Jak usunąć wirusy ze strony opartej na WordPress?
System WordPress jest coraz bardziej popularny i coraz chętniej wykorzystywany do tworzenia stron firmowych – jako CMS, a nie tylko bloga osobistego. Niestety wraz z popularnością systemu WordPress, wzrasta ilość ataków na strony na nim oparte.
Dla przykładu na poniższym wykresie przygotowanym przez firmę Sucuri (twórcy antywirusa dla WordPressa) widać coraz większą ilość ataków typu Brute Force (mówiąc bardzo ogólnie i skrótowo: „Atak skierowany przeważnie na stronę logowania w celu przejęcia konta np. administratora strony (często automatyczny).”).
Dlaczego moja strona została zaatakowana przez hakerów?
Skąd ten wirus?
- Hakerzy wykorzystują najczęściej luki bezpieczeństwa na nie aktualizowanej lub niedostatecznie zabezpieczonej stronie.
- Zdarza się również, że na komputerze, z którego wysyłamy pliki na serwer (z naszą stroną na przykład poprzez ftp) znajdują się wirusy.
Najczęstsze przypadki związane z zainfekowaniem strony:
- phishing – czyli podszywanie się pod godną zaufania stronę w celu wyłudzania poufnych informacji (np. haseł)
- wprowadzenie złośliwego kodu do plików stron w celu rozprzestrzenienia wirusa dalej,
- wysyłanie spamu z serwera użytkownika najczęściej bez jego wiedzy
Jakiś czas temu pisałam o tym Jak zapezpieczyć stronę. Najważniejsza jest aktualizacja całego systemu wraz z wtyczkami i motywami, mocne hasła oraz regularne kopie zapasowe.
Myślę, że warto poświęcić trochę czasu na zabezpieczenie witryny i nie narażać siebie/swojej firmy/odwiedzających osób na szkody, według zasady „Łatwiej zapobiegać niż leczyć”.
Dzisiaj chciałabym napisać parę słów co zrobić jak już „mleko się wylało” i strona padła atakiem hakerów.
Jak sprawdzić czy strona jest zainfekowana?
Po pierwsze Google wie wszystko… Być może to właśnie Google jako pierwsze poinformuje Cię o problemach z Twoją strona. Może to zrobić przez narzędzia dla webmasterów (Google Search Console) lub wysyłając email ze stosowną informacją, lub oznaczając Twoją stronę w wynikach wyszukiwania jako niebezpieczną (jak na rysunku poniżej).
Bot Google po wykryciu podejrzanych fragmentów kodu „blokuje stronę” (lub raczej wywietla stosowną informację o ryzyku), która swoim działaniem mogłaby zainfekować kolejne strony.
Można również sprawdzić stronę ręcznie wpisując adres tutaj.
Warto szybko zareagować na takie zgłoszenie, bo nasz ranking strony Google na pewno ucierpi, o ile w ogóle nie zostanie usunięta z indeksu.
Po drugie firma zarządzająca naszym hostingiem powinna posiadać zainstalowane systemy antywirusowe i często w przypadku wykrycia niebezpiecznego kodu blokuje konto, aż do usunięcia problemu przez właściciela.
Gdy właściciel nie usunie wirusów w określonym czasie może się zdarzyć, że w ogóle usunie naszą stronę z serwera (w zależności od regulaminu)..
Po trzecie mozna skorzystać z skanerów bezpieczeństwa online takich jak:
Skaner Sucuri, WPScan czy wordpress-security-scan.
Przykładowy raport Sucuri.net o zainfekowanej witrynie:
Po czwarte można również skorzystać z wtyczek WordPressa takich jak:
Wordfence, Exploit skanner.
Wtyczki te mają za zadanie przeszukać pliki witryny oraz bazę danych w celu wykrycia podejrzanej aktywności.
Po piąte program antywirusowy zainstalowany na Twoim komputerze, może wyświetlać powiadomienia o zagrożeniu podczas odwiedzin Twoje strony lub podczas skanowania plików strony dostępnych offline (na dysku).
Usuwanie wirusów
Warto skorzystać z poradników Google, WordPress.org, Wordfence przygotowanych dla webmasterów specjalnie na takie sytuacje.
Jakie czynności powinniśmy wykonać?
Najbardziej oczywistą i najłatwiejszą rzeczą wydaje się być przywrócenie strony sprzed ataku z dostępnego backupu strony.
Jak wyczyścić stronę za pomocą Wordfence:
– zaktualizuj swoją witrynę do najnowszej wersji WordPressa
– zaktualizuj wszystkie motywy i wtyczki do ich najnowszych wersji (zainstaluj wtyczki bezpieczeństwa np. Wordrence czy Better WP Security lub Anti-Malware & Brute-Force Security by ELI)
– zmień wszystkie hasła na stronie, zwłaszcza administratora
– wykonaj kopię zapasową zaktualizowanej wersji strony
– w opcjach Worfence zaznacz wszytkie pozycje do skanowania,
– sprawdź wszystkie podejrzane pliki (w szczególności te niedawno modyfikowane) i usuń podejrzany kod,
– zmień prawa dostępu do plików motywu na tylko do odczytu (unikać chmod 777, dla katalogów: 755 lub 750, dla plików: 640 lub 644 i wp-config.php: 600),
– wykonaj ponowne skanowanie.
W jaki sposób przeszukiwać pliki?
Według Wordfence zazwyczaj można skasować katalog plugins, ponieważ wtyczki można ponownie pobrać i zainstalować.
Podobnie jeżeli chodzi o motywy. Nalezy jednak uważać w przypadkach, gdy posiadamy wtyczki lub motywy premium, lub wtyczki lub motywy potomne.
W katalogach Wp-admin i wp-includes porównujemy pliki z „gołej” instalacji WordPressa z naszą. Katalogi te rzadko mają nowe pliki dodane do nich. Więc jeśli znajdziemy coś nowego w tych katalogach, to bardzo prawdopodobne jest, że to złośliwy kod.
Należy uważaj również na stare instalacje i kopie zapasowe. Główna witryna może już być bezpieczna, ale haker może dostać się do starych plików, zainfekować je i suma sumarum dostać się do aktualnej wersji witryny. Dlatego sugeruje się usunięcie starych plików i instalacji.
Dodam jeszcze, ze warto również sprawdzić logi naszego konta hostingowego, aby sprawdzić podejrzane działania na naszym serwerze.
Być może będzie konieczny kontakt z dostawcą hostingu w celu odblokowania naszego konta na serwerze.
Jak powiadomić Google o usunięciu wirusów?
Aby powiadomić Google o usunięciu wirusów logujemy się do Google Webmasters Tools (Search Console), wybieramy naszą stronę i status witryny. Następnie klikamy „Prośba o recenzję”. Sprawdzamy również zakładkę „Problemy dotyczące bezpieczeństwa”.
Mat Cat
Sensownie opisane. Będziemy tu odwoływać klientów 🙂
Webanti
Super artykuł. Ja stworzyłem darmową usługę, która pomaga chronić stronę internetową przed wirusami tzn. jeśli haker wgra wirusa to moja usługa sama ją usunie. Zapraszam do przetestowania – https://webanti.com – mega się namęczyłem przy tym, a cały czas aktualizuje bazy antywirusowe z własnych honeypotów.
IzaWro
A ja mam z kolei problem z niechcianym przekierowaniem. W panelu domeny DNS ok, dostawca domeny twierdzi, że to wina hostingu. Hosting twierdzi, że wina aplikacji. Nie wiem już co z tym zrobić i jak usunać te spamerskie przekeirowania ze strony lova.pl
MarcinW
My walczymy cały czas wirusami. Pierwszym etapem jest wyczyszczenie zainfekowanych plików wskazanych przez Wordrence . Następnie pobranie całej strony na lokalny dysk i sprawdzenie Nod32 i usunięcie zainfekowanych plików. Wykasowanie wtyczek, wykasowanie wp-admin i wgranie ponownie, wykasowanie wp-icludes i wgranie ponownie. Mija dzień czasu i wszystko ponownie zarażone. Zabawa w kotka i myszk