Предыдущая публикация
КАК ВЫЛЕЧИТЬ САЙТ НА WORDPRESS
В недавней статье мы рассказали об обнаружении уязвимости на более чем 2000 сайтах на CMS WordPress, с помощью которой злоумышленники могли перехватывать все вводимые пользователями данные, в том числе и пароли, а также без разрешения и скрытно запускать на устройствах пользователей майнер Coinhive, добывающий криптовалюту Monero.
Вот и она:
https://ok.ru/runetsoft/topic/67144943831809
А в данном материале приводится простой и эффективный алгоритм по лечению WordPress-сайтов, предлагаемый компанией Sucuri, которая посвятила годы тому, чтобы помогать администраторам #WordPress выявлять и исправлять уязвимости на веб-сайтах.
Специалисты Sucuri утверждают, что эта инструкция поможет справиться с 70% всех «зловредов», которые могут возникнуть на сайте.
1.1. ПРОСКАНИРУЙТЕ ВАШ САЙТ
Для начала следует воспользоваться инструментами, которые смогут сканировать ваш сайт удаленно, чтобы обнаружить явные вредоносные объекты. Sucuri имеет бесплатный плагин для WordPress, который вы можете найти в официальном репозитории WordPress.
Как просканировать?
- Посетите сайт SiteCheck. https://sitecheck.sucuri.net/
- Нажмите «Сканировать веб-сайт» (Scan Website).
- Если сайт заражен, вы увидите предупреждающее сообщение.
- Обратите внимание на местоположение угрозы (если доступно).
- Обратите внимание на любые появившиеся предупреждения.
Если сканеру не удалось найти угрозу, продолжайте с другими тестами в этом разделе. Вы также можете вручную просмотреть вкладку iFrames / Links / Scripts в Malware Scan для поиска незнакомых или подозрительных элементов.
Если у вас несколько сайтов на одном сервере, мы рекомендуем просканировать их все. Кросс-сайтное заражение является одной из основных причин возобновления атак.
1.2. ПРОВЕРЬТЕ ЦЕЛОСТНОСТЬ СИСТЕМНЫХ ФАЙЛОВ И ПАПОК
Большинство системных файлов WordPress никогда не должны изменяться. Вам нужно проверить наличие проблем с целостностью файлов в папках:
- wp-admin,
- wp-includes,
- root.
Самый быстрый способ подтвердить целостность ваших основных файлов WordPress - это использование команды diff в терминале. Если вам неудобно использовать командную строку, вы можете вручную проверить свои файлы через SFTP.
Если ничего не было изменено, ваши системные файлы будут чистыми.
1.3. ПРОВЕРЬТЕ НЕДАВНО ИЗМЕНЕННЫЕ ФАЙЛЫ
Новые или недавно измененные файлы могут быть связаны с взломом. Вы можете определить взломанные файлы, увидев, были ли они недавно изменены.
Чтобы вручную проверить недавно измененные файлы:
- Войдите в свой сервер с помощью FTP-клиента или SSH-терминала.
- Если вы используете SSH, то вы можете получить все файлы, измененные за последние 15 дней, с помощью следующей команды:
$ find ./ -type f -mtime -15
- Если вы используете SFTP, просмотрите столбец с датой последнего изменения для всех файлов на сервере.
- Обратите внимание на все файлы, которые были недавно изменены.
Чтобы проверить недавно измененные файлы с помощью команд терминала в Linux:
- Введите в терминале:
$ find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r .
- Если вы хотите видеть файлы каталога, введите свой терминал:
$ find /etc -printf '%TY-%Tm-%Td %TT %p\n' | sort -r .
- Незнакомые изменения за последние 7-30 дней могут быть подозрительными.
1.4. ПРОВЕРЬТЕ ДИАГНОСТИЧЕСКИЕ САЙТЫ
Если ваш сайт WordPress включен в черный список Google или другого сервиса безопасности веб-сайтов, вы можете использовать их диагностические инструменты, чтобы проверить статус вашего веб-сайта.
Чтобы проверить свой отчет Google Transparency Report:
- Перейдите на веб-сайт https://transparencyreport.google.com/safe-browsing/search
- Введите URL-адрес вашего сайта и выполните поиск.
- На этой странице вы можете проверить:
* Сведения о безопасности сайта: информация о вредоносных редиректах, спаме и загрузках.
* Детали тестирования: последнее сканирование Google, в котором обнаружено вредоносное ПО.
Если вы добавили свой сайт в бесплатные инструменты для веб-мастеров, вы можете проверить их отчеты безопасности для своего сайта. Если вы еще не связали свой сайт с этими инструментами мониторинга, мы настоятельно рекомендуем вам это сделать, поскольку они могут свободно использоваться:
- Google Webmasters Central https://www.google.com/webmasters/tools/
- Bing Webmaster Tools https://www.bing.com/toolbox/webmaster
- Yandex Webmaster https://webmaster.yandex.com/
- Norton SafeWeb https://safeweb.norton.com/
Теперь, когда у вас есть информация о местонахождении вредоносных программ, вы можете удалить вредоносное ПО из WordPress и вернуть свой сайт в изначальное состояние.
Совет: Лучший способ идентифицировать взломанные файлы - это сравнение текущего состояния сайта со старой и чистой резервной копией. Если резервная копия доступна, вы можете использовать ее для сравнения двух версий и определения того, что было изменено.
2.1. ОЧИСТИТЕ ЗАРАЖЕННЫЕ ФАЙЛЫ
Если заражение находится в ваших основных файлах или плагинах, вы можете исправить это вручную, просто не перезаписывайте файл wp-config.php или папку wp-content.
Пользовательские файлы могут быть заменены новыми копиями или последней резервной копией (если она не заражена).
Чтобы вручную удалить зараженную информацию из файлов вашего веб-сайта:
- Войдите в свой сервер через SFTP или SSH.
- Создайте резервную копию сайта перед внесением изменений.
- Обнаружьте недавно измененные файлы.
- Сопоставьте дату изменения с пользователем, который их изменил.
- Замените подозрительные файлы копиями из официального репозитория WordPress.
- Открывайте любые пользовательские файлы с помощью текстового редактора.
- Удалите любой подозрительный код из пользовательских файлов.
- Проверьте, работает ли сайт после внесенных изменений.
2.2. ОЧИСТИТЕ ЗАРАЖЕННЫЕ ТАБЛИЦЫ БАЗЫ ДАННЫХ
Чтобы удалить вредоносную программу из базы данных своего веб-сайта, используйте панель администратора базы данных для подключения к базе данных. Вы также можете использовать такие инструменты, как Search-Replace-DB или Adminer.
Чтобы вручную удалить вредоносную программу из таблиц базы данных:
- Войдите в панель администратора базы данных.
- Перед внесением изменений создайте резервную копию базы данных.
- Поиск подозрительного содержания (т. е. спам-слова, ссылки).
- Откройте таблицу, содержащую подозрительный контент.
- Вручную удалите подозрительный контент.
- Проверьте, работает ли сайт после внесенных изменений.
- Удалите все инструменты доступа к базе данных, которые вы, возможно, загружали.
Начинающим пользователям можно без труда руководствоваться информацией, предоставляемой malware scanner. Продвинутые пользователи также могут вручную искать распространенные вредоносные PHP-функции, такие как:
- eval,
- base64_decode,
- gzinflate,
- preg_replace,
- str_replace
- и т. д.
2.3. ОБЕЗОПАСЬТЕ УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ
Если вы заметили незнакомых пользователей WordPress, удалите их, чтобы хакеры больше не имели доступа к панели управления. Мы рекомендуем иметь только одного администратора и устанавливать другие роли пользователей на минимальное количество необходимых для выполнения их функций привилегий.
Чтобы вручную удалить подозрительных пользователей из WordPress:
- Создайте резервную копию вашего сайта и базы данных.
- Войдите в WordPress как администратор и нажмите «Пользователи».
- Найдите подозрительные новые учетные записи пользователей.
- Наведите указатель мыши на подозрительного пользователя и нажмите «Удалить».
Если вы считаете, что какая-либо из ваших учетных записей пользователей была взломана, вы можете сбросить пароли.
2.4. ИЗБАВЬТЕСЬ ОТ БЭКДОРОВ
Хакеры всегда оставляют возможность вернуться на ваш сайт. Часто бэкдоры внедряются в файлы, похожие на файлы ядра WordPress, но расположенные в неправильных каталогах. Атакующие также могут вводить бэкдоры в файлы, такие как wp-config.php и каталоги, такие как / themes, / plugins и / uploads.
Backdoor обычно включают следующие функции PHP:
- base64
- str_rot13
- gzuncompress
- Eval
- Exec
- system
- assert
- stripslashes
- preg_replace (with /e/)
- move_uploaded_file
Эти функции также могут использоваться и в обычных плагинах, поэтому обязательно проверяйте любые изменения, так как вы можете сломать свой сайт, удалив необходимые полезные функции.
Для успешной очистки вашего сайта крайне важно, чтобы все бэкдоры были обнаружены и закрыты, иначе ваш сайт будет вновь заражен.
2.5. ИЗБАВЬТЕСЬ ОТ ПРЕДУПРЕЖДЕНИЙ О ВРЕДОНОСНОМ ПО
Если вы были занесены в черный список Google, McAfee, Yandex (или любым другим сервисом, определяющим заражение веб-ресурсов), вы можете уведомить их об исправлении взлома.
Чтобы удалить предупреждения о вредоносном ПО на своем сайте:
- Позвоните в вашу хостинговую компанию и уведомите их. Возможно, вам потребуется предоставить подробную информацию о том, как вы удалили вредоносное ПО.
- Заполните форму запроса для каждого органа, внесшего ваш сайт в черный список, то есть. Google Search Console, McAfee SiteAdvisor, веб-мастер Yandex.
На этом этапе вы узнаете, как исправить уязвимости, из-за которых, возможно и был взломан WordPress. Вы также выполните важные шаги для повышения безопасности вашего сайта.
3.1. ОБНОВИТЕ И СБРОСЬТЕ НАСТРОЙКИ КОНФИГУРАЦИИ
Устаревшее программное обеспечение является одной из ведущих причин заражения. Это включает в себя вашу версию CMS, плагинов, тем и любых других типов расширений. Потенциально взломанные учетные данные также должны быть сброшены, чтобы вы не были повторно заражены.
Обновление программного обеспечения WordPress
Чтобы вручную применить обновления в WordPress:
- Войдите в свой сервер через SFTP или SSH.
- Сделайте резервную копию вашего сайта и базы данных.
- Вручную удалите директории wp-admin и wp-includes.
- Замените wp-admin и wp-includes на копии из официального репозитория WordPress.
- Вручную удалите и замените плагины и темы копиями из официальных источников.
- Войдите в WordPress как администратор и нажмите «Панель мониторинга»> «Обновления».
- Примените любые отсутствующие обновления.
- Откройте свой веб-сайт, чтобы убедиться, что он работает.
Обновите все программное обеспечение на своем сервере (например, Apache, cPanel, PHP), чтобы убедиться, что нет неустановленных патчей и обновлений системы безопасности.
Сброс паролей
Очень важно, чтобы вы меняли пароли для всех точек доступа. Сюда входят учетные записи пользователей WordPress, FTP / SFTP, SSH, cPanel и ваша база данных.
Вы должны уменьшить количество учетных записей администратора для всех ваших систем. Практикуйте концепцию наименее привилегированных ролей. Предоставляйте людям только доступ, который им требуется, чтобы выполнять работу, в которой они нуждаются.
Создание новых секретных ключей
WordPress использует куки-файлы браузера, чтобы поддерживать сеансы пользователя в течение двух недель. Если у злоумышленника есть файл cookie сеанса, он сохранит доступ к веб-сайту даже после сброса пароля. Чтобы исправить это, мы рекомендуем отключить активных пользователей, сбросив секретные ключи WordPress.
Чтобы генерировать новые секретные ключи необходимо выполнить следующее:
- Сгенерируйте секретный ключ (можно воспользоваться генератором, который предлагают создатели WordPress: https://api.wordpress.org/secret-key/1.1/salt/. Просто перейдите по ссылке).
- Откройте файл WordPress wp-config.php.
- Добавьте значение секретного ключа в нужные строки в файле (с заменой, если до этого уже что-то было).
- Сохраните файл wp-config.php.
Целесообразно переустанавливать все плагины после взлома, чтобы обеспечить их работоспособность и отсутствие остаточных вредоносных программ. Если вы отключили плагины, мы рекомендуем удалить их с вашего веб-сервера.
3.2. НАСТРОЙТЕ РЕЗЕРВНОЕ КОПИРОВАНИЕ
Резервные копии функционируют как защитная сетка. Теперь, когда ваш сайт чист, и вы сделали некоторые важные шаги после взлома, сделайте резервную копию! Наличие хорошей стратегии резервного копирования лежит в основе безопасности.
Вот несколько советов, которые помогут вам создать резервные копии веб-сайтов:
Место нахождения. Храните резервные копии WordPress в удаленном месте. Никогда не храните резервные копии (или старые версии) на своем сервере; они могут быть взломаны и использованы для компрометации вашего реального сайта.
Автоматизация. В идеальном варианте, резервное копирование должно запускаться автоматически с частотой, соответствующей потребностям вашего сайта.
Избыточность. Это означает, что ваша стратегия резервного копирования должна включать избыточность или, другими словами, резервные копии ваших резервных копий.
Тестирование. Попробуйте применить восстановление, чтобы подтвердить правильность функционирования веб-сайта.
Типы файлов. Некоторые решения для резервного копирования исключают определенные типы файлов, такие как видео и архивы. Имейте это в виду.
3.3. ПРОСКАНИРУЙТЕ КОМПЬЮТЕР
Попросите всех пользователей панели управления WordPress запустить сканирование с помощью надежной антивирусной программы в своих операционных системах. WordPress может быть взломан, если пользователь с зараженным компьютером имеет доступ к панели управления. Некоторые инфекции предназначены для перехода с компьютера на текстовые редакторы или FTP-клиенты.
Вот некоторые антивирусные программы, которые мы рекомендуем:
- Платные: BitDefender, Kaspersky, Sophos, F-Secure.
- Бесплатные: Malwarebytes, Avast, Microsoft Security Essentials, Avira.
3.4. ФАЕРВОЛ (МЕЖСЕТЕВОЙ ЭКРАН / БРАНДМАУЭР)
Количество уязвимостей сайтов, используемых злоумышленниками, растет с каждым днем. Попытка идти в ногу с ними – непростая задача для администраторов. Фаерволы были изобретены, чтобы обеспечить систему защиты «периметра» сайта.
Преимущества использования фаервола:
1. Предотвращение будущего взлома. Выявляя и останавливая известные методы и способы взлома, брандмауэр веб-сайта защищает ваш сайт от заражения.
2. Обновление виртуальной безопасности. Хакеры быстро находят и используют уязвимости в плагинах и темах, причем, постоянно появляются новые и еще не известные системам безопасности (называются уязвимостями нулевого дня или 0day). Хороший брандмауэр будет исправлять «дыры» в вашем веб-сайте, даже если вы не проводили обновлений безопасности.
3. Блокировка брут-атак. Брандмауэр запрещает доступ к вашим страницам wp-admin или wp-login, если обнаруживает признаки автоматизации и попытки угадать ваш пароль. Для этого применяются разные виды скриптов, которые анализируют лог аутентификации, или же средства самого фаервола.
4. Смягчение DDoS-атак. Атаки Distributed Denial of Service (DDoS) пытаются перегрузить сервер или ресурсы приложения. Благодаря обнаружению и блокировке всех типов DDoS-атак, брандмауэр гарантирует, что ваш сайт будет доступен, если ваш сайт подвергнется большому объему посещений.
5. Оптимизация производительности. Большинство фаерволов предлагают функционал кеширования, обеспечивающую более быструю загрузку страниц. Это оставляет пользователей довольными, улучшая взаимодействие с веб-сайтом, снижая показатель отказов и увеличивая конверсии и рейтинг в поисковых системах.
Надеемся, данная статья помогла вам разобраться.
#статья #хакеры #runetsoft #rns #вирусы #wordpress #уязвимости #алгоритм
Следующая публикация
Комментарии 1