How to Clean a Hacked WordPress Site using Wordfence
Jos sivustosi on hakkeroitu, älä joudu paniikkiin.
Tässä artikkelissa kerrotaan, miten puhdistaa sivustosi, jos se on hakkeroitu ja saanut tartunnan haitallisesta koodista, takaovista, roskapostista, haittaohjelmista tai muusta ilkeydestä. Tämä artikkeli päivitettiin 27. elokuuta 2019 lisäresursseilla, jotka auttavat puhdistamaan tiettyjä tartuntatyyppejä. Tämän artikkelin on kirjoittanut Mark Maunder, Wordfence-yrityksen perustaja. Olen myös akkreditoitu tietoturvatutkija, WordPress-kehittäjä ja omistan ja käytän monia omia WordPress-käyttöisiä verkkosivustojani, mukaan lukien tätä verkkosivustoa. Vaikka et käyttäisikään WordPressiä, tämä artikkeli sisältää useita työkaluja, joiden avulla voit puhdistaa sivustosi tartunnasta.
Jos käytät WordPressiä ja sinuun on murtauduttu, voit käyttää Wordfencea puhdistamaan suuren osan haitallisesta koodista sivustoltasi. Wordfence antaa sinun verrata hakkeroituja tiedostojasi alkuperäisiin WordPressin ydintiedostoihin sekä arkistossa olevien WordPress-teemojen ja -lisäosien alkuperäisiin kopioihin. Wordfence antaa sinulle mahdollisuuden nähdä, mikä on muuttunut, ja antaa sinulle mahdollisuuden korjata tiedostoja yhdellä napsautuksella ja ryhtyä muihin toimenpiteisiin.
Jos epäilet, että sinuun on murtauduttu, varmista ensin, että sinuun on todella murtauduttu. Joskus saamme paniikissa olevia sivuston ylläpitäjiä, jotka ottavat meihin yhteyttä ja luulevat, että heidät on hakkeroitu, vaikka heidän sivustonsa vain käyttäytyy huonosti, päivitys meni pieleen tai jokin muu ongelma ilmenee. Joskus sivuston ylläpitäjät saattavat nähdä roskapostikommentteja eivätkä erota niitä hakkeroinnista.
Sivustosi on hakkeroitu, jos:
- Sivustosi otsikkoon tai alatunnisteeseen ilmestyy roskapostia, joka sisältää mainoksia esimerkiksi pornografiasta, huumeista, laittomista palveluista jne. Usein se lisätään sivusi sisältöön ajattelematta esitystapaa, joten se saattaa näkyä tummana tekstinä tummalla pohjalla, eikä se ole kovin näkyvää ihmissilmille (mutta hakukoneet näkevät sen).
- Tehdessäsi site:example.com (korvaa example.com sivustollasi) -haun Googlessa näet sivuja tai sisältöjä, joita et tunnista ja jotka näyttävät pahantahtoisilta.
- Käyttäjiltäsi tulee ilmoituksia, joiden mukaan heidät ohjataan pahantahtoiselle tai roskapostia sisältävälle sivustolle. Kiinnitä näihin erityistä huomiota, koska monet hakkerit havaitsevat, että olet sivuston ylläpitäjä, eivätkä näytä sinulle mitään roskapostia, vaan näyttävät roskapostia vain kävijöillesi tai hakukoneiden indeksoijille.
- Saat hosting-palveluntarjoajaltasi raportin, jonka mukaan sivustosi tekee jotakin haitallista tai roskapostia. Jos esimerkiksi isäntäsi kertoo, että he saavat raportteja roskapostiviesteistä, jotka sisältävät linkin verkkosivustollesi, tämä voi tarkoittaa, että sinua on hakkeroitu. Tässä tapauksessa hakkerit lähettävät roskapostia jostain ja käyttävät verkkosivustoasi linkkinä ohjatakseen ihmiset omalle verkkosivustolleen. He tekevät näin, koska linkin sisällyttäminen sivustoosi välttää roskapostisuodattimet, kun taas linkin sisällyttäminen omalle sivustolle jää roskapostisuodattimiin.
- Wordfence havaitsee monia näistä ongelmista ja muita, joita en ole maininnut tässä, joten kiinnitä huomiota hälytyksiimme ja reagoi niiden mukaisesti.
Varmuuskopioi sivustosi heti. Tässä on syy:
Heti kun olet varmistanut, että sinua on hakkeroitu, varmuuskopioi sivustosi välittömästi. Käytä FTP:tä, hosting-palveluntarjoajasi varmuuskopiointijärjestelmää tai varmuuskopiointiliitännäistä ladataksesi kopion koko verkkosivustostasi. Syy tähän on se, että monet hosting-palveluntarjoajat poistavat välittömästi koko sivustosi, jos ilmoitat, että se on hakkeroitu, tai jos ne havaitsevat haitallista sisältöä. Kuulostaa hullulta, mutta tämä on joissakin tapauksissa vakiomenettely, jotta muut heidän verkossaan olevat järjestelmät eivät saisi tartuntaa.
Varmista, että varmuuskopioit myös verkkosivustosi tietokannan. Tiedostojen ja tietokannan varmuuskopioinnin tulisi olla ensisijainen prioriteettisi. Kun saat tämän tehtyä, voit turvallisesti siirtyä seuraavaan vaiheeseen eli sivustosi puhdistamiseen mukavasti tietäen, että sinulla on ainakin kopio hakkeroidusta sivustostasi etkä menetä kaikkea.
Tietoja, jotka sinun tulisi tietää ennen hakkeroidun WordPress-sivuston puhdistamista:
Tässä ovat pelisäännöt sivustoa puhdistaessasi:
- Voit yleensä poistaa mitä tahansa wp-content/plugins/-hakemistosta, etkä menetä tietoja tai riko sivustoasi. Syynä on se, että nämä ovat liitännäistiedostoja, jotka voit asentaa uudelleen ja WordPress havaitsee automaattisesti, jos olet poistanut liitännäisen ja poistaa sen käytöstä. Varmista vain, että poistat kokonaisia hakemistoja wp-content/plugins-kansiosta etkä vain yksittäisiä tiedostoja. Jos esimerkiksi haluat poistaa Wordfence-liitännäisen, sinun on poistettava wp-content/plugins/wordfence ja kaikki kyseisessä hakemistossa oleva, myös itse hakemisto. Jos poistat vain muutaman tiedoston lisäosasta, voit jättää sivustosi toimimattomaksi.
- Sivustollasi on yleensä vain yksi teemahakemisto, jota käytetään sivustollasi wp-content/themes-hakemistossa. Jos tiedät mikä tämä on, voit poistaa kaikki muut teemahakemistot. Varo, jos sinulla on ”lapsiteema”, saatat käyttää kahta hakemistoa wp-content/themes-hakemistossa.
- Wp-admin- ja wp-includes-hakemistoihin lisätään hyvin harvoin uusia tiedostoja. Joten jos löydät jotain uutta näistä hakemistoista, se on suurella todennäköisyydellä haitallista.
- Varo vanhoja WordPress-asennuksia ja varmuuskopioita. Näemme usein saastuneita sivustoja, joissa joku sanoo: ”Mutta pidin sivustoni ajan tasalla ja olin asentanut tietoturvalisäosan, joten miksi minut hakkeroitiin?”. Joskus käy niin, että sinä tai kehittäjäsi teet varmuuskopion kaikista sivustosi tiedostoista alihakemistoon, kuten /old/, johon pääsee verkosta käsiksi. Tätä varmuuskopiota ei ylläpidetä, ja vaikka pääsivustosi on suojattu, hakkeri pääsee sinne, tartuttaa sen ja pääsee pääsivustollesi istuttamansa takaoven kautta. Älä siis koskaan jätä vanhoja WordPress-asennuksia lojumaan, ja jos sinut hakkeroidaan, tarkista ne ensin, koska ne ovat todennäköisesti täynnä haittaohjelmia.
Muutamia hyödyllisiä työkaluja:
Jos sinulla on SSH-yhteys palvelimellesi, kirjaudu sisään ja suorita seuraava komento nähdäksesi kaikki tiedostot, joita on muutettu viimeisten kahden päivän aikana. Huomaa, että piste osoittaa nykyisen hakemiston. Tämä saa alla olevan komennon etsimään nykyisestä hakemistosta ja kaikista alihakemistoista äskettäin muutettuja tiedostoja. (Voit selvittää nykyisen hakemistosi SSH:ssa kirjoittamalla ’pwd’ ilman lainausmerkkejä).
find . -mtime -2 -ls
Vai voit määrittää tietyn hakemiston:
find /home/yourdirectory/yoursite/ -mtime -2 -ls
Vai voit muuttaa haun niin, että se näyttää viimeisten 10 päivän aikana muutetut tiedostot:
find /home/yourdirectory/yoursite/ -mtime -10 -ls
Kannattaa tehdä ylläolevan haun ja kasvattaa vähitellen päivien lukumäärää niin kauan, että alat näkemään muuttuneita tiedostoja. Jos et ole itse muuttanut mitään hakkeroinnin jälkeen, on hyvin todennäköistä, että näet hakkerin muuttamat tiedostot. Voit sitten muokata niitä itse puhdistaaksesi hakkeroinnin. Tämä on ylivoimaisesti tehokkain ja yksinkertaisin tapa selvittää, mitkä tiedostot ovat saaneet tartunnan, ja sitä käyttävät kaikki ammattimaiset sivustojen puhdistuspalvelut.
Toinen hyödyllinen työkalu SSH:ssa on ’grep’. Jos haluat esimerkiksi etsiä tiedostoja, jotka sisältävät base64:ää (hakkereiden yleisesti käyttämää), voit suorittaa seuraavan komennon:
grep -ril base64 *
Tämä listaa vain tiedostojen nimet. Voit jättää ’l’-vaihtoehdon pois nähdäksesi tiedoston todellisen sisällön, jossa base64-merkkijono esiintyy:
grep -ri base64 *
Muista, että ”base64” voi esiintyä myös laillisessa koodissa. Ennen kuin poistat mitään, kannattaa varmistaa, ettet poista tiedostoa, jota sivustosi teema tai lisäosa käyttää. Tarkempi haku voisi näyttää tältä:
grep --include=*.php -rn . -e "base64_decode"
Tämä komento etsii rekursiivisesti kaikista tiedostoista, joiden pääte on .php, merkkijonoa ”base64_decode” ja tulostaa rivinumeron, jotta voit helpommin löytää asiayhteyden, jossa merkkijono esiintyy.
Nyt kun osaat käyttää ’grep’-ohjelmaa, suosittelemme käyttämään grep’-ohjelmaa yhdessä ’find’-ohjelmaa käytettäessä. Sinun pitäisi etsiä tiedostoja, joita on hiljattain muutettu, katsoa, mitä tiedostossa on muutettu, ja jos löydät yleisen merkkijonon, kuten ”bad hacker was here”, voit vain grepata kaikki tiedostosi tämän tekstin löytämiseksi esimerkiksi näin:
grep -irl "bad hacker was here" *
ja se näyttää kaikki saastuneet tiedostot, jotka sisältävät tekstin ”bad hacker was here”.
Jos puhdistat monta saastunutta sivustoa, alat huomaamaan malleja siinä, missä haitallista koodia tavallisesti esiintyy. Yksi tällainen paikka on WordPress-asennusten uploads-hakemisto. Alla oleva komento näyttää, miten löydät uploads-hakemistosta kaikki tiedostot, jotka EIVÄT ole kuvatiedostoja. Tulos tallennetaan lokitiedostoon nimeltä ”uploads-non-binary.log” nykyisessä hakemistossasi.
find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log
Kahdella yksinkertaisella komentorivityökalulla ”grep” ja ”find” voit puhdistaa kokonaisen saastuneen verkkosivuston. Kuinka helppoa se onkaan! Lyön vetoa, että olet tässä vaiheessa valmis aloittamaan oman sivustosi puhdistusyrityksen.
Miten puhdistat hakkeroidun WordPress-sivuston Wordfence:
Nyt kun sinulla on joitakin tehokkaita työkaluja arsenaalissasi ja olet jo tehnyt jonkin verran peruspuhdistusta, käynnistetään Wordfence ja suoritetaan täysi tarkistus sivustosi puhdistamiseksi. Tämä vaihe on tärkeä, koska Wordfence tekee hyvin kehittynyttä tartuntojen etsimistä. Esimerkiksi:
- Tiedämme, miltä kaikkien WordPressin ydintiedostojen, avoimen lähdekoodin teemojen ja avoimen lähdekoodin lisäosien pitäisi näyttää, joten Wordfence voi kertoa, jos jokin lähdetiedostoistasi on saanut tartunnan, vaikka kyse olisi uudesta tartunnasta, jota kukaan ei ole koskaan ennen nähnyt.
- Haemme monimutkaisten säännöllisten lausekkeiden avulla tartuntojen allekirjoituksia, ja tietokantaamme tunnetuista tartunnoista päivitetään jatkuvasti. Tätä ei voi tehdä yksinkertaisilla unix-komentorivityökaluilla tai cPanelilla.
- Haemme haittaohjelmien URL-osoitteita Googlen Safe Browsing -luettelon avulla.
- Käytämme monia muita tietolähteitä, kuten SpamHausia, löytääksemme haittaohjelmia ja tartuntoja järjestelmästäsi.
Miten puhdistat hakkeroidun sivustosi Wordfence-ohjelman avulla:
- Päivitä sivustosi WordPressin uusimpaan versioon. Jos käytät WordPressin versiota ennen WordPress 5.x.x, suosittelemme lukemaan tämän artikkelin täältä, ennen kuin päivität WordPressin uusimpaan versioon.
- Päivitä kaikki teemat ja laajennukset uusimpiin versioihinsa.
- Vaihda kaikki sivuston salasanat, erityisesti järjestelmänvalvojan salasanat.
- Tee toinen varmuuskopio ja säilytä se erillään varmuuskopiosta, jonka suosittelimme sinua tekemään edellä. Nyt sinulla on saastunut sivusto, mutta sivustolla on käytössä uusin versio kaikesta. Jos rikot jotain puhdistaessasi sivustoasi Wordfencea käyttäen, voit palata tähän varmuuskopioon, eikä sinun tarvitse palata kaikkiin edellä mainittuihin vaiheisiin.
- Mene Wordfence Scan -sivulle. Napsauta ”Skannausasetukset ja ajoitus” -linkkiä. Ota käyttöön ”High Sensitivity” -skannausvaihtoehto. Jos skannaus kestää liian kauan tai ei valmistu, laajenna ”Yleiset asetukset” -osiota. Poista valinta vaihtoehdoista ”Skannaa WordPress-asennuksen ulkopuoliset tiedostot” ja ”Skannaa kuvat, binääritiedostot ja muut tiedostot ikään kuin ne olisivat suoritettavia”. Tallenna muutokset ja yritä uutta skannausta.
- Kun tulokset tulevat näkyviin, saatat nähdä hyvin pitkän luettelon tartunnan saaneista tiedostoista. Ota aikaa ja käy luettelo hitaasti läpi.
- Tutki kaikki epäilyttävät tiedostot ja joko muokkaa niitä käsin puhdistaaksesi ne tai poista tiedosto. Muista, että poistoja ei voi perua. Mutta niin kauan kuin otit varmuuskopion, jota suosittelimme edellä, voit aina palauttaa tiedoston, jos poistat väärän asian.
- Katso kaikki muuttuneet ydin-, teema- ja laajennustiedostot. Käytä Wordfence-ohjelman tarjoamaa vaihtoehtoa nähdäksesi, mikä on muuttunut alkuperäisen tiedoston ja tiedostosi välillä. Jos muutokset näyttävät haitallisilta, käytä Wordfence-vaihtoehtoa tiedoston korjaamiseen.
- Käy hitaasti läpi luetteloa, kunnes se on tyhjä.
- Suorita toinen skannaus ja vahvista, että sivustosi on puhdas.
- Jos tarvitset vielä apua, tarjoamme kaupallista sivustosi puhdistuspalvelua. Saat lisätietoja lähettämällä sähköpostia osoitteeseen [email protected] otsikolla ”Maksullinen sivuston puhdistuspalvelu”.
Minulla on tiedosto, joka näyttää epäilyttävältä, mutta en ole varma, onko se sitä. Mistä tiedän sen?
Sähköpostitse se meille osoitteeseen [email protected], niin kerromme sinulle. Jos WordPressin wp-config.php-konfiguraatiotiedostosi on saastunut, älä lähetä kopiota kyseisestä tiedostosta meille poistamatta ensin tietokantaan pääsyn tunnistetietojasi ja todennuksen yksilöllisiä avaimia ja suoloja.
Jos et saa vastausta, joko sähköpostijärjestelmäsi tai meidän sähköpostijärjestelmämme on saattanut hylätä viestin luulemalla, että se on pahantahtoinen liitetiedostosi vuoksi. Lähetä meille siis sähköpostitse viesti ilman liitetiedostoa, jossa kerrot, että yrität lähettää meille jotain, niin yritämme auttaa saamaan sen läpi.
Miten löydän apua tietynlaisen tartunnan puhdistamiseen?
Wordfence-oppimiskeskuksessa on useita artikkeleita, jotka auttavat sinua. Tässä on luettelo artikkeleista, jotka auttavat sinua tiettyjen tartuntatyyppien kanssa:
- Pahantahtoisten uudelleenohjausten poistaminen sivustoltasi
- Taka-aukkojen löytäminen ja poistaminen
- Rahamainossivujen poistaminen WordPress-sivustoista
- Rahamainossivujen linkkien löytäminen ja poistaminen
- Fishing-sivujen poistaminen WordPress-sivustoista
- Haitallisen sähköpostiviestijätin poistaminen. Code From Your Site
- Finding and Removing Malicious File Uploaders
- WordPress Defacement Page Removal
- How to Remove Suspicious Code From WordPress Sites
Olen siivonnut hakkeroidun WordPress-sivustoni, mutta Google Chrome antaa minulle edelleen haittaohjelmavaroituksen. Mitä minun pitäisi tehdä?
Sivustosi on poistettava Googlen Safe Browsing -luettelosta. Lue tämä Googlen dokumentti siitä, miten voit puhdistaa sivustosi. Tässä ovat vaiheet:
- Kirjaudu ensin sisään Google Webmaster Tools -palveluun.
- Lisää sivustosi, jos et ole vielä lisännyt sitä.
- Varmenna sivustosi Googlen ohjeiden mukaisesti.
- Valitse sivustosi Webmaster Tools -etusivulla.
- Klikkaa Sivuston tila ja valitse sitten Haittaohjelmat.
- Klikkaa Pyydä tarkistusta.
Sivustoni kävijät saavat varoituksia muista tietoturvatuotteista ja virustorjuntajärjestelmistä. Mitä minun pitäisi tehdä?
Poistuminen Googlen Safe Browsing -luettelosta on iso askel, mutta sinulla saattaa olla vielä työtä edessäsi. Sinun on pidettävä luetteloa jokaisesta virustorjuntatuotteesta, joka sanoo sivustosi olevan saastunut. Tällaisia tuotteita voivat olla esimerkiksi ESET-virustorjuntaohjelma, McAfeen Site Advisor ja muut. Käy kunkin virustorjuntaohjelman valmistajan verkkosivustolla ja etsi niiden ohjeet sivustosi poistamiseksi niiden vaarallisten sivustojen luettelosta. Virustorjuntaohjelmien valmistajat kutsuvat tätä usein ”whitelistingiksi”, joten googlaamalla termejä kuten ”whitelisting”, ”site removal”, ”false positive” ja tuotteen nimi pääset yleensä paikkaan, josta voit poistaa sivustosi.
Miten voin manuaalisesti tarkistaa, onko sivustoni Googlen Safe Browsing List -luettelossa?
Käy seuraavassa URL-osoitteessa ja korvaa example.com oman sivustosi osoitteella.
http://www.google.com/safebrowsing/diagnostic?site=http://example.com/
Voit sisällyttää alihakemiston, jos sivustollasi on sellainen. Esiin tuleva sivu on hyvin yksinkertainen, mutta se sisältää yksityiskohtaista tietoa sivustosi tämänhetkisestä tilasta, siitä, miksi se on Googlen haittaohjelmien tai phishing-ohjelmien luettelossa (Googlen safe browsing -luettelo on itse asiassa kaksi luetteloa) ja siitä, mitä tehdä seuraavaksi.
Mitä tehdä, kun sivustosi on puhdas:
Onnittelut, jos olet onnistunut puhdistamaan sivustosi. Nyt sinun on varmistettava hemmetin hyvin, ettei sitä hakkeroida uudelleen. Näin:
- Asenna Wordfence ja suorita säännöllisiä tarkistuksia WordPress-sivustollesi.
- Varmista, että WordPress ja kaikki liitännäiset ja teemat pidetään ajan tasalla. Tämä on tärkein asia, jonka voit tehdä sivustosi suojaamiseksi.
- Varmista, että käytät vahvoja salasanoja, joita on vaikea arvata.
- Hävitä kaikki vanhat WordPress-asennukset, jotka lojuvat palvelimellasi.
- Tilaa turvallisuushälytysten postituslistamme, jotta saat ilmoituksen tärkeistä WordPressiin liittyvistä tietoturvapäivityksistä.
- Tunnista sivustosi Wordfence Centraliin, jotta sivustosi tietoturvan hallinta on paljon helpompaa.
Leave a Reply