer bàsic de WordPress que torna a injectar el pirateig si s'elimina.

Què és el programari maliciós?

El programari maliciós és un problema constant al web. El programari maliciós s'utilitza per augmentar les taxes de clics als anuncis (frau publicitari), inflar les estadístiques del lloc per sobrecarregar als anunciants, intentar obtenir accés a les dades financeres i personals dels visitants i, més recentment, per extreure criptomoneda. Els miners es paguen bé per les dades de mineria, però el cost per construir màquines mineres i pagar les factures d'electricitat és important. Mitjançant l'aprofitament secret dels ordinadors, els miners poden guanyar diners sense la despesa.

WordPress i altres plataformes populars són objectius enormes per als pirates informàtics, ja que són la base de molts llocs web. WordPress té un tema i una arquitectura de connectors que no protegeix automàticament els fitxers bàsics dels forats de seguretat. A més, la comunitat de WordPress és excel·lent per identificar i corregir els forats de seguretat, però els propietaris del lloc no estan tan vigilants per mantenir el seu lloc actualitzat amb les últimes versions.

Aquest lloc estava allotjat a l'allotjament web tradicional de GoDaddy (no al de GoDaddy Allotjament gestionat de WordPress), que ofereix protecció zero. Per descomptat, ofereixen un Eliminació i escaneig de programari maliciós servei, però. Empreses d’allotjament WordPress gestionades com volant, WP Engine, LiquidWeb, GoDaddy i Panteó tots proporcionen actualitzacions automàtiques per mantenir els vostres llocs actualitzats quan s'identifiquen i corregeix problemes. La majoria tenen escaneig de programari maliciós i temes i connectors a la llista negra per ajudar els propietaris de llocs a prevenir un pirateig. Algunes empreses van un pas més enllà: Kinsta – un amfitrió de WordPress gestionat d’alt rendiment – ​​fins i tot ofereix una garantia de seguretat.

A més, l'equip de Jetpack ofereix un gran servei per comprovar automàticament el vostre lloc per detectar programari maliciós i altres vulnerabilitats diàriament. Aquesta és una solució ideal si esteu allotjant WordPress a la vostra infraestructura.

Jetpack analitza WordPress per a programari maliciós

També podeu utilitzar l'escaneig de programari maliciós de tercers incorporat en connectors com Seguretat i tallafocs WP tot en un, que informarà si el vostre lloc està a la llista negra dels serveis de control de programari maliciós actius.

El vostre lloc és a la llista negra per a programari maliciós:

Molts llocs en línia promouen la comprovació del vostre lloc per si hi ha programari maliciós, però tingueu en compte que la majoria d'ells no comproven el vostre lloc en absolut en temps real. L'exploració de programari maliciós en temps real requereix una eina de rastreig de tercers que no pot proporcionar resultats instantàniament. Els llocs que proporcionen una comprovació instantània són llocs que anteriorment van trobar que el vostre lloc tenia programari maliciós. Alguns dels llocs web de comprovació de programari maliciós són:

  • Informe de transparència de Google - si el vostre lloc està registrat a administradors web, us avisaran immediatament quan rastregin el lloc i hi trobin programari maliciós.
  • Norton Safe Web - Norton també opera connectors del navegador web i programari del sistema operatiu que impedirà als usuaris obrir la pàgina al vespre si l'han inclosa a la llista negra. Els propietaris de llocs web poden registrar-se al lloc i sol·licitar que es revalori un cop estigui neta.
  • Sucuri - Sucuri manté una llista de llocs maliciosos juntament amb un informe sobre on han estat inclosos a la llista negra. Si es neteja el lloc, veureu un Força una nova exploració enllaç a la llista (amb lletra molt petita). Sucuri té un complement excel·lent que detecta problemes ... i després us empeny a contractar anualment per eliminar-los.
  • Yandex - si cerqueu el vostre domini a Yandex i veieu "Segons Yandex, aquest lloc podria ser perillós ”, podeu registrar-vos als administradors web de Yandex, afegir el vostre lloc i anar a Seguretat i infraccionsi sol·liciteu que es netegi el vostre lloc.
  • PhishTank – Alguns pirates informàtics posaran scripts de pesca al vostre lloc perquè el vostre domini aparegui com a domini de pesca. Si introduïu l'URL complet i exacte de la pàgina de programari maliciós informat a Phishtank, podeu registrar-vos a Phishtank i votar si és realment un lloc de pesca de credencials o no.

A menys que el vostre lloc estigui registrat i tingueu un compte de monitoratge en algun lloc, probablement rebeu un informe d'un usuari d'aquests serveis. No ignoreu l'alerta... tot i que és possible que no vegeu cap problema, rarament es produeixen falsos positius. Aquests problemes poden fer que el vostre lloc es desindexi dels motors de cerca i es bloquegi dels navegadors. Pitjor encara, els vostres clients potencials i clients existents poden preguntar-se amb quin tipus d'organització estan treballant.

Com es comprova si hi ha programari maliciós?

Algunes empreses anteriors parlen del difícil que és trobar programari maliciós, però no és tan difícil. La dificultat és esbrinar com va entrar al vostre lloc! El codi maliciós es troba més sovint a:

  • manteniment - Abans de res, assenyaleu-lo a pàgina de manteniment i feu una còpia de seguretat del vostre lloc. No utilitzeu el manteniment predeterminat de WordPress o un complement de manteniment, ja que encara executaran WordPress al servidor. Voleu assegurar-vos que ningú executi cap fitxer PHP al lloc. Mentre hi esteu, comproveu el vostre . Htaccess fitxer al servidor web per assegurar-vos que no tingui codi fraudulent que pugui estar redirigint el trànsit.
  • Cerca els fitxers del vostre lloc mitjançant SFTP o FTP i identifiqueu els darrers canvis de fitxers en connectors, temes o fitxers bàsics de WordPress. Obriu aquests fitxers i cerqueu qualsevol edició que afegeixi scripts o ordres de Base64 (que s'utilitzen per amagar l'execució de scripts del servidor).
  • comparar els fitxers bàsics de WordPress al directori arrel, al directori wp-admin i als directoris wp-include per veure si existeixen fitxers nous o fitxers de mida diferent. Resolució de problemes de tots els fitxers. Fins i tot si trobeu i elimineu un hack, continueu buscant, ja que molts hackers surten de les portes posteriors per tornar a infectar el lloc. No simplement sobreescriviu ni torneu a instal·lar WordPress ... Els pirates informàtics sovint afegeixen scripts maliciosos al directori arrel i anomenen el script d'una altra manera d'injectar el hack. Els scripts de programari maliciós menys complexos solen inserir fitxers de script a header.php or footer.php. Scripts més complexos realment modificaran tots els fitxers PHP del servidor amb codi de reinjecció de manera que tingueu dificultats per eliminar-lo.
  • Remove scripts publicitaris de tercers que poden ser la font. M’he negat a aplicar noves xarxes publicitàries quan he llegit que s’han piratejat en línia.
  • comprovar la vostra taula de base de dades de publicacions per als scripts incrustats al contingut de la pàgina. Podeu fer-ho fent cerques senzilles amb PHPMyAdmin i cercant els URL de sol·licitud o les etiquetes d'script.

Com eliminar el programari maliciós

Un bon amic meu recentment ha piratejat el seu bloc de WordPress. Va ser un atac força maliciós que podria afectar el seu rànquing de cerca i, per descomptat, el seu impuls en el trànsit. Aquest és el meu consell sobre què fer si WordPress és piratejat:

  1. Mantingues la calma! No comenceu a esborrar coses i a instal·lar tot tipus de merda que prometen netejar la vostra instal·lació. No saps qui l'ha escrit i si simplement està afegint més merda maliciosa al teu bloc o no. Respira profundament, mira aquesta entrada del blog i lentament i deliberadament baixeu de la llista de comprovació.
  2. Derroca el bloc. Immediatament. La forma més senzilla de fer-ho amb WordPress és fer-ho canviar el nom el vostre fitxer index.php al vostre directori arrel. No n'hi ha prou amb posar una pàgina index.html... cal aturar tot el trànsit a qualsevol pàgina del vostre bloc. En lloc de la vostra pàgina index.php, pengeu un fitxer de text que indiqui que no teniu connexió per fer manteniment i que tornarà aviat. La raó per la qual cal eliminar el bloc és que la majoria d'aquests hacks no es fan a mà; es fan mitjançant scripts maliciosos que s'adjunten a tots els fitxers que es poden escriure de la vostra instal·lació. Algú que visiti una pàgina interna del vostre bloc pot tornar a infectar els fitxers que esteu treballant per reparar.
  3. Feu una còpia de seguretat del vostre lloc. No només feu una còpia de seguretat dels vostres fitxers, també feu una còpia de seguretat de la vostra base de dades. Emmagatzemeu-lo en un lloc especial si necessiteu consultar alguns fitxers o informació.
  4. Elimina tots els temes. Els temes són un mitjà fàcil perquè un pirata informàtic pugui escriure i inserir codi al vostre bloc. La majoria dels temes també estan escrits malament per dissenyadors que no entenen els matisos de protegir les vostres pàgines, el vostre codi o la vostra base de dades.
  5. Elimineu tots els connectors. Els connectors són el mitjà més senzill perquè un pirata informàtic pugui escriure i inserir codi al vostre bloc. La majoria dels connectors estan escrits malament per desenvolupadors de hackers que no entenen els matisos de protegir les vostres pàgines, el vostre codi o la vostra base de dades. Una vegada que un pirata informàtic troba un fitxer amb una passarel·la, simplement implementa rastrejadors que cerquen aquests fitxers en altres llocs.
  6. Torneu a instal·lar WordPress. Quan dic que reinstal·la WordPress, ho dic de debò, inclòs el tema. No oblideu wp-config.php, un fitxer que no es sobreescriu quan copieu sobre WordPress. En aquest bloc, he trobat que l’escriptura maliciosa s’escrivia a Base 64, de manera que semblava un blob de text i s’inseria a la capçalera de cada pàgina, inclòs wp-config.php.
  7. Reviseu la vostra base de dades. Voldreu revisar la vostra taula d’opcions i la vostra taula de publicacions especialment, a la recerca de referències o continguts externs estranys. Si mai no heu mirat la vostra base de dades, prepareu-vos per trobar PHPMyAdmin o un altre gestor de consultes de base de dades al tauler de gestió del vostre amfitrió. No és divertit, però és imprescindible.
  8. Inicieu WordPress amb un tema predeterminat i sense connectors instal·lats. Si apareix el vostre contingut i no veieu cap redirecció automàtica a llocs maliciosos, probablement estigueu bé. Si rebeu una redirecció a un lloc maliciós, probablement voldreu esborrar la memòria cau per assegurar-vos que esteu treballant des de la darrera còpia de la pàgina. És possible que hàgiu de revisar la vostra base de dades registre per registre per intentar localitzar qualsevol contingut que hi pugui obrir el camí al vostre bloc. És probable que la vostra base de dades estigui neta ... però mai se sap.
  9. Instal·leu el vostre tema. Si es reproduïa el codi maliciós, probablement tindreu un tema infectat. És possible que hàgiu de passar línia per línia pel tema per assegurar-vos que no hi hagi cap codi maliciós. És possible que estigueu millor tot començant fresc. Obriu el bloc a una publicació i vegeu si encara esteu infectat.
  10. Instal·leu els vostres connectors. Pot ser que vulgueu utilitzar un connector, com ara Opcions de neteja primer, per eliminar qualsevol opció addicional dels connectors que ja no utilitzeu ni voleu. No us torneu bojos, aquest complement no és el millor ... sovint es mostra i us permet suprimir la configuració en què voleu penjar. Baixeu-vos tots els connectors de WordPress. Torneu a executar el vostre bloc.

Si veieu que el problema torna, és probable que hàgiu reinstal·lat un connector o un tema vulnerable O hi hagués alguna cosa amagada al contingut del vostre lloc emmagatzemat a la base de dades. Si el problema no surt mai, és probable que hagis intentat prendre un parell de dreceres per resoldre aquests problemes. No prenguis una drecera.

Aquests hackers són gent desagradable. No entendre tots els fitxers de connectors i temes ens posa en risc a tots, així que estigueu atents. Instal·leu connectors que tinguin bones qualificacions, moltes instal·lacions i un gran registre de descàrregues. Llegiu els comentaris que la gent hi ha associat.

Com podeu evitar que el vostre lloc sigui piratejat i que s’instal·li programari maliciós?

Abans de publicar el vostre lloc ... ara és hora d’endurir-lo per evitar una reinjecció immediata o un altre pirateig:

  • Verificar tots els usuaris del lloc web. Els pirates informàtics solen injectar scripts que afegeixen un usuari administratiu. Traieu els comptes antics o no utilitzats i reassigneu el contingut a un usuari existent. Si teniu un usuari anomenat admin, afegiu un administrador nou amb un inici de sessió únic i elimineu completament el compte d'administrador.
  • reajustar la contrasenya de cada usuari. Molts llocs són piratejats perquè un usuari utilitzava una simple contrasenya que es va endevinar en un atac, cosa que permetia a algú entrar a WordPress i fer el que vulgués.
  • Desactiva la possibilitat d'editar connectors i temes mitjançant l'administrador de WordPress. La possibilitat d’editar aquests fitxers permet a qualsevol pirata informàtic fer el mateix si té accés. Feu que els fitxers bàsics de WordPress no es puguin escriure perquè els scripts no puguin reescriure el codi bàsic. Tot en un té un complement realment fantàstic que proporciona WordPress enduriment amb un munt de funcions.
  • A mà descarregueu i torneu a instal·lar les darreres versions de tots els connectors que necessiteu i elimineu-ne qualsevol altre. Elimineu absolutament els connectors administratius que donen accés directe als fitxers del lloc o a la base de dades, ja que són especialment perillosos.
  • Remove i substituïu tots els fitxers del directori arrel amb l'excepció de la carpeta wp-content (per tant, root, wp-includes, wp-admin) per una nova instal·lació de WordPress descarregada directament del seu lloc.
  • Dif – També podeu fer una diferència entre una còpia de seguretat del vostre lloc quan no teníeu programari maliciós i el lloc actual... això us ajudarà a veure quins fitxers s'han editat i quins canvis s'han fet. Diff és una funció de desenvolupament que compara directoris i fitxers i us proporciona una comparació entre els dos. Amb el nombre d'actualitzacions fetes als llocs de WordPress, aquest no sempre és el mètode més fàcil, però de vegades el codi de programari maliciós destaca realment.
  • Mantenir el vostre lloc El lloc on he treballat aquest cap de setmana tenia una versió antiga de WordPress amb forats de seguretat coneguts, usuaris antics als quals ja no hi hauria d’haver accés, temes antics i connectors antics. Podria haver estat qualsevol d’aquestes les que van obrir l’empresa per ser piratejada. Si no us podeu permetre el manteniment del vostre lloc, assegureu-vos de traslladar-lo a una empresa d’allotjament gestionada que ho faci. Gastar uns quants diners més en allotjament podria haver salvat aquesta empresa d’aquesta vergonya.

Un cop creieu que ho teniu tot arreglat i endurit, podeu recuperar el lloc en directe eliminant el fitxer . Htaccess redirecció. Tan bon punt estigui activa, busqueu la mateixa infecció que hi havia abans. Normalment utilitzo les eines d’inspecció d’un navegador per controlar les sol·licituds de xarxa de la pàgina. Rastrejo totes les sol·licituds de xarxa per assegurar-me que no sigui malware o misteriós ... si és així, torna a la part superior i fa els passos de nou.

Recordeu: un cop el vostre lloc estigui net, no s'eliminarà automàticament de les llistes negres. Hauríeu de contactar amb cadascun i fer la sol·licitud segons la nostra llista anterior.

Fer-se piratejar així no és divertit. Les empreses cobren diversos centenars de dòlars per eliminar aquestes amenaces. Vaig treballar no menys de vuit hores per ajudar aquesta empresa a netejar el seu lloc.

Douglas Karr

Douglas Karr és CMO de OpenINSIGHTS i el fundador de la Martech Zone. Douglas ha ajudat a desenes d'empreses d'èxit de MarTech, ha ajudat en la diligència deguda de més de 5 mil milions de dòlars en adquisicions i inversions de Martech i continua ajudant les empreses a implementar i automatitzar les seves estratègies de vendes i màrqueting. Douglas és un expert i conferenciant de MarTech en transformació digital reconegut internacionalment. Douglas també és autor publicat d'una guia de Dummie i d'un llibre sobre lideratge empresarial.

Articles Relacionats

Torna al botó superior
a prop

Adblock detectat

Martech Zone és capaç de proporcionar-vos aquest contingut sense cap cost perquè monetitzem el nostre lloc mitjançant ingressos publicitaris, enllaços d'afiliats i patrocinis. Agrairem que elimineu el bloquejador d'anuncis mentre visualitzeu el nostre lloc.