Hur man kontrollerar, tar bort och förhindrar skadlig programvara från din WordPress-webbplats

malware

Den här veckan var ganska upptagen. En av de ideella organisationerna som jag känner befann sig i ganska svårt - deras WordPress-webbplats var infekterad med skadlig kod. Webbplatsen hackades och manus kördes på besökare som gjorde två olika saker:

  1. Försökte infektera Microsoft Windows med malware.
  2. Omdirigerade alla användare till en webbplats som använde JavaScript för att utnyttja besökarens dator till min cryptocurrency.

Jag upptäckte att webbplatsen hackades när jag besökte den efter att ha klickat igenom på deras senaste nyhetsbrev och jag meddelade dem genast om vad som pågick. Tyvärr var det en ganska aggressiv attack som jag kunde ta bort men geninfekterade genast webbplatsen när jag gick live. Detta är en ganska vanlig praxis av malwarehackare - de hackar inte bara webbplatsen, de lägger antingen till en administrativ användare på webbplatsen eller ändrar en kärn WordPress-fil som injicerar hacket om det tas bort.

Skadlig programvara är en pågående fråga på nätet. Skadlig programvara används för att öka klickfrekvensen på annonser (annonsbedrägeri), blåsa upp webbplatsstatistik för att överbelasta annonsörer, för att försöka få tillgång till besökarnas ekonomiska och personliga data, och senast - för att bryta ut kryptovaluta. Gruvarbetare får betalt bra för gruvdata, men kostnaden för att bygga gruvmaskiner och betala elräkningarna för dem är betydande. Genom att i hemlighet utnyttja datorer kan gruvarbetare tjäna pengar utan kostnad.

WordPress och andra vanliga plattformar är stora mål för hackare eftersom de är grunden för så många webbplatser på nätet. Dessutom har WordPress ett tema och en plugin-arkitektur som inte skyddar kärnwebbplatsfiler från säkerhetshål. Dessutom är WordPress-communityn enastående för att identifiera och lappa säkerhetshål - men webbplatsägare är inte lika vaksamma när det gäller att hålla sin webbplats uppdaterad med de senaste versionerna.

Den här webbplatsen var värd för GoDaddys traditionella webbhotell (inte Managed WordPress hosting), vilket ger inget skydd. Naturligtvis erbjuder de en Skadlig programvara och borttagning tjänsten, dock. Hanterade WordPress-värdföretag som svänghjul, WP Engine, LiquidWeb, GoDaddy och Pantheon alla erbjuder automatiserade uppdateringar för att hålla dina webbplatser uppdaterade när vi utfärdar våra identifierade och lappade. De flesta har skanning av skadlig programvara och svartlistade teman och plugins för att hjälpa webbplatsägare att förhindra ett hack. Vissa företag går ett steg längre - Kinsta - en högpresterande hanterad WordPress-värd - erbjuder till och med en säkerhetsgaranti.

Är din webbplats svartlistad för skadlig programvara:

Det finns många webbplatser online som främjar "kontroll" på din webbplats för skadlig programvara, men kom ihåg att de flesta av dem faktiskt inte kontrollerar din webbplats alls i realtid. Skanning av skadlig programvara i realtid kräver ett genomsökningsverktyg från tredje part som inte omedelbart kan ge resultat. Webbplatserna som ger en omedelbar kontroll är webbplatser som tidigare hittade att din webbplats hade skadlig kod. Några av webbplatserna för kontroll av skadlig programvara är:

  • Googles transparensrapport - om din webbplats är registrerad hos webbansvariga, kommer de omedelbart att varna dig när de genomsöker din webbplats och hittar skadlig kod på den.
  • Norton Safe Web - Norton driver också webbläsarinsticksprogram och operativsystemprogramvara som blockerar användare från att öppna sidan på kvällen om de har svartlistat den. Webbplatsägare kan registrera sig på webbplatsen och begära att deras webbplats omvärderas när den är ren.
  • Sucuri - Sucuri upprätthåller en lista över skadliga webbplatser tillsammans med en rapport om var de har svartlistats. Om din webbplats städas ser du en Tvinga om skanning länk under listan (i mycket liten skrift). Sucuri har ett enastående plugin som upptäcker problem ... och driver dig sedan in i ett årligt kontrakt för att ta bort dem.
  • Yandex - om du söker Yandex efter din domän och ser “Enligt Yandex kan den här webbplatsen vara farlig ”, du kan registrera dig för Yandex-webbansvariga, lägga till din webbplats, navigera till Säkerhet och överträdelseroch begär att din webbplats ska rensas.
  • Phishtank - Vissa hackare lägger phishing-skript på din webbplats, vilket kan få din domän listad som en phishing-domän. Om du anger den exakta fullständiga URL: en för den rapporterade skadliga sidan i Phishtank kan du registrera dig hos Phishtank och rösta om det verkligen är en phishing-webbplats.

Om inte din webbplats är registrerad och du har ett övervakningskonto någonstans, kommer du förmodligen att få en rapport från en användare av en av dessa tjänster. Ignorera inte varningen ... medan du kanske inte ser ett problem, falska positiva saker händer sällan. Dessa problem kan göra att din webbplats avindexeras från sökmotorer och blockeras från webbläsare. Värre är att dina potentiella kunder och befintliga kunder kanske undrar vilken typ av organisation de arbetar med.

Hur söker du efter skadlig programvara?

Flera av företagen ovan talar om hur svårt det är att hitta skadlig kod men det är inte riktigt så svårt. Det svåra är att räkna ut hur det kom in på din webbplats! Skadlig kod finns oftast i:

  • Underhåll - Peka på det före något sida för underhåll och säkerhetskopiera din webbplats. Använd inte WordPress standardunderhåll eller ett underhållsplugin eftersom de fortfarande kör WordPress på servern. Du vill se till att ingen kör någon PHP-fil på webbplatsen. Medan du håller på med det, kolla din .htaccess fil på webbservern för att säkerställa att den inte har oseriös kod som kan omdirigera trafik.
  • Sök webbplatsens filer via SFTP eller FTP och identifiera de senaste filändringarna i plugins, teman eller WordPress-kärnfiler. Öppna dessa filer och leta efter eventuella ändringar som lägger till skript eller Base64-kommandon (används för att dölja körning av server-skript).
  • Jämför WordPress-kärnfilerna i din rotkatalog, wp-admin-katalog och wp-include-kataloger för att se om det finns några nya filer eller filer med annan storlek. Felsök varje fil. Även om du hittar och tar bort ett hack, fortsätt leta eftersom många hackare lämnar bakdörrar för att infektera webbplatsen igen. Skriv inte bara över eller installera om WordPress ... hackare lägger ofta till skadliga skript i rotkatalogen och kallar skriptet på något annat sätt för att injicera hacket. De mindre komplexa skadliga skripten infogar vanligtvis bara skriptfiler i header.php or footer.php. Mer komplexa skript kommer faktiskt att ändra alla PHP-filer på servern med återinjiceringskod så att du har svårt att ta bort den.
  • AVLÄGSNA tredjeparts reklamskript som kan vara källan. Jag har vägrat att tillämpa nya annonsnätverk när jag har läst att de har hackats online.
  • Kolla upp  dina inläggs databas tabell för inbäddade skript i sidinnehåll. Du kan göra detta genom att göra enkla sökningar med PHPMyAdmin och söka efter webbadresserna för begäran eller skripttaggar.

Innan du sätter din webbplats live ... är det nu dags att härda din webbplats för att förhindra en omedelbar injektion eller ett annat hack:

Hur förhindrar du att din webbplats hackas och skadlig programvara installeras?

  • Verifiera varje användare på webbplatsen. Hackare injicerar ofta skript som lägger till en administrativ användare. Ta bort alla gamla eller oanvända konton och tilldela deras innehåll till en befintlig användare. Om du har en användare som heter administration, lägg till en ny administratör med en unik inloggning och ta bort administratörskontot helt.
  • Återställa varje användares lösenord. Många webbplatser hackas eftersom en användare använde ett enkelt lösenord som gissades i en attack, vilket gör det möjligt för någon att komma in på WordPress och göra vad de vill.
  • inaktivera möjligheten att redigera plugins och teman via WordPress Admin. Möjligheten att redigera dessa filer tillåter alla hackare att göra detsamma om de får åtkomst. Gör WordPress-kärnfilerna oskrivbara så att skript inte kan skriva om kärnkoden. All in One har ett riktigt bra plugin som tillhandahåller WordPress härdning med massor av funktioner.
  • Manuellt ladda ner och installera om de senaste versionerna av varje plugin du behöver och ta bort alla andra plugins. Ta helt bort administrativa plugins som ger direkt åtkomst till webbplatsfiler eller databasen, dessa är särskilt farliga.
  • AVLÄGSNA och ersätt alla filer i din rotkatalog med undantag av mappen wp-content (så root, wp-includes, wp-admin) med en ny installation av WordPress som laddas ner direkt från deras webbplats.
  • Bibehålla din sida! Webbplatsen jag arbetade med i helgen hade en gammal version av WordPress med kända säkerhetshål, gamla användare som inte borde ha åtkomst längre, gamla teman och gamla plugins. Det kunde ha varit någon av dessa som öppnade företaget för att bli hackat. Om du inte har råd att underhålla din webbplats, se till att flytta den till ett förvaltat webbhotell som kommer att göra det! Att spendera några fler dollar på värd kunde ha räddat detta företag från denna förlägenhet.

När du väl tror att du har fixat allt och härdat kan du återföra webbplatsen genom att ta bort .htaccess dirigera om. Så snart det är live, leta efter samma infektion som tidigare var där. Jag använder vanligtvis webbläsarens inspektionsverktyg för att övervaka nätverksförfrågningar från sidan. Jag spårar upp varje nätverksförfrågan för att säkerställa att den inte är skadlig eller mystisk ... om den är, är det tillbaka till toppen och gör stegen om igen.

Du kan också använda en prisvärd tredje part skanning av skadlig kod tycka om Platsskannrar, som kommer att skanna din webbplats dagligen och låta dig veta om du är svartlistad på aktiva malwareövervakningstjänster. Kom ihåg - när din webbplats är ren kommer den inte automatiskt att tas bort från svarta listor. Du bör kontakta var och en och göra en begäran enligt vår lista ovan.

Att bli hackad så här är inte kul. Företagen tar ut flera hundra dollar för att ta bort dessa hot. Jag arbetade inte mindre än 8 timmar för att hjälpa företaget att städa upp deras webbplats.

Vad tror du?

Den här sidan använder Akismet för att minska spam. Läs om hur din kommentardata behandlas.