כיצד לבדוק, להסיר ולמנוע תוכנות זדוניות מאתר הוורדפרס שלך

תוכנות זדוניות

השבוע היה די עמוס. אחד העמותות שאני מכיר מצא את עצמו במצב קשה למדי - אתר הוורדפרס שלהם נגוע בתוכנות זדוניות. האתר נפרץ והוצאו סקריפטים על מבקרים שעשו שני דברים שונים:

  1. ניסיתי להדביק את Microsoft Windows עם תוכנות זדוניות.
  2. הפנה את כל המשתמשים לאתר שהשתמש ב- JavaScript כדי לרתום אליו את מחשב האורח שלי.

גיליתי שהאתר נפרץ כשביקרתי בו לאחר לחיצה על העלון האחרון שלהם ומיד הודעתי להם על המתרחש. למרבה הצער, זו הייתה התקפה די אגרסיבית שהצלחתי להסיר אך מיד חיידקתי מחדש את האתר עם עלייתו לאוויר. זה נוהג די מקובל על ידי האקרים של תוכנות זדוניות - הם לא רק פורצים את האתר, הם גם מוסיפים משתמש מנהלי לאתר או משנים קובץ ליבה של וורדפרס שמזריק מחדש את הפריצה אם יוסר.

תוכנות זדוניות הן נושא מתמשך באינטרנט. תוכנות זדוניות משמשות לניפוח שיעורי הקליקים במודעות (הונאת מודעות), ניפוח סטטיסטיקה של אתרים בכדי לחייב יתר על המפרסמים, כדי לנסות להשיג גישה לנתונים הכספיים והאישיים של המבקר, ולאחרונה - לכרות מטבעות קריפטוגרפיים. הכורים מקבלים שכר טוב עבור נתוני הכרייה, אך העלות לבניית מכונות כרייה ולתשלום חשבונות החשמל עבורם משמעותית. על ידי רתימת מחשבים בסתר, כורים יכולים להרוויח כסף ללא הוצאה.

וורדפרס ופלטפורמות נפוצות אחרות הן מטרות ענק עבור האקרים מכיוון שהן היסוד לכל כך הרבה אתרים ברשת. בנוסף, ל- WordPress יש ארכיטקטורת נושאים ותוספים שאינם מגנים על קבצי ליבה של האתר מפני חורי אבטחה. בנוסף, קהילת וורדפרס מצטיינת בזיהוי ותיקון חורי אבטחה - אך בעלי אתרים אינם ערניים כל כך לעדכן את האתר שלהם עם הגרסאות העדכניות ביותר.

אתר מסוים זה התארח באחסון אתרים מסורתי של GoDaddy (לא ניהול וורדפרס אירוח), המציע אפס הגנה. כמובן, הם מציעים סורק תוכנה זדונית והסרה שירות, אם כי. חברות אירוח וורדפרס מנוהלות כגון גַלגַל תְנוּפָה, מנוע WP, נוזלי, GoDaddy ו- הפנתיאון כולם מציעים עדכונים אוטומטיים כדי לעדכן את האתרים שלך בעת הבעיות שזוהו ותוקנו. לרובם יש סריקת תוכנות זדוניות ועיצובים ותוספים ברשימה השחורה כדי לעזור לבעלי אתרים למנוע פריצה. יש חברות שהולכות צעד קדימה - Kinsta - מארח וורדפרס מנוהל בעל ביצועים גבוהים - אפילו מציעה ערבות ביטחונית.

האם האתר שלך ברשימה השחורה של תוכנות זדוניות:

ישנם הרבה אתרים מקוונים המקדמים את "בדיקת" האתר שלך בתוכנה זדונית, אך זכור כי רובם אינם בודקים את האתר שלך כלל בזמן אמת. סריקת תוכנה זדונית בזמן אמת דורשת כלי סריקה של צד שלישי שלא יכול לספק תוצאות באופן מיידי. האתרים המספקים בדיקה מיידית הם אתרים שבעבר מצאו באתר שלך תוכנה זדונית. חלק מהאתרים לבדיקת תוכנות זדוניות באינטרנט הם:

  • דוח השקיפות של גוגל - אם האתר שלך רשום אצל מנהלי אתרים, הם מייד יתריעו כאשר הם יסרקו את האתר שלך וימצאו בו תוכנות זדוניות.
  • Norton Safe Web - נורטון מפעילה גם תוספים של דפדפני אינטרנט ותוכנות מערכת הפעלה שיחסמו מהמשתמשים לפתוח את הדף בערב אם הם רשמו אותו ברשימה השחורה. בעלי אתרים יכולים להירשם לאתר ולבקש להעריך מחדש את האתר שלהם ברגע שהוא נקי.
  • Sucuri - סוקורי מנהלת רשימה של אתרי תוכנות זדוניות יחד עם דוח על המקום בו הם פורסמו ברשימה השחורה. אם האתר שלך מנוקה, תראה א כפה סריקה מחודשת קישור תחת הרישום (באותיות קטנות מאוד). לסוקורי יש תוסף מצטיין שמזהה בעיות ... ואז דוחף אותך לחוזה שנתי להסרתם.
  • Yandex - אם תחפש את הדומיין שלך ב- Yandex ותראה "לדברי יאנדקס, אתר זה עלול להיות מסוכן ", אתה יכול להירשם למנהלי אתרים של Yandex, להוסיף את האתר שלך, לנווט אל ביטחון והפרות, ובקש לנקות את האתר שלך.
  • פיסטנק - יש האקרים שישימו סקריפטים של דיוג באתר שלך, שיכולים לרשום את הדומיין שלך כתחום דיוג. אם תזין את כתובת האתר המדויקת והמלאה של דף התוכנות הזדוניות המדווחות בפישטנק, תוכל להירשם בפיסטנק ולהצביע בין אם מדובר באמת באתר פישינג ובין אם לאו.

אלא אם האתר שלך רשום ויש לך חשבון ניטור איפשהו, ככל הנראה תקבל דוח ממשתמש באחד משירותים אלה. אל תתעלם מההתראה ... אמנם אתה עלול שלא לראות בעיה, אך לעיתים נדירות מתרחשים תוצאות חיוביות שגויות. בעיות אלה עלולות לגרום לאינדקס של האתר שלך להתווסף ממנועי חיפוש ולחסום אותו מדפדפנים. גרוע מכך, הלקוחות הפוטנציאליים שלך והלקוחות הקיימים עשויים לתהות עם איזה סוג של ארגון הם עובדים.

איך בודקים אם יש תוכנה זדונית?

כמה מהחברות שלמעלה מדברות עד כמה קשה למצוא תוכנות זדוניות, אבל זה לא כל כך קשה. הקשה הוא למעשה להבין איך זה נכנס לאתר שלך! קוד זדוני נמצא לרוב ב:

  • תחזוקה - לפני הכל, הצבע על א דף תחזוקה וגבה את האתר שלך. אל תשתמש בתחזוקת ברירת המחדל של וורדפרס או בתוסף תחזוקה שכן אלה עדיין יבצעו וורדפרס בשרת. אתה רוצה להבטיח שאף אחד לא מבצע שום קובץ PHP באתר. בזמן שאתה בעניין, בדוק את שלך .htaccess קובץ בשרת האינטרנט כדי להבטיח שאין לו קוד נוכל שעשוי להפנות מחדש את התנועה.
  • חיפוש את קבצי האתר שלך באמצעות SFTP או FTP ולזהות את השינויים האחרונים בקבצים בתוספים, ערכות נושא או קבצי ליבה של WordPress. פתח קבצים אלה וחפש עריכות שמוסיפות סקריפטים או פקודות Base64 (המשמשות להסתרת ביצוע סקריפט השרת).
  • לְהַשְׁווֹת קבצי הליבה של וורדפרס בספריית הבסיס שלך, בספריית wp-admin ובספריות הכוללות wp כדי לראות אם קיימים קבצים חדשים או קבצים בגודל שונה. פתור בעיות בכל קובץ. גם אם אתה מוצא ומסיר פריצה, המשך לחפש מכיוון שהאקרים רבים עוזבים דלתות אחוריות כדי להדביק מחדש את האתר. לא פשוט להחליף או להתקין מחדש את WordPress ... האקרים לרוב מוסיפים סקריפטים זדוניים בספריית השורשים וקוראים לתסריט בדרך אחרת להזריק את הפריצה. התסריטים הפחות מורכבים של תוכנות זדוניות פשוט מכניסים קבצי סקריפט לתוכנה header.php or footer.php. סקריפטים מורכבים יותר ישנו למעשה כל קובץ PHP בשרת עם קוד הזרקה מחדש כך שתתקשה להסיר אותו.
  • להסיר תסריטי פרסום של צד שלישי שעשויים להיות המקור. סירבתי להחיל רשתות מודעות חדשות כשקראתי שהן נפרצו ברשת.
  • לבדוק  טבלת מסד הנתונים של ההודעות שלך עבור סקריפטים משובצים בתוכן העמוד. אתה יכול לעשות זאת על ידי ביצוע חיפושים פשוטים באמצעות PHPMyAdmin וחיפוש כתובות ה- URL של הבקשה או תגי הסקריפט.

לפני שתכניס את האתר שלך לאוויר ... הגיע הזמן להקשיח את האתר שלך כדי למנוע הזרקה מיידית או פריצה אחרת:

איך אתה מונע מהאתר שלך להתקף תוכנה זדונית?

  • לאמת כל משתמש באתר. האקרים לעתים קרובות מזריקים סקריפטים שמוסיפים משתמש מנהלי. הסר חשבונות ישנים או שאינם בשימוש והקצה מחדש את תוכנם למשתמש קיים. אם יש לך משתמש בשם מנהל, הוסף מנהל חדש עם כניסה ייחודית והסר את חשבון הניהול לחלוטין.
  • לאפס את הסיסמה של כל משתמש. אתרים רבים נפרצו מכיוון שמשתמש השתמש בסיסמה פשוטה שניחשה בהתקפה, מה שמאפשר למישהו להיכנס ל- WordPress ולעשות כל מה שירצה.
  • שבת היכולת לערוך תוספים ועיצובים באמצעות WordPress Admin. היכולת לערוך קבצים אלה מאפשרת לכל האקר לעשות את אותו הדבר אם יקבל גישה. הפוך את קובצי הליבה של וורדפרס לבלתי ניתנים לכתיבה, כך שסקריפטים לא יוכלו לכתוב מחדש קוד ליבה. All in One יש תוסף נהדר שמספק וורדפרס התקשות עם המון תכונות.
  • באופן ידני הורד והתקן מחדש את הגרסאות העדכניות ביותר של כל תוסף שאתה זקוק לו והסר כל תוספים אחרים. הסר לחלוטין תוספים ניהוליים הנותנים גישה ישירה לקבצי האתר או למסד הנתונים, אלה מסוכנים במיוחד.
  • להסיר והחלף את כל הקבצים בספריית השורשים שלך למעט תיקיית wp-content (כך שורש, wp כולל, wp-admin) בהתקנה חדשה של WordPress שהורדה ישירות מהאתר שלהם.
  • לתחזק האתר שלך! באתר שעבדתי בסוף השבוע הייתה גרסה ישנה של וורדפרס עם חורי אבטחה ידועים, משתמשים ותיקים שלא אמורים לקבל גישה יותר, נושאים ישנים ותוספים ישנים. זה יכול היה להיות כל אחד מאלה שפתח את החברה לקראת פריצה. אם אינך יכול להרשות לעצמך לתחזק את האתר שלך, הקפד להעביר אותו לחברת אירוח מנוהלת שתעשה זאת! הוצאה של עוד כמה דולרים על אירוח הייתה יכולה להציל את החברה הזו ממבוכה זו.

ברגע שאתה מאמין שקיבלת את הכל ותקשה, תוכל להחזיר את האתר בשידור חי על ידי הסרת ה- .htaccess הפניה מחדש. ברגע שהוא חי, חפש את אותו זיהום שהיה שם בעבר. בדרך כלל אני משתמש בכלי הבדיקה של הדפדפן כדי לפקח על בקשות הרשת על ידי הדף. אני מתחקה אחר כל בקשת רשת כדי להבטיח שהיא אינה תוכנה זדונית או מסתורית ... אם כן, היא חזרה לראש ועושה את הצעדים מחדש.

אתה יכול גם להשתמש בצד שלישי זול שירות סריקת תוכנות זדוניות כמו סורקי אתרים, אשר יסרוק את האתר שלך מדי יום ויידע אותך האם אתה ברשימה השחורה בשירותי ניטור תוכנות זדוניות פעיל או לא. זכור - ברגע שהאתר שלך נקי, הוא לא יוסר אוטומטית מרשימות שחורות. עליך ליצור קשר עם כל אחד מהם ולהגיש את הבקשה לפי הרשימה שלנו לעיל.

לפרוץ ככה זה לא כיף. חברות גובות כמה מאות דולרים כדי להסיר את האיומים הללו. עבדתי לא פחות משמונה שעות כדי לעזור לחברה הזו לנקות את האתר שלהם.

מה אתה חושב?

אתר זה משתמש Akismet כדי להפחית דואר זבל. למד כיצד הנתונים שלך מעובדים.