Zhakowany: co zrobić, gdy Twoja witryna WordPress została naruszona
Opublikowany: 2020-06-02Zaczyna się od przygnębienia, że coś jest nie tak z Twoją witryną WordPress. Być może Twoja wtyczka bezpieczeństwa powiadomiła Cię o zmienionym pliku, o którym wiesz, że nie dotykałeś. Lub widzisz nieznaną treść w swoim wpisie.
Niezależnie od wskaźnika prowadzi to do jednego wniosku: Twoja witryna została zhakowana. Co zrobić teraz?
Chociaż odczuwanie strachu i/lub frustracji jest całkowicie normalne, nie czas na panikę. Zamiast tego czas wkroczyć do akcji! Trochę jak superbohater, ale twoją ulubioną bronią jest skaner bezpieczeństwa i klient FTP.
Mimo to masz możliwość ratowania dnia. Po prostu postępuj zgodnie z naszym przewodnikiem dotyczącym radzenia sobie ze zhakowaną witryną WordPress.
Użyj swoich kopii zapasowych
Zarządzanie witryną – niezależnie od tego, czy działa na WordPressie, czy nie – oznacza gotowość do działania w każdej chwili, gdy coś pójdzie nie tak. Jak to robisz? Prowadząc regularne kopie zapasowe całej witryny – łącznie z jej bazą danych i plikami.
Przywrócenie czystych wersji plików i danych szybko przywróci Twoją witrynę do dobrego miejsca. Jeśli nie masz kopii zapasowej, do której możesz się zwrócić, odzyskanie danych po włamaniu może być jeszcze trudniejsze.
Bez kopii zapasowej, cóż, jest to kwestia przeprowadzenia instalacji za pomocą gęstego grzebienia. Musisz poszukać potencjalnie złośliwego kodu, usunąć go i mieć nadzieję, że wszystko złapałeś.
Może istnieć łaska oszczędności: Twój host internetowy może mieć czystą kopię zapasową, która Ci pomoże. Jednak nadal najlepiej jest wziąć sprawy w swoje ręce. Poleganie na innych, którzy wyciągną cię z trudnej sytuacji, nie jest zrównoważoną strategią.
Zmień hasła i klucze soli
W zależności od luki w zabezpieczeniach, którą atakujący wykorzystał do zhakowania Twojej witryny, może on mieć dostęp administratora. Dlatego najlepiej zmienić hasła dla każdego konta administratora. Jeśli masz w pobliżu nieużywane konta, rozważ ich usunięcie.
Ponadto należy również zmienić hasło do bazy danych witryny. Pomoże to zapobiec wszelkim atakom polegającym na wstrzykiwaniu MySQL, które mogły mieć miejsce.
Na koniec zalecana jest również szybka zmiana kluczy soli WordPress. Spowoduje to wyrzucenie wszystkich zalogowanych użytkowników, którzy mogą podglądać.
Poszukaj wskazówek dotyczących zmienionych plików
Jeśli Twoja witryna została naruszona, nie wystarczy po prostu przywrócić kopię zapasową. Ważne jest również, aby spróbować dokładnie ustalić, co się stało. Pliki kopii zapasowej mogą być czyste, ale nadal mogą zawierać luki w zabezpieczeniach, które doprowadzą do kolejnego włamania.
Dlatego dobrym pomysłem jest pobranie kopii zaatakowanej witryny przed przywróceniem tej kopii zapasowej. Lub, jeśli kopia zapasowa Twojej witryny jest tworzona codziennie, możesz po prostu pobrać najnowszą kopię, jeśli podejrzewasz, że ona również ma tę samą przypadłość.
Możesz także przepuścić go przez skaner bezpieczeństwa, taki jak bezpłatne narzędzie SiteCheck firmy Sucuri. Może to potencjalnie doprowadzić Cię bezpośrednio do konkretnego problemu z zabezpieczeniami, który spowodował włamanie.
Po uzyskaniu kopii zainfekowanej witryny nadszedł czas, aby przekopać się i poszukać wskazówek. Oto kilka rzeczy, które warto sprawdzić:
Sprawdź rdzeń, wtyczki i motywy WordPress
Należy pamiętać, że złośliwy kod może zostać wstrzyknięty w dowolny obszar witryny WordPress. Może to być plik podstawowy, wtyczka lub motyw. Nawet nieaktywne elementy mogły stanowić tylne wejście.
Warto również sprawdzić uprawnienia do plików na serwerze, aby upewnić się, że są one zgodne z zaleceniami WordPress.
Spójrz na zmodyfikowane daty
Znakiem rozpoznawczym zainfekowanego pliku jest podejrzana data modyfikacji. Na przykład, jeśli nie zmieniałeś szablonu motywu od miesięcy – a data modyfikacji była w zeszłym tygodniu – może to być oznaką nieczystej gry.
Może to być nieco trudniejsze do wykrycia we wtyczkach, ponieważ są one aktualizowane częściej. Ale jeśli coś nie wygląda dobrze, sprawdź dziennik zmian wtyczki. Dzięki temu dowiesz się, kiedy była ostatnia aktualizacja. Nawet jeśli nie aktualizowałeś w momencie, gdy nowa wersja została wydana, będziesz mieć przynajmniej zakres czasowy, którego będziesz szukać.
Otwórz podejrzane pliki (ostrożnie)
Jeśli znalazłeś podejrzanie wyglądające pliki, możesz je otworzyć i sprawdzić ich kod. Zanim to zrobisz, dobrym pomysłem może być przepuszczenie ich przez skaner złośliwego oprogramowania – na wszelki wypadek.
Złośliwy kod wydaje się wystawać jak bolesny kciuk, jednak sam test gałki ocznej może nie wystarczyć, aby mieć pewność. W takim przypadku możesz pobrać kolejną kopię pliku – taką, o której wiadomo, że jest czysta – i porównać. Jeśli zauważysz jakiekolwiek różnice, będziesz wiedział, że coś jest na rzeczy.
Przeszukaj sieć
Fora pomocy WordPress.org mogą być doskonałym miejscem do zbierania informacji. Jeśli podejrzewasz konkretną wtyczkę lub nawet rdzeń WordPressa, prawdopodobnie inni użytkownicy doświadczyli czegoś podobnego. Możesz po prostu odkryć, że nie jesteś sam w swoim cierpieniu.
Ponadto WPScan Vulnerability Database oferuje listę informacji o bezpieczeństwie rdzenia, wtyczek i motywu. To świetne miejsce do szukania znanych problemów.
Skontaktuj się ze swoim hostem internetowym
Nie ma gwarancji, że Twój usługodawca hostingowy mógł zapobiec konkretnemu włamaniu. Ale mimo to warto w takich sytuacjach do nich dotrzeć. Dzieje się tak zwłaszcza wtedy, gdy nie jesteś do końca pewien sprawcy. Jest to po prostu dobra praktyka, jeśli korzystasz ze współdzielonego konta hostingowego, ponieważ może to wpłynąć na innych użytkowników (lub inne hostowane witryny).
Jeśli nie jesteś w stanie wskazać konkretnej luki, która doprowadziła do włamania, Twój host może być świetnym zasobem. Być może widzieli innych klientów z podobnymi problemami lub może to wywołać czerwoną flagę, która prowadzi do załatania luki w zabezpieczeniach.
Ponadto niektóre hosty oferują również skanowanie bezpieczeństwa i usuwanie złośliwego oprogramowania. Chociaż prawdopodobnie będą cię one kosztować trochę gotówki, może to pomóc w rozwiązaniu powtarzającego się problemu. Po prostu zapytaj o wszelkie gwarancje i dowiedz się, co obejmuje przed dokonaniem inwestycji.
Zanotuj wyciągnięte wnioski
Kiedy już wszystko zostanie powiedziane i zrobione, istnieje duża szansa, że dowiedziałeś się kilku rzeczy o bezpieczeństwie WordPressa. To dobra wiadomość, ponieważ możesz wykorzystać tę nową wiedzę, aby zapewnić bezpieczeństwo swojej witryny.
Na przykład odzyskiwanie z zaatakowanej witryny może prowadzić do częstszego używania silniejszych haseł lub częstszego aktualizowania oprogramowania. Możesz nawet wdrożyć środki, takie jak uwierzytelnianie dwuskładnikowe. Może również uświadomić Ci ustawienia serwera, które mogą utrudnić złośliwemu graczowi wyrządzenie szkód.
Chodzi o to, aby wzmocnić zabezpieczenia do punktu, w którym można przynajmniej odeprzeć najczęstsze rodzaje ataków. Poza tym chodzi o zachowanie czujności i nigdy nie branie bezpieczeństwa za pewnik.