• hjem
  •  > 
  • Råd
  •  > 
  • Hvordan sjekke en plugin for skadelig kode. Omdirigere til tredjepartsressurser

Hvordan sjekke en plugin for skadelig kode. Omdirigere til tredjepartsressurser

Hei IdeaFox-venner!

Jeg vet ikke med deg, men jeg har problemer med å sove om natten. Jeg plages av sikkerhetsproblemer på bloggen. Jeg orker ikke lenger :-)

Jeg leste en haug med blogger om dette emnet og testet mange plugins som hjelper til med å løse dette problemet. Og i kommentarene begynte de å stille spørsmål om emnet områdebeskyttelse, noe som fikk meg til å skrive dette notatet.

Tenk deg at du holder en blogg, skriver artikler, prøver... Og onde drittsekker kommer og ødelegger siden din. Jeg tror det blir mye sorg.

Tross alt investerer hver vanlig blogger mye tid og krefter i utviklingen av nettstedet sitt. Og for mange blir blogging generelt en besettelse... Her og inntil, hvis DETTE skjer :-)

Vel, du forstår hvor viktig dette er.

La oss endelig komme i gang :)

For et par måneder siden skrev jeg allerede et notat om hacking. Sørg for å lese den. Men det har gått ganske lang tid siden den gang, og jeg gjorde flere tiltak for å styrke allround-forsvaret.

I de følgende notatene vil jeg definitivt dvele ved dette problemet i detalj. (Jeg husker og skriver også om ISP-innstillinger)

3. Sjekk nettstedet på andre nettjenester

Det er ingen mangel på slike tjenester. Jeg har en sterk oppfatning at mange av dem er helt dumme og skapt utelukkende for å vise reklame.

Doktor Web

DR.Web-selskap laget god serviceå sjekke nettsteder på nettet. Personlig hjalp han meg en gang med å finne en infeksjon på en venns blogg (det var tredjepartskode i .htaccess-filen)

Sjekken er veldig enkel. Skriv inn nettadressen din og vent på bekreftelsesresultatet.

antivirus-alarm.ru

En kraftig nettsideskanner som bruker så mange som 43 antivirus databaser fra verdens ledende antivirusselskaper.

Alt er veldig enkelt her også. Vi skriver inn nettadressen til nettstedet vårt og venter med tilbakeholdt pust på skanneresultatene.

Jeg har ventet på disse.

Alt er rent, du kan sove rolig :-)

Alt dette er selvfølgelig bra, men du må også installere et par plugins som ikke skader i det hele tatt for WordPress-blogger.

4. Be verten om å sjekke nettstedet ditt

Faktum er at vertsleverandører er enda mer bekymret for sikkerhetsspørsmål enn deg og har kraftige sikkerhetstiltak. Dessuten med spesialiserte beskyttelsesmidler.

Dette er nyhetene jeg har til deg i dag. Neste vil jeg fortelle deg om veldig kraftig plugin, som lar deg beskytte WordPress-bloggen din betydelig mot hacking.

Jeg har allerede jobbet med ham i 2 måneder og er veldig fornøyd med ham. Mens jeg skjønte det, bannet jeg meg selv 3 ganger: –) Kort sagt, det er noe å fortelle.

Før du finner ut hvordan du rengjør et WordPress-nettsted, må du forstå hva vi skal forholde deg til. I bred forstand betyr begrepet "virus" ondsinnet programvare, som kan forårsake skade på eieren av nettressursen. Dermed kan nesten hvilken som helst kode som er innebygd av angripere i motorskript, inkluderes i denne kategorien. Dette kan være skjulte koblinger som fører til pessimisme Søkeresultater, bakdører som gir hackeren administratortilgang, eller komplekse design, gjør nettstedet til en zombie-nettverksnode, og til og med en Bitcoin-gruvearbeider. Vi vil snakke om hvordan du identifiserer og eliminerer virus av forskjellige kaliber, samt beskytter mot dem.

Mange av tipsene nevnt i tidligere artikler kan beskytte nettstedet ditt mot infeksjon. For eksempel kan "infeksjon" finnes i piratkopierte maler og plugins; en fullstendig avvisning av slike komponenter er viktig skritt fra et sikkerhetssynspunkt. Det er imidlertid en rekke mer spesifikke nyanser.

1. Installer et pålitelig antivirus

Et ondsinnet program kan introduseres ikke bare fra utsiden; kilden til infeksjon kan meget vel være datamaskinen som prosjektet administreres fra. Moderne trojanere kan ikke bare stjele FTP-passordet, men også laste ned kjørbar kode på egen hånd, eller endre CMS-filer, noe som betyr at sikkerheten til nettressursen din direkte avhenger av sikkerheten til arbeidsmaskinen din.

IT-markedet tilbyr mange antivirus. Imidlertid er det mest rimelige valget produktene til store selskaper:
● Blant innenlandske produkter er de ledende posisjonene besatt av forslag fra Kaspersky Lab og Dr. Web.
● Blant utenlandske kommersielle løsninger kan vi fremheve Norton-linjen fra Symantek Corporation og den populære ESET NOD;
● Hvis vi snakker om gratis alternativer, så er Avast og Comodo de ubestridte lederne her.

2. Skann nettstedet ved å bruke nettjenester

Hvis mistenkelig aktivitet oppdages (motorfeil, bremser, popup-vinduer og tredjeparts bannere), er det enkleste du kan tenke på å kjøre ressursen gjennom en nettskanner som kan fastslå infeksjonsfaktumet. Den ubestridte lederen her er VirusTotal, som ligger på virustotal.com. For å bruke den, gå bare til fanen "URL-adresse", skriv inn lenken du er interessert i og klikk på "Sjekk!"-knappen.

Etter en tid vil systemet utstede en rapport med følgende innhold:

Det bør presiseres: VirusTotal er ikke et selvstendig prosjekt, men en slags aggregator av antivirusskannere. I denne forbindelse blir det mulig å sjekke WordPress for virus på 67 systemer samtidig. En utvilsom fordel er en detaljert rapport som gir data om alle støttede tjenester. Tross alt elsker antivirus å treffe falsk alarm, så selv om deteksjonsraten er forskjellig fra det ideelle (for eksempel 3/64), betyr ikke dette at ressursen er infisert. Fokuser først og fremst på store aktører(Kaspersky, McAfee, Symantec NOD32 og andre), små selskaper identifiserer ofte visse deler av koden som farlige - du bør ikke ta dette på alvor!

3. Bruk Yandex.Webmaster

Du har sikkert lagt merke til at noen lenker i søkeresultatene er utstyrt med en advarsel: "Nettstedet kan true datamaskinen din eller mobil enhet" Faktum er at søkemotoren har sine egne algoritmer for å oppdage ondsinnet kode, og varsle brukere om den potensielle risikoen. For å være klar over hva som skjer og være den første til å motta varsler, er det bare å registrere seg i Webmaster-tjenesten. Du kan se all nødvendig informasjon på "Sikkerhet"-fanen:

Hvis en trussel oppdages, vil informasjon om infiserte sider vises her. Dessverre selektiv WordPress-sjekk for virus er umulig - Yandex skanner på egen hånd; dessuten er ikke alle nedlastede webdokumenter inkludert i prøven, men bare en del av dem, bestemt tilfeldig.

4. Sjekk Google Reports

Den mest populære søkemotoren i verden tilbyr en enda enklere måte å overvåke på - bare følg lenken google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru, og skriv inn adressen til nettstedet av interesse i det aktuelle feltet. Du vil motta omfattende data om ressursen og se om Google har noen klager når det gjelder å oppdage skadelige skript:

Hvordan rense et WordPress-nettsted fra virale lenker?

Fra generelle anbefalinger La oss gå videre til private. La oss starte med vanlige varianter av ondsinnet kode – introduksjonen av fremmede URL-er og omdirigeringer til målnettressursen. Dessverre, svart administrerende direktør er fortsatt populær, noe som betyr at hackere ikke sitter stille, heldigvis er denne oppgaven en av de enkleste. La oss ordne det i rekkefølge.

1. Omdiriger til tredjeparts ressurser

Se for deg situasjonen: du går til ditt eget nettsted, men du blir umiddelbart overført til en annen "fritidskatalog", eller landingsside som tilbyr å tjene penger på Forex. Dette betyr nesten helt sikkert at nettressursen har blitt hacket, og flere nye linjer har dukket opp i .htaccess. Behandlingen er enkel: åpne filen, finn instruksjoner som inneholder adressen som omdirigeringen gjøres til, og slett dem. Så for den betingede malwaresite.com nødvendige design kan være:

< IfModule mod_alias. c>Omdirigere 301 https://site/ http://malwaresite.com/

RewriteEngine på RewriteBase / RewriteCond % ( HTTP_HOST ) ! ^tekseo\. su [NC] RewriteRule ^(.* ) http: //malwaresite.com/$1

RewriteEngine On RewriteBase / RewriteCond %(HTTP_HOST) !^tekseo\.su RewriteRule ^(.*) http://malwaresite.com/$1

Et mer sofistikert alternativ er en permanent omdirigering skrevet i PHP. Hvis du sjekket, men ikke fant noe mistenkelig, ligger problemet mest sannsynlig i index.php-filen. Omdirigering her gjøres ved å sende de nødvendige overskriftene til besøkende:

include("redirect.php"); exit();

Husk - slike fragmenter finnes ikke i den originale index.php, så du kan trygt slette dem alle. Finn og slett også den inkluderte filen (i vårt eksempel vil det være redirect.php, som ligger i rotmappen).

Et mer utspekulert trekk er en omdirigering for mobile gadgets. Ved å få tilgang til ressursen din fra personlig datamaskin, vil du aldri oppdage infeksjonen, men brukere av smarttelefoner og nettbrett vil bli ubehagelig overrasket når de havner på en annen side. Denne omdirigeringen kan implementeres:

1. .htaccess
Den enkleste metoden, som lett kan beregnes. Enheten identifiseres av den presenterte Bruker agent. Det kan se slik ut:

< IfModule mod_rewrite. c>RewriteEngine på RewriteBase / RewriteCond % ( HTTP_USER_AGENT) ^.* (ipod| iphone| android).* [ NC] RewriteRule ^(.* ) $ http: //malwaresite.com/

RewriteEngine på RewriteBase / RewriteCond %(HTTP_USER_AGENT) ^.*(ipod|iphone|android).* RewriteRule ^(.*)$ http://malwaresite.com/

2.PHP
Omdirigeringen er implementert i PHP på lignende måte. Konstruksjonen nedenfor finner du i indeksfilen. Igjen, ikke glem de allestedsnærværende inkluderer:

3. JavaScript
Her Sjekker skjermoppløsning, hvis bredden er 480 piksler eller mindre, blir den besøkende omdirigert til et ondsinnet nettsted. Hvis prosjektet ditt bruker en lignende metode, sørg for å sjekke denne blokken for adresseendringer.

< script type= "text/javascript" >if (skjermbredde original_fil.txt

og hvis det oppstår problemer, lag et nytt øyeblikksbilde i en annen fil, og sammenlign dem i WinDiff, AraxisMerge Tool eller BeyondCompare.

Epilog

I de fleste tilfeller holder ikke antivirusprogramvareutviklere og -skannere tritt med utviklere av ondsinnet kode, så når du diagnostiserer og behandler nettsteder, kan du ikke bare stole på automatiserte programvareløsninger og manus. Ved hjelp av en heuristisk tilnærming, rike verktøy operativsystem og CMS-funksjoner kan bli funnet ondsinnet kode, som antivirus og skannere ikke kunne oppdage. Bruk manuell analyse gjør nettsidebehandlingsprosessen bedre og mer effektiv.

Sjekker siden med jevne mellomrom for tilgjengelighet skadelige virus nødvendig, dette er det første budet til enhver webmaster med respekt for seg selv. Selv om du bruker rent tema Twenty Eleven, det er ikke et faktum at hun over tid heller ikke ble smittet. Dette fenomenet kan oppstå (og oppstår oftest) på grunn av at WordPress-motor opprinnelig ment for nettpublikasjoner. Så det skader aldri å sjekke igjen og lage en kopi av nettstedet og databasen.

For eksempel gjorde jeg (etter en stund, selvfølgelig) en konklusjon for meg selv - du trenger bare en god hoster, og problemene dine med sikkerhetskopiering vil forsvinne av seg selv. Jeg trenger ikke å ta sikkerhetskopier av databasen eller nettstedet nå - hosteren gjør alt for meg, og inn automatisk modus. Hvis du ønsker det, kan du når som helst bestille en kopi av en hvilken som helst del av bloggen din (og ikke bare), laste ned denne kopien eller gjenopprette bloggen direkte fra kontrollpanelet. Det vil si at jeg ikke trenger å laste ned en sikkerhetskopi, alt skjer automatisk - sikkerhetskopiering, gjenoppretting, etc. Dette er praktisk fordi jeg kan spore, ikke bare daglig, men hver time, når et virus dukket opp på bloggen min og følgelig iverksette tiltak for å eliminere det.

Jeg starter med de gode nyhetene - i det minste, gir de to pluginene jeg brukte gode resultater på oppdagelse og lokalisering av skadelig kode. Dette er AntiVirus og Exploit Scanner plugins. Du vil ikke tro hvor mye skadelig kode som er på bloggen din! Men ikke ta all den resulterende informasjonen etter sjekk som dogme - mange av linjene som disse pluginene oppdager betyr faktisk ikke noe dårlig. Plugin-en stiller bare spørsmål ved noen linjer, det er alt. For å være sikker på dette, kontroller manuelt de fragmentene som plugin-modulen har identifisert som skadelige. Så når du sjekket med AntiVirus-pluginen, viste det seg at selv et enkelt kall til funksjonen get_cache_file () allerede anses som mistenkelig av plugin-en. Så alle sjekkeresultater må spores manuelt. Men dette er for eksempel en virkelig infisert lenke, og den må fjernes:

Hvordan vet du om det er et virus eller hvordan det skal være? Alt er veldig enkelt - sammenlign den rene malen din (hvis du har en), og sammenlign den (fil for fil) med den som er installert og allerede har gjennomgått noen endringer. Det er ikke nødvendig å foreta en direkte sammenligning direkte, bare bruk et søk for å sjekke om den tomme malen din inneholder linjen som plugin-en uthevet. Hvis det er det, klikker du på "Dette er ikke et virus"-knappen, og denne linjen vil ikke bli tatt i betraktning under neste skanning.

Og her er et eksempel på den andre pluginen vi testet – Exploit Scanner

Som du kan se, er alt mye mer forsømt her. For meg var dette resultatet sjokkerende. Men det er ikke alt. Programtillegget har en funksjon som heter sjekk. Så hvis du slår den på, viser det seg at bloggen skal bestå av tekst og på det meste et par CSS-tabeller. Så det virker for meg som forfatteren av plugin-en tydelig overdrev det med sikkerhet her. Det er bra at plugin-en bare viser mistenkte infiserte fragmenter og ikke renser dem.

Etter å ha analysert alle linjene uthevet i gult, kan du enkelt oppdage skadelig programvare (ondsinnet kode), vel, bestemme selv hva du skal gjøre med den neste. Rengjøringsmetoden er fortsatt den samme - sammenlign den valgte koden med en sikkerhetskopi av nettstedet (se), og hvis du finner avvik, finn ut om du gjorde det selv, eller noen gjorde det for deg, noe som betyr at dette ikke lenger er bra og kan vise seg å være virus. Selv WordPress-utviklere anbefaler å sjekke nettstedet ditt for skadelig kode med denne plugin-en. Men det er slike ufarlige innlegg, for eksempel i kroppen til en iframe, som plugin også kan identifisere som infisert kode. Men i virkeligheten, uten disse linjene, vil ikke dette området av bloggen din fungere riktig.

Hvordan kan skadevare til og med komme inn i bloggfiler, og hva er det per definisjon? Ordet malware betyr bokstavelig talt - skadelig programvare, fra engelsk skadelig programvare. Dette er enhver programvare som kan brukes for uautorisert tilgang til nettstedet og dets innhold. Du forestiller deg sannsynligvis at for en gjennomsnittlig hacker vil hacking av et nettsted ikke være vanskelig, spesielt etter registrering. Etter dette kan du endre blogginnholdet som du ønsker - det ville vært lærerikt.

Skadelig skadelig programvare kan settes inn i plugins som du installerer fra en ukjent kilde, og i skript som du også noen ganger tar uten å sjekke, men stole på forfatteren. Den mest ufarlige skadevare er en kobling til forfatteren av en hvilken som helst modul du har installert på nettstedet. Og hvis forfatteren selv ikke advarte deg om at en slik kobling eksisterer, så er dette et rent virus.

Ja, jeg installerte det på en testblogg nytt emne, og etter å ha slettet en ufarlig lenke til en slags herreklubb i kjelleren på nettstedet, sluttet den å åpne i det hele tatt, og inskripsjonen dukket opp på hovedsiden - "Du har ikke rett til å slette lenker." Værsågod gratis tema. Du kan lese om hvordan du river ut slike venstrelenker.

Databasen din kan også brukes til å kjøre virusholdig kode. Spammy-lenker legges også veldig ofte til innlegg eller kommentarer. Slike lenker er vanligvis skjult når CSS-hjelp slik at en uerfaren administrator ikke ser dem, men søkemotoren skiller dem umiddelbart. Her spiller selvfølgelig all antispam inn, for eksempel den samme som er lisensiert, testet og dobbeltsjekket mange ganger. En hacker kan laste ned filer med bildefilutvidelser og legge dem til koden til dine aktiverte plugins. Derfor, selv om filen ikke har php utvidelse, kan koden i denne filen settes i verk.

Det er et annet enkelt verktøy som jeg begynte å bli kjent med malware - Theme Authenticity Checker (TAC) plugin. Dette er et lett og ganske effektivt verktøy, men det sjekker bare emnene dine, selv inaktive. Det berører ikke resten av katalogene, og det er ulempen. Dette er hva testing av mitt nåværende tema med denne plugin ga meg:

To advarsler i den aktive tråden, og ingenting mer. Det er ingen ondsinnet kode. Dette er forresten lenkene jeg har lagt inn selv. Google råd– for å forbedre kvaliteten på kodebiten (viser personopplysninger, organisasjonsadresse osv.). Men dette er bare å sjekke temafilene, og du må finne ut hva som gjøres i andre kataloger, enten ved å bruke andre plugins eller nettjenester. For eksempel en tjeneste (den er virkelig pålitelig) som Yandex Webmaster eller en lignende hos Google. De har funksjonen til å sjekke enhver nettressurs for tilstedeværelsen av ondsinnede inneslutninger, og de gjør det effektivt. Men hvis dette ikke er nok for deg, så sammenlign resultatene med resultatene på andre tjenester og trekk konklusjoner.

Av en eller annen grunn vil jeg stole på Yandex, ikke plugins. En annen god ressurs er http://2ip.ru/site-virus-scanner/. Etter å ha sjekket en av bloggene mine, fant jeg dette:

Her kan du også sjekke separate filer for tilstedeværelsen av ondsinnet kode hvis du har slike tvil. Generelt er ikke tjenesten dårlig.

Av alt som er sagt, vil jeg trekke følgende konklusjoner:

1. For å forhindre utseendet av ondsinnet kode, må du først og fremst bruke velprøvde tjenester for å laste ned filer - plugins, temaer, etc.

2. Gjør det regelmessig sikkerhetskopier alt som nettstedet inneholder - databaser, innhold, administrasjonspanel, nedlastet tredjeparts filer gjelder også.

3. Dra nytte av oppdateringene som WordPress tilbyr. De inneholder i hvert fall ikke virus, selv om de ikke alltid er funksjonelt begrunnet. Men ved å oppdatere fjerner du dermed eventuelle virus som kan være tilstede.

4. Slett ubrukte temaer, plugins, bilder og filer uten å angre – dette er nok en fluktvei for skadelig programvare som du kanskje aldri engang gjetter om.

5. Passordbeskytt FTP-tilgangene dine på riktig måte, logg på PhpAdmin, adminpanelet, og generelt hvor ingen andre enn du skal ha tilgang.

6. Prøv (selv om ønsket ditt er like stort som himmelen) å ikke endre eller erstatte filer WordPress kjerne– Utviklere vet bedre hva som skal fungere og hvordan.

7. Etter å ha oppdaget og fjernet virus, endre alle passord. Jeg tror du vil ha et stort ønske om å lage et passord på 148 tegn i ulike registre og med spesialtegn. Men ikke la deg rive med komplekse passord, du kan miste den, og da må du gjenopprette alt, noe som ikke er veldig hyggelig.

Alle disse metodene og komponentene som jeg har beskrevet som vil hjelpe deg med å bli kvitt virus er selvfølgelig gratis, selvfølgelig, nesten hjemmelagde, og selvfølgelig gir de ikke en 100% garanti for at nettstedet ditt vil bli renset for ondsinnet setter inn. Derfor, hvis du allerede er bekymret for å rense bloggen din, er det bedre å kontakte fagfolk, for eksempel Sucuri-tjenesten (http://sucuri.net/). Her vil siden din bli grundig overvåket og gitt praktiske anbefalinger, som vil bli sendt til deg per brev, og hvis du ikke vil rengjøre siden selv, står spesialister til tjeneste som vil gjøre alt innen 4 timer på sitt beste:

WordPress-plattformen blir stadig mer populær blant bloggere på grunn av den praktiske og raske prosessen med å lage og administrere et nettsted. Separat bør det bemerkes stor mengde gratis plugins og widgets tilgjengelig for dette systemet. På grunnlag av denne plattformen kan du bygge ikke bare vanlig blogg, men også en hel nettbutikk, nyhetsportal eller nettkino.

Men de fleste nettsteder bygget på dette gratis CMS, har visse sikkerhetssvakheter. WordPress-utviklere prøver selvfølgelig å lukke dem raskt og gi ut oppdateringer ikke bare for selve plattformen, men også for standardtemaer og plugins. Det er imidlertid ikke alltid mulig å beskytte seg mot hacking.

Basert på den nyeste forskningen presentert på den offisielle nettsiden til plattformen, kan man få en klar ide om infeksjonsmekanismene, siden et nettsted bygget på WordPress hovedsakelig kan hackes gjennom tredjeparts plugins eller modifiserte temaer.

Hvis de blir hacket, har de fleste uerfarne nettadministratorer en tendens til å få panikk og gjøre irreversible feil som kan føre til tap av hele databasen eller filene. I denne artikkelen vil vi prøve å fortelle deg hvordan du "kurerer" et nettsted og returnerer det til tilstanden det var i før hacket.

Sikkerhetskopiering

Det er to måter å sikkerhetskopiere et nettsted på: kopiering kildefiler nettstedet og kopiering av databasen (DB). For WordPress er det standard verktøy for sikkerhetskopiering, men den lager bare en kopi av databasen.

For å sikkerhetskopiere filer kan du bruke tredjeparts plugins eller bruke helautomatisk backup, verktøy som vanligvis er tilgjengelige på hostingen. Å sette opp en fullstendig sikkerhetskopi etter en bestemt tidsplan er ikke veldig vanskelig, men senere kan denne prosessen spare administratorens nerver og spare en betydelig mengde tid. Hvis du ikke kan sette opp en fullstendig sikkerhetskopieringsmekanisme selv, anbefales det på det sterkeste at du kontakter hosteren din for å løse dette viktig sak. Nybegynnere av nettadministratorer kan bli bedt om å utføre manuelle sikkerhetskopier med jevne mellomrom.

Hvis en kopi av nettstedet og databasen er lagret på en flash-stasjon, er dette en hundre prosent garanti for at du enkelt kan gjenopprette nettstedet når som helst.

Gjenoppretting eller behandling

Nesten alle nettsteder er laget for å generere inntekter til eieren. Derfor er et obligatorisk krav for et nettsted å operere 24x7 (24 timer i døgnet, 7 dager i uken) med minimale nedstengningsperioder for teknisk arbeid.

Derfor, hvis et nettsted er infisert, prøver administratorer å gjenopprette informasjon fra sikkerhetskopier så raskt som mulig. Men siden problemet ikke forsvinner, og nettstedet fortsatt har et "hull" i sikkerhetssystemet, vil et nytt hack skje veldig snart og vil ikke ta angriperen mye tid.

Denne situasjonen vil skje igjen og igjen, spesielt for populære nettsteder, så riktig avgjørelse Problemet vil være en hastelukking av sårbarheten. Hvis du begrenser deg til kun konstant gjenoppretting av nettstedet, kan du miste alle indikatorer i søkemotorer og til og med falle inn under deres filter på grunn av spredning av skadelig programvare.

Hvordan oppdage skadelig programvare

Hvordan kan du finne ut om et nettsted har blitt hacket og identifisere de første symptomene på infeksjon? Faktisk er det veldig enkelt, svikt i trafikkstatistikk, omdirigeringer til ukjente nettsteder, overdreven trafikkforbruk - alt dette er tegn på infeksjon og tilstedeværelsen av ondsinnede lenker som senker vurderingen av ressursen. For ikke å nevne åpenbare situasjoner når et merke som indikerer at nettstedet ditt er "infisert" vises i Yandex- eller Google-søkeresultatene.

Når du besøker et infisert nettsted i Opera, Chrome eller Firefox nettlesere, vil et advarselsvindu om den infiserte ressursen vises, siden disse nettleserne har sine egne baser for å identifisere infiserte nettsteder. Tross alt kan et lokalt antivirus fastslå at et nettsted har blitt infisert når du prøver å navigere mellom interne sider, vil du se en tilsvarende melding. Det kan vise seg at nettstedet har blitt hacket og brukes til å sende reklamespam. Du kan finne ut om dette når varsler om masseutsendelse spam.

Hva bør du gjøre i slike situasjoner? Først må du finne ut hvor viruset eller reklamelenken gjemmer seg, og hvordan den kom til nettstedet, siden temaene, databasen eller kjernen til nettstedet kan være "infisert".

Den enkleste, men også den lengste måten å søke etter et virus på er å prøve å spore endringsdatoene til filene. La oss si at hoveddelen av filene i de viktigste katalogene (wp-includes, wp-admin, etc.) har samme opprettelsesdato, men det er en eller to filer med senere opprettelsesdato. Sjekk disse filene og sammenlign dem med filene fra WordPress-distribusjonen. Du kan også sammenligne filer etter størrelse i programmet Totalkommandør. Alt som gjenstår er å sammenligne innholdet i mistenkelige filer og finne ut hva de ekstra kodefragmentene som ble funnet er ment for.

Hvordan sjekke den gjengitte HTML-koden

Kanskje du av en eller annen grunn ikke klarte å oppdage problemet ved å bruke metoden beskrevet ovenfor. Da kan du prøve å finne smittekilden på en annen måte.

Du må åpne det "infiserte" nettstedet i en nettleser (fortrinnsvis Opera eller Firefox) og velge kontekstmenyen element "Vis kilde nettsted ". Hvis du kan HTML, vil du sannsynligvis kunne oppdage mistenkelige linjer. Dette kan være ukjente lenker til nettsteder, deler av "komprimert" eller kryptert (base64) kode, eller det kan være et ukjent fragment av Javascript, som vil sannsynligvis også være kryptert. Bestem at det kan bli funnet ved å bruke eval-kommandoen inkludert i koden til fragmentet. Dette betyr vanligvis at noen prøvde å skjule den sanne Javascript-kode, noe som burde vekke noen mistanker. Figur 1 viser et eksempel på mistenkelig kode.

Ris. 1 Fragment av mistenkelig HTML-kode

Forresten, hvis nettstedet bruker gratis mal fra en tredjepartsprodusent, og ved å bruke denne metoden kan du finne reklamelenker som er innebygd av malforfatterne. Vanligvis er slike lenker ufarlige, dvs. er ikke virus. Imidlertid kan de påvirke nettstedets ytelse negativt søkemotorer og omdirigere trafikk til en tredjepartsressurs.

Når ondsinnet kode på nettsider ikke kan oppdages ved hjelp av metodene beskrevet ovenfor, kan du bruke tredjeparts onlineverktøy. Du kan for eksempel stille inn WordPress-plugin Exploit Scanner, som regelmessig sjekker et nettsted og oppdager skadelig programvare. Programtillegget gir en detaljert rapport og fremhever rader som senere skal slettes.

I tillegg kan du skanne et nettsted med den nettbaserte skanneren Sucuri SiteCheck - denne tjenesten er helt gratis, og mot et gebyr kan du bestille en fullstendig behandling av ressursen.

Hvordan sjekke plugins og temaer for skadelig kode

Når det gjelder temaer, kan du manuelt spore ondsinnet kode i dem eller installere TAC-plugin, som fungerer med temafiler, sjekke dem for fremmede lenker og viruskode. Med denne plugin kan du sjekke hvordan allerede installerte temaer, og nye.

Det er veldig enkelt å oppdage tilstedeværelsen av et virus i et tema eller plugin-kode. Hvis det aktive temaet er basert på et av de offisielle temaene, trenger du bare å sammenligne den originale koden med koden til temaet som testes. For å gjøre dette, last ned standardtemaet som er inkludert i WordPress-distribusjonen, endre navnet og bytt designet til det. Alt som gjenstår er å sjekke HTML-koden generert av serveren for tilstedeværelsen av et virus, og hvis det oppdages, ligger problemet tydeligvis ikke her.

Hvis ondsinnet kode ble funnet i filene til det aktive temaet, og flere temaer ble installert, men ikke aktivert, må du sjekke hver av dem, siden et virus kan infisere visse filer fra temakatalogen. Det er best å bruke bare ett tema og fjerne alle inaktive.

Å finne virus i plugin-kode er heller ikke spesielt vanskelig. Du bør konsekvent deaktivere plugins og sjekke den genererte HTML-koden. Dermed kan du identifisere en infisert plugin, fjerne den og installere den på nytt fra depotet.

Beste måter å beskytte Wordpress-plugins og -temaer på:

  • last ned og installer temaer og plugins kun fra pålitelige nettsteder;
  • ikke bruk "hackede" betalte plugins og temaer;
  • fjern ubrukte plugins og temaer;
Hvordan finne ondsinnet kode i WordPress-kjernefiler

Hvis du har sjekket plugins og temaer, men fortsatt ikke er i stand til å fastslå kilden til infeksjonen, kan det være at den ligger direkte i WordPress-kjernefilene. Kjerneinfeksjon kan bety at en angriper fikk tilgang til den administrative delen av nettstedet ved å gjette eller fange opp passordet for å få tilgang til nettstedet via FTP-protokollen.

Først av alt, skann datamaskinen du fikk tilgang til FTP- eller administrative grensesnittet til nettstedet fra for virus. Passordet kan ha blitt stjålet fra datamaskinen ved hjelp av Trojan virus, som overførte konfidensielle data til angriperen.

Ofte bygger angripere omdirigeringskoder inn i .htaccess-filen, krypterte lenker til ondsinnede skript som ligger på eksterne servere, så det første du må gjøre er å sammenligne denne filen med den originale fra distribusjonen. Spesiell oppmerksomhet bør rettes mot linjer som dette:

RewriteCond %(HTTP_REFERER) .*yandex.* RewriteRule ^(.*)$ http://unknownsite.com/

Hvis slike linjer blir funnet, bør du ikke slette dem umiddelbart. Først ber du om logger fra vertsleverandøren for perioden med omtrentlige endringer i .htaccess-filen og analyser hvilken IP-adresse denne filen ble sendt fra og når. Det er mulig at andre filer ble endret samtidig.

Hvis bare denne filen ble endret, bør du endre passordene for FTP og det administrative grensesnittet. Hvis endringer ble oppdaget i *.php, *. html-filer, da ble det mest sannsynlig lastet opp et PHP-skript til nettstedet, der en angriper kan få tilgang til all tilgjengelig informasjon.

Å forhindre denne typen trusler er ganske enkelt og krever ingen spesielle kostnader. Det er viktig å huske følgende regler:

  • ikke lagre passord i FTP-administratorer eller i e-postmeldinger;
  • oppdater WordPress-kjernen regelmessig;
  • oppdatere plugins og temaer;
  • Ikke bruk enkle passord.

Det er ganske mulig at du i utgangspunktet fulgte alle disse reglene, og poenget er ikke sårbarheten til nettstedet, men den utilstrekkelige beskyttelsen av selve serveren som ressursen er plassert på. Send i slike tilfeller en detaljert beskrivelse av problemet til teknisk støtte vertsleverandør og samarbeide for å finne en løsning på problemet.

Hvordan finne ondsinnet SQL-injeksjon i WordPress

Så vi har allerede sett på ulike måter infeksjon og behandling av et nettsted basert på gratis CMS WordPress. Men en av de populære metodene for penetrering og hacking er SQL-injeksjon (sql-injeksjon). Denne infeksjonsmetoden er basert på å sende en forespørsel til databasen, der passordet fra det administrative grensesnittet er stjålet eller annet konfidensiell informasjon. Med hensyn til WordPress, kan vi si at den for tiden kjente siste oppdatering"hull" i databasesikkerhetssystemet og i søkefiltrering er eliminert.

For å beskytte deg selv mot hacking av nettsteder ved hjelp av SQL-injeksjon, bør du nøye velge plugins, siden de fungerer med databasen, og derfor kan en utilstrekkelig samvittighetsfull utvikler etterlate et smutthull for angripere. Kanskje i noen gratis plugins slike skjulte input er integrert med hensikt. Når du velger en plugin, må du ikke bare veiledes av dens evner, men også av dens popularitet, samt antall installasjoner som er gjort. Det er også verdt å studere anmeldelsene som er igjen på utviklerens side. Hvis du har det minste tvil, eller finner negativ anmeldelse Når det gjelder sikkerhet, er det bedre å ikke risikere det og installere en annen plugin med lignende funksjonalitet.

De fleste CMS er bygget på en slik måte at en bruker med minimale programmeringskunnskaper kan installere det, konfigurere det, aktivere en av de foreslåtte designtypene og begynne å fylle nettstedet med nødvendig informasjon. Derfor er nettsteder ofte i hendene på uerfarne administratorer som ikke kan gjenkjenne et slikt inntrenging ved hjelp av SQL-injeksjon.

Men WordPress Exploit Scanner-pluginen nevnt tidligere kan også fungere med databasen, og i noen tilfeller kan den finne utenlandsk funksjonalitet innebygd i databasen. Du trenger bare å slette den manuelt ved å bruke spesielle SQL-kommandoer i dPHPMyAdmin-data. Slike handlinger må utføres veldig nøye, siden ugyldig forespørsel eller kommandoen kan skade strukturen eller innholdet i databasen. For å forhindre at dette skjer, bør du ta vare på i forkant av prosessen med å lage databasesikkerhetskopier. For øvrig kan Exploit Scanner selv gi anbefalinger for å korrigere SQL-spørringer.

Praktiske måter å beskytte WordPress-nettsteder på

Du kan finne mange råd på Internett om hvordan du sikrer og beskytter et nettsted som kjører på gratis CMS WordPress. Nedenfor er en liste over de mest effektive anbefalingene:

  • bør endres og aldri brukes standard navn for brukere som har administratorrettigheter, for eksempel admin, administrator, etc.;
  • det er nødvendig å installere en captcha, noe som reduserer risikoen for hacking av brute-forcing passord betydelig;
  • For å gå inn i det administrative grensesnittet, må et komplekst alfanumerisk passord på minst 8-10 tegn brukes;
  • Passordet skal ikke lagres i nettleseren, tekstfiler osv., offline lagring på et stykke papir er mye mer pålitelig;
  • passord må også beskyttes postkasse, som ble spesifisert ved installasjon av WordPress;
  • Utfør regelmessige sikkerhetskopier manuelt eller ved hjelp av spesielle plugins eller tredjeparts programmer, og de resulterende sikkerhetskopiene må lagres flere steder;
  • ikke installer plugins fra ukjente kilder, hacket betalte plugins og temaer;
  • du bør installere plugins som er ansvarlige for sikkerheten til filer og database WordPress-data, og regelmessig sjekke statusen til nettstedet ved hjelp av et antivirus;
  • oppdater kjernen, plugins og temaer i tide (pass på å ta en fullstendig sikkerhetskopi før hver oppdatering);
  • admin.php-filen bør gis nytt navn for å gjøre den vanskelig å identifisere;
  • registrere nettstedet ditt hos Yandex eller Google for å være oppmerksom på problemer knyttet til nettstedets sikkerhet og indeksering;
  • du må sjekke tillatelsene for katalogene og WordPress-filer: for kataloger er rettighetene satt til 755, for alle filer 644, separat for wp-innholdskatalogen skal rettighetene være 777;
  • hvis det ikke er behov for å registrere brukere, er det bedre å deaktivere denne funksjonen helt;
  • Du kan også deaktivere muligheten til å kommentere og la bare skjemaet for kommentering via sosiale nettverk;
  • du bør slette readme.htm-filen som ligger i rotkatalogen, som lagrer informasjon om installert versjon WordPress (dette må gjøres etter hver CMS-oppdatering);
  • Omtale av versjonen av WordPress du bruker bør også fjernes fra functions.php-filen ved å legge til linjen: remove_action("wp_head", "wp_generator");
Hva skal jeg gjøre hvis problemet fortsatt ikke kan løses?

Det er ingen håpløse situasjoner. Det kan virke som du har prøvd absolutt alle metoder for å nøytralisere viruskode eller skjulte reklamelenker. Det er mulig at nettsiden har sluttet å fungere på grunn av mislykket virusbehandling, og du kan ikke lenger gjenopprette den. Fortvil ikke, men prøv å kontakte spesialister som mot en avgift vil hjelpe deg med å gjenopprette nettstedet ditt og gi råd om hvordan du kan forbedre sikkerheten og ytelsen. Du kan skrive til WordPress teknisk støtte og finne svaret i WordPress Codex eller still et spørsmål på det offisielle forumet.

Hvis du ble kvitt virus, riktig konfigurert pluginene som er ansvarlige for sikkerhet, endret passord, og etter en stund gjentok situasjonen seg igjen, bør du vurdere å bytte hostingleverandør. Mest sannsynlig er serverne som nettstedet er plassert på, dårlig beskyttet eller konfigurert feil.

Konklusjon

De fleste av tipsene som presenteres vil forbli relevante i svært lang tid, siden de ikke bare gjelder WordPress, men alle nettsider, uavhengig av hvilken plattform som brukes. Internett utvikler seg raskt, det kommer stadig nye oppdateringer og nye virus skrives, sikkerhetshull i CMS og ulike tjenester lukkes. Følg med i tiden, oppgrader og oppdater nettstedet ditt regelmessig, så kan du unngå slike nødsituasjoner.

rustrackers.ru - Gratis programmer for din PC