Trang Chủ-các cửa sổ-Mã độc Wordpress. Chuyển hướng đến tài nguyên của bên thứ ba

Mã độc Wordpress. Chuyển hướng đến tài nguyên của bên thứ ba

Làm thế nào để kiểm tra một trang web để tìm mã độc.

Đôi khi có một tình huống như vậy khi bạn cần kiểm tra trang web để tìm vi rút... Điều này có thể cần thiết, chẳng hạn, nếu bạn đã tìm kiếm trên Internet một thời gian dài để tìm câu trả lời cho câu hỏi bạn quan tâm và cuối cùng bạn đã tìm thấy nó, nhưng đột nhiên trong một công cụ tìm kiếm, bạn gặp cảnh báo rằng trang web có thể đe dọa sự an toàn của bạn... Những ai dành nhiều thời gian trên Internet đều hiểu tôi đang nói về điều gì. Đối với phần còn lại, tôi sẽ cố gắng giải thích chi tiết hơn điều này có thể có nghĩa là gì.

Và do đó, tất cả các công cụ tìm kiếm thường xuyên thu thập thông tin và kiểm tra tất cả các trang web để tìm vi-rút và mã độc. Khi rô bốt tìm kiếm tìm thấy mã như vậy trên trang web, rô bốt tìm kiếm sẽ tự động đưa ra cảnh báo trong tìm kiếm rằng trang web này có thể đe dọa máy tính của bạn. Nhưng điều này không phải lúc nào cũng tương ứng với thực tế, vì những rô bốt này có thể mắc lỗi và nó xảy ra rằng ngay cả mã thông thường, ví dụ, các nút xã hội hoặc JavaScript, cũng có thể bị nhầm với mã độc. Trong tình huống như vậy, một câu hỏi tự nhiên nảy sinh. Bạn có nên truy cập trang web này không?

Nếu có thể tìm thấy thông tin bạn quan tâm trên một trang web khác, thì trang web đó có cảnh báo rằng nó có thể phát tán mã độc hoặc vi rút, tất nhiên nó không đáng ghé thăm. Nhưng khi bạn đã tìm kiếm thông tin bạn thực sự cần trong một thời gian dài và cuối cùng tìm thấy phải làm gì trong trường hợp này?
Điều này là một mặt, nhưng mặt khác, nếu bạn là chủ sở hữu của một trang web và một ngày nắng đẹp, trong tài khoản Yandex hoặc Google, bạn sẽ tìm thấy cảnh báo rằng trang web của bạn có mã độc? Tôi nghĩ rằng một cảnh báo như vậy sẽ không cải thiện tâm trạng của bạn. Và phải làm gì trong trường hợp này, Cách tìm mã độc hoặc vi rút này? Các chương trình chống vi-rút thông thường không thể giúp bạn ở đây. Đối với trường hợp này, có các chương trình đặc biệt và các dịch vụ trực tuyến có thể thu thập dữ liệu trang web và kiểm tra các trang web để tìm mã độc hại... Đương nhiên, có lẽ có rất nhiều chương trình và dịch vụ trực tuyến như vậy trên Internet. Và tôi sẽ không nói về tất cả chúng ở đây, nhưng tất nhiên là tôi không biết tất cả chúng. Ở đây tôi sẽ nói về một số dịch vụ mà tôi biết và bản thân tôi đã sử dụng.
Nếu bạn là quản trị viên web, thì bạn có thể thực hiện việc này thông qua tài khoản của mình trên Yandex, Google, v.v. mặc dù điều đó không phải lúc nào cũng giúp ích. Ví dụ, kể từ khi tôi có nó. Có lần một người bạn của tôi nói với tôi rằng khi anh ấy truy cập trang web của tôi, tiện ích chống vi-rút của anh ấy thông báo rằng có vi-rút trên trang web của tôi. Đương nhiên, tôi ngay lập tức kiểm tra tất cả các tài khoản trong công cụ tìm kiếm, nơi trang web của tôi chỉ được đăng ký. Và ở khắp mọi nơi đều có thông báo rằng có vi rút trên trang web của tôi hoặc nghi ngờ mã độc không. Nó chỉ ra rằng, theo các công cụ tìm kiếm, trang web của tôi sạch sẽ và không có phần mềm độc hại hoặc vi rút. Nhưng chương trình chống vi-rút của bạn tôi đã tìm thấy thứ gì đó ở đâu đó. Và một chương trình như vậy có lẽ không chỉ được cài đặt cho anh ta, mà có thể nó còn được cài đặt cho nhiều người dùng Internet nữa. Và nó chỉ ra rằng tất cả những người đã cài đặt một chương trình như vậy sẽ bỏ qua trang web của tôi, và nó không phải là một thực tế là sau đó họ sẽ trở lại trang web này sau một cảnh báo như vậy.
Sau đó, tôi bắt đầu tìm kiếm các chương trình và dịch vụ trực tuyến khác nhau để kiểm tra trang web tìm mã độc. Như tôi đã viết ở trên, có rất nhiều dịch vụ như vậy trên Internet, nhưng về cơ bản, chúng chỉ sau khi quét sẽ hiển thị thông tin về sự hiện diện của mã độc trên trang web... Đó là, có một sự nghi ngờ hay không và chỉ có thế. Ví dụ, như dịch vụ này.

Có một sự nghi ngờ về vi-rút ở đây và người ta viết rằng trang web đã được tìm thấy, chèn iframe... Nhưng nếu bạn tìm hiểu kỹ và nhìn vào mã trang, bạn có thể hiểu rằng đây chỉ là mã nhúng cho một video từ youtube.

Dịch vụ trực tuyến thứ hai để kiểm tra phần mềm độc hại trên trang web

Báo động chống vi-rút- để quét trang web bạn đã chỉ định, dịch vụ sử dụng cơ sở dữ liệu chống vi rút từ các công ty chống vi rút lớn nhất thế giới. Quá trình quét toàn bộ mất tới 10 phút và không dừng lại ngay cả khi bạn đóng trang. Một liên kết cũng được chỉ ra ở đây, theo đó bạn có thể xem kết quả bất kỳ lúc nào. Dịch vụ này cũng tốt vì nó chứa danh sách các loại virus thường xuyên được phát hiện nhất trên các trang web. Ví dụ: đây là cách mã vi rút trông như thế nào iframe asqyt.in:

Ngoài ra còn có một danh sách KHÔNG phải vi rút. Điều này cho phép bạn không vội hoảng sợ khi một trong các chương trình diệt vi rút lấy mã của vi rút.
Ví dụ, ở đây, theo Google, anh ta thậm chí không tin tưởng vào chính mình.

Do đó, chúng tôi rút ra một kết luận. Và ý kiến ​​của tôi là tất cả những dịch vụ này tất nhiên không thể phủ nhận sự hữu ích và thực sự mang lại sự trợ giúp đắc lực trong việc tìm kiếm mã độc trên trang web. Nhưng như họ nói, hãy tin tưởng nhưng hãy xác minh, để mọi thông tin do các dịch vụ này cung cấp đều phải do chính bạn kiểm tra. Và tất nhiên hành động cuối cùng là của riêng bạn.

Kiểm tra định kỳ trang web để tìm vi-rút độc hại là cần thiết, đây là lệnh đầu tiên của bất kỳ quản trị viên web có lòng tự trọng nào. Ngay cả khi bạn sử dụng một chủ đề Twenty Eleven sạch sẽ, nó không phải là một thực tế là theo thời gian nó cũng không bị nhiễm bệnh. Hiện tượng này có thể xảy ra (và thường xuyên xảy ra nhất) do bản thân công cụ WordPress ban đầu được thiết kế để xuất bản trực tuyến. Vì vậy, việc kiểm tra lại và tạo một bản sao của trang web và cơ sở dữ liệu sẽ không bao giờ gây phiền hà.

Ví dụ, tôi (tất nhiên sau một thời gian) đã đưa ra một kết luận cho bản thân - bạn chỉ cần một nhà cung cấp dịch vụ tốt, và các vấn đề về đặt chỗ của bạn sẽ tự biến mất. Tôi không cần phải sao lưu cơ sở dữ liệu hoặc trang web ngay bây giờ - nhà cung cấp dịch vụ lưu trữ thực hiện mọi thứ cho tôi và ở chế độ tự động. Bất kỳ lúc nào, nếu muốn, bạn có thể đặt hàng một bản sao của bất kỳ phần nào trong blog của mình (và không chỉ), tải xuống bản sao này hoặc khôi phục blog trực tiếp từ bảng điều khiển. Đó là, tôi không cần tải xuống bản sao lưu, mọi thứ diễn ra tự động - sao lưu, khôi phục, v.v. Điều này thuận tiện ở chỗ, tôi có thể không chỉ theo ngày, mà còn theo giờ theo dõi thời điểm vi-rút xuất hiện trên blog của mình và do đó, thực hiện các biện pháp để loại bỏ nó.

Tôi sẽ bắt đầu với tin tốt - ít nhất hai plugin mà tôi đã sử dụng cho kết quả tốt trong việc phát hiện và bản địa hóa mã độc hại. Đây là các plugin AntiVirus và Exploit Scanner. Bạn sẽ không tin rằng có bao nhiêu mã độc hại trên blog của bạn! Nhưng đừng lấy tất cả thông tin kết quả sau khi kiểm tra giáo điều - rất nhiều dòng mà các plugin này tìm thấy, trên thực tế, không mang bất cứ điều gì xấu trong bản thân. Chỉ là plugin thắc mắc một số dòng, vậy thôi. Để xác minh điều này, hãy kiểm tra thủ công các đoạn mà plugin đã xác định là độc hại. Vì vậy, khi kiểm tra plugin AntiVirus hóa ra ngay cả một lệnh gọi đơn giản đến hàm get_cache_file () cũng đã bị plugin coi là đáng ngờ. Vì vậy, tất cả các kết quả của các lần kiểm tra sẽ phải được theo dõi thủ công. Nhưng ví dụ, đây là một liên kết thực sự bị nhiễm và nó phải được xóa:

Làm thế nào để bạn biết nếu nó là một vi rút hay nó phải là? Nó rất đơn giản - so sánh mẫu sạch của bạn (nếu có) và so sánh nó (từng tệp) với mẫu đã được cài đặt và đã trải qua một số thay đổi. Bạn không cần phải so sánh theo nghĩa đen, chỉ cần tìm kiếm để xem liệu mẫu trống của bạn có chứa dòng mà plugin đã đánh dấu hay không. Nếu vậy, hãy nhấp vào nút "Đây không phải là vi-rút" và dòng này sẽ không được tính đến trong lần quét tiếp theo.

Và đây là một ví dụ về plugin thứ hai mà tôi đã thử - Khai thác máy quét

Như bạn có thể thấy, mọi thứ ở đây bị bỏ quên nhiều hơn. Đối với tôi, kết quả này thật là sốc. Nhưng đó không phải là tất cả. Plugin có một chức năng như xác nhận. Vì vậy, nếu bạn kích hoạt nó, hóa ra blog phải bao gồm văn bản và nhiều nhất là một vài bảng CSS. Vì vậy, đối với tôi, có vẻ như tác giả của plugin rõ ràng đã quá lạm dụng bảo mật ở đây. Tin tốt là plugin chỉ hiển thị các đoạn được cho là bị nhiễm và không làm sạch chúng.

Sau khi phân tích tất cả các dòng được đánh dấu màu vàng, bạn có thể dễ dàng phát hiện phần mềm độc hại (mã độc), nhưng phải làm gì với nó tiếp theo - hãy tự quyết định. Phương pháp làm sạch vẫn giống nhau - bạn so sánh mã được đánh dấu với bản sao lưu trang web (xem) và nếu bạn thấy có sự khác biệt, hãy xác định xem bạn đã tự làm hay người khác đã làm điều đó cho bạn, điều này có nghĩa là mã này không còn tốt nữa và có thể là virus. Ngay cả các nhà phát triển WordPress cũng khuyên bạn nên kiểm tra trang web để tìm mã độc hại bằng plugin cụ thể này. Nhưng có những phần chèn vô hại như vậy, chẳng hạn như trong phần thân của iframe, mà plugin cũng có thể xác định là mã bị nhiễm. Nhưng trên thực tế, nếu không có những dòng này, phần này của blog của bạn sẽ không hoạt động chính xác.

Phần mềm độc hại xâm nhập vào các tệp blog bằng cách nào và nó là gì theo định nghĩa? Từ phần mềm độc hại có nghĩa đen là - phần mềm độc hại, từ phần mềm độc hại tiếng Anh. Đây là bất kỳ phần mềm nào có thể được sử dụng để truy cập trái phép vào trang web và nội dung của nó. Bạn có thể tưởng tượng rằng sẽ không khó để một hacker được đào tạo trung bình có thể hack một trang web, đặc biệt là sau khi đăng ký. Sau đó, bạn có thể sửa đổi nội dung blog theo ý muốn - đó sẽ là giáo dục.

Phần mềm độc hại độc hại có thể được chèn vào các plugin mà bạn cài đặt từ một nguồn không xác định và vào các tập lệnh mà đôi khi bạn cũng sử dụng mà không cần kiểm tra nhưng tin tưởng vào tác giả. Phần mềm độc hại vô hại nhất là liên kết đến tác giả của mô-đun mà bạn đã cài đặt trên trang web. Và nếu chính tác giả không cảnh báo bạn rằng có tồn tại một liên kết như vậy, thì đây là một loại virus thuần túy.

Vì vậy, tôi đã cài đặt một chủ đề mới trên một blog thử nghiệm và sau khi xóa một liên kết vô hại đến một số loại câu lạc bộ nam giới ở tầng hầm của trang web, nó đã ngừng mở hoàn toàn và trên trang chính có một dòng chữ - "Bạn không có quyền xóa liên kết. " Đây là một chủ đề miễn phí dành cho bạn. Bạn có thể đọc cách tách các liên kết bên trái như vậy.

Cơ sở dữ liệu của bạn cũng có thể được sử dụng để chạy mã chứa vi rút. Các liên kết spam cũng rất thường được thêm vào các bài đăng hoặc nhận xét. Các liên kết như vậy thường được ẩn bằng CSS để người quản trị thiếu kinh nghiệm không thể nhìn thấy chúng, nhưng công cụ tìm kiếm có thể phân biệt chúng ngay lập tức. Tất nhiên, bất kỳ phần mềm chống thư rác nào cũng có tác dụng ở đây, chẳng hạn như cùng một phần mềm được cấp phép, thử nghiệm và kiểm tra lại nhiều lần. Tin tặc có thể tải xuống các tệp có phần mở rộng tệp hình ảnh và thêm chúng vào mã của các plugin đã kích hoạt của bạn. Do đó, ngay cả khi tệp không có phần mở rộng php, mã trong tệp này vẫn có thể chạy được.

Có một công cụ đơn giản khác mà tôi đã bắt đầu làm quen với phần mềm độc hại - plugin Trình kiểm tra xác thực chủ đề (TAC). Nó đủ nhẹ và đủ mạnh, nhưng nó chỉ kiểm tra các chủ đề của bạn, ngay cả những chủ đề không hoạt động. Nó không liên quan đến phần còn lại của các thư mục, và đây là nhược điểm của nó. Đây là những gì kiểm tra chủ đề hiện tại của tôi với plugin này đã cho tôi:

Hai cảnh báo trong chủ đề đang hoạt động, và không có gì khác. Không có mã độc. Nhân tiện, đây là những liên kết mà tôi đã tự chèn theo lời khuyên của Google - để cải thiện chất lượng của đoạn mã (hiển thị dữ liệu cá nhân, địa chỉ tổ chức, v.v.). Nhưng đây chỉ là kiểm tra các tệp chủ đề, còn những gì được thực hiện trong các thư mục khác, bạn sẽ phải tìm hiểu với sự trợ giúp của các plugin hoặc dịch vụ trực tuyến khác. Ví dụ: một dịch vụ như vậy (nó thực sự đáng tin cậy), như Yandex Webmaster hoặc tương tự trong Google. Chúng có chức năng kiểm tra bất kỳ tài nguyên web nào để tìm các tạp chất độc hại và chúng thực hiện điều đó một cách hiệu quả. Nhưng nếu điều này là chưa đủ đối với bạn, thì hãy so sánh kết quả với kết quả trên các dịch vụ khác và đưa ra kết luận.

Vì một số lý do, tôi muốn tin tưởng vào Yandex, không phải plugin. Một nguồn tốt khác là http://2ip.ru/site-virus-scaner/. Sau khi kiểm tra một trong các blog của tôi, đây là những gì tôi tìm thấy:

Tại đây, bạn cũng có thể kiểm tra các tệp riêng lẻ để tìm mã độc hại nếu bạn có nghi ngờ như vậy. Nói chung, dịch vụ là tốt.

Từ tất cả những gì đã nói, tôi sẽ rút ra các kết luận sau:

1. Để ngăn chặn sự xuất hiện của mã độc, trước hết bạn phải sử dụng các dịch vụ đã được chứng minh để tải xuống tệp - plugin, chủ đề, v.v.

2. Thường xuyên sao lưu mọi thứ mà trang web chứa - cơ sở dữ liệu, nội dung, bảng quản trị, các tệp của bên thứ ba đã tải lên bao gồm cả.

3. Tận dụng các bản cập nhật mà WordPress cung cấp. Ít nhất, chúng không chứa vi rút, mặc dù chúng không phải lúc nào cũng được chứng minh về mặt chức năng. Nhưng bằng cách cập nhật, bạn có thể loại bỏ các vi-rút có thể xuất hiện.

4. Các chủ đề, plugin, hình ảnh và tệp không được sử dụng, hãy xóa mà không hối tiếc - đây là một lối vào dự phòng khác cho phần mềm độc hại mà bạn có thể không bao giờ đoán được.

5. Tạo mật khẩu tốt để truy cập FTP, đăng nhập phpAdmin, bảng quản trị và nói chung là những nơi không ai ngoại trừ bạn có quyền truy cập.

6. Cố gắng (ngay cả khi bạn có mong muốn lớn như trên trời) không thay đổi hoặc thay thế các tệp lõi của WordPress - các nhà phát triển biết rõ hơn những gì và cách thức hoạt động.

7. Sau khi phát hiện và loại bỏ virus, hãy thay đổi tất cả các mật khẩu. Tôi nghĩ rằng bạn sẽ có một mong muốn lớn là tạo một mật khẩu gồm 148 ký tự trong các sổ đăng ký khác nhau và với các ký tự đặc biệt. Nhưng đừng để quá phức tạp với những mật khẩu quá phức tạp, bạn có thể làm mất nó, và sau đó bạn sẽ phải khôi phục lại mọi thứ, điều này không hề dễ chịu chút nào.

Tất cả các phương pháp và thành phần này mà tôi đã mô tả, và điều đó sẽ giúp bạn loại bỏ vi-rút, tất nhiên, là miễn phí, tất nhiên, gần như tự chế và tất nhiên, chúng không đảm bảo 100% rằng trang web của bạn sẽ được làm sạch chèn độc hại. Do đó, nếu bạn đã lo việc dọn dẹp blog của mình, thì tốt hơn hết bạn nên liên hệ với các chuyên gia, chẳng hạn như dịch vụ Sucuri(http://sucuri.net/). Tại đây, trang web của bạn sẽ được giám sát thích hợp, họ sẽ đưa ra các khuyến nghị thiết thực sẽ được gửi cho bạn bằng thư và nếu bạn không muốn tự mình xử lý một trang web sạch, thì tại dịch vụ của bạn, các chuyên gia sẽ làm mọi thứ tốt nhất có thể. cách trong vòng 4 giờ:

Nền tảng WordPress ngày càng trở nên phổ biến hơn trong giới blogger do quá trình tạo và quản lý trang web dễ dàng và nhanh chóng. Riêng biệt, cần lưu ý số lượng lớn các plugin và widget miễn phí có sẵn cho hệ thống này. Trên cơ sở nền tảng này, bạn có thể xây dựng không chỉ một blog thông thường mà còn có thể xây dựng toàn bộ cửa hàng trực tuyến, cổng tin tức hoặc rạp chiếu phim trực tuyến.

Nhưng hầu hết các trang web được xây dựng trên CMS miễn phí này đều có một số lỗ hổng bảo mật. Tất nhiên, các nhà phát triển WordPress cố gắng nhanh chóng đóng chúng và phát hành các bản cập nhật không chỉ cho chính nền tảng mà còn cho các chủ đề và plugin tiêu chuẩn. Tuy nhiên, không phải lúc nào bạn cũng có thể bảo vệ khỏi bị hack.

Dựa trên nghiên cứu mới nhất được trình bày trên trang web chính thức của nền tảng, bạn có thể biết rõ về các cơ chế lây nhiễm, vì một trang web được xây dựng trên WordPress có thể bị tấn công chủ yếu thông qua các plugin của bên thứ ba hoặc các chủ đề đã sửa đổi.

Trong trường hợp vi phạm, hầu hết các quản trị viên Web thiếu kinh nghiệm có xu hướng hoảng sợ và mắc các lỗi không thể sửa chữa có thể dẫn đến mất toàn bộ cơ sở dữ liệu hoặc tệp. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách "chữa trị" một trang Web và đưa nó trở lại trạng thái như trước khi bị hack.

Sao lưu

Có hai cách để sao lưu một trang Web: sao chép các tệp trang gốc và sao chép cơ sở dữ liệu (DB). Có một công cụ sao lưu tiêu chuẩn cho WordPress, nhưng nó chỉ tạo một bản sao của cơ sở dữ liệu.

Để sao lưu tệp, bạn có thể sử dụng các plugin của bên thứ ba hoặc áp dụng sao lưu hoàn toàn tự động, các công cụ thường có trên máy chủ. Không quá khó để cấu hình một bản sao lưu đầy đủ để chạy theo một lịch trình cụ thể, nhưng về sau quá trình này có thể giúp quản trị viên bớt căng thẳng và tiết kiệm một lượng thời gian đáng kể. Nếu bạn không thể tự định cấu hình cơ chế sao lưu toàn bộ dữ liệu, thì bạn nên liên hệ với nhà cung cấp dịch vụ để giải quyết vấn đề quan trọng này. Quản trị viên web mới có thể được khuyên thực hiện sao lưu thủ công một cách thường xuyên.

Nếu một bản sao của trang web và cơ sở dữ liệu được lưu trữ trên ổ đĩa flash thì đây là đảm bảo 100% rằng bạn có thể dễ dàng khôi phục trang web bất cứ lúc nào.

Phục hồi hoặc điều trị

Hầu hết tất cả các trang web được thiết kế để tạo thu nhập cho chủ sở hữu của họ. Do đó, yêu cầu bắt buộc đối với trang Web là phải hoạt động 24x7 (24 giờ một ngày, 7 ngày một tuần) với thời gian ngừng hoạt động tối thiểu để bảo trì.

Do đó, trong trường hợp trang Web bị lây nhiễm, quản trị viên cố gắng khôi phục thông tin từ các bản sao lưu càng nhanh càng tốt. Nhưng vì sự cố vẫn tiếp diễn và trang web vẫn còn lỗ hổng bảo mật nên việc tái vi phạm sẽ xảy ra rất sớm và kẻ tấn công sẽ không mất nhiều thời gian.

Tình trạng này sẽ lặp đi lặp lại nhiều lần, đặc biệt là đối với các trang Web phổ biến, vì vậy giải pháp chính xác cho vấn đề là khẩn trương khắc phục lỗ hổng. Nếu bạn hạn chế mình chỉ khôi phục vĩnh viễn một trang web, bạn có thể mất tất cả các chỉ số trong công cụ tìm kiếm và thậm chí nằm trong bộ lọc của chúng do sự lây lan của phần mềm độc hại.

Cách xác định xem có phần mềm độc hại không

Làm thế nào để bạn biết một trang web đã bị xâm nhập và làm thế nào để bạn xác định các triệu chứng đầu tiên của sự lây nhiễm? Trên thực tế, rất đơn giản, việc thống kê lưu lượng truy cập thất bại, chuyển hướng đến các trang web không quen thuộc, tiêu thụ quá nhiều lưu lượng truy cập - tất cả những điều này đều là dấu hiệu của sự lây nhiễm và sự hiện diện của các liên kết độc hại làm giảm xếp hạng của tài nguyên. Chưa kể đến những tình huống hiển nhiên khi xuất hiện dấu vết trong kết quả tìm kiếm của Yandex hay Google về việc trang web của bạn bị "lây nhiễm".

Khi truy cập một trang bị nhiễm, một cửa sổ cảnh báo về tài nguyên bị nhiễm sẽ được hiển thị trong trình duyệt Web Opera, Chrome hoặc Firefox, vì các trình duyệt này có cơ sở dữ liệu riêng để xác định các trang bị nhiễm. Rốt cuộc, phần mềm chống vi-rút cục bộ có thể xác định rằng một trang web đã bị nhiễm khi bạn nhìn thấy thông báo khi bạn cố gắng điều hướng giữa các trang nội bộ. Nó có thể chỉ ra rằng trang web đã bị tấn công và đang được sử dụng để gửi thư rác quảng cáo. Bạn có thể tìm hiểu về điều này khi các thông báo về việc gửi thư rác hàng loạt bắt đầu đến địa chỉ nhà cung cấp dịch vụ của bạn.

Nên làm gì trong những tình huống như vậy? Trước tiên, bạn cần xác định nơi ẩn chứa vi rút hoặc liên kết quảng cáo và cách chúng đến được trang web, vì chủ đề thiết kế, cơ sở dữ liệu hoặc phần lõi của trang web có thể bị "nhiễm".

Cách dễ nhất, nhưng cũng là cách lâu nhất để tìm kiếm vi-rút là cố gắng theo dõi ngày sửa đổi của tệp. Giả sử phần lớn các tệp trong các thư mục quan trọng nhất ( wp-bao gồm, wp-admin và các tệp khác) có cùng ngày tạo, nhưng có một hoặc hai tệp có ngày tạo muộn hơn. Kiểm tra các tệp này và so sánh chúng với các tệp từ bản phân phối WordPress. Bạn cũng có thể so sánh các tệp theo kích thước trong Total Commander. Tất cả những gì còn lại là so sánh nội dung của các tệp đáng ngờ và tìm ra các đoạn mã bổ sung được tìm thấy dùng để làm gì.

Cách kiểm tra HTML đang được xử lý

Có lẽ vì lý do nào đó mà bạn không thể phát hiện sự cố bằng phương pháp được mô tả ở trên. Sau đó, bạn có thể cố gắng tìm ra nguồn lây nhiễm theo một cách khác.

Bạn sẽ cần mở trang web "bị nhiễm" trong trình duyệt (tốt nhất là Opera hoặc Firefox) và chọn " Hiển thị mã nguồn trang web". Nếu bạn biết HTML, bạn có thể phát hiện ra các dòng đáng ngờ. Đây có thể là các liên kết không quen thuộc đến các trang web, các đoạn mã" nén "hoặc mã hóa (phương thức base64) hoặc nó có thể là một đoạn Javascript không xác định có khả năng được mã hóa bạn cũng có thể sử dụng lệnh có trong mã của đoạn đánh giá... Điều này thường có nghĩa là ai đó đang cố giấu mã Javascript thực, điều này sẽ làm dấy lên một số nghi ngờ. Hình 1 cho thấy một ví dụ về mã đáng ngờ.

Cơm. 1 Đoạn mã HTML đáng ngờ

Nhân tiện, nếu trang web của bạn sử dụng mẫu miễn phí của bên thứ ba, thì phương pháp này có thể được sử dụng để tìm các liên kết được tài trợ do tác giả mẫu nhúng vào. Thông thường các liên kết như vậy là vô hại, tức là không thuộc về vi rút. Tuy nhiên, chúng có thể ảnh hưởng tiêu cực đến hiệu suất công cụ tìm kiếm của trang web và chuyển hướng lưu lượng truy cập đến tài nguyên của bên thứ ba.

Khi không thể phát hiện mã độc hại trên các trang của trang web bằng các phương pháp được mô tả ở trên, bạn có thể sử dụng các công cụ trực tuyến của bên thứ ba. Ví dụ: bạn có thể cài đặt plugin WordPress Exploit Scanner, plugin này sẽ thường xuyên kiểm tra trang web của bạn để tìm phần mềm độc hại. Plugin cung cấp một báo cáo chi tiết và đánh dấu các dòng sẽ bị xóa sau đó.

Ngoài ra, bạn có thể quét trang web bằng máy quét Sucuri SiteCheck trực tuyến - dịch vụ này hoàn toàn miễn phí và có tính phí, bạn có thể yêu cầu xử lý toàn bộ tài nguyên.

Cách kiểm tra các plugin và chủ đề tìm mã độc hại

Đối với các chủ đề, bạn có thể theo dõi mã độc hại trong chúng theo cách thủ công hoặc cài đặt plugin TAC hoạt động với các tệp chủ đề, kiểm tra chúng để tìm các liên kết không liên quan và mã virus. Với plugin này, bạn có thể kiểm tra cả chủ đề đã được cài đặt và chủ đề mới.

Rất dễ dàng phát hiện sự hiện diện của vi-rút trong một chủ đề hoặc trong mã trình cắm thêm. Nếu chủ đề đang hoạt động dựa trên một trong những chủ đề chính thức, thì bạn chỉ cần so sánh mã gốc với mã của chủ đề đã kiểm tra. Để thực hiện việc này, hãy tải xuống chủ đề mặc định đi kèm với bản phân phối WordPress, thay đổi tên của nó và chuyển chủ đề sang đó. Nó vẫn chỉ để kiểm tra mã HTML do máy chủ tạo ra để xem có vi rút hay không và nếu nó được tìm thấy, thì vấn đề rõ ràng không được đề cập ở đây.

Nếu mã độc được tìm thấy trong các tệp của chủ đề đang hoạt động và các chủ đề bổ sung đã được cài đặt nhưng không được kích hoạt, thì bạn sẽ phải kiểm tra từng tệp đó, vì vi-rút có thể lây nhiễm các tệp nhất định từ thư mục chủ đề... Tốt nhất là chỉ sử dụng một chủ đề và xóa tất cả những chủ đề không hoạt động.

Việc tìm kiếm virus trong mã plug-in cũng không quá khó. Bạn nên vô hiệu hóa các plugin một cách nhất quán và kiểm tra mã HTML đã tạo. Do đó, có thể xác định plug-in bị nhiễm, gỡ bỏ nó và cài đặt lại từ kho lưu trữ một lần nữa.

Các cách tốt nhất để bảo vệ các plugin và chủ đề WordPress:

  • chỉ tải xuống và cài đặt các chủ đề và plugin từ các trang web đáng tin cậy;
  • không sử dụng các plugin và chủ đề trả phí "bị tấn công";
  • loại bỏ các plugin và chủ đề không sử dụng;

Cách tìm mã độc hại trong các tệp lõi WordPress

Nếu bạn đã kiểm tra các plugin và chủ đề, nhưng không thể xác định được nguồn lây nhiễm, thì có lẽ nó nằm ngay trong các tệp lõi của WordPress. Nhiễm trùng hạt nhân có thể có nghĩa là kẻ tấn công đã giành được quyền truy cập vào phần quản trị của trang web bằng cách đoán hoặc chặn mật khẩu để truy cập trang web bằng FTP.

Trước hết, hãy kiểm tra vi-rút trên máy tính mà bạn đã truy cập FTP hoặc giao diện quản trị của trang Web. Mật khẩu có thể đã bị đánh cắp khỏi máy tính của bạn bằng cách sử dụng vi-rút Trojan truyền dữ liệu bí mật cho kẻ tấn công.

Thông thường, những kẻ tấn công nhúng vào tệp .htaccess các mã chuyển hướng, các liên kết được mã hóa đến các tập lệnh độc hại nằm trên các máy chủ từ xa, vì vậy việc đầu tiên cần làm là so sánh tệp này với tệp gốc từ bản phân phối. Đặc biệt chú ý đến những dòng như thế này:

RewriteCond% (HTTP_REFERER). * Yandex. * RewriteRule ^ (. *) $ Http: // trang web không xác định.com/

Nếu những dòng như vậy được tìm thấy, thì bạn không nên xóa chúng ngay lập tức. Trước tiên, hãy yêu cầu nhà cung cấp dịch vụ lưu trữ của bạn cung cấp nhật ký cho khoảng thời gian thay đổi tệp gần đúng .htaccess và phân tích từ địa chỉ IP nào và khi nào tệp này được gửi. Có thể các tệp khác đã được thay đổi cùng một lúc.

Nếu chỉ có tệp này đã được thay đổi, thì mật khẩu cho FTP và giao diện quản trị sẽ được thay đổi. Nếu các thay đổi được tìm thấy trong các tệp * .php, * .html thì rất có thể, một tập lệnh PHP đã được tải lên trang web, qua đó kẻ tấn công có thể truy cập vào tất cả thông tin có sẵn.

Việc ngăn chặn loại mối đe dọa này khá đơn giản và không đòi hỏi chi phí đặc biệt. Điều quan trọng là phải nhớ các quy tắc sau:

  • không lưu trữ mật khẩu trong trình quản lý FTP hoặc trong thư;
  • cập nhật lõi WordPress của bạn thường xuyên;
  • cập nhật các plugin và chủ đề;
  • không sử dụng mật khẩu đơn giản.

Có thể ban đầu bạn đã tuân theo tất cả các quy tắc này và vấn đề không phải nằm ở lỗ hổng của trang web mà nằm ở sự bảo vệ không đầy đủ của chính máy chủ, nơi chứa tài nguyên. Trong những trường hợp như vậy, hãy gửi mô tả chi tiết về vấn đề cho bộ phận hỗ trợ kỹ thuật của nhà cung cấp dịch vụ lưu trữ và cùng nhau tìm kiếm giải pháp cho vấn đề.

Cách tìm SQL Injection độc hại trong WordPress

Vì vậy, chúng tôi đã trình bày các cách khác nhau để lây nhiễm và khử trùng một trang web dựa trên WordPress CMS miễn phí. Nhưng một trong những phương pháp thâm nhập và hack phổ biến là SQL injection(tiêm sql). Phương thức lây nhiễm này dựa trên việc biên dịch một truy vấn cơ sở dữ liệu, trong đó mật khẩu bị đánh cắp từ giao diện quản trị hoặc lấy thông tin bí mật khác. Liên quan đến WordPress, chúng tôi có thể nói rằng được biết vào thời điểm cập nhật cuối cùng, "lỗ hổng" trong hệ thống bảo mật cơ sở dữ liệu và trong việc lọc các truy vấn đã được khắc phục.

Để bảo vệ bạn khỏi bị hack một trang web bằng cách sử dụng SQL injection, bạn nên chọn cẩn thận các plugin, vì chúng hoạt động với cơ sở dữ liệu và do đó, một nhà phát triển không có lương tâm có thể để lại kẽ hở cho những kẻ tấn công. Có lẽ, trong một số plugin miễn phí, một lối vào ẩn như vậy được tích hợp một cách có chủ ý. Khi chọn một plug-in, bạn phải được hướng dẫn không chỉ bởi khả năng của nó mà còn bởi mức độ phổ biến, cũng như số lượng cài đặt được thực hiện. Nó cũng đáng để kiểm tra các đánh giá còn lại trên trang của nhà phát triển. Nếu bạn có chút nghi ngờ hoặc có đánh giá tiêu cực liên quan đến bảo mật, thì tốt hơn là không nên mạo hiểm và cài đặt một plugin khác có chức năng tương tự.

Hầu hết các CMS được xây dựng theo cách mà người dùng có kỹ năng lập trình tối thiểu có thể cài đặt, định cấu hình nó, kích hoạt một trong các kiểu thiết kế được đề xuất và bắt đầu điền thông tin cần thiết vào trang web. Do đó, các trang Web thường nằm trong tay các quản trị viên thiếu kinh nghiệm, những người không thể nhận ra sự xâm nhập như vậy bằng cách sử dụng SQL injection.

Nhưng plugin WordPress Exploit Scanner được đề cập trước đó cũng có thể hoạt động với cơ sở dữ liệu và trong một số trường hợp, nó có thể tìm thấy chức năng không liên quan được nhúng trong cơ sở dữ liệu. Nhưng bạn sẽ phải xóa nó theo cách thủ công bằng các lệnh SQL đặc biệt trong chương trình quản trị cơ sở dữ liệu PHPMyAdmin. Điều này phải được thực hiện rất cẩn thận, vì một truy vấn hoặc lệnh không chính xác có thể làm hỏng cấu trúc hoặc nội dung của cơ sở dữ liệu. Để ngăn điều này xảy ra, bạn nên quan tâm đến quá trình tạo bản sao lưu cơ sở dữ liệu trước. Nhân tiện, bản thân Exploit Scanner có thể đưa ra các khuyến nghị để sửa các truy vấn SQL.

Các cách thực tế để bảo vệ trang web WordPress

Có rất nhiều mẹo trên internet về cách bảo mật và bảo vệ một trang web được cung cấp bởi WordPress CMS miễn phí. Dưới đây là danh sách các khuyến nghị hiệu quả nhất:

  • Bạn nên thay đổi và không bao giờ sử dụng tên người dùng tiêu chuẩn cho người dùng có quyền quản trị viên, chẳng hạn như quản trị viên, quản trị viên, v.v.;
  • cần phải cài đặt hình ảnh xác thực, điều này làm giảm đáng kể nguy cơ bị tấn công bằng mật khẩu thô bạo;
  • phải sử dụng mật khẩu gồm cả chữ và số phức tạp, ít nhất 8-10 ký tự để vào giao diện quản trị;
  • mật khẩu không nên được lưu trữ trong trình duyệt Web, các tệp văn bản, v.v., lưu trữ ngoại tuyến trên một mảnh giấy đáng tin cậy hơn nhiều;
  • bạn cũng phải bảo vệ mật khẩu hộp thư đã được chỉ định khi cài đặt WordPress;
  • Thực hiện sao lưu thường xuyên theo cách thủ công hoặc sử dụng các trình cắm thêm đặc biệt hoặc các chương trình của bên thứ ba, trong khi các bản sao lưu kết quả phải được lưu trữ ở một số nơi;
  • không cài đặt các plugin không rõ nguồn gốc, các plugin và theme trả phí bị hack;
  • bạn nên cài đặt các plugin chịu trách nhiệm bảo mật cho các tệp và cơ sở dữ liệu WordPress, đồng thời thường xuyên kiểm tra trạng thái của trang bằng cách sử dụng phần mềm chống vi-rút;
  • cập nhật kernel, plugin và chủ đề đúng hạn (sao lưu đầy đủ trước mỗi lần cập nhật);
  • tập tin admin.phpđáng ra phải đổi tên để khó xác định;
  • đăng ký một trang web với Yandex hoặc Google để theo dõi các vấn đề liên quan đến bảo mật của trang web và lập chỉ mục của nó;
  • cần phải kiểm tra các quyền đối với các thư mục và tệp WordPress: các quyền được đặt cho các thư mục 755 , cho tất cả các tệp 644 , riêng cho danh mục wp-content quyền phải được 777 ;
  • nếu không cần đăng ký người dùng, thì tốt hơn là nên tắt hoàn toàn chức năng này;
  • bạn cũng có thể tắt khả năng bình luận và chỉ để lại biểu mẫu bình luận thông qua mạng xã hội;
  • tập tin sẽ bị xóa readme.htm nằm trong thư mục gốc, nơi lưu trữ thông tin về phiên bản WordPress đã cài đặt (việc này phải được thực hiện sau mỗi lần cập nhật CMS);
  • cũng có đề cập đến phiên bản WordPress được sử dụng nên được xóa khỏi tệp functions.php bằng cách thêm dòng vào đó: remove_action ("wp_head", "wp_generator");

Phải làm gì nếu sự cố vẫn không thể được giải quyết?

Không có tình huống nào là vô vọng. Có vẻ như bạn đã thử tất cả các phương pháp vô hiệu hóa mã virus hoặc các liên kết quảng cáo ẩn. Có thể trang web đã ngừng hoạt động sau quá trình dọn dẹp vi-rút không thành công và bạn không thể khôi phục trang web hoạt động được nữa. Đừng thất vọng, nhưng hãy cố gắng liên hệ với các chuyên gia, họ sẽ giúp bạn khôi phục trang web của mình với một khoản phí, đồng thời đưa ra lời khuyên về cách cải thiện tính bảo mật và hiệu suất của nó. Bạn có thể viết thư cho bộ phận hỗ trợ kỹ thuật của WordPress, tìm câu trả lời trong WordPress Codex hoặc đặt câu hỏi trên diễn đàn chính thức.

Nếu bạn đã loại bỏ vi-rút, định cấu hình chính xác các plugin chịu trách nhiệm bảo mật, thay đổi mật khẩu và sau một thời gian tình trạng này lặp lại thì bạn nên cân nhắc thay đổi nhà cung cấp dịch vụ lưu trữ. Rất có thể, các máy chủ lưu trữ trang web được bảo mật kém hoặc bị định cấu hình sai.

Sự kết luận

Hầu hết các mẹo được trình bày ở đây sẽ vẫn còn phù hợp trong một thời gian rất dài, vì chúng không chỉ áp dụng cho WordPress mà còn cho bất kỳ trang Web nào, bất kể nền tảng được sử dụng. Internet đang phát triển nhanh chóng, các bản cập nhật mới liên tục xuất hiện và các loại virus mới đang được viết ra, các lỗ hổng trong bảo mật của CMS và các dịch vụ khác nhau đang được đóng lại. Theo kịp thời đại và thường xuyên nâng cấp, cập nhật trang Web của bạn, khi đó bạn có thể tránh được những trường hợp khẩn cấp như vậy.

Tôi sẽ chú ý nhiều hơn đến WordPress, nhưng nhiều mẹo sẽ hữu ích cho những người làm việc trên các công cụ khác.

Thường thì mọi người đến với tôi với câu hỏi về việc dọn dẹp một trang web WordPress và làm thế nào để xác định rằng trang web đó đã bị tấn công. Tôi sẽ cho bạn biết virus là gì và khó khăn như thế nào để chống lại chúng.

Các triệu chứng đầu tiên. Google thông báo "Trang web này có thể đã bị tấn công"

Một câu chuyện rất phổ biến khi một khách hàng đến một công ty, hoặc liên hệ trực tiếp qua blog và nói rằng đã tìm thấy trang web của mình trong kết quả tìm kiếm của google, anh ta tình cờ nhận được thông báo "Có lẽ trang web này đã bị tấn công".

Thông báo này xuất hiện nếu google nghi ngờ, hay đúng hơn là gần như chắc chắn rằng trang web của bạn đã bị tấn công. Phải làm gì và chạy ở đâu trong những trường hợp như vậy? Không có quá nhiều hành động, chỉ có 5:

  1. Làm sạch trang web khỏi shell và các loại virus khác nhau, thêm về điều đó sau;
  2. cập nhật WordPress và tất cả các plugin từ các phiên bản cũ hơn đến mới nhất ( );
  3. định cấu hình bảo vệ trang web, Tôi cũng sẽ cho bạn biết một chút về điều này sau;
  4. kiểm tra xem lưu trữ có tốt không và chuyển đến một nơi đáng tin cậy hơn, tôi khuyên như trước đây;
  5. kiểm tra xem có nói dối không vi rút trong cơ sở dữ liệu;

Đừng quên sao lưu trước mỗi hành động, cũng như sau tất cả 5 giai đoạn, cũng hãy sao lưu, trong trường hợp bạn không quản lý để làm sạch lần đầu tiên và bạn cần tìm kiếm các phương pháp quét trang web phức tạp hơn. .

Nếu bạn đã làm sạch mọi thứ và lỗi "Trang web này đã bị tấn công" vẫn còn

Lời khuyên của tôi là đến gặp Quản trị viên web của Google và yêu cầu kiểm tra lại trang web. Tốc độ quét của Webmaster Google sẽ phụ thuộc vào mức độ lây nhiễm.

Có 2 mức độ phức tạp của nhiễm trùng:

  1. Nếu bạn tràn ngập mã độc mà qua đó bạn có quyền truy cập vào trang web, xuất bản các liên kết ... Nói chung, chúng chỉ phá vỡ bạn và gây hại cho bạn mà thôi.
  2. Nếu trang web của bạn bị tấn công và cố gắng gửi thư rác hoặc phá vỡ những người khác.

Trong trường hợp đầu tiên Nhân viên của Google thậm chí còn không kiểm tra trang web, vì hệ thống có thể làm việc đó tự động (tôi đã có từ 10 phút đến vài giờ).

Trong trường hợp thứ haiđể đảm bảo rằng không có mối đe dọa nào từ trang web của bạn có thể gây hại cho các trang web khác, Google sẽ cử một người đặc biệt kiểm tra trang web. Trong trường hợp thứ hai, việc kiểm tra có thể mất 1-2 tuần.

Tôi khuyên bạn không nên trì hoãn việc dọn dẹp trang web, bởi vì bạn càng trì hoãn lâu, vị trí của bạn trong các công cụ tìm kiếm sẽ càng xấu đi.

Triệu chứng thứ hai. Virus chuyển hướng đến một trang web khác

Những vi rút như vậy được tìm thấy mọi lúc. Cần phải tìm kiếm các loại virus đó trong tệp htaccess ở thư mục gốc của trang web, nếu không có thì bạn có thể tìm kiếm tệp htaccess trong các thư mục khác của trang web. Bạn cũng có thể lặp lại các hàm chuyển hướng có thể được sử dụng trong các ngôn ngữ lập trình khác nhau. Tôi khuyên bạn nên quét trang web để tìm các cửa hậu, bởi vì bằng cách nào đó bạn đã triển khai mã này. Bắt đầu quét virus cho WordPress, làm sạch và thay đổi mật khẩu.

Chuyển hướng ẩn từ Google hoặc Yandex

Một loại vi rút phức tạp hơn có tính năng chuyển hướng. Thường thì chuyển hướng được đặt dưới một công cụ tìm kiếm cụ thể, vì vậy quản trị viên sẽ ít chú ý hơn, nhưng những người dùng đến từ các truy vấn tìm kiếm cuối cùng lại đến trang web của một số loại vô nghĩa mà họ đang cố bán chúng.

Tôi đã gặp một loại vi-rút trên một trang web WordPress cố gắng xác định gần đúng nhu cầu của người dùng theo chủ đề và thay thế một chương trình liên kết bằng một tài nguyên lớn theo yêu cầu, có một loạt các sản phẩm thuộc nhiều loại khác nhau.

Chuyển hướng từ thiết bị di động IPhone hoặc Android nó thậm chí còn tuyệt hơn một chuyển hướng ẩn chỉ chuyển hướng lưu lượng truy cập trên thiết bị di động. Nhân tiện, các công cụ tìm kiếm trong quản trị viên web của họ thấy điều này tốt, nhưng trong mọi trường hợp, đôi khi sẽ hữu ích khi truy cập trang web từ bất kỳ thiết bị di động nào và xem nó hoạt động như thế nào.

Chuyển hướng từ tất cả các liên kếtđây là một triệu chứng đơn giản, bằng gỗ, nhưng rất có hại. Trước hết, nó có hại cho việc quảng bá trang web. Điều này đã xảy ra trước đây vào buổi bình minh của Internet, khi tin tặc đã phá rất nhiều và sau đó thường không thực sự biết phải làm gì với các trang web bị tấn công. Điều đầu tiên tôi nghĩ đến chỉ đơn giản là chuyển hướng tất cả lưu lượng truy cập đến một số loại chương trình liên kết hoặc cố gắng đánh hơi sản phẩm, đột nhiên có người mua thứ gì đó. Vấn đề mà họ gặp phải là lưu lượng truy cập không được nhắm mục tiêu và doanh số bán hàng cực kỳ hiếm, với tư cách là một chuyên gia SEO, tôi có thể đảm bảo với bạn điều này.

Thay thế quảng cáo theo ngữ cảnh Google và Yandex

Nhìn chung rất khó để nhìn thấy một loại vi-rút như vậy, khách hàng đã vô tình nhấp vào quảng cáo của mình và truy cập vào một số trang web thuận tay trái. Tôi đã rất ngạc nhiên và yêu cầu tôi loại bỏ tất cả các mối đe dọa.

Virus này có vẻ phức tạp về các triệu chứng, nhưng sau khi xem xét chi tiết hơn, tôi thấy rằng mã ở đó rất đơn giản. Hacker hóa ra là một lập trình viên thiên tài. Sau khi loại bỏ vi-rút, tôi vẫn phải tìm một loạt mã được mã hóa nằm rải rác trên tất cả các tệp trên trang web. Khó khăn, nhưng mọi thứ đã được khắc phục.

Triệu chứng ba. Lưu trữ phàn nàn rằng SPAM liên tục được gửi từ trang web

Ồ, thư rác này, thật là hồi hộp cho mọi người, nhưng khó có thể mong đợi được lợi nhuận từ loại hình quảng cáo này, vì đối tượng thường không phải là đối tượng mục tiêu.

Những vấn đề gì phát sinh với sự lây nhiễm liên tục của trang web và gửi thư rác?

  • Đối với lưu trữ, đây là một vấn đề đau đầu với tải trên các máy chủ,
  • các trang web bị chùng xuống trong kết quả của công cụ tìm kiếm.

Mọi thứ đều tồi tệ, nhưng bạn có thể điều trị được. Các phương pháp đơn giản như cập nhật tất cả các plugin và WordPress sẽ không giúp ích gì ở đây, mọi thứ phức tạp hơn. Không cần đặt cây lên màn hình và đợi nó lành! :-). Sử dụng tất cả các mẹo để phát hiện và vô hiệu hóa vi rút được mô tả trong triệu chứng đầu tiên. Nhân tiện, có lẽ hầu hết các trang web lưu trữ không cung cấp sự bảo vệ đầy đủ, việc lây nhiễm có thể thông qua dịch vụ của họ và khi bị nhiễm, các trang web lưu trữ như vậy sẽ chửi bới chủ sở hữu (bạn không thể tự trách mình!). Chúng ta sẽ nói về việc tổ chức một chút sau.

Nhân tiện, khi gửi thư rác hàng loạt, bạn có thể chỉ gặp lỗi 503 hiển thị trên trang web, do máy chủ gặp sự cố. Tôi khuyên bạn nên xem máy chủ ghi những gì trong nhật ký và tệp nào đang được xử lý. Nhân tiện, thư rác liên tục đến trang web của bạn cũng có thể là lời kêu gọi đầu tiên rằng trang web của bạn được bảo vệ yếu hoặc việc bảo vệ đã không được cập nhật trong một thời gian dài.

Triệu chứng ba. Virus sẽ chèn một đoạn mã vào mỗi bài đăng trên blog

Điều này thật thú vị, chẳng hạn như bạn chèn một hình ảnh hoặc một số tệp phương tiện vào một bài viết mới trong bảng điều khiển quản trị và kèm theo đó là một đoạn mã được chèn ở dạng ẩn thay thế tệp bị nhiễm. Để loại bỏ một loại vi-rút như vậy, tôi phải xem qua các đoạn mã mà vi-rút đã chèn vào, tìm những vị trí tương tự trong mã, sử dụng chúng để tìm tất cả các đoạn mã của vi-rút trong cơ sở dữ liệu và xóa nó. Nhìn chung, công việc dọn dẹp rất vui và thú vị, tất cả các nhân viên ngồi bên cạnh đều học được rất nhiều từ mới.

Cách bảo vệ trang web của bạn khỏi vi-rút bằng WordPress, đây là cách tôi thực hiện

  1. Chỉ chọn với sự khác biệt về quyền giữa các miền để bằng cách hack một trang web trên máy chủ, kẻ tấn công không thể truy cập phần còn lại.
  2. Đóng tên người dùng để không thể tìm thấy chúng. Thường thì tất cả các loại plugin WordPress cho diễn đàn, mạng xã hội, cửa hàng đều hiển thị chúng rất tốt.
  3. Chỉ sử dụng các plugin và chủ đề đã được chứng minh, tôi khuyên bạn nên tải xuống từ kho lưu trữ chính thức. Bạn cũng có thể mua các chủ đề từ các chợ nổi tiếng có kiểm soát chất lượng mã. Tôi thường sử dụng thị trường nếu tôi mua.
    Nếu chủ đề đã cũ và không có cách nào để lấy nó từ một nguồn đáng tin cậy, thì tốt hơn là bạn không nên sử dụng nó và chọn một chủ đề khác. Ngoài ra, bạn có thể giao đối tượng để làm sạch cho một chuyên gia, nhưng giá có thể gần giống như mua một cái mới.
  4. Mua dịch vụ lưu trữ, tạo trang web và thiết lập mật khẩu phức tạp là đảm bảo bảo vệ khỏi ít nhất 90% các cuộc tấn công. Thật ấn tượng phải không?
  5. Đặt captcha bất cứ nơi nào có biểu mẫu. Hình thức đăng nhập, đăng ký, khôi phục mật khẩu, bình luận. Bằng cách này, bạn có thể loại bỏ một số robot có thể sử dụng mật khẩu.
  6. Chặn các yêu cầu trong thanh địa chỉ có thể dẫn đến lỗi.
  7. Ẩn đầu ra lỗi trên máy chủ.
  8. Ẩn phiên bản động cơ và bản thân động cơ càng tốt.
  9. Thỉnh thoảng tạo một bản sao thủ công của trang web sang phương tiện bên ngoài.
  10. Cập nhật tất cả các plugin kịp thời sau khi tạo kết xuất cơ sở dữ liệu và bản sao của các tệp (hơn nữa, nếu bạn không cập nhật trong một thời gian dài, tốt hơn là nên cập nhật từng phiên bản).

Nếu trang web WordPress của bạn liên tục bị nhiễm vi rút có nghĩa là bạn đã bỏ lỡ một lỗ hổng hoặc một cửa hậu

  1. Nếu trang web đã bị nhiễm virus, thì chỉ làm điều đó.
  2. Loại bỏ tất cả các plugin và chủ đề không hoạt động, tất cả rác ở những nơi có thể có vi-rút.
  3. Làm sạch tất cả các mã độc hại được tìm thấy.
  4. Chỉ khi mọi thứ được làm sạch, hãy bắt đầu bảo vệ.

Không thể bảo vệ trước tất cả các vụ hack, mọi thứ do một người làm đều có thể bị hack, nhưng việc bảo vệ tốt có thể trì hoãn việc hack đó tới 100 năm.

Tất cả các loại vi rút đều làm giảm hiệu suất của trang web trong tìm kiếm và chủ sở hữu thậm chí có thể không biết về chúng cho đến khi tin tặc bắt đầu xử lý trang web của mình. Nói chung, tôi thực sự mong muốn tất cả các hacker tìm được vị trí thích hợp của họ, vì những người tạo ra một đoạn mã tuyệt vời và thú vị như vậy có thể làm điều đó vì lợi ích của người khác và chính họ, không phải kiếm tiền bằng cách hack các trang web, nhưng cung cấp các dịch vụ thú vị sẽ mang lại cho họ liên tục thu nhập = earnings.

Có thể loại bỏ vi-rút khỏi trang WordPress và thiết lập bảo vệ

Nếu điều đó xảy ra khiến trang web của bạn bị nhiễm virut và hiệu suất của nó bị gián đoạn, hãy viết thư cho tôi và tôi sẽ cố gắng giúp bạn.

Skype: maxix2009
Thư: [email được bảo vệ]Địa điểm



Mỗi quản trị viên web đều phải đối mặt với vấn đề tìm lỗ hổng bảo mật trên trang web của mình, với sự trợ giúp của kẻ tấn công có thể tải lên mã độc hại của chính mình, theo cách này hay cách khác sẽ ảnh hưởng đến hiệu suất của toàn bộ trang web, cho đến khi bị loại khỏi kết quả tìm kiếm .

Thông thường, sự lây nhiễm xảy ra do yếu tố con người, nhưng nếu trang web vẫn bị tấn công thì sao?

Vẫn đề chính

Càng ít tệ nạn hơn là tự mình tìm ra và loại bỏ mã độc. Vấn đề chính là tìm ra lỗ hổng mà qua đó kẻ tấn công đã tải mã của mình lên trang web của bạn để tự bảo vệ mình khỏi các trường hợp sử dụng tương tự sau đây.

Rất nhiều chương trình diệt vi rút đã được viết ra để tìm kiếm mã độc, nhiều dịch vụ được tạo ra có thể trỏ đến địa chỉ của một trang bị nhiễm, thậm chí cung cấp chữ ký và thông tin toàn diện về chính vi rút đó. Nhưng không có phần mềm nào có thể cho bạn biết "mã người ngoài hành tinh" này đã xuất hiện trên trang web như thế nào. Ở đây bạn chỉ nên dựa vào chính mình.

Dưới đây tôi sẽ đưa ra một số lệnh có thể được sử dụng khi tìm kiếm các tệp bị nhiễm và / hoặc shell / backdoor được tải lên trang web của bạn. Để làm điều này, chúng tôi cần chương trình Putty và quyền truy cập SSH vào trang web.

Tìm kiếm các tệp bị nhiễm

Bằng cách sử dụng các lệnh được liệt kê bên dưới, bạn có thể tìm thấy các tệp có chứa các phần tử "nguy hiểm" có thể bị kẻ tấn công sử dụng để thực thi mã xáo trộn độc hại.

Đầu ra của các tệp sẽ được ghi vào tệp nhật ký trong thư mục hiện tại của bạn. Mỗi tệp sẽ chứa đường dẫn đến tệp được tìm thấy và một dòng có đoạn mã đáng ngờ.

find / Directory with site -type f -iname "*" -exec grep -Him1 "eval" () \; > ./eval.log
find / Directory with site -type f -iname "*" -exec grep -Him1 "base64" () \; > ./base64.log
find / Directory with site -type f -iname "*" -exec grep -Him1 "file_get_contents" () \; > ./file_get_contents.log

Tìm kiếm thư mục với đầy đủ quyền ghi

Lệnh sau liệt kê các thư mục có đầy đủ quyền ghi. Đây là những thư mục được sử dụng để lây nhiễm một trang web.

tìm ./ Thư mục trang web -perm 777 -type d

Tìm kiếm các tệp đã thay đổi trong khoảng thời gian

Nếu bạn biết khoảng thời gian lây nhiễm xảy ra, bạn có thể xem danh sách các tệp đã thay đổi trong vài ngày qua (tham số –mtime -7 cho biết ngày sửa đổi khác với ngày hiện tại trong 7 ngày qua)

tìm ./ Thư mục trang web -type f -iname "*" -mtime -7

Nếu trang web bị nhiễm bệnh thì sao?

Vì vậy, giả sử chúng tôi đã tìm thấy tệp bị nhiễm hoặc tệp shell. Trước khi bạn xóa / loại bỏ mã độc khỏi nó, hãy nhớ tên của nó (đường dẫn đầy đủ), ngày sửa đổi / tạo tệp, gid và id người dùng của nó (đối với hệ thống unix), điều này sẽ cho phép bạn tìm cách tải nó lên trang web của chúng tôi. Hãy bắt đầu với người dùng và nhóm:

Xem máy chủ web của bạn đang chạy từ người dùng nào:

ps -aux | grep "apache2" | awk ("in $ 1")


Nếu người dùng này giống với người dùng đã tạo tệp độc hại, thì có thể giả định rằng nó đã được tải lên thông qua chính trang web. Nếu không, tệp có thể đã được tải lên qua ftp (chúng tôi thực sự khuyên bạn nên thay đổi mật khẩu cho máy chủ FTP và bảng điều khiển quản trị của trang web).

mèo ./site.ru.access.log | grep “tên filenameOfShellScript”


Và chúng tôi nhận được đầu ra của tất cả các yêu cầu tới tập lệnh của chúng tôi. Sử dụng nó, chúng tôi xác định userAgent và địa chỉ ip của cracker của chúng tôi.

Lệnh tiếp theo, chúng tôi nhận được danh sách tất cả các yêu cầu mà anh ấy đã đến với chúng tôi.

mèo ./site.ru.access.log | grep “ip” | grep "userAgent"


Sau khi phân tích kỹ lưỡng, bạn có thể tìm thấy lỗ hổng trên trang web, bạn nên đặc biệt chú ý đến các yêu cầu ĐĂNG từ đầu ra, với sự trợ giúp của tệp độc hại có thể được tải lên.

Izhakovsky Andrey, quản trị viên hệ thống

Các ấn phẩm tương tự: