Jak sprawdzić wtyczkę pod kątem złośliwego kodu. Przekieruj do zasobów stron trzecich

Witajcie przyjaciele IdeaFox!

Nie wiem jak Wy, ale ja mam problemy ze snem w nocy. Dręczą mnie problemy z bezpieczeństwem bloga. Nie mam już siły :-)

Przeczytałem kilka blogów na ten temat i przetestowałem wiele wtyczek, które pomagają rozwiązać ten problem. A w komentarzach zaczęli zadawać pytania na temat ochrony witryny, co skłoniło mnie do napisania tej notatki.

Wyobraź sobie, że prowadzisz bloga, piszesz artykuły, próbujesz… A złe dupki przychodzą i niszczą twoją witrynę. Myślę, że będzie dużo smutku.

Przecież każdy normalny bloger inwestuje mnóstwo czasu i wysiłku w rozwój swojej strony internetowej. Dla wielu blogowanie staje się obsesją... Tutaj i do czasu, jeśli TO się stanie :-)

Cóż, rozumiesz, jakie to ważne.

Przejdźmy w końcu do rzeczy :)

Kilka miesięcy temu napisałem już notatkę na temat hackowania. Koniecznie przeczytaj. Jednak od tego czasu minęło sporo czasu i podjąłem dodatkowe kroki w celu wzmocnienia wszechstronnej obrony.

W poniższych notatkach z pewnością szczegółowo omówię tę kwestię. (Ja też pamiętam i piszę o ustawieniach ISP)

3. Sprawdź witrynę w innych usługach online

Wydaje się, że takich usług będzie przybywać. Jestem głęboko przekonany, że wiele z nich jest całkowicie głupich i stworzonych wyłącznie do wyświetlania reklam.

Doktor Web

Wykonane przez firmę DR.Web dobra obsługa do sprawdzania witryn w Internecie. Osobiście pomógł mi kiedyś znaleźć infekcję na blogu znajomego (w pliku .htaccess znajdował się kod strony trzeciej)

Kontrola jest bardzo prosta. Wpisz swój adres URL i poczekaj na wynik weryfikacji.

antivirus-alarm.ru

Potężny skaner stron internetowych, który wykorzystuje aż 43 antywirusowe bazy danych od wiodących na świecie firm antywirusowych.

Tutaj także wszystko jest bardzo proste. Wpisujemy adres URL naszej witryny i z zapartym tchem czekamy na wyniki skanowania.

Czekałem na te.

Wszystko jest czyste, można spać spokojnie :-)

Wszystko to jest oczywiście dobre, ale musisz także zainstalować kilka wtyczek, które wcale nie zaszkodzą blogom WordPress.

4. Poproś swojego gospodarza o sprawdzenie Twojej witryny

Faktem jest, że hosterzy są jeszcze bardziej zaniepokojeni kwestiami bezpieczeństwa niż Ty i mają potężne środki bezpieczeństwa. Ponadto ze specjalistycznymi środkami ochrony.

Oto wiadomość, którą mam dzisiaj dla Was. Następnie opowiem Ci o bardzo potężna wtyczka, co pozwala znacząco zabezpieczyć Twój blog WordPress przed włamaniami.

Współpracuję z nim już 2 miesiące i jestem z niego bardzo zadowolony. Kiedy już to zrozumiałem, zbanowałem się 3 razy: –) Krótko mówiąc, jest o czym opowiadać.

Zanim wymyślisz, jak wyczyścić witrynę WordPress, musisz zrozumieć, z czym dokładnie będziemy mieć do czynienia. W szerokim znaczeniu termin „wirus” oznacza złośliwy oprogramowanie, mogący wyrządzić pewną szkodę właścicielowi zasobu sieciowego. Dlatego prawie każdy kod osadzony przez atakujących w skryptach silnika może zostać zaliczony do tej kategorii. Mogą to być ukryte powiązania prowadzące do pesymizmu wyniki wyszukiwania, backdoory zapewniające hakerowi dostęp administracyjny, lub złożone projekty, zamieniając witrynę w węzeł sieci zombie, a nawet górnika Bitcoin. Porozmawiamy o tym, jak identyfikować i eliminować wirusy różnych kalibrów, a także chronić się przed nimi.

Wiele wskazówek wymienionych w poprzednich artykułach może chronić Twoją witrynę przed infekcją. Na przykład „infekcję” można znaleźć w pirackich szablonach i wtyczkach; ważny krok z punktu widzenia bezpieczeństwa. Istnieje jednak wiele bardziej szczegółowych niuansów.

1. Zainstaluj niezawodny program antywirusowy

Szkodliwy program może zostać wprowadzony nie tylko z zewnątrz; źródłem infekcji może być komputer, z którego zarządzany jest projekt. Współczesne trojany potrafią nie tylko ukraść hasło FTP, ale także samodzielnie pobrać kod wykonywalny lub zmodyfikować pliki CMS, co oznacza, że bezpieczeństwo Twojego zasobu sieciowego zależy bezpośrednio od bezpieczeństwa Twojego komputera roboczego.

Rynek IT oferuje wiele programów antywirusowych. Najbardziej rozsądnym wyborem są jednak produkty dużych firm:
● Wśród produktów krajowych czołowe miejsca zajmują propozycje firm Kaspersky Lab i Dr. Sieć.
● Wśród zagranicznych rozwiązań komercyjnych możemy wyróżnić linię Norton firmy Symantek Corporation oraz popularny ESET NOD;
● Jeśli mówimy o bezpłatne opcje, wówczas Avast i Comodo są tutaj niekwestionowanymi liderami.

2. Zeskanuj witrynę za pomocą usług online

W przypadku wykrycia podejrzanej aktywności (błędy silnika, hamulce, wyskakujące okienka i banery stron trzecich) najprostszą rzeczą, jaką możesz wymyślić, jest uruchomienie zasobu przez skaner online, który może ustalić fakt infekcji. Niekwestionowanym liderem jest tutaj VirusTotal, zlokalizowany pod adresem virustotal.com. Aby z niej skorzystać wystarczy wejść w zakładkę „Adres URL”, wpisać interesujący Cię link i kliknąć przycisk „Sprawdź!”.

Po pewnym czasie system wystawi raport o następującej treści:

Należy wyjaśnić: VirusTotal nie jest niezależnym projektem, ale swego rodzaju agregatorem skanerów antywirusowych. W związku z tym możliwe staje się jednoczesne sprawdzanie WordPressa pod kątem wirusów w 67 systemach. Niewątpliwą zaletą jest szczegółowy raport, który dostarcza danych o wszystkich obsługiwanych usługach. W końcu programy antywirusowe uwielbiają uderzać fałszywy alarm, więc nawet jeśli współczynnik wykrywalności różni się od idealnego (na przykład 3/64), nie oznacza to, że zasób jest zainfekowany. Skup się przede wszystkim na główni gracze(Kaspersky, McAfee, Symantec NOD32 i inne), małe firmy często identyfikują pewne sekcje kodu jako niebezpieczne – nie należy brać tego poważnie!

3. Skorzystaj z Yandex.Webmaster

Prawdopodobnie zauważyłeś, że niektóre linki w wynikach wyszukiwania opatrzone są ostrzeżeniem: „Witryna może zagrozić Twojemu komputerowi lub urządzenie przenośne" Faktem jest, że wyszukiwarka posiada własne algorytmy wykrywania złośliwego kodu, powiadamiając użytkowników o potencjalnym ryzyku. Aby być na bieżąco z tym, co się dzieje i jako pierwszy otrzymywać powiadomienia, wystarczy zarejestrować się w serwisie dla webmasterów. Wszystkie niezbędne informacje możesz wyświetlić w zakładce „Bezpieczeństwo”:

Jeśli zostanie wykryte zagrożenie, w tym miejscu wyświetlona zostanie informacja o zainfekowanych stronach. Niestety, wybiórczo Kontrola WordPressa w przypadku wirusów jest to niemożliwe – Yandex skanuje sam, ponadto nie wszystkie pobrane dokumenty internetowe są uwzględniane w próbce, ale tylko ich część, ustalana losowo;

4. Sprawdź raporty Google

Najpopularniejsza wyszukiwarka na świecie oferuje jeszcze prostszy sposób monitorowania – wystarczy kliknąć link google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru i wpisać w odpowiednim polu adres interesującej nas witryny. Otrzymasz kompleksowe dane o zasobie i sprawdzisz, czy Google ma jakieś skargi w zakresie wykrywania złośliwych skryptów:

Jak oczyścić witrynę WordPress z linków wirusowych?

Z ogólne zalecenia Przejdźmy do prywatnych. Zacznijmy od typowych wariantów złośliwego kodu – wprowadzenia obcych adresów URL i przekierowań do docelowego zasobu sieciowego. Niestety, czarny dyrektor generalny jest nadal popularne, co oznacza, że hakerzy nie siedzą bezczynnie, na szczęście to zadanie należy do najprostszych. Ujmijmy to w porządku.

1. Przekieruj do zasoby osób trzecich

Wyobraź sobie sytuację: wchodzisz na swoją własną stronę internetową, ale od razu zostajesz przeniesiony do innego katalogu „rekreacyjnego” lub strony docelowej oferującej zarabianie na rynku Forex. To prawie na pewno oznacza, że zasób sieciowy został zhakowany, a w pliku .htaccess pojawiło się kilka nowych wierszy. Leczenie jest proste: otwórz plik, znajdź dyrektywy zawierające adres, na który następuje przekierowanie, a następnie je usuń. Tak więc, dla warunkowego malwaresite.com niezbędne projekty Może:

< IfModule mod_alias. c>Przekieruj 301 https: //site/ http://malwaresite.com/

RewriteEngine na RewriteBase/RewriteCond% (HTTP_HOST)! ^tekseo\. su [NC] RewriteRule ^(.* ) http: //malwaresite.com/$1

RewriteEngine na RewriteBase / RewriteCond %(HTTP_HOST) !^tekseo\.su RewriteRule ^(.*) http://malwaresite.com/$1

Bardziej wyrafinowaną opcją jest stałe przekierowanie napisane w PHP. Jeśli sprawdziłeś, ale nie znalazłeś niczego podejrzanego, problem najprawdopodobniej tkwi w pliku Index.php. Przekierowanie odbywa się tutaj poprzez wysłanie odwiedzającym niezbędnych nagłówków:

include("przekierowanie.php"); Wyjście();

Pamiętaj - takich fragmentów nie ma w oryginalnym pliku Index.php, więc możesz bezpiecznie je wszystkie usunąć. Znajdź także i usuń dołączony plik (w naszym przykładzie będzie to redirect.php, znajdujący się w folderze głównym).

Bardziej przebiegłym posunięciem jest przekierowanie gadżety mobilne. Uzyskując dostęp do zasobów z komputer osobisty, nigdy nie wykryjesz faktu infekcji, ale użytkownicy smartfonów i tabletów będą niemile zaskoczeni, gdy trafią na inną stronę. To przekierowanie można zaimplementować:

1.htaccess
Najprostsza metoda, którą łatwo obliczyć. Urządzenie identyfikuje się po prezentowanym Agent użytkownika. Może to wyglądać tak:

< IfModule mod_rewrite. c>RewriteEngine na RewriteBase / RewriteCond % ( HTTP_USER_AGENT) ^.* (ipod| iphone| android).* [ NC] RewriteRule ^(.* ) $ http: //malwaresite.com/

RewriteEngine na RewriteBase / RewriteCond %(HTTP_USER_AGENT) ^.*(ipod|iphone|android).* RewriteRule ^(.*)$ http://malwaresite.com/

2.PHP
Przekierowanie jest zaimplementowane w PHP w podobny sposób. Poniższą konstrukcję można znaleźć w pliku indeksu. Ponownie nie zapomnij o wszechobecnych, m.in.:

3. JavaScript
Tutaj Kontrola rozdzielczość ekranu, jeśli szerokość wynosi 480 pikseli lub mniej, odwiedzający zostaje przekierowany na złośliwą stronę. Jeśli Twój projekt wykorzystuje podobną metodę, pamiętaj o sprawdzeniu tego bloku pod kątem zmian adresu.

< script type= "text/javascript" >if (szerokość ekranu oryginalny_plik.txt

a jeśli pojawią się problemy, utwórz nową migawkę w innym pliku, a następnie porównaj je w WinDiff, AraxisMerge Tool lub BeyondCompare.

Epilog

W większości przypadków twórcy oprogramowania antywirusowego i skanery nie nadążają za twórcami złośliwego kodu, dlatego podczas diagnozowania i leczenia witryn nie można polegać wyłącznie na automatycznych rozwiązania programowe i skrypty. Stosowanie podejścia heurystycznego, bogate narzędzia system operacyjny i możliwości CMS można znaleźć złośliwy kod, których programy antywirusowe i skanery nie mogły wykryć. Stosowanie analiza ręczna sprawia, że proces leczenia strony internetowej jest lepszy i wydajniejszy.

Okresowe sprawdzanie dostępności witryny szkodliwe wirusy konieczne, jest to pierwsze przykazanie każdego szanującego się webmastera. Nawet jeśli używasz czysty motyw Twenty Eleven, nie jest faktem, że z czasem i ona nie uległa zakażeniu. Zjawisko to może wystąpić (i najczęściej występuje) dlatego, że Silnik WordPressa przeznaczone początkowo do publikacji w internecie. Więc nigdy nie zaszkodzi sprawdzić ponownie i zrobić kopię witryny i bazy danych.

Ja na przykład ja (oczywiście po pewnym czasie) wyciągnąłem dla siebie jeden wniosek – wystarczy dobry hosting, a problemy z kopią zapasową same znikną. Nie muszę teraz robić kopii zapasowych bazy danych ani strony internetowej – hoster robi wszystko za mnie i w środku tryb automatyczny. W każdej chwili, jeśli chcesz, możesz zamówić kopię dowolnej sekcji swojego bloga (i nie tylko), pobrać tę kopię lub przywrócić bloga bezpośrednio z panelu sterowania. Oznacza to, że nie muszę pobierać kopii zapasowej, wszystko dzieje się automatycznie - tworzenie kopii zapasowych, przywracanie itp. Jest to wygodne, ponieważ mogę śledzić nie tylko codziennie, ale co godzinę, kiedy na moim blogu pojawił się wirus, i w związku z tym podejmować działania mające na celu jego wyeliminowanie.

Zacznę od dobrej wiadomości - co najmniej, dwie wtyczki, których użyłem, dają dobre wyniki na wykrywaniu i lokalizacji złośliwego kodu. Są to wtyczki AntiVirus i Exploit Scanner. Nie uwierzysz, ile szkodliwego kodu znajduje się na Twoim blogu! Ale nie traktuj wszystkich uzyskanych informacji po sprawdzeniu jako dogmatu — wiele linii wykrywanych przez te wtyczki tak naprawdę nie oznacza nic złego. Wtyczka po prostu kwestionuje niektóre linie, to wszystko. Aby się o tym przekonać, sprawdź ręcznie te fragmenty, które wtyczka zidentyfikowała jako złośliwe. Tak więc, podczas sprawdzania wtyczki AntiVirus, okazało się, że nawet proste wywołanie funkcji get_cache_file () jest już uważane przez wtyczkę za podejrzane. Dlatego wszystkie wyniki kontroli będą musiały być śledzone ręcznie. Ale to na przykład jest naprawdę zainfekowany link i należy go usunąć:

Skąd wiesz, czy to wirus, czy po prostu tak powinno być? Wszystko jest bardzo proste - porównaj swój czysty szablon (jeśli taki posiadasz) i porównaj go (plik po pliku) z tym, który jest zainstalowany i przeszedł już pewne zmiany. Nie ma potrzeby bezpośredniego porównywania, wystarczy skorzystać z wyszukiwania i sprawdzić, czy pusty szablon zawiera linię podświetloną przez wtyczkę. Jeśli tak, kliknij przycisk „To nie jest wirus”, a ta linia nie zostanie uwzględniona podczas następnego skanowania.

A oto przykład drugiej wtyczki, którą testowaliśmy - Exploit Scanner

Jak widać, tutaj wszystko jest znacznie bardziej zaniedbane. Dla mnie ten wynik był szokujący. Ale to nie wszystko. Wtyczka posiada funkcję o nazwie check. Jeśli więc to włączysz, okaże się, że blog powinien składać się z tekstu i co najwyżej z kilku Tabele CSS. Wydaje mi się więc, że autor wtyczki wyraźnie przesadził tutaj z bezpieczeństwem. Dobrze, że wtyczka po prostu pokazuje podejrzane zainfekowane fragmenty i ich nie czyści.

Po przeanalizowaniu wszystkich linii zaznaczonych na żółto możesz łatwo wykryć złośliwe oprogramowanie (złośliwy kod), cóż, sam zdecyduj, co z nim dalej zrobić. Metoda czyszczenia jest nadal taka sama - porównaj wybrany kod z kopią zapasową witryny (patrz) i jeśli znajdziesz rozbieżności, dowiedz się, czy zrobiłeś to sam, czy ktoś zrobił to za Ciebie, co oznacza, że to już nie jest dobre i może okazać się wirusem. Nawet programiści WordPressa zalecają sprawdzanie witryny pod kątem złośliwego kodu za pomocą tej wtyczki. Istnieją jednak takie nieszkodliwe wstawki, na przykład w treści elementu iframe, które wtyczka może również zidentyfikować jako zainfekowany kod. Ale w rzeczywistości bez tych linii ten obszar Twojego bloga nie będzie działał poprawnie.

W jaki sposób złośliwe oprogramowanie może w ogóle przedostać się do plików blogów i czym z definicji jest? Słowo złośliwe oprogramowanie dosłownie oznacza - złośliwe oprogramowanie, z angielskiego złośliwego oprogramowania. Jest to dowolne oprogramowanie, które może zostać wykorzystane do nieautoryzowanego dostępu do witryny i jej zawartości. Prawdopodobnie wyobrażasz sobie, że dla przeciętnego hakera włamanie się na stronę internetową nie będzie trudne, szczególnie po rejestracji. Następnie możesz dowolnie modyfikować treść bloga – będzie to miało charakter edukacyjny.

Złośliwe złośliwe oprogramowanie może zostać wstawione do wtyczek instalowanych z nieznanego źródła oraz do skryptów, które czasami wykonujesz bez sprawdzania, ale ufając autorowi. Najbardziej nieszkodliwym złośliwym oprogramowaniem jest link do autora dowolnego modułu, który zainstalowałeś na stronie. A jeśli sam autor nie ostrzegł Cię, że taki link istnieje, to jest to czysty wirus.

Tak, zainstalowałem go na blogu testowym nowy temat, a po usunięciu jednego nieszkodliwego linku do jakiegoś męskiego klubu w piwnicy witryny, w ogóle przestał się otwierać, a na stronie głównej pojawił się napis - „Nie masz prawa usuwać linków”. Proszę bardzo darmowy motyw. O tym, jak wyrywać takie lewicowe linki, możesz przeczytać.

Bazy danych można także używać do uruchamiania kodu zawierającego wirusy. Linki spamowe są również bardzo często dodawane do postów lub komentarzy. Takie linki są zwykle ukryte, gdy Pomoc CSS tak, aby niedoświadczony administrator ich nie dostrzegł, a wyszukiwarka od razu je rozróżniła. Oczywiście tutaj w grę wchodzi dowolny antyspam, na przykład ten sam, który jest wielokrotnie licencjonowany, testowany i sprawdzany. Haker może pobrać pliki z rozszerzeniami obrazów i dodać je do kodu aktywowanych wtyczek. Dlatego nawet jeśli plik nie ma rozszerzenie php, kod zawarty w tym pliku można uruchomić.

Jest jeszcze jedno proste narzędzie, od którego zacząłem zapoznawać się ze złośliwym oprogramowaniem – wtyczka Theme Authenticity Checker (TAC). Jest to lekkie i dość skuteczne narzędzie, ale sprawdza tylko Twoje tematy, nawet te nieaktywne. Nie wpływa na resztę katalogów i to jest jego minus. Oto, co dało mi testowanie mojego obecnego motywu za pomocą tej wtyczki:

Dwa ostrzeżenia w aktywnym wątku i nic więcej. Nie ma żadnego złośliwego kodu. Swoją drogą to są linki, które sam wstawiłem. Porady Google'a— w celu poprawy jakości fragmentu (wyświetlanie danych osobowych, adresu organizacji itp.). Jest to jednak tylko sprawdzenie plików motywu i będziesz musiał dowiedzieć się, co dzieje się w innych katalogach, korzystając z innych wtyczek lub usług online. Na przykład usługa (naprawdę godna zaufania) taka jak Yandex Webmaster lub podobna w Google. Mają funkcję sprawdzania dowolnego zasobu sieciowego pod kątem obecności szkodliwych dodatków i robią to skutecznie. Jeśli jednak to Ci nie wystarczy, porównaj wyniki z wynikami w innych serwisach i wyciągnij wnioski.

Z jakiegoś powodu chcę ufać Yandexowi, a nie wtyczkom. Innym dobrym źródłem jest http://2ip.ru/site-virus-scanner/. Po sprawdzeniu jednego z moich blogów znalazłem coś takiego:

Tutaj również możesz sprawdzić osobne pliki na obecność złośliwego kodu, jeśli masz takie wątpliwości. Ogólnie obsługa nie jest zła.

Z tego wszystkiego, co zostało powiedziane, wyciągam następujące wnioski:

1. Aby zapobiec pojawieniu się złośliwego kodu, należy przede wszystkim skorzystać ze sprawdzonych usług pobierania plików – wtyczek, motywów itp.

2. Rób to regularnie kopie zapasowe wszystko co zawiera strona - bazy danych, treść, panel administracyjny, pobrane pliki osób trzecich w tym.

3. Skorzystaj z aktualizacji, które oferuje WordPress. Przynajmniej nie zawierają wirusów, chociaż nie zawsze jest to uzasadnione funkcjonalnie. Ale aktualizując, usuwasz w ten sposób wszelkie wirusy, które mogą być obecne.

4. Bez żalu usuwaj nieużywane motywy, wtyczki, obrazy i pliki — to kolejna droga ucieczki dla złośliwego oprogramowania, o której być może nawet nie wiesz.

5. Prawidłowo chroń hasłem dostęp do FTP, zaloguj się do PhpAdmin, panelu administracyjnego i ogólnie tam, gdzie nikt oprócz Ciebie nie powinien mieć dostępu.

6. Staraj się (nawet jeśli masz wielkie pragnienie) nie zmieniać ani nie zastępować plików Rdzeń WordPressa– programiści wiedzą lepiej, co i jak powinno działać.

7. Po wykryciu i usunięciu wirusów zmień wszystkie hasła. Myślę, że będziesz miał wielką ochotę utworzyć hasło składające się ze 148 znaków w różnych rejestrach i ze znakami specjalnymi. Ale nie daj się zbytnio ponieść emocjom złożone hasła, możesz to stracić, a wtedy będziesz musiał wszystko przywrócić, co nie jest zbyt przyjemne.

Wszystkie te metody i komponenty, które opisałem, a które pomogą Ci pozbyć się wirusów, są oczywiście bezpłatne, prawie domowe i oczywiście nie dają 100% gwarancji, że Twoja witryna zostanie oczyszczona ze złośliwych wstawki. Dlatego jeśli już martwisz się o oczyszczenie swojego bloga, lepiej skontaktować się ze specjalistami, na przykład z serwisem Sucuri (http://sucuri.net/). Tutaj Twoja witryna będzie dokładnie monitorowana i udostępniana praktyczne zalecenia, który zostanie przesłany do Ciebie listownie, a jeśli nie chcesz samodzielnie czyścić witryny, to do Twojej dyspozycji są specjaliści, którzy zrobią wszystko w ciągu 4 godzin w najlepszym wydaniu:

Platforma WordPress zyskuje coraz większą popularność wśród blogerów ze względu na wygodny i szybki proces tworzenia i zarządzania witryną WWW. Osobno należy zauważyć wielka ilość darmowe wtyczki i widżety dostępne dla tego systemu. Na bazie tej platformy można budować nie tylko zwykłego bloga, ale także cały sklep internetowy, portal informacyjny czy kino internetowe.

Ale większość witryn internetowych opiera się na tym darmowy CMS, mają pewne luki w zabezpieczeniach. Twórcy WordPressa oczywiście starają się je szybko zamykać i publikować aktualizacje nie tylko samej platformy, ale także standardowych motywów i wtyczek. Jednak nie zawsze można uchronić się przed włamaniem.

Na podstawie najnowszych badań przedstawionych na oficjalnej stronie platformy można uzyskać jasny obraz mechanizmów infekcji, ponieważ witrynę zbudowaną na WordPress można zhakować głównie za pomocą wtyczek stron trzecich lub zmodyfikowanych motywów.

W przypadku ataku hakerskiego większość niedoświadczonych administratorów sieci WWW wpada w panikę i popełnia nieodwracalne błędy, które mogą prowadzić do utraty całej bazy danych lub plików. W tym artykule postaramy się powiedzieć, jak „wyleczyć” witrynę internetową i przywrócić ją do stanu sprzed włamania.

Kopia zapasowa

Istnieją dwa sposoby tworzenia kopii zapasowej witryny sieci Web: kopiowanie pliki źródłowe serwisu i kopiowanie bazy danych (DB). W przypadku WordPressa tak standardowe narzędzie do tworzenia kopii zapasowych, ale tworzy tylko kopię bazy danych.

Aby wykonać kopię zapasową plików, możesz użyć wtyczek innych firm lub skorzystać z pełnej automatyki kopia zapasowa, narzędzia do których zazwyczaj są dostępne na hostingu. Utworzenie pełnej kopii zapasowej według określonego harmonogramu nie jest bardzo trudne, ale później ten proces może zaoszczędzić administratorowi nerwów i zaoszczędzić znaczną ilość czasu. Jeśli nie możesz samodzielnie skonfigurować mechanizmu pełnej kopii zapasowej danych, zdecydowanie zalecamy skontaktowanie się z dostawcą usług hostingowych w celu rozwiązania tego problemu ważna kwestia. Początkującym administratorom sieci WWW można zalecić regularne wykonywanie ręcznych kopii zapasowych.

Jeśli kopia witryny i bazy danych jest przechowywana na dysku flash, jest to stuprocentowa gwarancja, że w dowolnym momencie można łatwo przywrócić witrynę internetową.

Rekonwalescencja lub leczenie

Prawie wszystkie witryny internetowe mają na celu generowanie dochodu dla ich właściciela. Dlatego obowiązkowym wymogiem dla witryny internetowej jest działanie 24 godziny na dobę, 7 dni w tygodniu (24 godziny na dobę, 7 dni w tygodniu) z minimalnymi okresami przestojów ze względu na prace techniczne.

Dlatego w przypadku zainfekowania witryny internetowej administratorzy starają się jak najszybciej przywrócić informacje z kopii zapasowych. Ponieważ jednak problem nie zniknie, a witryna internetowa nadal ma „lukę” w systemie bezpieczeństwa, drugie włamanie nastąpi wkrótce i nie zajmie atakującemu dużo czasu.

Taka sytuacja będzie się powtarzać, szczególnie w przypadku popularnych serwisów, tzw dobra decyzja Problemem będzie pilne zamknięcie luki. Jeśli ograniczysz się jedynie do ciągłego przywracania strony internetowej, możesz stracić wszystkie wskaźniki w wyszukiwarkach, a nawet wpaść pod ich filtr z powodu rozprzestrzeniania się złośliwego oprogramowania.

Jak wykryć złośliwe oprogramowanie

Jak rozpoznać, czy witryna została zhakowana i jakie są pierwsze objawy infekcji? W rzeczywistości jest to bardzo proste, brak statystyk ruchu, przekierowania do nieznanych witryn internetowych, nadmierne zużycie ruchu - wszystko to są oznaki infekcji i obecność złośliwych linków, które obniżają ocenę zasobu. Nie mówiąc już o oczywistych sytuacjach, gdy w wynikach wyszukiwania Yandex czy Google pojawia się znak wskazujący, że Twoja witryna jest „zainfekowana”.

Gdy odwiedzisz zainfekowaną witrynę w przeglądarkach Opera, Chrome lub Firefox, wyświetli się okno z ostrzeżeniem o zainfekowanym zasobie, ponieważ przeglądarki te mają własne podstawy identyfikowania zainfekowanych witryn. W końcu lokalny program antywirusowy może wykryć, że witryna internetowa została zainfekowana, gdy próbujesz się między nią poruszać strony wewnętrzne, zobaczysz odpowiedni komunikat. Może się okazać, że witryna została zhakowana i wykorzystywana do rozsyłania spamu reklamowego. Możesz się o tym dowiedzieć, gdy otrzymasz powiadomienia o masowe mailowanie spam.

Co należy zrobić w takich sytuacjach? Najpierw musisz ustalić, gdzie ukrywa się wirus lub link reklamowy i w jaki sposób dostał się do witryny, ponieważ motywy, baza danych lub rdzeń witryny mogą zostać „zainfekowane”.

Najłatwiejszym, ale i najdłuższym sposobem wyszukiwania wirusa jest śledzenie dat modyfikacji plików. Załóżmy, że większość plików w najważniejszych katalogach (wp-includes, wp-admin itp.) ma tę samą datę utworzenia, ale jest jeden lub dwa pliki z późniejszą datą utworzenia. Sprawdź te pliki i porównaj je z plikami z dystrybucji WordPress. W programie możesz także porównywać pliki według rozmiaru Totalny Dowódca. Pozostaje tylko porównać zawartość podejrzanych plików i dowiedzieć się, do czego służą znalezione dodatkowe fragmenty kodu.

Jak sprawdzić wyrenderowany kod HTML

Być może z jakiegoś powodu nie udało Ci się wykryć problemu metodą opisaną powyżej. Następnie możesz spróbować znaleźć źródło infekcji w inny sposób.

Będziesz musiał otworzyć „zainfekowaną” witrynę w przeglądarce (najlepiej Operze lub Firefox) i wybrać menu kontekstowe pozycja „Pokaż źródło site”. Jeśli znasz HTML, prawdopodobnie będziesz w stanie wykryć podejrzane linie. Mogą to być nieznane linki do stron, fragmenty „skompresowanego” lub zaszyfrowanego (base64) kodu lub może to być nieznany fragment JavaScript, który prawdopodobnie również być zaszyfrowany. Ustal, że można go znaleźć za pomocą polecenia eval zawartego w kodzie fragmentu. Zwykle oznacza to, że ktoś próbował ukryć prawdziwy. Kod JavaScript, co powinno budzić pewne podejrzenia. Rysunek 1 przedstawia przykład podejrzanego kodu.

Ryż. 1 Fragment podejrzanego kodu HTML

Nawiasem mówiąc, jeśli witryna korzysta darmowy szablon od zewnętrznego producenta, wówczas za pomocą tej metody można znaleźć linki reklamowe osadzone przez autorów szablonu. Zwykle takie linki są nieszkodliwe, tj. nie są wirusami. Mogą jednak negatywnie wpłynąć na wydajność witryny internetowej Wyszukiwarki i przekierowywać ruch do zasobu strony trzeciej.

Jeżeli przy użyciu metod opisanych powyżej nie można wykryć złośliwego kodu na stronach internetowych, można skorzystać z narzędzi online innych firm. Możesz na przykład ustawić Wtyczka WordPressa Exploit Scanner, który będzie regularnie sprawdzał witrynę internetową i wykrywał złośliwe oprogramowanie. Wtyczka udostępnia szczegółowy raport i podświetla wiersze, które należy następnie usunąć.

Ponadto możesz przeskanować witrynę internetową za pomocą skanera online Sucuri SiteCheck - ta usługa jest całkowicie bezpłatna, a za opłatą możesz zamówić pełne przetwarzanie zasobu.

Jak sprawdzić wtyczki i motywy pod kątem złośliwego kodu

Jeśli chodzi o motywy, możesz ręcznie śledzić w nich złośliwy kod lub zainstalować wtyczkę TAC, która działa z pliki tematyczne, sprawdzając je pod kątem obcych łączy i kodu wirusa. Dzięki tej wtyczce możesz już sprawdzić, jak to zrobić zainstalowane motywy i nowe.

Bardzo łatwo jest wykryć obecność wirusa w motywie lub kodzie wtyczki. Jeśli aktywny motyw opiera się na jednym z oficjalnych motywów, wystarczy porównać oryginalny kod z kodem testowanego motywu. Aby to zrobić, pobierz domyślny motyw zawarty w dystrybucji WordPress, zmień jego nazwę i przełącz na niego wygląd. Pozostaje tylko sprawdzić kod HTML wygenerowany przez serwer pod kątem obecności wirusa, a jeśli zostanie wykryty, to wyraźnie nie tutaj leży problem.

Jeśli w plikach aktywnego motywu wykryto złośliwy kod, a dodatkowe motywy zostały zainstalowane, ale nie zostały aktywowane, będziesz musiał sprawdzić każdy z nich, ponieważ może infekować wirusa określone pliki z katalogu motywów. Najlepiej używać tylko jednego motywu i usunąć wszystkie nieaktywne.

Znalezienie wirusów w kodzie wtyczki również nie jest szczególnie trudne. Należy konsekwentnie wyłączać wtyczki i sprawdzać wygenerowany kod HTML. W ten sposób możesz zidentyfikować zainfekowaną wtyczkę, usunąć ją i ponownie zainstalować z depozytu.

Najlepsze sposoby ochrony wtyczek i motywów Wordpress:

pobieraj i instaluj motywy oraz wtyczki wyłącznie z zaufanych stron internetowych;
nie używaj „hakowanych” płatnych wtyczek i motywów;
usuń nieużywane wtyczki i motywy;

Jak znaleźć złośliwy kod w plikach podstawowych WordPress

Jeśli sprawdziłeś wtyczki i motywy, ale nadal nie możesz określić źródła infekcji, może ona znajdować się bezpośrednio w głównych plikach WordPress. Infekcja jądra może oznaczać, że osoba atakująca uzyskała dostęp do części administracyjnej witryny poprzez odgadnięcie lub przechwycenie hasła umożliwiającego dostęp do witryny internetowej za pośrednictwem protokołu FTP.

Przede wszystkim przeskanuj komputer, z którego uzyskałeś dostęp do FTP lub interfejsu administracyjnego witryny internetowej, w poszukiwaniu wirusów. Hasło mogło zostać skradzione z Twojego komputera przy użyciu Wirus trojański, który przekazał atakującemu poufne dane.

Często osoby atakujące osadzają w pliku .htaccess kody przekierowań, zaszyfrowane łącza do znajdujących się na nim złośliwych skryptów zdalne serwery, więc pierwszą rzeczą, którą musisz zrobić, to porównać ten plik z oryginalnym plikiem z dystrybucji. Szczególną uwagę należy zwrócić na takie linie:

RewriteCond %(HTTP_REFERER) .*yandex.* RewriteRule ^(.*)$ http://unknownsite.com/

Jeśli takie linie zostaną znalezione, nie należy ich natychmiast usuwać. W pierwszej kolejności poproś swojego dostawcę hostingu o logi z okresu przybliżonych zmian w pliku .htaccess i przeanalizuj z jakiego adresu IP ten plik został wysłany i kiedy. Możliwe, że inne pliki zostały zmienione w tym samym czasie.

Jeżeli zmieniony został tylko ten plik to należy zmienić hasła do FTP i interfejsu administracyjnego. Jeśli wykryto zmiany w plikach *.php, *. pliki HTML, wówczas najprawdopodobniej na stronę został przesłany skrypt PHP, za pomocą którego osoba atakująca może uzyskać dostęp do wszystkich dostępnych informacji.

Zapobieganie tego typu zagrożeniom jest dość proste i nie wymaga specjalnych kosztów. Ważne jest, aby pamiętać o następujących zasadach:

nie przechowuj haseł w menedżerach FTP ani w wiadomościach e-mail;
regularnie aktualizuj rdzeń WordPressa;
aktualizować wtyczki i motywy;
Nie używaj prostych haseł.

Jest całkiem możliwe, że początkowo przestrzegałeś wszystkich tych zasad i nie chodzi o lukę w zabezpieczeniach witryny internetowej, ale o niewystarczającą ochronę samego serwera, na którym znajduje się zasób. W takich przypadkach prosimy o przesłanie szczegółowego opisu problemu na adres pomoc techniczna dostawcy usług hostingowych i wspólnie pracujcie nad rozwiązaniem problemu.

Jak znaleźć złośliwy zastrzyk SQL w WordPress

Więc już sprawdziliśmy różne drogi infekcja i leczenie strony internetowej opartej na bezpłatnej CMS WordPress. Ale jedną z popularnych metod penetracji i hakowania jest wstrzykiwanie SQL (wstrzykiwanie SQL). Ta metoda infekcji polega na wysłaniu żądania do bazy danych, w którym zostaje skradzione hasło z interfejsu administracyjnego lub inne poufna informacja. W odniesieniu do WordPressa możemy powiedzieć, że obecnie znany Ostatnia aktualizacja wyeliminowane zostały „luki” w systemie bezpieczeństwa baz danych oraz w filtrowaniu zapytań.

Aby uchronić się przed włamaniem na stronę internetową za pomocą wstrzykiwania SQL, należy uważnie wybierać wtyczki, ponieważ współpracują one z bazą danych, a przez to niedostatecznie sumienny programista może zostawić lukę dla atakujących. Być może w niektórych darmowe wtyczki takie ukryte dane wejściowe są celowo zintegrowane. Wybierając wtyczkę, należy kierować się nie tylko jej możliwościami, ale także popularnością, a także liczbą wykonanych instalacji. Warto także przestudiować recenzje pozostawione na stronie dewelopera. Jeśli masz choćby najmniejsze wątpliwości lub znajdź negatywna recenzja jeśli chodzi o bezpieczeństwo, lepiej nie ryzykować i zainstalować inną wtyczkę o podobnej funkcjonalności.

Większość CMS-ów jest zbudowana w taki sposób, że użytkownik posiadający minimalne umiejętności programistyczne może je zainstalować, skonfigurować, włączyć jeden z proponowanych typów projektów i rozpocząć wypełnianie witryny internetowej niezbędnymi informacjami. Dlatego strony internetowe często znajdują się w rękach niedoświadczonych administratorów, którzy nie są w stanie rozpoznać takiego włamania za pomocą wstrzykiwania SQL.

Ale wspomniana wcześniej wtyczka WordPress Exploit Scanner może również współpracować z bazą danych, a w niektórych przypadkach może znaleźć obce funkcje osadzone w bazie danych. Wystarczy usunąć go ręcznie za pomocą specjalnych poleceń SQL w programie do administrowania bazą danych Dane PHPMyAdmina. Takie działania należy wykonywać bardzo ostrożnie, ponieważ Nieprawidłowe żądanie lub polecenie może uszkodzić strukturę lub zawartość bazy danych. Aby temu zapobiec, należy zadbać odpowiednio wcześniej o proces tworzenia kopii zapasowych baz danych. Nawiasem mówiąc, sam Exploit Scanner może dostarczyć rekomendacji dotyczących poprawiania zapytań SQL.

Praktyczne sposoby ochrony witryn WordPress

W Internecie można znaleźć wiele porad, jak zabezpieczyć i chronić stronę internetową działającą na darmowym systemie CMS WordPress. Poniżej znajduje się lista najskuteczniejszych rekomendacji:

należy zmienić i nigdy nie używać standardowe nazwy dla użytkowników, którzy mają uprawnienia administratora, na przykład admin, administrator itp.;
konieczna jest instalacja captcha, co znacznie zmniejsza ryzyko włamań poprzez brutalne wymuszanie haseł;
Aby wejść do interfejsu administracyjnego, należy użyć złożonego hasła alfanumerycznego składającego się z co najmniej 8-10 znaków;
Hasło nie powinno być przechowywane w przeglądarce internetowej, pliki tekstowe itp. przechowywanie w trybie offline na kartce papieru jest znacznie bardziej niezawodne;
hasło również musi być chronione skrzynka pocztowa, który został określony podczas instalacji WordPressa;
Wykonuj regularne kopie zapasowe ręcznie lub za pomocą specjalnych wtyczek lub programy stron trzecich, a powstałe kopie zapasowe należy przechowywać w kilku miejscach;
nie instaluj wtyczek z nieznane źródła, zhakowane płatne wtyczki i motywy;
należy zainstalować wtyczki odpowiedzialne za bezpieczeństwo plików i bazy danych Dane WordPressa i regularnie sprawdzaj stan witryny za pomocą programu antywirusowego;
aktualizuj rdzeń, wtyczki i motywy na czas (pamiętaj o wykonaniu pełnej kopii zapasowej przed każdą aktualizacją);
należy zmienić nazwę pliku admin.php, aby utrudnić jego identyfikację;
zarejestruj swoją witrynę w Yandex lub Google, aby mieć świadomość problemów związanych z bezpieczeństwem witryny i indeksowaniem;
musisz sprawdzić uprawnienia do katalogów i Pliki WordPressa: dla katalogów prawa są ustawione na 755, dla wszystkich plików na 644, osobno dla katalogu wp-content prawa powinny wynosić 777;
jeśli nie ma potrzeby rejestrowania użytkowników, lepiej całkowicie wyłączyć tę funkcję;
Możesz także wyłączyć możliwość komentowania i pozostawić jedynie formularz do komentowania za pośrednictwem sieci społecznościowych;
powinieneś usunąć plik readme.htm znajdujący się w katalog główny, który przechowuje informacje o zainstalowana wersja WordPress (należy to zrobić po każdej aktualizacji CMS);
Również wzmiankę o wersji WordPressa, której używasz, należy usunąć z plikufunctions.php, dodając linię: Remove_action("wp_head", "wp_generator");

Co zrobić, jeśli problemu nadal nie można rozwiązać?

Nie ma sytuacji beznadziejnych. Może się wydawać, że wypróbowałeś już absolutnie wszystkie metody neutralizacji kodu wirusa lub ukrytych linków reklamowych. Możliwe, że witryna internetowa przestała działać z powodu nieskutecznego leczenia wirusów i nie można jej już przywrócić. Nie rozpaczaj, ale spróbuj skontaktować się ze specjalistami, którzy za opłatą pomogą Ci przywrócić Twoją witrynę WWW i doradzą, jak poprawić jej bezpieczeństwo i wydajność. Możesz napisać do pomocy technicznej WordPress i znaleźć odpowiedź Kodeks WordPressa lub zadaj pytanie na oficjalnym forum.

Jeżeli pozbyłeś się wirusów, poprawnie skonfigurowałeś wtyczki odpowiadające za bezpieczeństwo, zmieniłeś hasła, a po pewnym czasie sytuacja się powtarza, to warto rozważyć zmianę dostawcy hostingu. Najprawdopodobniej serwery, na których znajduje się witryna internetowa, są słabo chronione lub nieprawidłowo skonfigurowane.

Wniosek

Większość przedstawionych wskazówek pozostanie aktualna przez bardzo długi czas, ponieważ dotyczą one nie tylko WordPressa, ale każdej witryny internetowej, niezależnie od używanej platformy. Internet szybko się rozwija, stale pojawiają się nowe aktualizacje i powstają nowe wirusy, eliminowane są luki w zabezpieczeniach CMS-ów i różnych usług. Idź z duchem czasu, regularnie aktualizuj i aktualizuj swoją witrynę internetową, a będziesz mógł uniknąć takich sytuacji awaryjnych.