Hur man rengör en hackad WordPress-webbplats med Wordfence

Om din webbplats har blivit hackad, får du inte gripas av panik.

Den här artikeln beskriver hur du rengör din webbplats om den har hackats och smittats med skadlig kod, bakdörrar, skräppost, skadlig kod eller andra otrevligheter. Den här artikeln uppdaterades den 27 augusti 2019 med ytterligare resurser för att hjälpa till att rengöra specifika infektionstyper. Den här artikeln är skriven av Mark Maunder, grundare av Wordfence. Jag är också en ackrediterad säkerhetsforskare, WordPress-utvecklare och jag äger och driver många av mina egna WordPress-drivna webbplatser, inklusive den här. Även om du inte kör WordPress innehåller den här artikeln flera verktyg som du kan använda för att rensa din webbplats från en infektion.

Om du kör WordPress och har blivit hackad kan du använda Wordfence för att rensa mycket av den skadliga koden från din webbplats. Wordfence låter dig jämföra dina hackade filer med de ursprungliga WordPress-kärnfilerna och de ursprungliga kopiorna av WordPress-teman och plugins i arkivet. Wordfence låter dig se vad som har ändrats och ger dig möjlighet att reparera filer med ett klick och vidta andra åtgärder.

Wordfence Site Cleanings Ad

Om du misstänker att du har blivit hackad ska du först försäkra dig om att du faktiskt har blivit hackad. Vi får ibland panikslagna webbplatsadministratörer som kontaktar oss och tror att de har blivit hackade när deras webbplats bara missköter sig, en uppdatering gick snett eller något annat problem uppstår. Ibland kan webbplatsägare se spammiga kommentarer och kan inte se skillnaden mellan det och ett hack.

Din webbplats har blivit hackad om:

  • Du ser skräppost som dyker upp i webbplatsens rubrik eller sidfot och som innehåller annonser för saker som pornografi, droger, olagliga tjänster osv. Ofta kommer det att injiceras i ditt sidinnehåll utan någon tanke på presentationen, så det kan visas som mörk text på en mörk bakgrund och inte vara särskilt synligt för mänskliga ögon (men sökmotorerna kan se det).
  • Du gör en site:example.com (ersätt example.com med din webbplats) sökning på Google och du ser sidor eller innehåll som du inte känner igen och som ser skadligt ut.
  • Du får rapporter från dina användare om att de omdirigeras till en skadlig eller skräpplockad webbplats. Var särskilt uppmärksam på dessa eftersom många hacker upptäcker att du är webbplatsadministratör och inte visar dig något skräpigt utan bara visar skräp för dina besökare eller för sökmotorernas crawlare.
  • Du får en rapport från din webbhotellleverantör om att din webbplats gör något skadligt eller skräpigt. Om ditt värdföretag till exempel berättar att de får rapporter om skräppost som innehåller en länk till din webbplats kan det betyda att du har blivit hackad. Vad hackarna gör i det här fallet är att de skickar skräppost från någonstans och använder din webbplats som en länk för att omdirigera människor till en webbplats som de äger. De gör detta eftersom en länk till din webbplats undviker skräppostfilter medan en länk till deras egen webbplats fastnar i skräppostfilter.
  • Wordfence upptäcker många av dessa problem och andra som jag inte har nämnt här, så var uppmärksam på våra varningar och reagera därefter.

Backupera din webbplats nu. Här är varför:

När du har konstaterat att du har blivit hackad ska du säkerhetskopiera din webbplats omedelbart. Använd FTP, din webbhotells backup-system eller ett backup-plugin för att ladda ner en kopia av hela din webbplats. Anledningen till att du måste göra detta är att många webbhotell omedelbart raderar hela din webbplats om du rapporterar att den har blivit hackad eller om de upptäcker skadligt innehåll. Det låter galet, men detta är standardförfarande i vissa fall för att förhindra att andra system i deras nätverk blir infekterade.

Se till att du också säkerhetskopierar din webbplatsdatabas. Att säkerhetskopiera dina filer och din databas bör vara din första prioritet. Om du får detta gjort kan du tryggt gå vidare till nästa steg, att rensa din webbplats, med vetskapen att du åtminstone har en kopia av din hackade webbplats och att du inte kommer att förlora allt.

Det du bör veta innan du rensar en WordPress-webbplats som har blivit hackad:

Här är reglerna när du rensar din webbplats:

  • Du kan vanligtvis radera allt som finns i katalogen wp-content/plugins/ och du kommer inte att förlora data eller förstöra din webbplats. Anledningen är att detta är plugin-filer som du kan installera om och WordPress upptäcker automatiskt om du har raderat ett plugin och inaktiverar det. Se bara till att radera hela kataloger i wp-content/plugins och inte bara enskilda filer. Om du till exempel vill radera Wordfence-pluginet måste du radera wp-content/plugins/wordfence och allt i den katalogen, inklusive själva katalogen. Om du bara raderar några få filer från ett insticksprogram kan du göra din webbplats obrukbar.
  • Du har vanligtvis bara en temakatalog som används för din webbplats i katalogen wp-content/themes. Om du vet vilken detta är kan du radera alla andra temakataloger. Se upp om du har ett ”child theme” kan du använda två kataloger i wp-content/themes.
  • Det är mycket sällan som nya filer läggs till i katalogerna wp-admin och wp-includes. Så om du hittar något nytt i dessa kataloger är sannolikheten stor att det är skadligt.
  • Se upp för gamla WordPress-installationer och säkerhetskopior. Vi ser ofta infekterade webbplatser där någon säger: ”Men jag höll min webbplats uppdaterad och hade ett säkerhetsplugin installerat, så varför blev jag hackad?”. Det som ibland händer är att du eller en utvecklare säkerhetskopierar en kopia av alla dina webbplatsfiler till en underkatalog som /old/ som är tillgänglig från webben. Denna säkerhetskopia underhålls inte och även om din huvudwebbplats är säker kan en hackare ta sig in där, infektera den och få tillgång till din huvudwebbplats via den bakdörr som de har planterat. Så lämna aldrig gamla WordPress-installationer liggande och om du blir hackad, kontrollera dem först eftersom det är troligt att de är fulla av skadlig kod.

För att se alla filer som ändrats under de senaste två dagarna kan du använda några användbara verktyg:

Om du har SSH-åtkomst till din server kan du logga in och köra följande kommando för att se alla filer som ändrats under de senaste två dagarna. Observera att pricken anger den aktuella katalogen. Detta gör att kommandot nedan söker i den aktuella katalogen och alla underkataloger efter nyligen ändrade filer. (För att ta reda på vad din aktuella katalog är i SSH skriver du ”pwd” utan citationstecken).

find . -mtime -2 -ls

Och du kan ange en specifik katalog:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

Och du kan ändra sökningen så att den visar filer som har ändrats under de senaste 10 dagarna:

find /home/yourdirectory/yoursite/ -mtime -10 -ls

Vi föreslår att du gör sökningen ovan och gradvis ökar antalet dagar tills du börjar se ändrade filer. Om du inte har ändrat något själv sedan du blev hackad är det mycket troligt att du kommer att se de filer som hackaren ändrade. Du kan då redigera dem själv för att städa upp hackningen. Detta är det överlägset mest effektiva och enklaste sättet att ta reda på vilka filer som infekterats och det används av alla professionella städtjänster för webbplatser.

Ett annat användbart verktyg i SSH är ”grep”. Om du till exempel vill söka efter filer som innehåller base64 (som ofta används av hackare) kan du köra följande kommando:

grep -ril base64 *

Detta listar bara filnamnen. Du kan utelämna alternativet ”l” för att se det faktiska innehållet i filen där strängen base64 förekommer:

grep -ri base64 *

Håll i minnet att ”base64” även kan förekomma i legitim kod. Innan du tar bort något vill du försäkra dig om att du inte tar bort en fil som används av ett tema eller plugin på din webbplats. En mer förfinad sökning kan se ut så här:

grep --include=*.php -rn . -e "base64_decode"

Detta kommando söker rekursivt i alla filer som slutar på .php efter strängen ”base64_decode” och skriver ut radnumret så att du lättare kan hitta sammanhanget som strängen förekommer i.

Nu när du vet hur du använder ”grep” rekommenderar vi att du använder grep i kombination med ”find”. Vad du ska göra är att hitta filer som nyligen ändrats, se vad som ändrats i filen och om du hittar en vanlig textsträng som ”bad hacker was here” kan du bara greppa alla dina filer efter den texten så här:

grep -irl "bad hacker was here" *

och det kommer att visa dig alla infekterade filer som innehåller texten ”bad hacker was here”.

Om du städar upp en hel del infekterade webbplatser kommer du att börja lägga märke till mönster i var skadlig kod är vanligt förekommande. En sådan plats är uppladdningskatalogen i WordPress-installationer. Kommandot nedan visar hur man hittar alla filer i katalogen uploads som INTE är bildfiler. Resultatet sparas i en loggfil som heter ”uploads-non-binary.log” i din aktuella katalog.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

Med hjälp av de två enkla kommandoradsverktygen ”grep” och ”find” kan du rensa en hel infekterad webbplats. Hur enkelt är det inte! Jag slår vad om att du är redo att starta ditt eget företag för rengöring av webbplatser vid det här laget.

Hur du rengör din hackade WordPress-webbplats med Wordfence:

Nu när du har några kraftfulla verktyg i din arsenal och du redan har gjort en grundläggande rengöring, låt oss starta Wordfence och köra en fullständig genomsökning för att rengöra din webbplats. Det här steget är viktigt eftersom Wordfence gör en mycket avancerad sökning efter infektioner. Till exempel:

  • Vi vet hur alla WordPress-kärnfiler, teman med öppen källkod och plugins med öppen källkod ska se ut så Wordfence kan se om en av dina källfiler är infekterad, även om det är en ny infektion som ingen har sett förut.
  • Vi söker med hjälp av komplexa reguljära uttryck efter infektionssignaturer och vår databas med kända infektioner uppdateras kontinuerligt. Du kan inte göra detta med enkla unix-kommandoradsverktyg eller cPanel.
  • Vi söker efter URL:er med skadlig kod med hjälp av Googles lista för säker surfning.
  • Vi använder många andra datakällor som SpamHaus för att hitta skadlig kod och infektioner i ditt system.

Hur du rensar din hackade webbplats med Wordfence:

  1. Uppgradera din webbplats till den senaste versionen av WordPress. Om du kör en version av WordPress före WordPress 5.x.x.x rekommenderar vi att du läser den här artikeln här innan du uppgraderar till den senaste versionen av WordPress.
  2. Uppdatera alla dina teman och plugins till deras senaste versioner.
  3. Ändra alla lösenord på sajten, särskilt administrativa lösenord.
  4. Gör ytterligare en säkerhetskopia och lagra den separat från den säkerhetskopia vi rekommenderade dig att göra ovan. Nu har du en infekterad webbplats men den webbplatsen kör den senaste versionen av allting. Om du bryter något när du rensar din webbplats med Wordfence kan du gå tillbaka till den här säkerhetskopian och du behöver inte gå tillbaka till alla steg ovan.
  5. Gå till Wordfence Scan-sidan. Klicka på länken ”Skanningsalternativ och schemaläggning”. Aktivera skanningsalternativet ”High Sensitivity” (hög känslighet). Om skanningen tar för lång tid eller inte slutförs expanderar du avsnittet ”Allmänna alternativ”. Avmarkera alternativen ”Scan files outside your WordPress installation” och ”Scan images, binary, and other files as if they were executable”. Spara ändringarna och försök en ny genomsökning.
  6. När resultaten kommer upp kan du se en mycket lång lista över infekterade filer. Ta god tid på dig och arbeta dig sakta igenom listan.
  7. Undersök alla misstänkta filer och redigera antingen dessa filer för hand för att rensa dem eller radera filen. Kom ihåg att du inte kan ångra raderingar. Men så länge du tog den säkerhetskopia som vi rekommenderade ovan kan du alltid återställa filen om du raderar fel.
  8. Kontrollera eventuella ändrade kärn-, tema- och insticksprogramfiler. Använd det alternativ som Wordfence tillhandahåller för att se vad som har ändrats mellan den ursprungliga filen och din fil. Om ändringarna ser skadliga ut använder du Wordfence-alternativet för att reparera filen.
  9. Släkt igenom listan tills den är tom.
  10. Kör ytterligare en genomsökning och bekräfta att din webbplats är ren.
  11. Om du fortfarande behöver hjälp erbjuder vi en kommersiell tjänst för rengöring av webbplatser. Du kan få mer information genom att skicka ett e-postmeddelande till [email protected] med ämnet ”Paid site cleaning service”.

Jag har en fil som ser misstänkt ut, men jag är inte säker på om den är det. Hur kan jag veta det?

Maila den till oss på [email protected] så får du veta. Om din WordPress-konfigurationsfil wp-config.php är infekterad får du inte skicka en kopia av filen till oss utan att först ta bort dina autentiseringsuppgifter för databasåtkomst och autentiseringsnycklar och -salter.

Om du inte får något svar kan antingen ditt eller vårt e-postsystem ha avfärdat meddelandet och trott att det var skadligt på grund av din bifogade fil. Så skicka oss ett meddelande utan bilaga och låt oss veta att du försöker skicka något till oss, så ska vi försöka hjälpa dig att få igenom det.

Hur kan jag få hjälp med att rensa en specifik typ av infektion?

I Wordfence Learning Center finns en rad artiklar som kan hjälpa dig. Här är en lista över artiklar som hjälper dig med specifika infektionstyper:

  • Removing Malicious Redirects From Your Site
  • Finding and Removing Backdoors
  • Removing Spam Pages From WordPress Sites
  • Finding and Removing Spam Links
  • Removing Phishing Pages From WordPress Sites
  • Removing Malicious Mailer Code From Your Site
  • Finding and Removing Malicious File Uploaders
  • WordPress Defacement Page Removal
  • How to Remove Suspicious Code From WordPress Sites

Jag har rengjort min hackade WordPress-webbplats men Google Chrome ger mig fortfarande varningen för skadlig kod. Vad ska jag göra?

Du måste få din webbplats borttagen från Google Safe Browsing-listan. Läs det här Google-dokumentet om hur du rensar din webbplats. Här är stegen:

  1. Först loggar du in på Google Webmaster Tools.
  2. Lägg till din webbplats om du inte redan har gjort det.
  3. Verifiera din webbplats enligt Googles anvisningar.
  4. På hemsidan för Webmaster Tools väljer du din webbplats.
  5. Klicka på Webbplatsstatus och klicka sedan på Malware.
  6. Klicka på Begär en granskning.

Mina webbplatsbesökare får varningar från andra säkerhetsprodukter och antivirusprogram. Vad ska jag göra?

Att stryka sig från Google Safe Browsing-listan är ett stort steg, men du kan ha en del arbete framför dig. Du måste föra en lista över alla antivirusprodukter som säger att din webbplats är infekterad. Detta kan inkludera produkter som ESET anti-virus, McAfees Site Advisor och andra. Besök varje antivirustillverkares webbplats och hitta deras instruktioner för att ta bort din webbplats från deras lista över farliga webbplatser. Detta kallas ofta för ”whitelisting” av antivirustillverkarna, så om du googlar efter termer som ”whitelisting”, ”site removal”, ”false positive” och produktnamnet leder det dig vanligtvis till platsen där du kan få din webbplats borttagen.

Hur kan jag manuellt kontrollera om min webbplats finns med på Googles lista över säkra webbsidor?

Besök följande webbadress och ersätt example.com med din egen webbplatsadress.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Du kan inkludera en underkatalog om din webbplats har en sådan. Sidan som visas är mycket enkel, men innehåller detaljerad information om din webbplats aktuella status, varför den finns med på Googles lista över skadlig kod eller nätfiske (Googles lista över säker surfning är egentligen två listor) och vad du ska göra härnäst.

Vad du ska göra när din webbplats är ren:

Gratulerar om du har lyckats rensa din webbplats. Nu måste du se till att den inte blir hackad igen. Så här gör du:

  • Installera Wordfence och kör regelbundna genomsökningar av din WordPress-webbplats.
  • Säkerställ att WordPress och alla plugins och teman hålls uppdaterade. Detta är det viktigaste du kan göra för att säkra din webbplats.
  • Säkerställ att du använder starka lösenord som är svåra att gissa.
  • Gör dig av med alla gamla WordPress-installationer som ligger på din server.
  • Skriv upp dig på vår e-postlista för säkerhetsvarningar för att få information om viktiga säkerhetsuppdateringar relaterade till WordPress.
  • Autentisera din webbplats till Wordfence Central för att göra det mycket enklare att hantera webbplatsens säkerhet.

Leave a Reply