Sådan renser du et hacket WordPress-websted med Wordfence
Hvis dit websted er blevet hacket, så gå ikke i panik.
Denne artikel beskriver, hvordan du renser dit websted, hvis det er blevet hacket og inficeret med skadelig kode, bagdøre, spam, malware eller andre ubehageligheder. Denne artikel blev opdateret den 27. august 2019 med yderligere ressourcer til at hjælpe med at rense specifikke infektionstyper. Denne artikel er skrevet af Mark Maunder, grundlæggeren af Wordfence. Jeg er også en akkrediteret sikkerhedsforsker, WordPress-udvikler, og jeg ejer og driver mange af mine egne WordPress-drevne websteder, herunder dette. Selv hvis du ikke kører WordPress, indeholder denne artikel flere værktøjer, som du kan bruge til at hjælpe med at rense dit websted fra en infektion.
Hvis du kører WordPress, og du er blevet hacket, kan du bruge Wordfence til at rense en stor del af den skadelige kode fra dit websted. Wordfence lader dig sammenligne dine hackede filer med de originale WordPress-kernefiler og de originale kopier af WordPress-temaer og plugins i repositoriet. Wordfence lader dig se, hvad der er ændret, og giver dig mulighed for at reparere filer med et enkelt klik og foretage andre handlinger.
Hvis du har mistanke om, at du er blevet hacket, skal du først sikre dig, at du rent faktisk er blevet hacket. Vi får nogle gange panikslagne webstedsadministratorer, der kontakter os og tror, at de er blevet hacket, når deres websted bare opfører sig dårligt, en opdatering er gået galt, eller der er et andet problem. Nogle gange ser webstedsejere måske spammy kommentarer og kan ikke se forskel på det og et hack.
Dit websted er blevet hacket, hvis:
- Du ser spam i din sidehoved- eller sidefod, der indeholder reklamer for ting som pornografi, stoffer, ulovlige tjenester osv. Ofte vil det blive sprøjtet ind i dit sideindhold uden at tænke på præsentationen, så det kan vises som mørk tekst på en mørk baggrund og ikke være særlig synligt for menneskelige øjne (men søgemaskinerne kan se det).
- Du foretager en site:example.com (erstat example.com med dit websted) søgning på Google, og du ser sider eller indhold, som du ikke kan genkende, og som ser skadeligt ud.
- Du modtager rapporter fra dine brugere om, at de bliver omdirigeret til et skadeligt eller spammy websted. Vær særlig opmærksom på disse, fordi mange hacks vil opdage, at du er webstedsadministrator, og ikke vise dig noget spammy, men vil kun vise spam til dine besøgende eller til søgemaskinens crawlere.
- Du modtager en rapport fra din hostingudbyder om, at dit websted gør noget skadeligt eller spammy. Hvis din host f.eks. fortæller dig, at de får rapporter om spammails, der indeholder et link til dit websted, kan det betyde, at du er blevet hacket. Det, som hackerne gør i dette tilfælde, er at sende spam fra et eller andet sted og bruge dit websted som et link til at omdirigere folk til et websted, som de ejer. Det gør de, fordi hvis de inkluderer et link til dit websted, undgår de spamfiltre, mens et link til deres eget websted bliver fanget i spamfiltre.
- Wordfence registrerer mange af disse problemer og andre, som jeg ikke har nævnt her, så vær opmærksom på vores advarsler og reager derefter.
Gør en sikkerhedskopi af dit websted lige nu. Her er hvorfor:
Når du har konstateret, at du er blevet hacket, skal du sikkerhedskopiere dit websted med det samme. Brug FTP, din hostingudbyders backup-system eller et backup-plugin til at downloade en kopi af hele dit websted. Grunden til, at du skal gøre dette, er, at mange hostingudbydere straks sletter hele dit websted, hvis du rapporterer, at det er blevet hacket, eller hvis de opdager skadeligt indhold. Det lyder skørt, men det er standardprocedure i nogle tilfælde for at forhindre, at andre systemer på deres netværk bliver inficeret.
Sørg for, at du også sikkerhedskopierer din hjemmesidedatabase. Sikkerhedskopiering af dine filer og database bør være din første prioritet. Få dette gjort, så kan du roligt gå videre til det næste trin med at rense dit websted med den trygge viden, at du i det mindste har en kopi af dit hackede websted, og at du ikke vil miste alt.
Ting, du bør vide, før du renser et WordPress-websted, der er blevet hacket:
Her er reglerne for vejen, når du renser dit websted:
- Du kan normalt slette alt i mappen wp-content/plugins/, og du vil ikke miste data eller ødelægge dit websted. Årsagen er, at det er plugin-filer, som du kan geninstallere, og WordPress vil automatisk registrere, hvis du har slettet et plugin, og deaktivere det. Du skal blot sørge for at slette hele mapper i wp-content/plugins og ikke kun enkelte filer. Hvis du f.eks. ønsker at slette Wordfence-pluginet, skal du slette wp-content/plugins/wordfence og alt i denne mappe, herunder selve mappen. Hvis du kun sletter nogle få filer fra et plugin, kan du efterlade dit websted ubrugeligt.
- Du har normalt kun én temakatalog, der bruges til dit websted i mappen wp-content/themes. Hvis du ved, hvilken det er, kan du slette alle andre temakataloger. Vær opmærksom på, at hvis du har et “child theme”, bruger du måske to mapper i wp-content/themes.
- Den wp-admin og wp-includes mapper har meget sjældent nye filer tilføjet til dem. Så hvis du finder noget nyt i disse mapper, er der stor sandsynlighed for, at det er skadeligt.
- Hold øje med gamle WordPress-installationer og sikkerhedskopier. Vi ser ofte websteder inficeret, hvor nogen siger: “Men jeg holdt mit websted opdateret og havde et sikkerhedsplugin installeret, så hvorfor blev jeg hacket?” Det, der nogle gange sker, er, at du eller en udvikler sikkerhedskopierer en kopi af alle dine webstedsfiler til en undermappe som /old/, der er tilgængelig fra internettet. Denne sikkerhedskopi vedligeholdes ikke, og selv om dit hovedsite er sikkert, kan en hacker komme ind der, inficere det og få adgang til dit hovedsite fra den bagdør, de har plantet. Så lad aldrig gamle WordPress-installationer ligge, og hvis du bliver hacket, så tjek dem først, for det er sandsynligt, at de er fulde af malware.
Et par nyttige værktøjer:
Hvis du har SSH-adgang til din server, så log ind og kør følgende kommando for at se alle filer, der er blevet ændret i løbet af de sidste 2 dage. Bemærk, at prikken angiver den aktuelle mappe. Dette vil få nedenstående kommando til at søge i den aktuelle mappe og alle undermapper efter senest ændrede filer. (Du kan finde ud af, hvad din aktuelle mappe er i SSH ved at skrive “pwd” uden anførselstegn).
find . -mtime -2 -ls
Og du kan angive en bestemt mappe:
find /home/yourdirectory/yoursite/ -mtime -2 -ls
Og du kan ændre søgningen til at vise filer, der er ændret inden for de sidste 10 dage:
find /home/yourdirectory/yoursite/ -mtime -10 -ls
Vi foreslår, at du udfører ovenstående søgning og gradvist øger antallet af dage, indtil du begynder at se ændrede filer. Hvis du ikke selv har ændret noget, siden du blev hacket, er det meget sandsynligt, at du vil se de filer, som hackeren har ændret. Du kan så selv redigere dem for at rense hacket. Dette er langt den mest effektive og enkle måde at finde ud af, hvilke filer der er blevet inficeret, og det bruges af alle professionelle rengøringstjenester for websteder.
Et andet nyttigt værktøj i SSH er ‘grep’. Hvis du f.eks. vil søge efter filer, der indeholder base64 (som ofte bruges af hackere), kan du køre følgende kommando:
grep -ril base64 *
Dette vil blot liste filnavnene. Du kan udelade ‘l’-indstillingen for at se det faktiske indhold af den fil, hvor base64-strengen forekommer:
grep -ri base64 *
Husk, at “base64” også kan forekomme i legitim kode. Før du sletter noget, skal du sikre dig, at du ikke sletter en fil, der bruges af et tema eller plugin på dit websted. En mere raffineret søgning kunne se således ud:
grep --include=*.php -rn . -e "base64_decode"
Denne kommando søger rekursivt i alle filer, der slutter med .php, efter strengen “base64_decode” og udskriver linjenummeret, så du lettere kan finde den kontekst, som strengen forekommer i.
Nu, hvor du ved, hvordan du bruger “grep”, anbefaler vi, at du bruger grep i kombination med “find”. Det, du skal gøre, er at finde filer, der for nylig er blevet ændret, se, hvad der blev ændret i filen, og hvis du finder en fælles tekststreng som “bad hacker was here”, kan du bare grepe alle dine filer for denne tekst på følgende måde:
grep -irl "bad hacker was here" *
og det vil vise dig alle inficerede filer, der indeholder teksten “bad hacker was here”.
Hvis du renser mange inficerede websteder, vil du begynde at lægge mærke til mønstre i, hvor skadelig kode ofte findes. Et sådant sted er uploads-mappen i WordPress-installationer. Kommandoen nedenfor viser, hvordan du finder alle filer i uploads-mappen, som IKKE er billedfiler. Output gemmes i en logfil kaldet “uploads-non-binary.log” i din aktuelle mappe.
find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log
Med de to enkle kommandolinjeværktøjer “grep” og “find” kan du rense et helt inficeret websted. Hvor nemt er det ikke! Jeg vil vædde med, at du er klar til at starte din egen virksomhed til rengøring af websteder på dette tidspunkt.
Sådan renser du dit hackede WordPress-websted med Wordfence:
Nu har du nogle kraftfulde værktøjer i dit arsenal, og du har allerede foretaget en grundlæggende rengøring, så lad os starte Wordfence og køre en fuld scanning for at rense dit websted. Dette trin er vigtigt, fordi Wordfence foretager nogle meget avancerede søgninger efter infektioner. For eksempel:
- Vi ved, hvordan alle WordPress-kernefiler, open source-temaer og open source-plugins skal se ud, så Wordfence kan fortælle, om en af dine kildefiler er inficeret, selv om det er en ny infektion, som ingen nogensinde har set før.
- Vi søger ved hjælp af komplekse regulære udtryk efter infektionssignaturer, og vores database over kendte infektioner bliver løbende opdateret. Du kan ikke gøre dette med simple unix-kommandolinjeværktøjer eller cPanel.
- Vi søger efter malware-URL’er ved hjælp af Google Safe Browsing-listen.
- Vi bruger mange andre datakilder som SpamHaus til at finde malware og infektioner på dit system.
Sådan renser du dit hackede websted ved hjælp af Wordfence:
- Opgrader dit websted til den nyeste version af WordPress. Hvis du kører en version af WordPress før WordPress 5.x.x.x, anbefaler vi, at du læser denne artikel her, før du opgraderer til den nyeste version af WordPress.
- Opgrader alle dine temaer og plugins til deres nyeste versioner.
- Opgrader alle adgangskoder på webstedet, især administrative adgangskoder.
- Gør endnu en sikkerhedskopi, og gem den separat fra den sikkerhedskopi, som vi anbefalede dig at lave ovenfor. Nu har du et inficeret websted, men dette websted kører den nyeste version af alting. Hvis du ødelægger noget, mens du renser dit websted ved hjælp af Wordfence, kan du gå tilbage til denne sikkerhedskopi, og du behøver ikke at gennemgå alle trinene ovenfor.
- Gå til Wordfence Scan-siden. Klik på linket “Scanindstillinger og planlægning”. Aktiver scanningsindstillingen “High Sensitivity” (høj følsomhed). Hvis scanningen tager for lang tid eller ikke afsluttes, skal du udvide afsnittet “General Options” (Generelle indstillinger). Fjern markeringen af indstillingerne “Scan filer uden for din WordPress-installation” og “Scan billeder, binære og andre filer, som om de var eksekverbare”. Gem ændringerne, og prøv en ny scanning.
- Når resultaterne kommer frem, kan du se en meget lang liste over inficerede filer. Tag dig god tid, og arbejd dig langsomt igennem listen.
- Undersøg alle mistænkelige filer, og rediger enten disse filer i hånden for at rense dem eller slet filen. Husk, at du ikke kan fortryde sletninger. Men så længe du har taget den sikkerhedskopi, som vi anbefalede ovenfor, kan du altid gendanne filen, hvis du sletter det forkerte.
- Kig på eventuelle ændrede kerne-, tema- og plugin-filer. Brug den mulighed, som Wordfence tilbyder, til at se, hvad der er ændret mellem den oprindelige fil og din fil. Hvis ændringerne ser skadelige ud, skal du bruge Wordfence-indstillingen til at reparere filen.
- Arbejd dig langsomt gennem listen, indtil den er tom.
- Kør endnu en scanning, og bekræft, at dit websted er rent.
- Hvis du stadig har brug for hjælp, tilbyder vi en kommerciel rengøringsservice for websteder. Du kan få mere at vide ved at sende en e-mail til [email protected] med emnet “Paid site cleaning service”.
Jeg har en fil, der ser mistænkelig ud, men jeg er ikke sikker på, om den er det. Hvordan kan jeg vide det?
E-mail den til os på [email protected], så kan vi fortælle dig det. Hvis din WordPress-konfigurationsfil wp-config.php er inficeret, må du ikke sende en kopi af filen til os uden først at fjerne dine adgangsoplysninger til databasen og Authentication Unique Keys and Salts.
Hvis du ikke modtager et svar, kan enten dit mailsystem eller vores have kasseret meddelelsen i den tro, at den var ondsindet på grund af din vedhæftede fil. Så send os venligst en e-mail uden den vedhæftede fil, så vi ved, at du forsøger at sende os noget, og vi vil forsøge at hjælpe dig med at få det igennem.
Hvor kan jeg finde hjælp til at rense en bestemt type infektion?
I Wordfence Learning Center er der en række artikler, der kan hjælpe dig. Her er en liste over artikler, der kan hjælpe dig med specifikke infektionstyper:
- Fjernelse af ondsindede omdirigeringer fra dit websted
- Findelse og fjernelse af bagdøre
- Fjernelse af spamsider fra WordPress-websteder
- Findelse og fjernelse af spamlinks
- Fjernelse af phishing-sider fra WordPress-websteder
- Fjernelse af ondsindede mail-adresser
- Code From Your Site
- Finding and Removing Malicious File Uploaders
- WordPress Defacement Page Removal
- Sådan fjerner du mistænkelig kode fra WordPress-sider
Jeg har renset mit hackede WordPress-websted, men Google Chrome giver mig stadig malware-advarslen. Hvad skal jeg gøre?
Du skal få fjernet dit websted fra Google Safe Browsing-listen. Læs dette Google-dokument om, hvordan du renser dit websted. Her er trinene:
- Først skal du logge ind på Google Webmaster Tools.
- Tilføj dit websted, hvis du ikke allerede har gjort det.
- Verificer dit websted ved at følge Googles anvisninger.
- Vælg dit websted på forsiden af Webmaster Tools.
- Klik på Site-status, og klik derefter på Malware.
- Klik på Anmod om en gennemgang.
De besøgende på mit websted får advarsler fra andre sikkerhedsprodukter og antivirussystemer. Hvad skal jeg gøre?
Det er et stort skridt at blive fjernet fra Google Safe Browsing-listen, men du har måske en del arbejde foran dig. Du skal føre en liste over alle de antivirusprodukter, der siger, at dit websted er inficeret. Dette kan omfatte produkter som ESET anti-virus, McAfee’s Site Advisor og andre. Besøg hvert antivirusproducenters websted og find deres instruktioner til at fjerne dit websted fra deres liste over farlige websteder. Dette kaldes ofte “whitelisting” af antivirusproducenterne, så hvis du googler efter udtryk som “whitelisting”, “fjernelse af websted”, “falsk positiv” og produktnavnet, vil det normalt føre dig til det sted, hvor du kan få dit websted fjernet.
Hvordan kan jeg manuelt kontrollere, om mit websted er opført på Googles liste over sikker browsing?
Se følgende URL og erstat example.com med adressen på dit eget websted.
http://www.google.com/safebrowsing/diagnostic?site=http://example.com/
Du kan inkludere en undermappe, hvis dit websted har en sådan. Den side, der vises, er meget enkel, men indeholder detaljerede oplysninger om dit websteds aktuelle status, hvorfor det er opført på Googles liste over malware eller phishing (Googles liste over sikker browsing er faktisk to lister), og hvad du skal gøre næste gang.
Hvad du skal gøre, når dit websted er rent:
Glykke, hvis det er lykkedes dig at rense dit websted. Nu skal du sørge for, at det ikke bliver hacket igen. Her er hvordan:
- Installer Wordfence og kør regelmæssige scanninger på dit WordPress-websted.
- Sørg for, at WordPress og alle plugins og temaer holdes opdateret. Dette er det vigtigste, du kan gøre for at sikre dit websted.
- Sørg for, at du bruger stærke adgangskoder, der er svære at gætte.
- Gør dig af med alle gamle WordPress-installationer, der ligger rundt omkring på din server.
- Tilmeld dig vores mailingliste med sikkerhedsadvarsler for at blive advaret om vigtige sikkerhedsopdateringer relateret til WordPress.
- Autentificer dit websted til Wordfence Central for at gøre det meget nemmere at administrere webstedets sikkerhed.
Leave a Reply