2 Примера взлома и лечения Вордпресс

Вы не ожидаете этого, и далее это — Бум! — случается. Ваш веб-сайт взломали. Это может случиться с каждым, и однажды это случилось со мной.

2 Примера взлома и лечения веб-сайта
В одном случае IP, на котором находился веб-сайт, был занесен в списки вредоносных и е-мейлы не доходили до адресатов. В ином случае веб-хостинг изолировал веб-сайт и отключил функция отправлять е-мейлы.

В случае взлома страдает не только зараженный веб-сайт, но и иные веб-сайты на том же IP, все веб-сайты теряют репутацию у поисковиков. Компьютеры пользователей оказываются под угрозой заражения. Настоящий кошмар.

В данной статье вы узнаете, как найти заражение и удалить его с веб-сайта, и как удалить веб-сайт из списков вредоносных веб-сайтов.

В данной статье мы рассмотрим:

  1. Как хакеры взламывают веб-сайты
  2. Что случилось с веб-сайтами
  3. Как хакеры взламывают веб-сайты
    • Подбор логина и пароля
    • Устаревшая версия ПО
    • Бэкдоры
  4. Базовые требования к безопасности веб-сайта
  5. Типичный взлом веб-сайта
    • Фармацевтические взломы
    • Вредоносные редиректы
  6. Тестирование и очистка веб-сайта после взлома
  7. Сервисы проверки веб-сайта на наличие вредоносного ПО
  8. Удаление вредоносного кода
  9. Обновите ПО, смените пароли, ключи и соли
  10. Как удалить веб-сайт и IP из черных списков
  11. Плагины для очистки веб-сайта

Как хакеры взламывают веб-сайты

Существует много методов взломать веб-сайт. Простые методы — подбор логина и пароля и известные уязвимости в устаревшем ПО, описание которых находится в открытом доступе. Более сложные — бэкдоры, фишинг, xss-атаки, sql-инъекции и многие иные.

В данный момент на Вордпрессе работает около 36% всех веб-сайтов в Интернете, это более 100 млн. веб-сайтов. Около 60% всех веб-сайтов, использующих CMS, используют WordPress. Такая популярность привлекает хакеров, то есть, если они найдут какую-то уязвимость в WordPress, они смогут приобрести тот или иной контроль над большим числом веб-сайтов.

Хакеры создают ботов, которые автоматом обходят сотни тысяч веб-сайтов и сканируют их на наличие устаревшего ПО, описание уязвимостей которого находится в открытом доступе. Когда бот находит веб-сайт с устаревшим софтом, он использует имеющуюся у него методику взлома этого ПО, отсылает сообщение хакеру и идет дальше.

Обычно после взлома взломщики публикуют рекламу на веб-сайте, начинают рассылать спам по вашим базам или спискам подписчиков взломанного веб-сайта, или взломанный веб-сайт работает в виде редиректа пользователей на веб-сайты хакеров.

Тогда ссылка на взломанный веб-сайт появляется в интернет-спаме, поисковики это видят и понижают веб-сайт в поисковой выдаче.

Хакеры не используют ваши веб-сайты для рассылки спама или для создания сети редиректов на веб-сайты, так как их веб-сайты попадут в спам-фильтры и под санкции поисковых систем.

Вместо этого они взламывают чужие веб-сайты и используют их. После того, как взломанные веб-сайты попадают в фильтры и под санкции, хакеры оставляют данные веб-сайты, взламывают иные и пользуются ими.

Что случилось с веб-сайтами

На первом веб-сайте хакеры взломали устаревшую версию WordPress. Хотя на веб-сайте были сложные логин и пароль, на нем не был установлен плагин безопасности, который мог бы предупредить об изменении в файлах.

На втором веб-сайте хакеры создали бэкдор, создали ещё одного посетителя, опубликовали пару статей со ссылками на что-то фармацевтическое и начали рассылать спам по базам.

На первом веб-сайте удалось найти инфицированные файлы и вылечить их, на втором веб-сайте сделали бэкап и восстановили веб-сайт до состояния, которое было до заражения.

На обоих веб-сайтах после восстановления были заменены пароли к веб-сайту, FTP, веб-хостингу и ключи и соли. 

Как хакеры взламывают веб-сайты

4 основных метода, которыми хакеры взламывают веб-сайты:

  • Слабые пароли
  • Устаревшее ПО
  • Небезопасные темы и плагины
  • Уязвимости в ПО веб-хостинга

Существует много иных методов, но данные методы самые распространенные.

  • Уязвимости WordPress

Подбор логина и пароля

По умолчанию в WordPress нет ограничений на число попыток ввести логин и пароль. Если вы оставите как есть, хакер может пробовать подбирать правильную комбинацию неограниченное число раз. Это называется brute force attack, атака грубой силой или атака способом перебора паролей.

Вы можете ограничить число попыток авторизации при помощи плагина, например Login LockDown. Ещё один метод — перенесите страницу авторизации на новый адрес, например веб-сайт.ru/login.

  • Как настроить имя посетителя WordPress
  • 2 Метода настроить страницу входа в админку WordPress
  • Как установить пароль на wp-login.php(wp-admin)

Устаревшая версия ПО

Описания уязвимостей устаревших версий WordPress, плагинов и тем находятся в Интернете. У ботов есть данные описания. Когда они находят веб-сайт с устаревшей версией ПО, они взламывают этот веб-сайт по имеющемуся алгоритму.

Чтобы обезопасить веб-сайт от таких атак, используйте последнюю версию софта.

  • Почему у вас должна быть последняя версия WordPress
  • Ручное и автоматическое обновление WordPress
  • Как скрыть версию WordPress, плагинов и тем

Бэкдоры

Хакер сохраняет файл со специальным скриптом на сервере, который может ему заходить на веб-сайт в любое время, при этом хакер не пользуется стандартной страницей входа, а заходит на веб-сайт через созданный им бэкдор.

Чтобы замаскировать созданный файл, хакеры называют его так, чтобы он выглядел как часть ядра WordPress, к примеру, users-wp.php, php5.php, sunrise.php или что-нибудь подобное.

Если у вас не установлен какой-нибудь плагин, который предупреждает об изменениях в файлах, может быть довольно трудно определить, что вредоносный файл был добавлен. Есть пару признаков, которые могут дать понять, что веб-сайт был взломан.

Если вы открываете фронтэнд или бэкэнд веб-сайта, и видите сообщение в браузере, что посещение этого веб-сайта может быть небезопасно, то веб-сайт может быть взломан.

Ваше подключение не защищено
Если вы видите такое сообщение, то веб-сайт мог быть взломан.

Другой признак — антивирус на компьютере показывает сообщение, что посещение этого веб-сайта может быть опасно. Бэкдоры могут запускать вредоносный программный код, или вирусы, к примеру трояны, когда пользователь заходит на веб-сайт.

Ещё один признак — е-мейлы, которые вы отправляете с сервера, возвращаются обратно с SMTP ошибкой 550. От некоторых серверов, которым вы отправляли е-мейл может вернуться более подробное описание проблемы. К примеру, ссылка на веб-сайты, которые поместили веб-сайт или IP в список веб-сайтов, содержащих вредоносное ПО.

  • Как найти и удалить бэкдоры на WordPress веб-сайте

Базовые требования к безопасности веб-сайта

Данные требования — необходимый минимум для безопасности веб-сайта.

  • Регулярно обновляйте WordPress, скрипты, плагины и темы.
  • Используйте сложные логины и пароли.
  • Установите плагин для ограничения попыток авторизации.
  • Выбирайте плагины и темы от проверенных авторов.
  • Используйте надежный веб-хостинг.
  • Настройте автоматический бэкап всех файлов и базы данных.

Читайте Минимальная безопасность веб-сайта.

Типичные взломы веб-сайтов

Хакеры взламывают веб-сайты для рассылки спама, редиректа на веб-сайты, кражи личных данных и использования сервера в виде хранилища какой-нибудь информации или файлообменника. В большинстве случаев веб-сайты взламываются автоматом хакботами.

Фармацевтические взломы

Если вы видите на веб-сайте ссылки на иные веб-сайты, которые вы не добавляли, или вас или пользователей перенаправляет на иные веб-сайты, это называется фармацевтические или фарма хаки.

Текст или ссылки указывают на полулегальные спам веб-сайты, которые продают поддельные часы, кошельки, Виагру и тому подобное.

Хакер добавляет скрипты в файлы веб-сайта, обычно в хедер, иногда в иные части страниц. Данные ссылки или текст могут быть скрыты или незаметны для пользователей, но видны поисковым системам.

Пример фарма хака

Введите в поисковике запрос site:ваш-сайт.ru, и посмотрите, как веб-сайт выглядит в поиске.

В поисковой выдаче вы должны видеть только название страниц и их описание. Если вы видите что-то подобное, значит, веб-сайт взломали.

Попробуйте вставить ссылку на какую-нибудь страницу веб-сайта в Фейсбук, ВКонтакте или Вотсапп. Если вы увидите что-то постороннее в описании или названии, это значит, что веб-сайт взломан.

Вредоносные редиректы

Хакер вставляет скрипт в файл .htaccess или иные главные файлы веб-сайта, который перенаправляет пользователей на иные страницы или другой веб-сайт. Это называется вредоносный редирект.

Не заметить такой взлом сложно, так как вместо загрузки веб-сайта загрузится другой веб-сайт.

Иногда редирект может быть не таким очевидным, если взломанный файл использует стили темы. Тогда вы увидите большое число рекламы на странице, которая выглядит похожей на веб-сайт.

Редиректы могут быть настроены только с некоторых страниц веб-сайта или со всего веб-сайта целиком.

Тестирование и очистка веб-сайта после взлома

Перед тем, как вы начнете что-то делать, сделайте полный бэкап всего веб-сайта и базы данных. Даже несмотря на то, что веб-сайт взломан, позже вам может понадобиться какая-то информация.

  • Бэкап WordPress

Чтобы не допустить заражения иных веб-сайтов, некоторые веб-хостинги могут отключить или удалить веб-сайт, когда узнают, что веб-сайт взломан, особенно на дешевых тарифах виртуальных веб-хостингов.

Если логи событий находятся не в основной папке веб-сайта, то сохраните их на компьютер, поскольку они хранятся на сервере пару дней, после чего заменяются новыми.

После того, как вы сохранили бэкап и логи на компьютер, можно начинать лечение веб-сайта.

  • Как найти следы взлома в логах сервера

Проверьте веб-сайт в данных сервисах:

Даже если вы точно знаете, что веб-сайт взломали, проверьте его ещё раз в данных сервисах. Вы можете найти ещё какие-то вирусы, кроме тех, которые вы нашли.

  • Unmask Parasites — довольно простой сервис для проверки веб-сайта. Первый шаг, чтобы определить, был ли веб-сайт взломан.
  • Sucuri Site Check — хороший сервис для поиска заражений на веб-сайте. Показывает, внесен ли веб-сайт в списки вредоносных веб-сайтов. На данный момент 9 списков.
  • Norton Safe Web – сканер веб-сайта от Norton.
  • Quttera – сканирует веб-сайт на наличие вредоносного ПО.
  • 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
  • VirusTotal – крутейший сервис для сканирования веб-сайтов, использует более 50 различных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и иных. Можно легко просканировать веб-сайт, IP адрес или файл.
  • Web Inspector – ещё один хороший сервис, проверяет веб-сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
  • Malware Removal – сканирует веб-сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
  • Scan My Server – сканирует веб-сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.

Проверьте веб-сайт во всех сервисах, поскольку они сканируют по-разному и находят различные типы инфекций. Также просканируйте компьютер.

В статье Как проверить и вылечить от вирусов WordPress веб-сайт описан метод найти вредоносный код в файлах веб-сайта, используя команды в SSH терминале.

Начните с поиска файлов, измененных в течение последних 2-х дней:

find /путь/к//веб-сайту/папка/ -mtime -2 -ls

Замените /путь/к//веб-сайту/папка/ на путь к папке, и пройдите поиском по каждой папке.

Если вы ничего не нашли, увеличьте поиск до 5 дней:

find /путь/к//веб-сайту/папка/ -mtime -5 -ls

Если вы снова ничего не нашли, увеличивайте интервал поиска, пока не найдете изменения. Не забывайте, что обновления ПО тоже изменения.

Ещё одна команда, которую вы можете использовать для поиска — «grep». Эта команда поможет найти вредоносный программный код, который добавил хакер.

После того, как вы нашли файлы, в которых хакер сделал изменения, вы можете без проблем попробовать найти в них повторяющиеся фрагменты, к примеру, base64 или hacker was here.

grep -ril base64 *

Замените base64 на повторяющееся сочетание, которое вы нашли в измененных файлах. Результат покажет вам список файлов, в которых встречается это сочетание.

Хакеры часто используют данные возможности:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace(/e/)
  • move_uploaded_file

Если вы хотели бы увидеть содержание данных файлов, используйте этот запрос:

grep -ri base64 *

Замените base64 на значение, которое вы нашли в измененных файлах.

Более аккуратный запрос может быть таким:

grep —include=*.php -rn. -e «base64_decode»

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на.php.

Более простой метод:

Скопируйте веб-сайт с сервера, удалите все что можно безопасно удалить, заархивируйте целиком или разделите на архивы и проверьте архивы на VirusTotal или 2ip. Также можно без труда проверить на компьютере антивирусом. Перенесите все зараженные файлы из архива в отдельную папку.

После того, как вы нашли файлы с внедренным программный код, их можно легко восстановить или удалить.

Удаление вредоносного кода

  • Если вы нашли файл бэкдора, в котором находится только скрипт хакера, удалите этот файл.
  • Если вы нашли вредоносный программный код в файле WordPress, темы или плагина, удалите этот файл и скачайте новый из репозитария WordPress или с веб-сайта разработчика.
  • Если вы нашли вредоносный программный код в файле, который вы создавали, удалите хакерский код и сохраните файл.
  • Возможно, у вас в бэкапе есть незараженная версия веб-сайта, вы можете без проблем восстановить веб-сайт из старой версии. После восстановления обновите WordPress, плагины и тему, смените пароль и установите плагин безопасности.

Очистите веб-сайт и просканируйте его ещё раз на интернет сервисах проверки.

Обновите ПО, смените пароли, ключи и соли

После того, как вы удалили вредоносный программный код, обновите WordPress, плагины и темы. Смените пароли на веб-сайте и на веб-хостинге. Подумайте о смене пароля к е-мейлу и базе данных(в файле wp-config.php и на веб-хостинге).

Смените ключи и соли, это сделает все cookies, которые хранятся в браузерах посетителей, в том числе хакеров, недействительными для авторизации на веб-сайте.

Генератор ключей и солей находится на веб-сайте WordPress. Скопируйте новые ключи и вставьте их в файл wp-config в этом месте:

Перед изменением файла wp-config сделайте его бэкап. Сохраните файл, закачайте обратно на сервер.

Как удалить веб-сайт и IP из черных списков

После того, как вы очистили веб-сайт, он все ещё может находиться в списках веб-сайтов, содержащих вредоносное ПО или в спам списках. Сначала необходимо узнать, на каких веб-сайтах веб-сайт или IP занесены в черный список.

Здесь вы можете легко узнать, занесен ли веб-сайт в списки malware или phishing веб-сайтов Гугл.

https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru

Замените ваш-сайт.ru на адрес.

Проверьте веб-сайт на сервисах Unmask Parasites, Spamhaus и 2ip.ru. Спамхаус показывает на каких веб-сайтах IP веб-сайта внесен в списки вредоносных, поэтому вы можете без труда узнать, на каких веб-сайтах вам необходимо перенести IP из черных списков.

http://www.spamhaus.org/query/ip/123.45.67.890

Замените 123.45.67.890 на IP веб-сайта. Узнать IP.

Проверка IP на включение в списки вредоносных - Spamhaus

Spamhaus покажет веб-сайты, которые занесли IP в список вредоносных.

Когда какой-то веб-сайт заносит IP в черный список, он выводится красным.

Откройте красные ссылки в новом окне и следуйте инструкциям. У всех веб-сайтов инструкции могут быть различными, так что читайте внимательно.

Обычно запрос проверки делается в пару кликов, и занимает около 2 дней. Некоторые веб-сайты не предупреждают о переносе IP из черного списка в белый список, так что вы можете без труда вернуться на Спамхаус через пару дней, и проверить снова.

На некоторых веб-сайта можно без труда запросить проверку только один раз, так что убедитесь, что веб-сайт в полном объеме очищен, иначе IP может остаться в черных списках надолго.

  • Как очистить веб-сайт от вирусов и удалить его из черных списков

Плагины, которые помогут очистить веб-сайт

Если вы хотели бы найти хак при помощи плагина, попробуйте использовать данные плагины:

  • Anti-Malware Security and Brute-Force Firewall
  • NinjaScanner
  • Quttera Web Malware Scanner
  • Antivirus
  • WP Antivirus Site Protection

Некоторые большие плагины могут помочь найти место взлома, но обычно бесплатные версии предназначены только для защиты веб-сайта.

Если веб-сайт ещё не взломали, установите один из данных плагинов:

Sucuri Security


Sucuri Security — Auditing, Malware Scanner and Security Hardening

В платной версии Sucuri предоставляет защиту самого высокого класса — файрвол на уровне DNS, который сканирует каждый запрос к веб-сайту. Ускорение веб-сайта при помощи кеширования и подключения к собственному CDN, и бесплатное восстановление веб-сайта, если веб-сайт был взломан. Также сервис проверяет, что веб-сайт не занесен в черные списки.

В бесплатной версии плагин сравнивает файлы ядра WordPress и файлы в репозитарии WordPress, ведет логи событий, имеет в себя пару основных параметров безопасности. В случае появления подозрительной активности плагин посылает сообщение на е-мейл.

У плагина есть главная панель, в которой сообщается, что файлы на сервере соответствуют файлам в репозитарии WordPress, на веб-сайте не обнаружено вредоносного кода, веб-сайт не занесен в черные списки и показаны логи событий. Это удобный инструмент для наблюдения за безопасностью веб-сайта.

  • Подробное описание Sucuri Security

Wordfence


Wordfence Security — антивирус, брандмауэр и сканер вредоносных программ

Один из самых известных и мощных плагинов безопасности WordPress. Платная и бесплатная версии обнаруживают вредоносный код и защищают веб-сайт практически от всех видов угроз. База данных плагина постоянно обновляется, так что все новые угрозы попадают в базу данных. Через 30 дней база обновляется в бесплатной версии.

В Wordfence есть функцию обнаружения изменений или добавления файлов. Когда существующий файл обновляется или добавляется новый файл, Вордфенс сообщает об этом и предоставляет отменить изменение или удалить файл.

В Вордфенсе есть функцию сканирования файлов на сервере, встроенный файрвол на уровне веб-сайта и несколько иных возможностей.

iThemes Security


iThemes Security(ранее Better WP Security)

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и иными угрозами.

Бесплатная версия отлично защищает чистый веб-сайт, но если вы хотели бы знать, когда файлы изменялись и делать подробный скан веб-сайта, вам необходимо купить премиум версию.

Ещё одна крутая функцию этого плагина — бэкап веб-сайта. Если вы узнали, что веб-сайт был взломан, вместо поиска взлома вы можете без проблем восстановить более раннюю версию веб-сайта.

All in One WP Security & Firewall


All In One WP Security Firewall

Большой бесплатный плагин со множеством параметров, имеет в себя встроенный файрвол, защищает файлы веб-сайта и базу данных. В платной версии есть сканер веб-сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, были ли какие-то изменения, меняет стандартную страницу авторизации, скрывает версию WordPress, меняет префикс базы данных и ещё десятки иных возможностей. Ко всем возможностям есть подсказки — описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, так что его лучше устанавливать на свежий или вылеченный веб-сайт. На мой взгляд, лучший бесплатный плагин.

Security Ninja


Security Ninja — Secure Firewall Secure Malware Scanner

Один из самых простых, но мощных премиум плагинов безопасности. В бесплатной версии проверяет веб-сайт на наличие типичных уязвимостей и предоставляет инструкции по устранению данных уязвимостей.

В платной версии добавляется сканер ядра, который сравнивает файлы установки WordPress с оригинальными файлами на веб-сайте WordPress, сканер веб-сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

Весь плагин можно без труда изменить за 15 минут. Плагин платный, но имеет в себя лайф-тайм лицензию.

  • Подробное описание Security Ninja Pro
  • Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности

VaultPress


VaultPress

Плагин безопасности и бэкап плагин в одном от Automattic, часть разработчиков которого являются разработчиками WordPress. Есть бесплатная и премиум версия.

Регулярные бэкапы дают функция восстановить веб-сайт в случае взлома. Дополнительные инструменты безопасности защитят веб-сайт, если обновитесь до премиум версии.

В премиум версии есть функцию ежедневного сканирования веб-сайта на наличие вредоносного кода, вирусов, троянов и прочей заразы. Также помогает очищать веб-сайт после заражения.

Theme Check


Проверка темы

Этот плагин проверяет код на правильность в теме, которую вы используете. Он сравнивает код темы на соответствие последним стандартам WordPress. Если что-то не соответствует данным стандартам или выглядит подозрительным, плагин сообщает об этом.

Если вы выбираете тему для использования, проверьте ее данным плагином.

Plugin Security Scanner

Плагин проверяет темы и плагины на наличие уязвимостей, описание которых он берет в базе WPScan Vulnerability Database.

Плагин сканирует веб-сайт раз в 24 часа, и посылает сообщение администратору веб-сайта, если находит уязвимость в теме или плагине.

Для работы плагина необходимо зарегистрироваться в базе WPScan Vulnerability и приобрести токен, который вставляется в параметрах плагина.

Plugin Check


Состояние плагина

Аналогично с предыдущим плагином, этот плагин проверяет установленные плагины на соответствие стандартам WordPress.

Плагин скорее проверяет код на правильность, чем на наличие вредоносного ПО, но это отлично. Большое число взломов происходит по причине неправильного кода.

Хотя это хороший плагин, но он давно не обновлялся.

  • Лучшие плагины защиты WordPress

Восстанавливать веб-сайт труднее, чем изменить защиту веб-сайта до взлома. Если веб-сайт ещё не взломали, установите один из данных плагинов и читайте Руководство по безопасности WordPress.

Приглашаю вас на курс Безопасность WordPress за 2 вечера. Настроил и забыл. В этом курсе вы настроите автоматическую безопасность WordPress при помощи плагинов и нескольких ручных параметров.

Читайте также:

  1. Чек-лист: Что делать, если веб-сайт взломали
  2. Как проверить и вылечить от вирусов WordPress веб-сайт
  3. Как найти и удалить бэкдоры на WordPress веб-сайте
  4. Как найти следы взлома в логах сервера
  5. Как зайти в админку WordPress после взлома веб-сайта

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *