نحوه بررسی ، حذف و جلوگیری از بدافزار از سایت وردپرس خود

نرم افزارهای مخرب

این هفته بسیار شلوغ بود. یکی از سودهای غیرانتفاعی که من می دانم کاملاً در یک مخمصه قرار دارد - سایت وردپرسی آنها به بدافزار آلوده بود. سایت هک شد و اسکریپت هایی برای بازدیدکنندگان اجرا شدند که دو کار متفاوت انجام دادند:

  1. سعی کرد Microsoft Windows را با آن آلوده کند نرم افزارهای مخرب.
  2. همه کاربران را به سایتی هدایت کرد که از JavaScript برای مهار کامپیوتر بازدید کننده استفاده می کند رمزنگاری معدن.

من متوجه شدم که سایت پس از کلیک بر روی آخرین خبرنامه آنها ، هنگام بازدید از سایت هک شده و بلافاصله آنها را از آنچه در جریان است مطلع کردم. متأسفانه ، این یک حمله کاملاً تهاجمی بود که من توانستم آن را حذف کنم اما بلافاصله با فعال شدن سایت مجدداً عفونت را انجام دادم. این یک عمل کاملاً معمول توسط هکرهای بدافزار است - آنها نه تنها سایت را هک می کنند ، بلکه یا یک کاربر مدیریتی به سایت اضافه می کنند یا یک فایل اصلی وردپرس را تغییر می دهند که در صورت حذف مجدداً هک را تزریق می کند.

بدافزار یک مسئله مداوم در وب است. از بدافزار برای تورم نرخ کلیک در تبلیغات (تقلب در تبلیغات) ، تورم آمار سایت برای شارژ بیش از حد تبلیغات ، تلاش برای دستیابی به اطلاعات مالی و شخصی بازدید کننده و اخیراً - برای استخراج ارز رمزپایه استفاده شده است. کارگران معدن برای داده های استخراج به خوبی پرداخت می شوند اما هزینه ساخت ماشین های استخراج و پرداخت قبض های برقی برای آنها قابل توجه است. ماینرها با مهار مخفیانه رایانه ها می توانند بدون هزینه درآمد کسب کنند.

وردپرس و سایر سیستم عامل های رایج اهداف بزرگی برای هکرها هستند زیرا پایه و اساس بسیاری از سایت ها در وب هستند. علاوه بر این ، وردپرس دارای یک تم و پلاگین است که از پرونده های اصلی سایت در برابر حفره های امنیتی محافظت نمی کند. علاوه بر این ، انجمن وردپرس در شناسایی و وصله چاله های امنیتی بسیار برجسته است - اما دارندگان سایت در مورد به روزرسانی سایت خود با آخرین نسخه ها هوشیار نیستند.

این سایت خاص در میزبانی وب سنتی GoDaddy میزبانی شده است (نه مدیریت وردپرس میزبانی) ، که صفر محافظت می کند. البته ، آنها یک اسکنر و حذف بدافزار خدمات ، هر چند. شرکتهای میزبانی شده وردپرس مانند چرخ لنگر, موتور WP, LiquidWeb، GoDaddy ، و زیارتگاه همه برای به روز نگه داشتن سایت های شما در هنگام بروز مشکل در شناسایی و وصله ، به روزرسانی خودکار ارائه می دهند. اکثر آنها دارای اسکن بدافزار و تم و پلاگین در لیست سیاه هستند تا به مالکان سایت کمک کند تا از هک جلوگیری کنند. برخی از شرکت ها یک قدم جلوتر می روند - Kinsta - یک میزبان مدیریت شده وردپرس با عملکرد بالا - حتی یک مورد را نیز ارائه می دهد ضمانت امنیتی.

آیا سایت شما برای بدافزار در لیست سیاه قرار دارد:

سایت های زیادی به صورت آنلاین وجود دارند که "بررسی" سایت شما را از نظر بدافزار ارتقا می دهند ، اما بخاطر داشته باشید که اکثر آنها در واقع در زمان واقعی سایت شما را چک نمی کنند. اسکن بدافزار در زمان واقعی به یک ابزار خزنده شخص ثالث نیاز دارد که نمی تواند بلافاصله نتیجه را ارائه دهد. سایت هایی که یک بررسی فوری ارائه می دهند ، سایتهایی هستند که قبلاً متوجه شده بودند سایت شما دارای بدافزار است. برخی از سایت های بررسی بدافزار در وب عبارتند از:

  • گزارش شفافیت Google - اگر سایت شما در Webmasters ثبت شده باشد ، هنگامی که سایت شما را جستجو می کند و بدافزار را در آن پیدا می کنند ، بلافاصله به شما هشدار می دهند.
  • Norton Safe Web - نورتون همچنین از افزونه های مرورگر وب و نرم افزار سیستم عامل استفاده می کند که در صورتی که کاربران صفحه شما را در لیست سیاه قرار ندهند ، از عصر باز می شود. دارندگان وب سایت می توانند پس از تمیز شدن در سایت ، در سایت ثبت نام کنند و درخواست کنند که سایت آنها مورد ارزیابی مجدد قرار گیرد.
  • Sucuri - Sucuri لیستی از سایتهای بدافزار را به همراه گزارشی از مکان قرارگیری آنها در لیست سیاه حفظ می کند. اگر سایت شما تمیز شود ، یک مورد را می بینید یک اسکن مجدد را مجبور کنید لینک زیر لیست (با چاپ بسیار کوچک). Sucuri دارای یک افزونه برجسته است که مشکلات را تشخیص می دهد ... و سپس شما را وادار می کند تا با یک قرارداد سالانه آنها را برطرف کنید.
  • Yandex - اگر دامنه خود را در Yandex جستجو کنید و ببینید "به گفته یاندکس ، این سایت ممکن است خطرناک باشد "، شما می توانید برای مدیران وب Yandex ثبت نام کنید ، سایت خود را اضافه کنید ، به آن بروید امنیت و تخلفات، و درخواست کنید سایت شما پاک شود.
  • فیشتانک - برخی از هکرها اسکریپت های فیشینگ را در سایت شما قرار می دهند ، که می تواند دامنه شما را به عنوان یک دامنه فیشینگ ذکر کند. اگر آدرس دقیق و کامل صفحه بدافزار گزارش شده در فیشتانک را وارد کنید ، می توانید در فیشتانک ثبت نام کرده و رأی دهید که آیا واقعاً یک سایت فیشینگ است یا نه.

تا زمانی که سایت شما ثبت نشده باشد و یک حساب کاربری نظارتی در جایی داشته باشید ، احتمالاً گزارشی از کاربر یکی از این خدمات دریافت خواهید کرد. هشدار را نادیده نگیرید ... در حالی که ممکن است مشکلی مشاهده نکنید ، موارد نادرست مثبت اتفاق می افتد. این مشکلات باعث می شود سایت شما از موتورهای جستجو خارج شود و از طریق مرورگرها مسدود شود. بدتر از آن ، مشتریان بالقوه شما و مشتریان فعلی ممکن است تعجب کنند که با چه نوع سازمانی کار می کنند.

چگونه بدافزار را بررسی می کنید؟

چندین شرکت فوق در مورد دشوار بودن یافتن بدافزار صحبت می کنند اما کار چندان دشواری نیست. در واقع فهمیدن اینکه چگونه وارد سایت شما شده مشکل است! کد مخرب اغلب در:

  • نگهداری - قبل از هر چیزی ، آن را به a نشان دهید صفحه نگهداری و از سایت خود پشتیبان تهیه کنید. از تعمیر و نگهداری پیش فرض وردپرس یا یک پلاگین تعمیر و نگهداری استفاده نکنید زیرا این موارد همچنان وردپرس را بر روی سرور اجرا می کنند. شما می خواهید اطمینان حاصل کنید که هیچ کس هیچ پرونده PHP را در سایت اجرا نمی کند. در حالی که در آن هستید ، بررسی کنید . htaccess تغییر نام دهید پرونده را در سرور وب اطمینان حاصل کنید که کد سرکشی ندارد که ممکن است باعث هدایت ترافیک شود.
  • جستجو پرونده های سایت خود را از طریق SFTP یا FTP شناسایی کرده و آخرین تغییرات پرونده را در پلاگین ها ، مضامین یا پرونده های اصلی وردپرس شناسایی کنید. آن پرونده ها را باز کنید و به دنبال ویرایش هایی باشید که اسکریپت ها یا دستورات Base64 را اضافه می کند (برای پنهان کردن اجرای اسکریپت سرور استفاده می شود).
  • مقايسه كردن پرونده های اصلی وردپرس در دایرکتوری ریشه ، دایرکتوری wp-admin و دایرکتوری های wp-شامل برای دیدن وجود فایل های جدید یا پرونده های با اندازه متفاوت. عیب یابی هر پرونده. حتی اگر هکی را پیدا کردید و آن را حذف کردید ، به جستجو ادامه دهید زیرا بسیاری از هکرها درب پشت درهایی را برای آلوده کردن مجدد سایت ترک می کنند. به راحتی نسخ نویسی یا نصب مجدد هکرهای WordPress often اغلب اسکریپت های مخرب را در پوشه ریشه اضافه کرده و اسکریپت را به روش دیگری برای تزریق هک فراخوانی می کنند. اسکریپت های بدافزار کمتر پیچیده معمولاً فقط پرونده های اسکریپت را در آن قرار می دهند فایل header.php or footer.php را. اسکریپت های پیچیده تر در واقع هر فایل PHP موجود در سرور را با کد تزریق مجدد تغییر می دهند تا در حذف آن مشکل داشته باشید.
  • برداشتن اسکریپت های تبلیغاتی شخص ثالث که ممکن است منبع باشند. وقتی خواندم که آنها به صورت آنلاین هک شده اند از استفاده از شبکه های تبلیغاتی جدید خودداری کردم.
  • بررسی  جدول پایگاه داده پیام های شما برای اسکریپت های جاسازی شده در محتوای صفحه. این کار را می توانید با انجام جستجوی ساده با استفاده از PHPMyAdmin و جستجوی URL های درخواست یا برچسب های اسکریپت انجام دهید.

قبل از اینکه سایت خود را فعال کنید ... اکنون وقت آن است که سایت خود را سخت کنید تا از تزریق فوری یا هک مجدد جلوگیری کنید:

چگونه از هک شدن سایت و نصب بدافزار جلوگیری می کنید؟

  • تایید هر کاربر در وب سایت. هکرها اغلب اسکریپت هایی را تزریق می کنند که کاربر اداری را اضافه می کند. هر حساب قدیمی یا استفاده نشده را حذف کرده و محتوای آنها را دوباره به یک کاربر موجود اختصاص دهید. اگر کاربری دارید به نام مدیر سایت، یک مدیر جدید با یک ورود منحصر به فرد اضافه کنید و حساب مدیر را به طور کلی حذف کنید.
  • تنظیم مجدد رمز ورود هر کاربر بسیاری از سایتها هک می شوند زیرا یک کاربر با استفاده از یک رمز عبور ساده که در حمله حدس زده شده است ، کسی را قادر می سازد وارد وردپرس شود و هر کاری را که دوست دارد انجام دهد.
  • از کار انداختن امکان ویرایش پلاگین ها و تم ها از طریق مدیر وردپرس. امکان ویرایش این پرونده ها به هکرها این امکان را می دهد که در صورت دسترسی همان کار را انجام دهند. پرونده های اصلی وردپرس را غیر قابل نوشتن کنید تا اسکریپت ها نتوانند کد اصلی را دوباره بنویسند. همه در یک یک پلاگین واقعا عالی دارد که وردپرس را ارائه می دهد سخت شدن با تعداد زیادی ویژگی.
  • بصورت دستی آخرین نسخه های هر افزونه مورد نیاز خود را بارگیری و دوباره نصب کنید و پلاگین های دیگر را حذف کنید. افزونه های مدیریتی را که مستقیماً به پرونده های سایت یا پایگاه داده دسترسی دارند کاملا حذف کنید ، اینها خصوصاً خطرناک هستند.
  • برداشتن و تمام فایلهای موجود در پوشه ریشه خود را به استثنای پوشه wp-content (بنابراین root ، wp-περιλαμβάνει ، wp-admin) با نصب جدیدی از وردپرس که مستقیماً از سایت آنها بارگیری شده است ، جایگزین کنید.
  • نگه داشتن سایت شما! سایتی که من آخر هفته در آن کار کردم دارای نسخه قدیمی وردپرس با حفره های امنیتی شناخته شده ، کاربران قدیمی بود که دیگر نباید دسترسی داشته باشند ، مضامین قدیمی و پلاگین های قدیمی. این یکی از این موارد بود که می توانست شرکت را برای هک شدن باز کند. اگر توانایی نگهداری سایت خود را ندارید ، حتماً آن را به یک شرکت میزبان مدیریت شده منتقل کنید! صرف چند دلار بیشتر برای میزبانی می توانست این شرکت را از این خجالت نجات دهد.

وقتی باور کردید همه چیز درست و سخت شده است ، می توانید با حذف کردن سایت ، سایت را دوباره زنده کنید . htaccess تغییر نام دهید تغییر مسیر دهید. به محض اینکه زنده شد ، به دنبال همان عفونی باشید که قبلاً وجود داشته است. من معمولاً از ابزار بازرسی مرورگر برای نظارت بر درخواست های شبکه توسط صفحه استفاده می کنم. هر درخواست شبکه را پیگیری می کنم تا اطمینان حاصل کنم که بدافزار یا مرموز نیست ... در صورت وجود ، دوباره به بالا برگشته و مراحل را دوباره انجام می دهد.

همچنین می توانید از شخص ثالث مقرون به صرفه استفاده کنید سرویس اسکن بدافزار پسندیدن اسکنر سایت، که سایت شما را روزانه اسکن کرده و به شما اطلاع می دهد که آیا در لیست سیاه سرویس های نظارت بر بدافزار فعال قرار دارید یا خیر. به یاد داشته باشید - به محض تمیز شدن سایت ، به طور خودکار از لیست های سیاه حذف نمی شود. شما باید با هرکدام تماس بگیرید و درخواست را در لیست ما در بالا ارائه دهید

اینگونه هک شدن سرگرم کننده نیست. شرکت ها برای از بین بردن این تهدیدها چند صد دلار پول می گیرند. من کمتر از 8 ساعت کار کردم تا به این شرکت در پاکسازی سایت خود کمک کنم.

شما چه فکر میکنید؟

این سایت از Akismet برای کاهش هرزنامه استفاده می کند. بدانید که چگونه نظر شما پردازش می شود.