Como comprobar, eliminar e previr o malware do seu sitio de WordPress

malware

Esta semana estivo bastante ocupada. Un dos fins sen ánimo de lucro que sei atopouse nunha situación difícil: o seu sitio de WordPress estaba infectado con malware. O sitio foi pirateado e executáronse scripts nos visitantes que fixeron dúas cousas diferentes:

  1. Intento infectar Microsoft Windows con malware.
  2. Redirixiu a todos os usuarios a un sitio que utilizou JavaScript para aproveitar a PC do visitante criptomoneda miña.

Descubrín que o sitio estaba pirateado cando o visitei despois de facer clic no seu último boletín e de seguido lles notifiquei o que estaba a suceder. Desafortunadamente, foi un ataque bastante agresivo que puiden eliminar pero reinfectei de inmediato o sitio ao entrar en directo. Esta é unha práctica bastante común dos hackers de malware: non só piratean o sitio, senón que tamén engaden un usuario administrativo ao sitio ou alteran un ficheiro central de WordPress que se inxecta de novo se se elimina.

O malware é un problema continuo na web. O malware utilízase para inflar as taxas de clics nos anuncios (fraude publicitario), inflar as estatísticas do sitio para sobrecargar aos anunciantes, para intentar acceder aos datos persoais e financeiros dos visitantes e, máis recentemente, para minar a criptocurrency. Os mineiros pagan ben polos datos da minería, pero o custo para construír máquinas de minería e pagar as facturas eléctricas por eles é significativo. Ao aproveitar secretamente os ordenadores, os mineiros poden gañar cartos sen gastos.

WordPress e outras plataformas comúns son grandes obxectivos para os hackers, xa que son a base de tantos sitios na web. Ademais, WordPress ten unha arquitectura de temas e complementos que non protexe os ficheiros do sitio principal dos buracos de seguridade. Ademais, a comunidade de WordPress destaca na identificación e reparación de buratos de seguridade, pero os propietarios do sitio non están tan atentos á hora de manter o seu sitio actualizado coas últimas versións.

Este sitio en particular foi aloxado no aloxamento web tradicional de GoDaddy (non Aloxamento xestionado de WordPress), que ofrece protección cero. Por suposto, ofrecen un Escáner de malware e eliminación servizo. Empresas de hospedaxe de WordPress xestionadas como péndulo, WP Engine, LiquidWeb, GoDaddy e Panteón todos ofrecen actualizacións automatizadas para manter os seus sitios actualizados cando se identifican e corrixen os problemas. A maioría ten exploración de malware e temas e complementos incluídos na lista negra para axudar aos propietarios de sitios a evitar un hack. Algunhas empresas dan un paso máis alá: Kinsta, un servidor administrado de WordPress de alto rendemento, incluso ofrece un garantía de seguridade.

O seu sitio está na lista negra para o malware:

Hai moitos sitios en liña que promoven "comprobar" se hai malware no seu sitio, pero ten en conta que a maioría deles non están revisando o teu sitio en tempo real. A exploración de malware en tempo real require unha ferramenta de rastrexo de terceiros que non poida proporcionar resultados instantaneamente. Os sitios que proporcionan unha comprobación instantánea son sitios que atoparon previamente o seu sitio con malware. Algúns dos sitios de verificación de malware na web son:

  • Informe de transparencia de Google - se o teu sitio está rexistrado con administradores web, avisarano inmediatamente cando rastrexen o seu sitio e atopen malware nel.
  • Norton Safe Web - Norton tamén opera complementos do navegador web e software do sistema operativo que impedirá aos usuarios abrir a páxina pola noite se a incluíron na lista negra. Os propietarios de sitios web poden rexistrarse no sitio e solicitar a súa avaliación unha vez que estea limpo.
  • Sucuri - Sucuri mantén unha lista de sitios de malware xunto cun informe sobre onde foron incluídos na lista negra. Se se limpa o teu sitio, verás un Forzar unha nova exploración ligazón baixo a listaxe (en letra moi pequena). Sucuri ten un complemento pendente que detecta problemas ... e logo empúxache a un contrato anual para eliminalos.
  • Yandex - se buscas en Yandex o teu dominio e ves "Segundo Yandex, este sitio pode ser perigoso ”, pode rexistrarse en administradores web de Yandex, engadir o seu sitio e navegar ata Seguridade e infracciónse solicite que se borre o seu sitio.
  • Phishtank - Algúns hackers poñerán scripts de phishing no teu sitio, o que pode facer que o teu dominio apareza como dominio de phishing. Se introduce o URL exacto e completo da páxina de malware informada en Phishtank, pode rexistrarse en Phishtank e votar se é realmente un sitio de phishing ou non.

A non ser que o seu sitio estea rexistrado e teña unha conta de seguimento nalgures, probablemente recibirá un informe dun usuario dun destes servizos. Non ignore a alerta ... aínda que poida que non vexa ningún problema, raramente ocorren falsos positivos. Estes problemas poden desindexar o seu sitio dos motores de busca e bloquear o navegador. Peor, os seus clientes potenciais e os clientes existentes poden preguntarse con que tipo de organización traballan.

Como comprobar se hai malware?

Varias das empresas anteriores falan do difícil que é atopar malware, pero non é tan difícil. O difícil é descubrir como entrou no teu sitio. O código malicioso localízase a miúdo en:

  • Mantemento - Antes de nada, apúntalo a páxina de mantemento e faga unha copia de seguridade do seu sitio. Non empregue o mantemento predeterminado de WordPress nin un complemento de mantemento xa que seguirán executando WordPress no servidor. Quere asegurarse de que ninguén execute ningún ficheiro PHP no sitio. Mentres estás nel, comproba o teu htaccess ficheiro no servidor web para asegurarse de que non ten un código malicioso que poida estar redirixindo o tráfico.
  • busca os ficheiros do seu sitio a través de SFTP ou FTP e identifique os últimos cambios de ficheiros en complementos, temas ou ficheiros básicos de WordPress. Abra estes ficheiros e busque as edicións que engadan scripts ou comandos Base64 (usados ​​para ocultar a execución do script do servidor).
  • comparar os ficheiros principais de WordPress no directorio raíz, directorio wp-admin e directorio wp-include para ver se existen novos ficheiros ou ficheiros de diferente tamaño. Resolver problemas de todos os ficheiros. Mesmo se atopas e eliminas un hack, sigue buscando xa que moitos hackers deixan as portas para volver infectar o sitio. Non simplemente sobrescriba ou reinstale WordPress ... Os hackers adoitan engadir scripts maliciosos no directorio raíz e chaman ao script doutra forma de inxectar o hack. Os scripts de malware menos complexos normalmente só introducen ficheiros de script header.php or footer.php. Scripts máis complexos modificarán todos os ficheiros PHP do servidor con código de reinxección para que teña dificultades en eliminalo.
  • Eliminar scripts publicitarios de terceiros que poden ser a fonte. Rexeitei aplicar novas redes publicitarias cando lin que foron pirateadas en liña.
  • Comprobar  a táboa de base de datos de publicacións para scripts incrustados no contido da páxina. Podes facelo facendo buscas sinxelas usando PHPMyAdmin e buscando as URL de solicitude ou as etiquetas de script.

Antes de poñer o teu sitio en directo ... agora é hora de endurecer o teu sitio para evitar unha reinxección inmediata ou outro hack:

Como evitar que o seu sitio sexa pirateado e instalado malware?

  • Comprobarase todos os usuarios do sitio web. Os hackers adoitan inxectar scripts que engaden un usuario administrativo. Elimina as contas antigas ou non usadas e reasigne o seu contido a un usuario existente. Se tes un usuario chamado administrador, engada un novo administrador cun inicio de sesión único e elimine a conta de administrador por completo.
  • Restablecer o contrasinal de cada usuario. Moitos sitios están pirateados porque un usuario usou un contrasinal sinxelo que se adiviñou nun ataque, permitindo a alguén entrar en WordPress e facer o que queira.
  • Incapacitar a capacidade de editar complementos e temas a través de WordPress Admin. A capacidade de editar estes ficheiros permite a calquera hacker facer o mesmo se ten acceso. Fai que os ficheiros básicos de WordPress non se escriban para que os scripts non poidan reescribir o código principal. Todo nun ten un complemento realmente fantástico que proporciona WordPress endurecemento cunha chea de funcións.
  • Manualmente descargue e reinstale as últimas versións de todos os complementos que precise e elimine calquera outro complemento. Elimina absolutamente os complementos administrativos que dan acceso directo aos ficheiros do sitio ou á base de datos, estes son especialmente perigosos.
  • Eliminar e substitúa todos os ficheiros do directorio raíz coa excepción do cartafol wp-content (así root, wp-includes, wp-admin) por unha nova instalación de WordPress descargada directamente do seu sitio.
  • Manter o teu sitio! O sitio no que traballei esta fin de semana tiña unha versión antiga de WordPress con buracos de seguridade coñecidos, usuarios antigos aos que xa non debería ter acceso, temas antigos e complementos antigos. Podería ser un destes o que abriu a compañía por ser pirateada. Se non pode permitirse o mantemento do seu sitio, asegúrese de movelo a unha empresa de hospedaxe xestionada que o faga. Gastar algúns dólares máis en hospedaxe podería salvar a esta empresa desta vergoña.

Unha vez que creas que todo o fixaches e endureciches, podes recuperar o sitio en directo eliminando o htaccess redireccionar. En canto estea vivo, busque a mesma infección que antes. Normalmente uso ferramentas de inspección dun navegador para supervisar as solicitudes de rede da páxina. Rastrexo todas as solicitudes de rede para asegurar que non é malware ou misterioso ... se é así, volve á parte superior e fai os pasos de novo.

Tamén podes empregar un terceiro accesible servizo de exploración de malware como Escáneres de sitios, que escaneará o seu sitio a diario e lle permitirá saber se está ou non na lista negra dos servizos de control activo de malware. Lembre: unha vez que o seu sitio estea limpo, non se eliminará automaticamente das listas negras. Debería contactar con cada un e facer a solicitude segundo a nosa lista anterior.

Que te piraten así non é divertido. As empresas cobran varios centos de dólares para eliminar estas ameazas. Traballei nada menos que 8 horas para axudar a esta empresa a limpar o seu sitio.

¿Que pensas?

Este sitio usa Akismet para reducir o spam. Aprende a procesar os teus datos de comentarios.