نحوه بررسی ، حذف و جلوگیری از بدافزار از سایت وردپرس خود

نحوه حذف بدافزار از وردپرس

این هفته خیلی شلوغ بود یکی از سازمان‌های غیرانتفاعی که من می‌شناسم، خود را در وضعیت بسیار بدی قرار داد - سایت وردپرس آنها به بدافزار آلوده شده بود. سایت هک شد و اسکریپت هایی روی بازدیدکنندگان اجرا شد که دو کار متفاوت انجام می دادند:

  1. سعی کرد Microsoft Windows را با آن آلوده کند نرم افزارهای مخرب.
  2. همه کاربران را به سایتی هدایت کرد که از جاوا اسکریپت برای مهار کامپیوتر بازدید کننده استفاده می کند رمزنگاری معدن.

من متوجه شدم که سایت پس از کلیک بر روی آخرین خبرنامه آنها ، هنگام بازدید از سایت هک شده و بلافاصله آنها را از آنچه در جریان است مطلع کردم. متأسفانه ، این یک حمله کاملاً تهاجمی بود که من توانستم آن را حذف کنم اما بلافاصله با فعال شدن سایت مجدداً عفونت را انجام دادم. این یک عمل کاملاً معمول توسط هکرهای بدافزار است - آنها نه تنها سایت را هک می کنند ، بلکه یا یک کاربر مدیریتی به سایت اضافه می کنند یا یک فایل اصلی وردپرس را تغییر می دهند که در صورت حذف مجدداً هک را تزریق می کند.

بدافزار یک مشکل مداوم در وب است. بدافزار برای افزایش نرخ کلیک روی تبلیغات (تقلب در تبلیغات)، افزایش آمار سایت برای افزایش هزینه از تبلیغ‌کنندگان، تلاش برای دستیابی به اطلاعات مالی و شخصی بازدیدکنندگان، و اخیراً برای استخراج ارز دیجیتال مورد استفاده قرار می‌گیرد. ماینرها برای داده های استخراج دستمزد خوبی دریافت می کنند، اما هزینه ساخت ماشین های استخراج و پرداخت قبوض برق برای آنها قابل توجه است. با استفاده مخفیانه از رایانه، ماینرها می توانند بدون هزینه درآمد کسب کنند.

وردپرس و سایر سیستم عامل های مشترک اهداف بزرگی برای هکرها هستند زیرا پایه و اساس بسیاری از سایت ها در وب هستند. علاوه بر این ، وردپرس دارای یک تم و پلاگین است که از پرونده های اصلی سایت در برابر حفره های امنیتی محافظت نمی کند. علاوه بر این ، انجمن وردپرس در شناسایی و وصله چاله های امنیتی بسیار برجسته است - اما دارندگان سایت در مورد به روزرسانی سایت خود با آخرین نسخه ها هوشیار نیستند.

این سایت خاص در میزبانی وب سنتی GoDaddy میزبانی شده است (نه مدیریت وردپرس میزبانی) ، که صفر محافظت می کند. البته ، آنها یک اسکنر و حذف بدافزار خدمات ، هر چند. شرکتهای میزبانی شده وردپرس مانند چرخ لنگر, موتور WP, LiquidWeb، GoDaddy ، و زیارتگاه همه به‌روزرسانی‌های خودکار را برای به‌روز نگه داشتن سایت‌های شما در صورت شناسایی و اصلاح مشکلات ارائه می‌دهند. اکثر آنها دارای اسکن بدافزار هستند و مضامین و پلاگین هایی را در لیست سیاه برای کمک به صاحبان سایت در جلوگیری از هک دارند. برخی از شرکت‌ها یک قدم فراتر می‌روند – Kinsta – یک میزبان مدیریت‌شده وردپرس با کارایی بالا – حتی پیشنهاد می‌دهد ضمانت امنیتی.

علاوه بر این، تیم در Jetpack یک سرویس عالی برای بررسی خودکار سایت شما برای بدافزار و سایر آسیب پذیری ها به صورت روزانه ارائه می دهد. اگر وردپرس را روی زیرساخت خود میزبانی می کنید، این یک راه حل ایده آل است.

جت پک وردپرس را برای بدافزار اسکن می کند

همچنین می توانید از شخص ثالث مقرون به صرفه استفاده کنید سرویس اسکن بدافزار پسندیدن اسکنر سایت، که روزانه سایت شما را اسکن می کند و به شما اطلاع می دهد که آیا در لیست سیاه سرویس های نظارت بر بدافزار فعال هستید یا خیر.

آیا سایت شما برای بدافزار در لیست سیاه قرار دارد:

سایت های آنلاین زیادی وجود دارند که تبلیغ می کنند بررسی سایت شما از نظر بدافزار است، اما به خاطر داشته باشید که اکثر آنها در واقع سایت شما را در زمان واقعی بررسی نمی کنند. اسکن بدافزار بلادرنگ به یک ابزار خزنده شخص ثالث نیاز دارد که نمی تواند فوراً نتایج را ارائه دهد. سایت‌هایی که بررسی فوری ارائه می‌دهند، سایت‌هایی هستند که قبلاً متوجه شده بودند سایت شما دارای بدافزار است. برخی از سایت های بررسی بدافزار در وب عبارتند از:

  • گزارش شفافیت Google - اگر سایت شما در Webmasters ثبت شده باشد ، هنگامی که سایت شما را جستجو می کند و بدافزار را در آن پیدا می کنند ، بلافاصله به شما هشدار می دهند.
  • Norton Safe Web - نورتون همچنین از افزونه های مرورگر وب و نرم افزار سیستم عامل استفاده می کند که در صورتی که کاربران صفحه شما را در لیست سیاه قرار ندهند ، از عصر باز می شود. دارندگان وب سایت می توانند پس از تمیز شدن در سایت ، در سایت ثبت نام کنند و درخواست کنند که سایت آنها مورد ارزیابی مجدد قرار گیرد.
  • Sucuri - Sucuri لیستی از سایتهای بدافزار را به همراه گزارشی از مکان قرارگیری آنها در لیست سیاه حفظ می کند. اگر سایت شما تمیز شود ، یک مورد را می بینید یک اسکن مجدد را مجبور کنید لینک زیر لیست (با چاپ بسیار کوچک). Sucuri دارای یک افزونه برجسته است که مشکلات را تشخیص می دهد ... و سپس شما را وادار می کند تا با یک قرارداد سالانه آنها را برطرف کنید.
  • Yandex - اگر دامنه خود را در Yandex جستجو کنید و ببینید "به گفته یاندکس ، این سایت ممکن است خطرناک باشد "، شما می توانید برای مدیران وب Yandex ثبت نام کنید ، سایت خود را اضافه کنید ، به آن بروید امنیت و تخلفات، و درخواست کنید سایت شما پاک شود.
  • فیشتانک - برخی از هکرها اسکریپت های فیشینگ را در سایت شما قرار می دهند ، که می تواند دامنه شما را به عنوان یک دامنه فیشینگ ذکر کند. اگر آدرس دقیق و کامل صفحه بدافزار گزارش شده در فیشتانک را وارد کنید ، می توانید در فیشتانک ثبت نام کرده و رأی دهید که آیا واقعاً یک سایت فیشینگ است یا خیر.

مگر اینکه سایت شما ثبت شده باشد و در جایی حساب مانیتورینگ داشته باشید، احتمالاً گزارشی از یکی از کاربران یکی از این خدمات دریافت خواهید کرد. هشدار را نادیده نگیرید... در حالی که ممکن است مشکلی مشاهده نکنید، نتایج مثبت کاذب به ندرت اتفاق می افتد. این مشکلات می تواند باعث شود که سایت شما از موتورهای جستجو جدا شده و از مرورگرها مسدود شود. بدتر از آن، مشتریان بالقوه شما و مشتریان فعلی ممکن است تعجب کنند که با چه نوع سازمانی کار می کنند.

چگونه بدافزار را بررسی می کنید؟

بسیاری از شرکت‌های فوق درباره سختی یافتن بدافزار صحبت می‌کنند، اما چندان دشوار نیست. مشکل در واقع این است که بفهمید چگونه وارد سایت شما شده است! کدهای مخرب اغلب در موارد زیر قرار دارند:

  • نگهداری - قبل از هر چیزی ، آن را به a نشان دهید صفحه نگهداری و از سایت خود پشتیبان تهیه کنید. از تعمیر و نگهداری پیش فرض وردپرس یا پلاگین تعمیر و نگهداری استفاده نکنید زیرا این موارد همچنان وردپرس را بر روی سرور اجرا می کنند. شما می خواهید اطمینان حاصل کنید که هیچ کس هیچ پرونده PHP را در سایت اجرا نمی کند. در حالی که در آن هستید ، بررسی کنید . htaccess تغییر نام دهید بر روی وب سرور فایل کنید تا مطمئن شوید که کد سرکشی ندارد که ممکن است ترافیک را تغییر مسیر دهد.
  • جستجو پرونده های سایت خود را از طریق SFTP یا FTP شناسایی کرده و آخرین تغییرات پرونده را در پلاگین ها ، مضامین یا پرونده های اصلی وردپرس شناسایی کنید. آن پرونده ها را باز کنید و به دنبال ویرایش هایی باشید که اسکریپت ها یا دستورات Base64 را اضافه می کند (برای پنهان کردن اجرای اسکریپت سرور استفاده می شود).
  • مقايسه كردن پرونده های اصلی وردپرس در دایرکتوری ریشه ، دایرکتوری wp-admin و دایرکتوری های wp-شامل برای دیدن اینکه آیا فایل جدید یا پرونده های اندازه مختلف وجود دارد. عیب یابی هر پرونده. حتی اگر هکی را پیدا کردید و آن را حذف کردید ، به جستجو ادامه دهید زیرا بسیاری از هکرها برای درگیری مجدد سایت درهای پشتی را ترک می کنند. به راحتی نسخ نویسی یا نصب مجدد هکرهای WordPress often اغلب اسکریپت های مخرب را در پوشه ریشه اضافه کرده و اسکریپت را به روش دیگری برای تزریق هک فراخوانی می کنند. اسکریپت های مخرب کمتر پیچیده معمولاً فقط پرونده های اسکریپت را در آن قرار می دهند فایل header.php or footer.php را. اسکریپت های پیچیده تر در واقع هر فایل PHP موجود در سرور را با کد تزریق مجدد تغییر می دهند تا در حذف آن مشکل داشته باشید.
  • برداشتن اسکریپت های تبلیغاتی شخص ثالث که ممکن است منبع باشند. وقتی خواندم که آنها به صورت آنلاین هک شده اند از استفاده از شبکه های تبلیغاتی جدید خودداری کردم.
  • بررسی جدول پایگاه داده پست های شما برای اسکریپت های جاسازی شده در محتوای صفحه. می توانید این کار را با انجام جستجوهای ساده با استفاده از PHPMyAdmin و جستجوی URL های درخواست یا تگ های اسکریپت انجام دهید.

قبل از اینکه سایت خود را فعال کنید ... اکنون وقت آن است که سایت خود را سخت کنید تا از تزریق سریع یا هک مجدد جلوگیری کنید:

چگونه از هک شدن سایت و نصب بدافزار جلوگیری می کنید؟

  • تایید هر کاربر در وب سایت. هکرها اغلب اسکریپت هایی را تزریق می کنند که کاربر اداری را اضافه می کند. هر حساب قدیمی یا استفاده نشده را حذف کرده و محتوای آنها را دوباره به یک کاربر موجود اختصاص دهید. اگر کاربری دارید به نام مدیر سایت، یک مدیر جدید با یک ورود منحصر به فرد اضافه کنید و حساب مدیر را به طور کلی حذف کنید.
  • تنظیم مجدد رمز ورود هر کاربر بسیاری از سایتها هک می شوند زیرا یک کاربر با استفاده از یک رمز عبور ساده که در حمله حدس زده شده است ، کسی را قادر می سازد وارد وردپرس شود و هر کاری را که دوست دارد انجام دهد.
  • از کار انداختن امکان ویرایش پلاگین ها و تم ها از طریق مدیر وردپرس. امکان ویرایش این پرونده ها به هر هکر این امکان را می دهد که در صورت دسترسی به همان روش عمل کند. پرونده های اصلی وردپرس را غیر قابل نوشتن کنید تا اسکریپت ها نتوانند کد اصلی را دوباره بنویسند. همه در یک یک پلاگین واقعا عالی دارد که وردپرس را ارائه می دهد سخت شدن با تعداد زیادی ویژگی.
  • بصورت دستی آخرین نسخه های هر افزونه مورد نیاز خود را بارگیری و دوباره نصب کنید و پلاگین های دیگر را حذف کنید. افزونه های مدیریتی را که مستقیماً به پرونده های سایت یا پایگاه داده دسترسی دارند کاملا حذف کنید ، اینها خصوصاً خطرناک هستند.
  • برداشتن و تمام فایلهای موجود در پوشه ریشه خود را به استثنای پوشه wp-content (بنابراین root ، wp-περιλαμβάνει ، wp-admin) با نصب جدیدی از وردپرس که مستقیماً از سایت آنها بارگیری شده است ، جایگزین کنید.
  • تفاوت - همچنین ممکن است بخواهید بین یک نسخه پشتیبان از سایت خود در زمانی که بدافزار ندارید و سایت فعلی تفاوت ایجاد کنید ... این به شما کمک می کند تا ببینید کدام فایل ها ویرایش شده اند و چه تغییراتی ایجاد شده است. Diff یک تابع توسعه است که دایرکتوری ها و فایل ها را با هم مقایسه می کند و مقایسه ای بین این دو در اختیار شما قرار می دهد. با تعداد به روز رسانی های انجام شده در سایت های وردپرس، این همیشه ساده ترین روش نیست – اما گاهی اوقات کد بدافزار واقعاً برجسته است.
  • نگه داشتن سایت شما! سایتی که من آخر هفته در آن کار کردم دارای نسخه قدیمی وردپرس با حفره های امنیتی شناخته شده ، کاربران قدیمی بود که دیگر نباید دسترسی داشته باشند ، مضامین قدیمی و پلاگین های قدیمی. این یکی از این موارد بود که می توانست شرکت را برای هک شدن باز کند. اگر توانایی نگهداری سایت خود را ندارید ، حتماً آن را به یک شرکت میزبان مدیریت شده منتقل کنید! صرف چند دلار بیشتر برای میزبانی می توانست این شرکت را از این خجالت نجات دهد.

وقتی باور کردید همه چیز درست و سخت شده است ، می توانید با حذف کردن سایت ، سایت را دوباره زنده کنید . htaccess تغییر نام دهید تغییر مسیر دهید. به محض اینکه زنده شد ، به دنبال همان عفونی باشید که قبلاً وجود داشته است. من معمولاً از ابزار بازرسی مرورگر برای نظارت بر درخواستهای شبکه توسط صفحه استفاده می کنم. هر درخواست شبکه را پیگیری می کنم تا اطمینان حاصل کنم که بدافزار یا مرموز نیست ... در صورت وجود ، دوباره به بالا برگشته و مراحل را دوباره انجام می دهد.

به یاد داشته باشید - هنگامی که سایت شما تمیز شد، به طور خودکار از لیست سیاه حذف نخواهد شد. شما باید با هر یک تماس بگیرید و درخواست را طبق لیست بالا ارائه دهید.

اینگونه هک شدن سرگرم کننده نیست. شرکت ها برای از بین بردن این تهدیدها چند صد دلار پول می گیرند. من کمتر از 8 ساعت کار کردم تا به این شرکت در پاکسازی سایت خود کمک کنم.

شما چه فکر میکنید؟

این سایت از Akismet برای کاهش هرزنامه استفاده می کند. بدانید که چگونه نظر شما پردازش می شود.