Como comprobar, eliminar e previr o malware do seu sitio de WordPress

Como eliminar malware de WordPress

Esta semana estivo bastante ocupada. Unha das organizacións sen ánimo de lucro que coñezo atopouse nunha situación bastante complicada: o seu sitio de WordPress estaba infectado con malware. O sitio foi pirateado e executáronse scripts nos visitantes que fixeron dúas cousas diferentes:

  1. Intento infectar Microsoft Windows con malware.
  2. Redirixiu a todos os usuarios a un sitio que utilizou JavaScript para aproveitar o PC do visitante criptomoneda miña.

Descubrín que o sitio estaba pirateado cando o visitei despois de facer clic no seu último boletín e de seguido lles notifiquei o que estaba a suceder. Desafortunadamente, foi un ataque bastante agresivo que puiden eliminar pero reinfectei de inmediato o sitio ao entrar en directo. Esta é unha práctica bastante común dos hackers de malware: non só piratean o sitio, senón que tamén engaden un usuario administrativo ao sitio ou alteran un ficheiro central de WordPress que se inxecta de novo se se elimina.

O malware é un problema continuo na web. O malware utilízase para aumentar as taxas de clics nos anuncios (fraude publicitario), aumentar as estatísticas do sitio para cobrar de máis aos anunciantes, tentar acceder aos datos financeiros e persoais dos visitantes e, máis recentemente, para extraer criptomonedas. Os mineiros cobran ben polos datos de minería, pero o custo de construír máquinas de minería e pagar as facturas eléctricas por elas é importante. Ao aproveitar as computadoras en segredo, os mineiros poden gañar cartos sen o gasto.

WordPress e outras plataformas comúns son grandes obxectivos para os piratas informáticos, xa que son a base de tantos sitios na web. Ademais, WordPress ten unha arquitectura de temas e complementos que non protexe os ficheiros do sitio principal dos buracos de seguridade. Ademais, a comunidade de WordPress destaca na identificación e reparación de buratos de seguridade, pero os propietarios do sitio non están tan atentos á hora de manter o seu sitio actualizado coas últimas versións.

Este sitio en particular estivo aloxado na aloxamento web tradicional de GoDaddy (non Aloxamento xestionado de WordPress), que ofrece protección cero. Por suposto, ofrecen un Escáner de malware e eliminación servizo. Empresas de hospedaxe de WordPress xestionadas como péndulo, WP Engine, LiquidWeb, GoDaddy e Panteón todos ofrecen actualizacións automáticas para manter os seus sitios actualizados cando se identifiquen e corrixan problemas. A maioría ten exploración de malware e temas e complementos na lista negra para axudar aos propietarios do sitio a evitar un hackeo. Algunhas empresas van un paso máis aló: Kinsta, un servidor de WordPress xestionado de alto rendemento, incluso ofrece un garantía de seguridade.

Ademais, o equipo de Jetpack ofrece un excelente servizo para comprobar automaticamente o teu sitio en busca de malware e outras vulnerabilidades a diario. Esta é unha solución ideal se estás aloxando WordPress na túa propia infraestrutura.

Jetpack analizando WordPress para detectar malware

Tamén podes empregar un terceiro accesible servizo de exploración de malware como Escáneres de sitios, que escaneará o teu sitio diariamente e che indicará se estás ou non na lista negra dos servizos activos de seguimento de malware.

O seu sitio está na lista negra para o malware:

Hai moitos sitios en liña que promocionan comprobación o teu sitio en busca de malware, pero ten en conta que a maioría deles non están comprobando o teu sitio en absoluto en tempo real. A exploración de malware en tempo real require unha ferramenta de exploración de terceiros que non pode proporcionar resultados instantáneamente. Os sitios que ofrecen unha comprobación instantánea son sitios que previamente descubriron que o teu sitio tiña malware. Algúns dos sitios de comprobación de malware na web son:

  • Informe de transparencia de Google - se o teu sitio está rexistrado en administradores web, avisarano inmediatamente cando rastrexen o seu sitio e atopen malware nel.
  • Norton Safe Web - Norton tamén opera complementos do navegador web e software do sistema operativo que impedirán aos usuarios abrir a páxina pola noite se a teñen lista negra. Os propietarios de sitios web poden rexistrarse no sitio e solicitar a súa avaliación de novo unha vez que estea limpo.
  • Sucuri - Sucuri mantén unha lista de sitios de malware xunto cun informe sobre onde foron incluídos na lista negra. Se se limpa o teu sitio, verás un Forzar unha nova exploración ligazón baixo a listaxe (en letra moi pequena). Sucuri ten un complemento pendente que detecta problemas ... e logo empúxache a un contrato anual para eliminalos.
  • Yandex - se buscas en Yandex o teu dominio e ves "Segundo Yandex, este sitio pode ser perigoso ”, pode rexistrarse en administradores web de Yandex, engadir o seu sitio e navegar ata Seguridade e infracciónse solicite que se borre o seu sitio.
  • Phishtank - Algúns hackers poñerán scripts de phishing no seu sitio, que poden facer que o seu dominio apareza como dominio de phishing. Se introduce o URL exacto e completo da páxina de malware informada en Phishtank, pode rexistrarse en Phishtank e votar se é realmente un sitio de phishing ou non.

A menos que o teu sitio estea rexistrado e teñas unha conta de vixilancia nalgún lugar, probablemente recibirás un informe dun usuario dun destes servizos. Non ignores a alerta... aínda que quizais non vexa ningún problema, raramente ocorren falsos positivos. Estes problemas poden provocar que o teu sitio se desindexe dos motores de busca e que se bloquee dos navegadores. Peor aínda, os seus clientes potenciais e os clientes existentes poden preguntarse con que tipo de organización están a traballar.

Como comprobar se hai malware?

Varias das empresas anteriores falan do difícil que é atopar software malicioso, pero non é tan difícil. A dificultade é realmente descubrir como entrou no teu sitio! O código malicioso localízase con máis frecuencia en:

  • Mantemento - Antes de nada, apúntalo a páxina de mantemento e faga unha copia de seguridade do seu sitio. Non utilices o mantemento predeterminado de WordPress nin un complemento de mantemento xa que seguirán executando WordPress no servidor. Quere asegurarse de que ninguén execute ningún ficheiro PHP no sitio. Mentres estás nel, comproba o teu htaccess ficheiro no servidor web para asegurarse de que non teña código fraudulento que poida estar redirixindo o tráfico.
  • busca os ficheiros do teu sitio a través de SFTP ou FTP e identifica os últimos cambios de ficheiros en complementos, temas ou ficheiros básicos de WordPress. Abra eses ficheiros e busque calquera edición que engada scripts ou comandos Base64 (usados ​​para ocultar a execución do script do servidor).
  • comparar os ficheiros principais de WordPress no directorio raíz, directorio wp-admin e directorio wp-include para ver se existen novos ficheiros ou ficheiros de diferente tamaño. Resolver problemas de todos os ficheiros. Mesmo se atopas e eliminas un hack, sigue buscando xa que moitos hackers deixan as portas para volver infectar o sitio. Non simplemente sobrescriba ou reinstale WordPress ... Os hackers adoitan engadir scripts maliciosos no directorio raíz e chaman ao script doutra forma de inxectar o hack. Os scripts de malware menos complexos normalmente só introducen ficheiros de script header.php or footer.php. Scripts máis complexos modificarán todos os ficheiros PHP do servidor con código de reinxección para que teña dificultades en eliminalo.
  • Eliminar scripts publicitarios de terceiros que poden ser a fonte. Rexeitei aplicar novas redes publicitarias cando lin que foron pirateadas en liña.
  • Comprobar a súa táboa de base de datos de publicacións para os scripts incrustados no contido da páxina. Podes facelo facendo buscas sinxelas usando PHPMyAdmin e buscando os URL de solicitude ou as etiquetas de script.

Antes de poñer o teu sitio en directo ... agora é hora de endurecer o teu sitio para evitar unha re-inxección inmediata ou outro hack:

Como evitar que o seu sitio sexa pirateado e instalado malware?

  • Comprobarase todos os usuarios do sitio web. Os hackers adoitan inxectar scripts que engaden un usuario administrativo. Elimina as contas antigas ou non usadas e reasigne o seu contido a un usuario existente. Se tes un usuario chamado administrador, engada un novo administrador cun inicio de sesión único e elimine a conta de administrador por completo.
  • Restablecer o contrasinal de cada usuario. Moitos sitios están pirateados porque un usuario usou un contrasinal sinxelo que se adiviñou nun ataque, permitindo a alguén entrar en WordPress e facer o que queira.
  • Incapacitar a capacidade de editar complementos e temas a través de WordPress Admin. A capacidade de editar estes ficheiros permite a calquera hacker facer o mesmo se ten acceso. Fai que os arquivos básicos de WordPress non se escriban para que os scripts non poidan reescribir o código principal. Todo nun ten un complemento realmente fantástico que proporciona WordPress endurecemento cunha chea de funcións.
  • Manualmente descargue e reinstale as últimas versións de todos os complementos que precise e elimine calquera outro complemento. Elimina absolutamente os complementos administrativos que dan acceso directo aos ficheiros do sitio ou á base de datos, estes son especialmente perigosos.
  • Eliminar e substitúa todos os ficheiros do directorio raíz coa excepción do cartafol wp-content (así root, wp-includes, wp-admin) por unha nova instalación de WordPress descargada directamente do seu sitio.
  • Dif – Tamén pode querer facer unha diferenza entre unha copia de seguridade do seu sitio cando non tiña malware e o sitio actual... isto axudaralle a ver que ficheiros se editaron e que cambios se fixeron. Diff é unha función de desenvolvemento que compara directorios e ficheiros e ofrece unha comparación entre ambos. Co número de actualizacións feitas nos sitios de WordPress, este non sempre é o método máis sinxelo, pero ás veces o código de malware realmente destaca.
  • Manter o teu sitio! O sitio no que traballei esta fin de semana tiña unha versión antiga de WordPress con buratos de seguridade coñecidos, usuarios antigos aos que xa non debería ter acceso, temas antigos e complementos antigos. Podería ser un destes o que abriu a compañía por ser pirateada. Se non pode permitirse o mantemento do seu sitio, asegúrese de movelo a unha empresa de hospedaxe xestionada que o faga. Gastar algúns dólares máis en hospedaxe podería salvar a esta empresa desta vergoña.

Unha vez que creas que o fixaches e o endureces, podes recuperar o sitio en directo eliminando o htaccess redireccionar. En canto estea vivo, busque a mesma infección que antes. Normalmente uso ferramentas de inspección dun navegador para supervisar as solicitudes de rede da páxina. Rastrexo todas as solicitudes de rede para asegurar que non é malware ou misterioso ... se é así, volve á parte superior e fai os pasos de novo.

Lembra: unha vez que o teu sitio estea limpo, non se eliminará automaticamente das listas negras. Debes contactar con cada un e facer a solicitude segundo a nosa lista anterior.

Que te piraten así non é divertido. As empresas cobran varios centos de dólares para eliminar estas ameazas. Traballei nada menos que 8 horas para axudar a esta empresa a limpar o seu sitio.

¿Que pensas?

Este sitio usa Akismet para reducir o spam. Aprende a procesar os teus datos de comentarios.