Jak zdiagnozować zainfekowany system Wordpress

Procédure

Jak usunąć przekierowania z zainfekowanego WordPressa:

Około 30% stron internetowych korzysta z WordPressa, co czyni go najpopularniejszym CMS-em na świecie. Niestety, niesamowita popularność WordPressa ma jedną poważną wadę: sprawia, że platforma ta jest bardzo atrakcyjna dla hakerów.

Powszechnym wektorem ataku wykorzystywanym przeciwko witrynom WordPress jest kompromitacja plików, dzięki czemu witryna automatycznie przekierowuje użytkowników do innej lokalizacji. W tym samouczku dowiesz się, jak usunąć to przekierowanie.

Jak działa przekierowanie zainfekowanej witryny Wordpress?

Istnieje wiele rodzajów złośliwych technik przekierowań stosowanych w witrynach WordPress. Najczęstsze z nich obejmują:

1. Modyfikowanie strony .htaccess

Każda witryna WordPress ma plik .htaccess znajdujący się w folderze, w którym zainstalowano WordPress. WordPress używa tego pliku do zmiany sposobu, w jaki serwer internetowy obsługuje pliki. Jest on również używany do tworzenia ładnych permalinków używanych przez WordPress. Hakerzy uzyskujący dostęp do serwera mogą zmodyfikować ten plik, aby dodać nielegalne przekierowanie. Przekierowanie wysyłałoby wszystkich odwiedzających na inną stronę internetową.

Hakerzy mogą również dodać dodatkowe pliki .htaccess zawierające nielegalne przekierowanie do innych lokalizacji, takich jak / wp-content lub / wp-includes.

2. Modyfikowanie plików PHP WordPressa

WordPress często zawiera złośliwe przekierowania w plikach PHP, w tym index.php, header.php, footer.php i functions.php. Hakerzy atakują te pliki, ponieważ są one często wykonywane przez WordPress. Hakerzy mogą również zmodyfikować plik header.php w instalacji WordPress za pomocą zakodowanego ciągu znaków i funkcji eval () PHP.

3. instalacja wtyczki lub motywu, który modyfikuje inne pliki

Innym powszechnym sposobem zainfekowania witryny przez złośliwe przekierowanie jest poproszenie właściciela witryny o nieświadome zainstalowanie zainfekowanej wtyczki lub motywu. Rozwiązaniem tego typu ataku jest usunięcie wtyczki i przywrócenie starego .htaccess witryny.

4. zainfekowanie plików JavaScript złośliwym kodem

Kolejny złośliwy atak przekierowania został zidentyfikowany w 2017 roku. Atak ten polega na wstrzyknięciu złośliwego kodu JavaScript do każdego pliku .js dostępnego w witrynie.

Złośliwy kod można rozpoznać po długich ciągach zakodowanych szesnastkowo, które umieszcza w plikach. Te fragmenty kodu wyglądają mniej więcej tak:

Jak zdezynfekować witrynę Wordpress:

Usunięcie przekierowań WordPress jest generalnie prostym procesem.

1- Zmień hasła i sprawdź zarejestrowanych użytkowników
Jeśli hakerowi uda się uzyskać dostęp do sekcji administracyjnej, konieczna będzie zmiana haseł wszystkich użytkowników WordPress. Należy również upewnić się, że żaden dodatkowy użytkownik nie został dodany przez hakera. W celu zwiększenia bezpieczeństwa należy również wygenerować nowe klucze soli WordPress i hasła do kont FTP, baz danych i kont hostingowych.

2 - Usunięcie wszystkich nieoczekiwanych wtyczek i motywów z witryny
Obecność nieoczekiwanych motywów lub wtyczek może wskazywać, że Twoja witryna została naruszona. Usuń wszystkie te pliki.

3- Przeskanuj swoją witrynę za pomocą odpowiedniego narzędzia
Istnieje wiele narzędzi, które mogą przeskanować witrynę w poszukiwaniu złośliwego oprogramowania i zainfekowanych plików, takich jak: SUCURI

4- Użyj wtyczki WordPress do skanowania plików
Istnieje wiele wtyczek, które przeskanują pliki systemowe WordPress, aby upewnić się, że są one poprawne. Skanery te zidentyfikują każdy złośliwy kod dodany do plików takich jak index.php, db.php, header.php i footer.php. Wtyczka Security and Monitoring, która może analizować i identyfikować, czy podstawowe pliki WordPress zostały zmodyfikowane lub zainfekowane.

5- Ręczna inspekcja podatnych plików
Jeśli problem nadal występuje, możesz ręcznie sprawdzić pliki, które często zawierają tego typu ataki. Obejmuje to pliki .htaccess, index.php i db.php. Atak ten pojawia się również w plikach header.php i footer.php motywu. Szukaj długich zakodowanych ciągów znaków i wywołań javascript do zdalnych stron internetowych.

6- Ponowna instalacja plików WordPress, wtyczek i motywów
Jeśli problem nadal występuje, przywróć starszą kopię zapasową witryny. Jeśli nie masz kopii zapasowej witryny, przeprowadź pełną ponowną instalację wszystkich plików WordPress, wtyczek i motywów.

Upewnij się, że tego rodzaju atak się nie powtórzy:

Ważne jest, aby podjąć kroki w celu zapewnienia, że taka infekcja się nie powtórzy. Poniższe kroki znacznie zmniejszą ryzyko kolejnego ataku.

Zmień swoje hasła
Uczyń swoje hasła bardziej złożonymi, aby hakerzy mieli mniejsze szanse na udany atak siłowy na Twoją witrynę. Hasła powinny być również regularnie zmieniane. Zainstaluj

Instalowanie oprogramowania zabezpieczającego WordPress
Możesz zainstalować oprogramowanie zabezpieczające, takie jak All In One WP Security & Firewall

Zainstalować wtyczkę sprawdzającą integralność plików Wordpress
Możesz również zainstalować wtyczkę , która sprawdza integralność twoich plików, porównując je z plikami w oficjalnym repozytorium Wordpress. Ta wtyczka może wykryć złośliwy kod w plikach Javascript, header.php, index.php i footer. php twojego motywu.

Nigdy nie instaluj wtyczek ani motywów z niezaufanych źródeł
O ile to możliwe, pobieraj wtyczki z oficjalnej strony WordPress. Nie instaluj wtyczek ani motywów, chyba że naprawdę potrzebujesz oferowanych przez nie funkcji. Jeśli nie używasz wtyczki lub motywu, usuń je ze swojej witryny.

Aktualizuj wszystkie motywy i wtyczki
Motywy i wtyczki WordPress czasami zawierają luki, które mogą zostać wykorzystane przez hakerów. Aktualizuj je, aby zminimalizować ryzyko ich wystąpienia.

Upewnij się, że twoja instalacja WordPress jest regularnie archiwizowana
Niezbędne jest regularne tworzenie kopii zapasowych witryny w celu szybkiego odzyskania danych po tego typu ataku.

Podsumowanie

Jesteś teraz w stanie zdezynfekować swoją witrynę WordPress, która przekierowuje na inne strony internetowe. Nie wahaj się podzielić swoimi komentarzami i pytaniami!