Articles /

How to Clean a Hacked WordPress Site using Wordfence

Jeśli Twoja witryna została zhakowana, Don’t Panic.

Ten artykuł opisze, jak wyczyścić Twoją witrynę, jeśli została zhakowana i zainfekowana złośliwym kodem, backdoorami, spamem, złośliwym oprogramowaniem lub innym paskudztwem. Ten artykuł został zaktualizowany 27 sierpnia 2019 r. o dodatkowe zasoby, aby pomóc w czyszczeniu konkretnych typów infekcji. Autorem tego artykułu jest Mark Maunder, założyciel Wordfence. Jestem również akredytowanym badaczem bezpieczeństwa, programistą WordPress i posiadam i obsługuję wiele własnych witryn zasilanych WordPress, w tym tę. Nawet jeśli nie są uruchomione WordPress, ten artykuł zawiera kilka narzędzi, które można wykorzystać, aby pomóc oczyścić witrynę z infekcji.

Jeśli jesteś uruchomiony WordPress i zostały zhakowane, można użyć Wordfence do czyszczenia wiele złośliwego kodu z witryny. Wordfence pozwala porównać zhakowane pliki z oryginalnymi plikami rdzenia WordPressa oraz oryginalnymi kopiami motywów i wtyczek WordPress w repozytorium. Wordfence pozwala zobaczyć, co się zmieniło i daje możliwość naprawy plików jednym kliknięciem i podjęcia innych działań.

Wordfence Site Cleanings Ad

Jeśli podejrzewasz, że zostałeś zhakowany, najpierw upewnij się, że rzeczywiście zostałeś zhakowany. Czasami dostajemy spanikowanych administratorów witryn kontaktujących się z nami, myśląc, że zostały zhakowane, gdy ich strona jest po prostu źle zachowuje, aktualizacja poszła nie tak, lub jakiś inny problem dzieje. Czasami właściciele witryn mogą zobaczyć spamerskie komentarze i nie mogą odróżnić tego od włamania.

Twoja witryna została zhakowana, jeśli:

  • Widzisz spam pojawiający się w nagłówku lub stopce witryny, który zawiera reklamy takich rzeczy jak pornografia, narkotyki, nielegalne usługi itp. Często jest on wstrzykiwany do treści strony bez przemyślenia prezentacji, więc może pojawić się jako ciemny tekst na ciemnym tle i nie być zbyt widoczny dla ludzkich oczu (ale wyszukiwarki mogą go zobaczyć).
  • Wyszukujesz site:example.com (zastąp example.com swoją witryną) w Google i widzisz strony lub treści, których nie rozpoznajesz i które wyglądają na złośliwe.
  • Otrzymujesz raporty od użytkowników, że są przekierowywani na złośliwe lub spamerskie strony. Zwróć na to szczególną uwagę, ponieważ wiele hacków wykryje, że jesteś administratorem witryny i nie pokaże ci nic spamowego, ale pokaże tylko spam twoim gościom lub wyszukiwarkom.
  • otrzymujesz raport od dostawcy usług hostingowych, że twoja witryna robi coś złośliwego lub spamowego. Na przykład, jeśli gospodarz mówi ci, że są coraz raporty spamu e-mail, który zawiera link do swojej strony internetowej, może to oznaczać, że zostałeś zhakowany. Co hakerzy robią w tym przypadku jest wysyłanie spamu z jakiegoś miejsca i przy użyciu witryny jako link do przekierowania ludzi do strony internetowej, które są ich własnością. Robią to, ponieważ dołączenie linku do Twojej witryny pozwoli uniknąć filtrów antyspamowych, podczas gdy dołączenie linku do ich własnej witryny zostanie złapane przez filtry antyspamowe.
  • Wordfence wykrywa wiele z tych problemów oraz inne, o których tu nie wspomniałem, więc zwracaj uwagę na nasze alerty i reaguj odpowiednio.

Zrób kopię zapasową swojej witryny już teraz. Oto dlaczego:

Po upewnieniu się, że zostałeś zhakowany, natychmiast wykonaj kopię zapasową swojej witryny. Użyj FTP, systemu kopii zapasowej dostawcy usług hostingowych lub wtyczki kopii zapasowej, aby pobrać kopię całej witryny. Powodem, dla którego musisz to zrobić, jest to, że wielu dostawców usług hostingowych będzie natychmiast usunąć całą witrynę, jeśli zgłosić, że został zhakowany lub jeśli wykryją złośliwe treści. Brzmi szalenie, ale jest to standardowa procedura w niektórych przypadkach, aby zapobiec innych systemów w ich sieci z coraz infected.

Upewnij się, że również kopię zapasową bazy danych witryny. Tworzenie kopii zapasowych plików i bazy danych powinno być Twoim priorytetem. Zrób to, a następnie można bezpiecznie przejść do następnego kroku czyszczenia witryny wygodne z wiedzą, że przynajmniej masz kopię swojej zhakowanej witryny i nie stracisz wszystko.

Rzeczy, które powinieneś wiedzieć przed czyszczeniem witryny WordPress, która została zhakowana:

Tutaj są zasady drogi podczas czyszczenia witryny:

  • Zazwyczaj możesz usunąć wszystko w katalogu wp-content/plugins/ i nie stracisz danych lub złamiesz swoją witrynę. Powodem jest to, że są to pliki wtyczek, które można ponownie zainstalować i WordPress automatycznie wykryje, czy usunąłeś wtyczkę i będzie go wyłączyć. Wystarczy upewnić się, aby usunąć całe katalogi w wp-content/plugins, a nie tylko pojedyncze pliki. Na przykład, jeśli chcesz usunąć wtyczkę Wordfence, musisz usunąć wp-content/plugins/wordfence i wszystko w tym katalogu, w tym sam katalog. Jeśli usuniesz tylko kilka plików z wtyczki, możesz zostawić swoją witrynę niedziałającą.
  • Zazwyczaj masz tylko jeden katalog motywów, który jest używany dla twojej witryny w katalogu wp-content/themes. Jeśli wiesz, który to jest, możesz usunąć wszystkie inne katalogi motywów. Uważaj, jeśli masz „motyw dziecka” możesz używać dwóch katalogów w wp-content/themes.
  • Katalogi wp-admin i wp-includes bardzo rzadko mają nowe pliki dodane do nich. Jeśli więc znajdziesz coś nowego w tych katalogach, istnieje duże prawdopodobieństwo, że jest to złośliwe.
  • Uważaj na stare instalacje WordPressa i kopie zapasowe. Często widzimy zainfekowane strony, na których ktoś mówi: „Ale ja aktualizowałem swoją stronę i miałem zainstalowaną wtyczkę bezpieczeństwa, więc dlaczego zostałem zhakowany?”. To, co czasami się dzieje, to ty lub programista wykona kopię zapasową wszystkich plików witryny do podkatalogu takiego jak /old/, który jest dostępny z sieci. Ta kopia zapasowa nie jest utrzymywana i nawet jeśli Twoja główna witryna jest bezpieczna, haker może się tam dostać, zainfekować ją i uzyskać dostęp do głównej witryny z backdoora, który zasadzili. Więc nigdy nie zostawiaj starych instalacji WordPress leżących w pobliżu, a jeśli się włamać, sprawdzić te pierwsze, ponieważ jest prawdopodobne, że są one pełne malware.

Kilka przydatnych narzędzi:

Jeśli masz dostęp SSH do serwera, zaloguj się i uruchom następujące polecenie, aby zobaczyć wszystkie pliki, które zostały zmodyfikowane w ciągu ostatnich 2 dni. Zwróć uwagę, że kropka wskazuje bieżący katalog. Spowoduje to, że poniższe polecenie przeszuka bieżący katalog i wszystkie podkatalogi w poszukiwaniu ostatnio zmodyfikowanych plików. (Aby dowiedzieć się, jaki jest twój bieżący katalog w SSH, wpisz 'pwd’ bez cudzysłowów).

find . -mtime -2 -ls

Możesz też określić konkretny katalog:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

Możesz też zmienić wyszukiwanie tak, aby pokazywało pliki zmodyfikowane w ciągu ostatnich 10 dni:

find /home/yourdirectory/yoursite/ -mtime -10 -ls

Proponujemy, abyś wykonał powyższe wyszukiwanie i stopniowo zwiększał liczbę dni, aż zaczniesz widzieć zmienione pliki. Jeśli nie zmieniłeś nic sam od czasu włamania, to jest bardzo prawdopodobne, że zobaczysz pliki, które haker zmienił. Następnie można edytować je samodzielnie, aby wyczyścić hack. Jest to zdecydowanie najbardziej skuteczny i prosty sposób, aby dowiedzieć się, które pliki zostały zainfekowane i jest używany przez każdy profesjonalny serwis czyszczący strony.

Innym przydatnym narzędziem w SSH jest 'grep’. Na przykład, aby wyszukać pliki, które zawierają base64 (powszechnie używane przez hakerów) możesz wykonać następującą komendę:

grep -ril base64 *

Wyświetli ona tylko nazwy plików. Możesz pominąć opcję 'l’, aby zobaczyć faktyczną zawartość pliku, w którym występuje ciąg base64:

grep -ri base64 *

Pamiętaj, że „base64” może występować również w legalnym kodzie. Zanim cokolwiek usuniesz, upewnij się, że nie usuwasz pliku, który jest używany przez motyw lub wtyczkę na twojej stronie. Bardziej wyrafinowane wyszukiwanie może wyglądać tak:

grep --include=*.php -rn . -e "base64_decode"

To polecenie przeszukuje rekursywnie wszystkie pliki kończące się na .php dla łańcucha „base64_decode” i wypisuje numer linii, abyś mógł łatwiej znaleźć kontekst, w którym ten łańcuch występuje.

Teraz, gdy wiesz jak używać 'grep’, zalecamy używanie grep w połączeniu z 'find’. To, co powinieneś zrobić, to znaleźć pliki, które zostały ostatnio zmodyfikowane, sprawdzić, co zostało zmodyfikowane w pliku i jeśli znajdziesz wspólny ciąg tekstu, taki jak „zły haker był tutaj”, możesz po prostu grepować wszystkie pliki dla tego tekstu, jak na przykład:

grep -irl "bad hacker was here" *

i to pokaże ci wszystkie zainfekowane pliki zawierające tekst „zły haker był tutaj”.

Jeśli wyczyścisz wiele zainfekowanych stron, zaczniesz zauważać wzorce w miejscach, w których często znajduje się złośliwy kod. Jednym z takich miejsc jest katalog uploads w instalacjach WordPress. Poniższe polecenie pokazuje, jak znaleźć wszystkie pliki w katalogu uploads, które NIE są plikami graficznymi. Wynik jest zapisywany w pliku dziennika o nazwie „uploads-non-binary.log” w bieżącym katalogu.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

Używając dwóch prostych narzędzi wiersza poleceń „grep” i „find” możesz wyczyścić całą zainfekowaną stronę. Jakie to proste! Założę się, że jesteś gotowy, aby rozpocząć swój własny biznes czyszczenia witryny w tym momencie.

Jak wyczyścić zhakowaną witrynę WordPress z Wordfence:

Teraz, gdy masz kilka potężnych narzędzi w swoim arsenale i już zrobiłeś podstawowe czyszczenie, uruchommy Wordfence i uruchom pełne skanowanie, aby wyczyścić witrynę. Ten krok jest ważny, ponieważ Wordfence wykonuje pewne bardzo zaawansowane wyszukiwanie infekcji. Na przykład:

  • Wiemy, jak powinny wyglądać wszystkie pliki podstawowe WordPressa, motywy i wtyczki open source, więc Wordfence może stwierdzić, czy któryś z twoich plików źródłowych jest zainfekowany, nawet jeśli jest to nowa infekcja, której nikt nigdy wcześniej nie widział.
  • Wyszukujemy sygnatury infekcji za pomocą złożonych wyrażeń regularnych, a nasza baza znanych infekcji jest stale aktualizowana. Nie możesz tego zrobić za pomocą prostych narzędzi wiersza poleceń systemu Unix lub cPanel.
  • Wyszukujemy złośliwe adresy URL za pomocą listy Google Safe Browsing.
  • Używamy wielu innych źródeł danych, takich jak SpamHaus, aby znaleźć złośliwe oprogramowanie i infekcje w Twoim systemie.

Jak wyczyścić zhakowaną witrynę za pomocą Wordfence:

  1. Zaktualizuj swoją witrynę do najnowszej wersji WordPress. Jeśli używasz wersji WordPressa wcześniejszej niż WordPress 5.x.x, zalecamy przeczytanie tego artykułu tutaj przed aktualizacją do najnowszej wersji WordPressa.
  2. Uaktualnij wszystkie motywy i wtyczki do ich najnowszych wersji.
  3. Zmień wszystkie hasła w witrynie, zwłaszcza hasła administracyjne.
  4. Zrób kolejną kopię zapasową i przechowuj ją oddzielnie od kopii zapasowej, którą zaleciliśmy wykonać powyżej. Teraz masz zainfekowaną witrynę, ale działa na niej najnowsza wersja wszystkiego. Jeśli podczas czyszczenia witryny za pomocą Wordfence coś się zepsuje, możesz wrócić do tej kopii zapasowej i nie musisz powtarzać wszystkich powyższych kroków.
  5. Przejdź do strony Skanowanie Wordfence. Kliknij na link „Opcje skanowania i harmonogram”. Włącz opcję skanowania „High Sensitivity”. Jeśli skanowanie trwa zbyt długo lub nie jest zakończone, rozwiń sekcję „Opcje ogólne”. Odznacz opcje „Skanuj pliki spoza instalacji WordPress” i „Skanuj obrazy, pliki binarne i inne pliki tak, jakby były wykonywalne”. Zapisz zmiany i spróbuj wykonać nowe skanowanie.
  6. Gdy pojawią się wyniki, możesz zobaczyć bardzo długą listę zainfekowanych plików. Nie spiesz się i powoli przejrzyj listę.
  7. Sprawdź wszystkie podejrzane pliki i albo edytuj je ręcznie, aby je oczyścić, albo usuń plik. Pamiętaj, że nie możesz cofnąć usuniętych plików. Ale tak długo jak wykonałeś kopię zapasową, którą zalecamy powyżej, zawsze możesz przywrócić plik, jeśli usuniesz niewłaściwą rzecz.
  8. Spójrz na wszelkie zmienione pliki rdzenia, motywu i wtyczek. Użyj opcji, którą zapewnia Wordfence, aby zobaczyć co się zmieniło pomiędzy oryginalnym plikiem a twoim. Jeśli zmiany wyglądają na złośliwe, użyj opcji Wordfence, aby naprawić plik.
  9. Powoli przejdź przez listę, aż będzie pusta.
  10. Wykonaj kolejne skanowanie i potwierdź, że twoja strona jest czysta.
  11. Jeśli nadal potrzebujesz pomocy, oferujemy komercyjną usługę czyszczenia strony. Więcej informacji można uzyskać, wysyłając wiadomość e-mail na adres [email protected] z tematem „Płatna usługa czyszczenia witryny”.

Mam plik, który wygląda podejrzanie, ale nie jestem pewien, czy tak jest. Jak mogę to sprawdzić?

Wyślij go do nas na adres [email protected], a my damy Ci znać. Jeśli Twój plik konfiguracyjny WordPress wp-config.php jest zainfekowany, nie wysyłaj kopii tego pliku do nas bez uprzedniego usunięcia poświadczeń dostępu do bazy danych oraz unikalnych kluczy i soli uwierzytelniania.

Jeśli nie otrzymasz odpowiedzi, albo Twój system pocztowy, albo nasz mógł odrzucić wiadomość myśląc, że jest ona złośliwa z powodu Twojego załącznika. Proszę więc wysłać do nas wiadomość bez załącznika, informując nas, że próbujesz nam coś przesłać, a my postaramy się pomóc w jej przesłaniu.

Gdzie mogę znaleźć pomoc w usunięciu konkretnego rodzaju infekcji?

Centrum nauki Wordfence zawiera szereg artykułów, które mogą Ci pomóc. Poniżej znajduje się lista artykułów, które pomogą Ci z konkretnymi typami infekcji:

  • Removing Malicious Redirects From Your Site
  • Finding and Removing Backdoors
  • Removing Spam Pages From WordPress Sites
  • Finding and Removing Spam Links
  • Removing Phishing Pages From WordPress Sites
  • Removing Malicious Mailer. Code From Your Site
  • Finding and Removing Malicious File Uploaders
  • WordPress Defacement Page Removal
  • How to Remove Suspicious Code From WordPress Sites

Wyczyściłem moją zhakowaną witrynę WordPress, ale Google Chrome nadal wyświetla mi ostrzeżenie o złośliwym oprogramowaniu. Co powinienem zrobić?

Musisz usunąć swoją witrynę z listy Google Safe Browsing. Przeczytaj ten dokument Google o tym, jak wyczyścić witrynę. Oto kroki:

  1. Najpierw zaloguj się do Narzędzi dla webmasterów Google.
  2. Dodaj swoją witrynę, jeśli jeszcze tego nie zrobiłeś.
  3. Weryfikuj swoją witrynę, postępując zgodnie z instrukcjami Google.
  4. Na stronie głównej Narzędzi dla webmasterów wybierz swoją witrynę.
  5. Kliknij Stan witryny, a następnie kliknij Złośliwe oprogramowanie.
  6. Kliknij Zażądaj przeglądu.

Odwiedzający moją witrynę otrzymują ostrzeżenia od innych produktów bezpieczeństwa i systemów antywirusowych. Co powinienem zrobić?

Uzyskanie dostępu do listy Google Safe Browsing to duży krok, ale możesz mieć trochę pracy przed sobą. Musisz prowadzić listę każdego produktu antywirusowego, który twierdzi, że Twoja witryna jest zainfekowana. Może to obejmować produkty takie jak antywirus ESET, McAfee’s Site Advisor i inne. Odwiedź stronę każdego producenta antywirusa i znajdź instrukcje dotyczące usunięcia Twojej witryny z ich listy niebezpiecznych witryn. Jest to często nazywane „whitelisting” przez producentów antywirusów, więc Googling dla terminów takich jak „whitelisting”, „site removal”, „false positive” i nazwa produktu zazwyczaj doprowadzi Cię do miejsca, gdzie można uzyskać usunięcie witryny.

Jak mogę ręcznie sprawdzić, czy moja witryna znajduje się na liście bezpiecznego przeglądania Google?

Odwiedź następujący adres URL i zastąp example.com adresem swojej witryny.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Możesz dołączyć podkatalog, jeśli twoja witryna go posiada. Strona, która się pojawi, jest bardzo prosta, ale zawiera szczegółowe informacje o bieżącym stanie witryny, dlaczego jest ona wymieniona na liście złośliwego oprogramowania lub phishingu Google (lista bezpiecznego przeglądania google to właściwie dwie listy) i co robić dalej.

Co robić, gdy witryna jest już czysta:

Gratulacje, jeśli udało Ci się wyczyścić witrynę. Teraz musisz się upewnić, że nie zostanie ponownie zhakowana. Oto jak:

  • Zainstaluj Wordfence i uruchom regularne skanowanie witryny WordPress.
  • Upewnij się, że WordPress i wszystkie wtyczki oraz motywy są aktualne. Jest to najważniejsza rzecz, jaką możesz zrobić, aby zabezpieczyć swoją witrynę.
  • Upewnij się, że używasz silnych haseł, które są trudne do odgadnięcia.
  • Pozbądź się wszystkich starych instalacji WordPressa leżących na twoim serwerze.
  • Zapisz się na naszą listę mailingową alertów bezpieczeństwa, aby otrzymywać powiadomienia o ważnych aktualizacjach zabezpieczeń związanych z WordPress.
  • Uwierzytelnij swoją witrynę w programie Wordfence Central, aby zarządzanie bezpieczeństwem witryny było znacznie łatwiejsze.

.

Leave a Reply