Kötü Amaçlı Yazılımları WordPress Sitenizden Kontrol Etme, Kaldırma ve Önleme

kötü amaçlı yazılım

Bu hafta oldukça meşguldü. Bildiğim kar amacı gütmeyen kuruluşlardan biri kendilerini büyük bir çıkmazda buldu - WordPress sitelerine kötü amaçlı yazılım bulaşmıştı. Site saldırıya uğradı ve iki farklı şey yapan ziyaretçilere komut dosyaları uygulandı:

  1. Microsoft Windows'a bulaşmaya çalıştı kötü amaçlı yazılım.
  2. Tüm kullanıcıları, ziyaretçinin bilgisayarından yararlanmak için JavaScript kullanan bir siteye yönlendirdi. benim kripto para birimi.

En son haber bültenlerini tıkladıktan sonra siteyi ziyaret ettiğimde sitenin saldırıya uğradığını keşfettim ve neler olduğunu hemen onlara bildirdim. Ne yazık ki, oldukça agresif bir saldırıydı, kaldırabildim ancak siteyi canlı yayına alır almaz hemen yeniden enfekte ettim. Bu, kötü amaçlı yazılım korsanları tarafından oldukça yaygın bir uygulamadır - yalnızca siteyi hacklemekle kalmazlar, aynı zamanda siteye yönetici bir kullanıcı eklerler veya kaldırılırsa saldırıyı yeniden enjekte eden çekirdek bir WordPress dosyasını değiştirirler.

Kötü amaçlı yazılım, web'de devam eden bir sorundur. Kötü amaçlı yazılım, reklamlardaki tıklama oranlarını şişirmek (reklam sahtekarlığı), reklamverenleri aşırı doldurmak için site istatistiklerini şişirmek, ziyaretçinin finansal ve kişisel verilerine erişmeye çalışmak ve en son olarak kripto para madenciliği yapmak için kullanılır. Madenciler, madencilik verileri için iyi para alıyorlar, ancak madencilik makineleri inşa etmenin ve onlar için elektrik faturalarını ödemenin maliyeti önemli. Madenciler, bilgisayarları gizlice kullanarak, masraf olmadan para kazanabilirler.

WordPress ve diğer yaygın platformlar, web üzerindeki pek çok sitenin temelini oluşturdukları için bilgisayar korsanları için büyük hedeflerdir. Ek olarak, WordPress'in temel site dosyalarını güvenlik açıklarından korumayan bir teması ve eklenti mimarisi vardır. Ek olarak, WordPress topluluğu, güvenlik açıklarını belirleme ve düzeltme konusunda olağanüstü - ancak site sahipleri, sitelerini en son sürümlerle güncel tutma konusunda o kadar dikkatli değiller.

Bu site, GoDaddy'nin geleneksel web barındırma hizmetinde barındırılıyordu ( Yönetilen WordPress barındırma), sıfır koruma sunar. Tabii ki teklif ediyorlar Kötü Amaçlı Yazılım Tarayıcı ve kaldırma hizmet olsa da. Yönetilen WordPress barındırma şirketleri volan, WP Motoru, LiquidWeb, GoDaddy ve Panteon bunların tümü, tespit ettiğimiz ve yamaladığımız sorunlar olduğunda sitelerinizi güncel tutmak için otomatik güncellemeler sunar. Çoğu, site sahiplerinin bir saldırıyı önlemesine yardımcı olmak için kötü amaçlı yazılım taraması ve kara listeye alınmış temalara ve eklentilere sahiptir. Bazı şirketler bir adım daha ileri gider - Kinsta - yüksek performanslı bir Yönetilen WordPress sunucusu - hatta bir güvenlik garantisi.

Siteniz Kötü Amaçlı Yazılım İçin Kara Listeye Alındı:

Sitenizi kötü amaçlı yazılımlara karşı "kontrol etmeyi" tanıtan pek çok çevrimiçi site vardır, ancak bunların çoğunun aslında sitenizi gerçek zamanlı olarak kontrol etmediğini unutmayın. Gerçek zamanlı kötü amaçlı yazılım taraması, anında sonuç sağlayamayan üçüncü taraf bir tarama aracı gerektirir. Anında kontrol sağlayan siteler, daha önce sitenizde kötü amaçlı yazılım bulunduğunu tespit eden sitelerdir. Web'deki kötü amaçlı yazılım kontrol sitelerinden bazıları şunlardır:

  • Google Şeffaflık Raporu - siteniz Web Yöneticilerine kayıtlıysa, sitenizi taradıklarında sizi hemen uyarırlar ve üzerinde kötü amaçlı yazılım bulurlar.
  • Norton Safe Web - Norton ayrıca, kara listeye almışlarsa kullanıcıların sayfanızı açmasını engelleyen web tarayıcısı eklentileri ve işletim sistemi yazılımı da çalıştırır. Web sitesi sahipleri siteye kayıt olabilir ve sitelerinin temizlendikten sonra yeniden değerlendirilmesini isteyebilir.
  • Sucuri - Sucuri, kara listeye alındıkları yerle ilgili bir raporla birlikte kötü amaçlı yazılım sitelerinin bir listesini tutar. Siteniz temizlendiyse, bir Yeniden Taramaya Zorla listenin altındaki bağlantı (çok küçük harflerle). Sucuri, sorunları tespit eden olağanüstü bir eklentiye sahip… ve ardından bunları kaldırmak için sizi yıllık bir sözleşmeye zorluyor.
  • Yandex - Yandex'de alan adınızı ararsanız ve "Yandex'e göre bu site tehlikeli olabilir ”, Yandex web yöneticilerine kayıt olabilir, sitenizi ekleyebilir, şuraya gidebilirsiniz: Güvenlik ve İhlallerve sitenizin temizlenmesini isteyin.
  • balık tankı - Bazı bilgisayar korsanları sitenize kimlik avı komut dosyaları yerleştirir ve bu da alanınızın kimlik avı alanı olarak listelenmesini sağlayabilir. Phishtank'ta rapor edilen kötü amaçlı yazılım sayfasının tam, tam URL'sini girerseniz, Phishtank'a kaydolabilir ve gerçekten bir kimlik avı sitesi olup olmadığına oy verebilirsiniz.

Siteniz kayıtlı değilse ve bir yerde bir izleme hesabınız yoksa, muhtemelen bu hizmetlerden birinin kullanıcısından bir rapor alacaksınız. Uyarıyı görmezden gelmeyin… bir sorun görmeyebilirsiniz, ancak yanlış pozitifler nadiren olur. Bu sorunlar, sitenizin arama motorlarından kaldırılmasına ve tarayıcıların erişiminin engellenmesine neden olabilir. Daha da kötüsü, potansiyel müşterileriniz ve mevcut müşterileriniz ne tür bir organizasyonla çalıştıklarını merak edebilir.

Kötü Amaçlı Yazılımları Nasıl Kontrol Edersiniz?

Yukarıdaki şirketlerden birkaçı kötü amaçlı yazılım bulmanın ne kadar zor olduğundan bahsediyor, ancak bu o kadar da zor değil. Zor olan aslında sitenize nasıl girdiğini bulmaktır! Kötü amaçlı kod genellikle şu konumlarda bulunur:

  • Bakım - Her şeyden önce şunu işaret edin: bakım sayfası ve sitenizi yedekleyin. WordPress'in varsayılan bakımını veya bir bakım eklentisini kullanmayın, çünkü bunlar sunucuda WordPress'i yine de çalıştıracaktır. Sitede hiç kimsenin herhangi bir PHP dosyasını çalıştırmadığından emin olmak istiyorsunuz. Siz oradayken, kontrol edin .htaccess trafiği yeniden yönlendirebilecek hileli kod içermediğinden emin olmak için web sunucusundaki dosya.
  • Ara SFTP veya FTP yoluyla sitenizin dosyalarını ve eklentilerdeki, temalardaki veya çekirdek WordPress dosyalarındaki en son dosya değişikliklerini belirleyin. Bu dosyaları açın ve komut dosyaları veya Base64 komutları ekleyen düzenlemeleri arayın (sunucu komut dosyası yürütmesini gizlemek için kullanılır).
  • Karşılaştırmak kök dizininizdeki, wp-admin dizininizdeki ve wp-include dizinlerindeki çekirdek WordPress dosyaları, yeni dosyalar veya farklı boyutta dosyalar olup olmadığını görmek için. Her dosyada sorun giderme. Bir saldırıyı bulup kaldırsanız bile, birçok bilgisayar korsanının siteyi yeniden etkilemek için arka kapıları terk etmesinden dolayı aramaya devam edin. WordPress'in üzerine yazmayın veya yeniden kurmayın… bilgisayar korsanları genellikle kök dizine kötü amaçlı komut dosyaları ekler ve komut dosyasını hacklemek için başka bir şekilde çağırır. Daha az karmaşık kötü amaçlı yazılım betikleri, genellikle header.php or footer.php. Daha karmaşık komut dosyaları, sunucudaki her PHP dosyasını yeniden enjeksiyon koduyla değiştirir, böylece onu kaldırmakta zorlanabilirsiniz.
  • Kaldır kaynak olabilecek üçüncü taraf reklam komut dosyaları. Çevrimiçi saldırıya uğradıklarını okuduğumda yeni reklam ağlarını uygulamayı reddettim.
  • Kontrol  Sayfa içeriğine gömülü komut dosyaları için gönderileriniz veritabanı tablosu. Bunu, PHPMyAdmin'i kullanarak basit aramalar yaparak ve istek URL'lerini veya komut dosyası etiketlerini arayarak yapabilirsiniz.

Sitenizi yayına sokmadan önce… Hemen yeniden enjeksiyonu veya başka bir saldırıyı önlemek için şimdi sitenizi sağlamlaştırmanın zamanı geldi:

Sitenizin Saldırıya Uğramasını ve Kötü Amaçlı Yazılım Yüklenmesini Nasıl Önlersiniz?

  • doğrulamak web sitesindeki her kullanıcı. Bilgisayar korsanları genellikle bir yönetici kullanıcı ekleyen komut dosyaları enjekte eder. Eski veya kullanılmayan hesapları kaldırın ve içeriğini mevcut bir kullanıcıya yeniden atayın. Adlı bir kullanıcınız varsa yönetim, benzersiz bir girişe sahip yeni bir yönetici ekleyin ve yönetici hesabını tamamen kaldırın.
  • Reset her kullanıcının şifresi. Birçok site, bir kullanıcı bir saldırıda tahmin edilen ve birinin WordPress'e girmesini ve istediği her şeyi yapmasını sağlayan basit bir şifre kullandığı için saldırıya uğramıştır.
  • devre dışı bırakmak WordPress Yöneticisi aracılığıyla eklentileri ve temaları düzenleme yeteneği. Bu dosyaları düzenleme yeteneği, herhangi bir hacker'ın erişim sağladığında aynı şeyi yapmasına izin verir. Komut dosyalarının çekirdek kodu yeniden yazamaması için çekirdek WordPress dosyalarını yazılamaz hale getirin. All in One WordPress sağlayan gerçekten harika bir eklentiye sahip sertleştirme bir ton özellik ile.
  • El ile İhtiyaç duyduğunuz her eklentinin en son sürümlerini indirip yeniden yükleyin ve diğer eklentileri kaldırın. Site dosyalarına veya veritabanına doğrudan erişim sağlayan idari eklentileri kesinlikle kaldırın, bunlar özellikle tehlikelidir.
  • Kaldır ve wp-content klasörü (yani kök, wp-içerir, wp-admin) dışındaki kök dizininizdeki tüm dosyaları, doğrudan kendi sitelerinden indirilen yeni bir WordPress kurulumuyla değiştirin.
  • korumak senin siten! Bu hafta sonu üzerinde çalıştığım site, bilinen güvenlik açıklarına, artık erişime sahip olmaması gereken eski kullanıcılara, eski temalara ve eski eklentilere sahip eski bir WordPress sürümüne sahipti. Şirketi saldırıya uğramaya açan bunlardan herhangi biri olabilirdi. Sitenizi korumaya gücünüz yetmiyorsa, bunu yapacak bir yönetilen barındırma şirketine taşıdığınızdan emin olun! Hosting için birkaç dolar daha harcamak, bu şirketi bu utançtan kurtarabilirdi.

Her şeyi düzelttiğinizi ve sağlamlaştırdığınızı düşündüğünüzde, siteyi kaldırarak siteyi tekrar canlı hale getirebilirsiniz. .htaccess yönlendirme. Canlı olur olmaz, daha önce orada bulunan aynı enfeksiyonu arayın. Sayfaya göre ağ isteklerini izlemek için genellikle bir tarayıcının inceleme araçlarını kullanırım. Kötü amaçlı veya gizemli olmadığından emin olmak için her ağ talebinin izini sürüyorum… eğer öyleyse, en üste geri dönüyor ve adımları baştan yapıyor.

Ayrıca uygun fiyatlı bir üçüncü taraf da kullanabilirsiniz kötü amaçlı yazılım tarama hizmeti sevmek Site Tarayıcıları, sitenizi günlük olarak tarar ve etkin kötü amaçlı yazılım izleme hizmetlerinde kara listeye alınıp alınmadığınızı size bildirir. Unutmayın - siteniz temizlendiğinde, kara listelerden otomatik olarak kaldırılmayacaktır. Her biriyle iletişime geçmeli ve yukarıdaki listemize göre talepte bulunmalısınız.

Bu şekilde saldırıya uğramak hiç eğlenceli değil. Şirketler bu tehditleri ortadan kaldırmak için birkaç yüz dolar talep ediyor. Bu şirketin sitelerini temizlemesine yardımcı olmak için en az 8 saat çalıştım.

Ne düşünüyorsunuz?

Bu site spam'i azaltmak için Akismet'i kullanıyor. Yorum verilerinizin nasıl işlendiğini öğrenin.