Hoe u malware van uw WordPress-site kunt controleren, verwijderen en voorkomen

Malware

Deze week was behoorlijk druk. Een van de non-profitorganisaties die ik ken, bevond zich in een behoorlijke situatie: hun WordPress-site was geïnfecteerd met malware. De site werd gehackt en er werden scripts uitgevoerd op bezoekers die twee verschillende dingen deden:

  1. Probeerde Microsoft Windows te infecteren met malware.
  2. Alle gebruikers omgeleid naar een site die JavaScript gebruikte om de pc van de bezoeker te gebruiken mijn cryptocurrency.

Ik ontdekte dat de site was gehackt toen ik hem bezocht nadat ik had doorgeklikt op hun laatste nieuwsbrief en ik heb ze meteen op de hoogte gebracht van wat er aan de hand was. Helaas was het een behoorlijk agressieve aanval die ik kon verwijderen, maar de site onmiddellijk opnieuw besmet toen ik live ging. Dit is een vrij veel voorkomende praktijk bij malware-hackers - ze hacken niet alleen de site, ze voegen ook een administratieve gebruiker toe aan de site of wijzigen een kern WordPress-bestand dat de hack opnieuw injecteert als deze wordt verwijderd.

Malware is een voortdurend probleem op internet. Malware wordt gebruikt om de klikfrequenties op advertenties te verhogen (advertentiefraude), sitestatistieken te verhogen om adverteerders te veel te laten betalen, om te proberen toegang te krijgen tot de financiële en persoonlijke gegevens van bezoekers, en meest recent - om cryptocurrency te delven. Mijnwerkers worden goed betaald voor mijnbouwgegevens, maar de kosten om mijnbouwmachines te bouwen en de elektriciteitsrekening ervoor te betalen, zijn aanzienlijk. Door in het geheim computers te gebruiken, kunnen mijnwerkers geld verdienen zonder de kosten.

WordPress en andere veelgebruikte platforms zijn enorme doelwitten voor hackers, omdat ze de basis vormen van zoveel sites op internet. Bovendien heeft WordPress een thema- en plug-inarchitectuur die de bestanden van de kernsite niet beschermt tegen beveiligingslekken. Bovendien is de WordPress-gemeenschap uitstekend in het identificeren en verhelpen van beveiligingslekken, maar site-eigenaren zijn niet zo waakzaam om hun site up-to-date te houden met de nieuwste versies.

Deze specifieke site werd gehost op de traditionele webhosting van GoDaddy (niet Beheerde WordPress-hosting), die geen bescherming biedt. Ze bieden natuurlijk een Malwarescanner en verwijdering service echter. Beheerde WordPress-hostingbedrijven zoals vliegwiel, WP Engine, LiquidWeb, GoDaddy en Pantheon bieden allemaal geautomatiseerde updates om uw sites up-to-date te houden wanneer problemen worden geïdentificeerd en hersteld. De meeste hebben malwarescans en thema's en plug-ins op de zwarte lijst om site-eigenaren te helpen een hack te voorkomen. Sommige bedrijven gaan een stap verder - Kinsta - een krachtige beheerde WordPress-host - biedt zelfs een veiligheidsgarantie.

Staat uw site op de zwarte lijst voor malware:

Er zijn veel sites online die reclame maken voor het "controleren" van uw site op malware, maar houd er rekening mee dat de meeste van hen uw site helemaal niet in realtime controleren. Realtime scannen op malware vereist een crawlprogramma van derden dat niet onmiddellijk resultaten kan opleveren. De sites die een onmiddellijke controle bieden, zijn sites waarvan eerder werd vastgesteld dat uw site malware bevatte. Enkele van de malwarecontrolesites op internet zijn:

  • Google Transparantierapport - als uw site is geregistreerd bij webmasters, zullen ze u onmiddellijk waarschuwen wanneer ze uw site crawlen en malware erop vinden.
  • Norton Safe Web - Norton heeft ook plug-ins voor webbrowsers en besturingssysteemsoftware die ervoor zorgen dat gebruikers uw pagina niet 's avonds kunnen openen als ze deze op de zwarte lijst hebben gezet. Website-eigenaren kunnen zich op de site registreren en vragen dat hun site opnieuw wordt geëvalueerd zodra deze schoon is.
  • Sucuri - Sucuri houdt een lijst met malwaresites bij, samen met een rapport over waar ze op de zwarte lijst zijn geplaatst. Als uw site is opgeschoond, ziet u een Forceer een nieuwe scan link onder de lijst (in zeer kleine lettertjes). Sucuri heeft een uitstekende plug-in die problemen detecteert ... en u vervolgens een jaarcontract oplegt om ze te verwijderen.
  • Yandex - als u op Yandex zoekt naar uw domein en 'Volgens Yandex kan deze site gevaarlijk zijn ", u kunt zich registreren voor Yandex-webmasters, uw site toevoegen, navigeren naar Beveiliging en overtredingen, en vraag uw site te wissen.
  • Phishtank - Sommige hackers plaatsen phishing-scripts op uw site, waardoor uw domein als phishingdomein kan worden vermeld. Als u de exacte, volledige URL van de gerapporteerde malwarepagina in Phishtank invoert, kunt u zich bij Phishtank registreren en stemmen of het echt een phishing-site is of niet.

Tenzij uw site is geregistreerd en u ergens een monitoringaccount heeft, krijgt u waarschijnlijk een rapport van een gebruiker van een van deze services. Negeer de waarschuwing niet ... hoewel u misschien geen probleem ziet, komen valse positieven zelden voor. Deze problemen kunnen ertoe leiden dat uw site niet meer wordt geïndexeerd voor zoekmachines en wordt geblokkeerd voor browsers. Erger nog, uw potentiële klanten en bestaande klanten vragen zich misschien af ​​met wat voor soort organisatie ze werken.

Hoe controleert u op malware?

Verschillende van de bovenstaande bedrijven zeggen hoe moeilijk het is om malware te vinden, maar het is niet zo moeilijk. Het moeilijke is eigenlijk om erachter te komen hoe het op uw site is terechtgekomen! Schadelijke code bevindt zich meestal in:

  • Onderhoud - Wijs het eerst op een onderhoudspagina en maak een back-up van uw site. Maak geen gebruik van het standaardonderhoud van WordPress of een onderhoudsplug-in, aangezien deze nog steeds WordPress op de server uitvoeren. U wilt er zeker van zijn dat niemand een PHP-bestand op de site uitvoert. Kijk terwijl je toch bezig bent je .htaccess bestand op de webserver om er zeker van te zijn dat het geen frauduleuze code heeft die mogelijk verkeer omleidt.
  • Zoeken de bestanden van uw site via SFTP of FTP en identificeer de laatste bestandswijzigingen in plug-ins, thema's of WordPress-kernbestanden. Open die bestanden en zoek naar bewerkingen die scripts of Base64-opdrachten toevoegen (gebruikt om de uitvoering van serverscript te verbergen).
  • Vergelijk de kern WordPress-bestanden in uw root-directory, wp-admin-directory en wp-include-mappen om te zien of er nieuwe bestanden of bestanden van verschillende grootte bestaan. Los elk bestand op. Zelfs als u een hack vindt en verwijdert, moet u blijven zoeken, aangezien veel hackers achterdeurtjes achterlaten om de site opnieuw te infecteren. Overschrijf of herinstalleer WordPress niet gewoon ... hackers voegen vaak kwaadaardige scripts toe aan de root-directory en noemen het script op een andere manier om de hack te injecteren. De minder complexe malwarescripts voegen meestal scriptbestanden in header.php or footer.php. Meer complexe scripts zullen eigenlijk elk PHP-bestand op de server wijzigen met herinjectiecode, zodat het moeilijk is om het te verwijderen.
  • verwijderen advertentiescripts van derden die de bron kunnen zijn. Ik heb geweigerd nieuwe advertentienetwerken toe te passen toen ik las dat ze online zijn gehackt.
  • Check  uw posts databasetabel voor ingesloten scripts in pagina-inhoud. U kunt dit doen door eenvoudige zoekopdrachten uit te voeren met PHPMyAdmin en te zoeken naar de verzoek-URL's of scripttags.

Voordat u uw site live zet ... is het nu tijd om uw site te verharden om een ​​onmiddellijke herinjectie of een andere hack te voorkomen:

Hoe voorkomt u dat uw site wordt gehackt en dat malware wordt geïnstalleerd?

  • Controleren elke gebruiker op de website. Hackers injecteren vaak scripts die een administratieve gebruiker toevoegen. Verwijder alle oude of ongebruikte accounts en wijs hun inhoud opnieuw toe aan een bestaande gebruiker. Als u een gebruiker heeft met de naam beheerder, voeg een nieuwe beheerder toe met een unieke login en verwijder het beheerdersaccount helemaal.
  • Reset het wachtwoord van elke gebruiker. Veel sites worden gehackt omdat een gebruiker een eenvoudig wachtwoord heeft gebruikt dat bij een aanval werd geraden, waardoor iemand in WordPress kan komen en kan doen wat hij maar wil.
  • onbruikbaar maken de mogelijkheid om plug-ins en thema's te bewerken via WordPress Admin. Door de mogelijkheid om deze bestanden te bewerken, kan elke hacker hetzelfde doen als hij toegang krijgt. Maak de kernbestanden van WordPress onschrijfbaar, zodat scripts de kerncode niet kunnen herschrijven. All in One heeft echt een geweldige plug-in die WordPress biedt verharding met een heleboel functies.
  • Handmatig download en installeer de nieuwste versies van elke plug-in die je nodig hebt en verwijder alle andere plug-ins. Verwijder absoluut administratieve plug-ins die directe toegang geven tot sitebestanden of de database, deze zijn bijzonder gevaarlijk.
  • verwijderen en vervang alle bestanden in je root-directory met uitzondering van de wp-content-map (dus root, wp-include, wp-admin) door een nieuwe installatie van WordPress die rechtstreeks van hun site is gedownload.
  • Onderhouden jouw site! De site waar ik dit weekend aan werkte, had een oude versie van WordPress met bekende beveiligingslekken, oude gebruikers die geen toegang meer zouden moeten hebben, oude thema's en oude plug-ins. Het kan een van deze zijn geweest die ervoor zorgden dat het bedrijf werd gehackt. Als u het zich niet kunt veroorloven om uw site te onderhouden, zorg er dan voor dat u deze naar een beheerd hostingbedrijf verplaatst! Nog een paar dollar uitgeven aan hosting had dit bedrijf van deze verlegenheid kunnen redden.

Als je eenmaal denkt dat je alles hebt opgelost en verhard, kun je de site weer live laten gaan door het .htaccess omleiding. Zoek, zodra het live is, naar dezelfde infectie die er eerder was. Ik gebruik meestal de inspectietools van een browser om netwerkverzoeken per pagina te volgen. Ik traceer elk netwerkverzoek om er zeker van te zijn dat het geen malware of mysterieus is ... als dat het geval is, gaat het terug naar de top en voer ik de stappen helemaal opnieuw uit.

U kunt ook een betaalbare derde partij gebruiken malware-scanservice als Sitescanners, die uw site dagelijks scant en u laat weten of u al dan niet op de zwarte lijst staat van actieve malwaremonitoringservices. Onthoud: als uw site eenmaal schoon is, wordt deze niet automatisch van zwarte lijsten verwijderd. U moet met elk contact opnemen en het verzoek indienen volgens onze bovenstaande lijst.

Op deze manier gehackt worden is niet leuk. Bedrijven vragen honderden dollars om deze bedreigingen weg te nemen. Ik heb maar liefst 8 uur gewerkt om dit bedrijf te helpen met het opruimen van hun site.

Wat denk je?

Deze site gebruikt Akismet om spam te verminderen. Ontdek hoe uw reactiegegevens worden verwerkt.