Jak zidentyfikować zhakowaną witrynę WordPress

Opublikowany: 2017-04-14

W większości przypadków zhakowana witryna WordPress wykazuje kilka symptomów. W tym poście opiszemy, jakie są te objawy, i damy Ci kilka narzędzi do określenia, czy Twoja witryna jest dotknięta jednym lub wszystkimi z nich.

Objawy zhakowanej witryny WordPress

Większość objawów dotyczy dziwnego zachowania witryny, a także dziwnie wyglądających plików i kodu HTML, które zaczynają pojawiać się po lewej i prawej stronie. Zobaczmy je jeden po drugim!

1. Twoja strona zaczyna wysyłać spam

Chociaż znacznie łatwiej jest zidentyfikować spam przychodzący niż wychodzący, istnieje kilka rzeczy, które możesz zrobić, aby sprawdzić, czy ktoś używa Twojej witryny do wysyłania spamu:

  • Sprawdź swoje logi poczty (zazwyczaj znajdują się one w /var/log). Widzisz niezwykłą liczbę e-maili blokowanych przez 550 Sender zabroniony przez komunikat o błędzie SPF jest uważana za podejrzaną. Zwłaszcza jeśli masz skonfigurowane rekordy SPF dla swojej domeny. To zdecydowanie czerwona flaga.
  • Istnieją różne witryny, takie jak MXToolbox i UltraTools RBL Database LookUp, które mogą stwierdzić, czy Twoja witryna została umieszczona na czarnej liście jako źródło spamu. Dostępnych jest ich kilka i musisz przeszukać tyle, ile możesz znaleźć. Brak umieszczenia na czarnej liście w jednym nie oznacza, że ​​jesteś w 100% czysty.

2. Twoja witryna przekierowuje Cię w inne miejsce.

To prawdopodobnie najłatwiejszy do zauważenia objaw. Kiedy odwiedzasz swoją witrynę, zamiast przeglądać swoją stronę, zostajesz przekierowany do jakiegoś dziwnego miejsca. Przede wszystkim sprawdź, czy Twoje rekordy DNS uległy zmianie, a teraz wskaż inny adres IP.

 Jeśli Twoje rekordy DNS wydają się prawidłowe, jest wysoce prawdopodobne, że coś na Twojej stronie HTML powoduje to przekierowanie. Spróbuj wyłączyć obsługę JavaScript w przeglądarce i ponownie sprawdź, czy Twoja witryna Cię przekierowuje. Jeśli przekierowanie będzie się powtarzać, oznacza to, że najprawdopodobniej zostały naruszone inne obszary Twojej witryny (baza danych, plik .htaccess Twojej witryny lub konfiguracja serwera WWW).

3. Twoja witryna zawiera podejrzane elementy iframe.

Element iframe to „osadzony” dokument HTML w innym kodzie HTML, który służy do wyświetlania treści z innego źródła, zwykle reklam. Widoczne elementy iframe są łatwe do zauważenia, jednak większość z nich jest tak mała (czasem zajmuje tylko kilka pikseli!), że można je łatwo przeoczyć. Otwórz plik HTML w edytorze i poszukaj tagów <iframe>, które próbują połączyć się z nieznanymi lub podejrzanie wyglądającymi adresami URL. Skomentuj je, umieszczając je wewnątrz znaczników komentarzy HTML <!–. Nie powinieneś na tym poprzestać, ponieważ prawdopodobnie jeśli zmodyfikowałeś pliki HTML, oznacza to, że Twoja witryna jest na pewno zagrożona i że mogą istnieć inne miejsca, w których Twoja witryna została naruszona.

4. Twoja witryna otwiera wyskakujące okienka podczas ładowania.

Jest to również łatwy do zauważenia znak. Twoja witryna ładuje wyskakujące okienka, które wyraźnie nie pasują. Niektóre z nich, zwane pop-underami, są bardziej podstępne. Nie są one widoczne podczas odwiedzania witryny, ale są ładowane w tle. Jeśli jednak zminimalizujesz przeglądarkę, od razu je zobaczysz, zwykle zajmując dużą część ekranu.

Hostuj swoją stronę internetową z Pressidium

60- DNIOWA GWARANCJA ZWROTU PIENIĘDZY

ZOBACZ NASZE PLANY

5. Zniekształcone i dziwnie wyglądające pliki PHP.

Odkrywanie plików PHP, które wyglądają na niezrozumiałe, jak w poniższym przykładzie, jest zawsze wyraźnym sygnałem ostrzegawczym, że ktoś ingerował w Twoją witrynę:

<?php eval(„\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Termin techniczny dla tego typu plików jest „zaciemniony”. Zaciemnianie jest powszechną techniką stosowaną przez hakerów w celu ukrycia źródła zwykle wrogiego fragmentu kodu lub utrudnienia odczytania i zrozumienia jego funkcji

6. Backdoory, webshelle, konta administratorów

Webshelle to programy, które mogą być wykorzystywane przez hakerów do zdalnego łączenia się i uzyskiwania pełnego dostępu administracyjnego do Twojej witryny. Programy te umożliwiają zdalny dostęp do powłoki serwera (stąd termin webshell) tak, aby każdy, kto się z nimi łączy, mógł wykonywać polecenia. Są szanse, że jeśli znajdziesz gdzieś zaciemniony plik PHP, jest to powłoka internetowa.

Hakerzy mogą również tworzyć konta z uprawnieniami administracyjnymi, aby używać ich jako tylnych drzwi. Są one stosunkowo łatwe do znalezienia, ponieważ są widoczne w backendzie WordPressa lub w Twojej bazie danych.

Narzędzia, które pomogą Ci zidentyfikować podejrzaną aktywność

Istnieje kilka narzędzi, które mogą pomóc Ci określić, czy Twoja witryna została naruszona. Jeśli uważasz, że zostałeś skompromitowany lub zainfekowany, dobrym pomysłem jest sprawdzenie swojej witryny za pomocą wszystkich z nich. W ten sposób uzyskasz bardziej zaokrąglony widok, ponieważ nie wszystkie te usługi sprawdzają to samo. Wszystkie poniższe zasoby są bezpłatne i wymagają jedynie wpisania adresu URL witryny.

W szczególności, jeśli uważasz, że jesteś zainfekowany złośliwymi ramkami iframe, wyskakującymi okienkami, przekierowaniami i innymi bestiami javascript, następujące witryny natychmiast Cię o tym powiadomią:

  1. SiteCheck firmy Sucuri i demaskowanie pasożytów . Sprawdzą one pod kątem znanego złośliwego oprogramowania, czy Twoja witryna jest na czarnej liście i nie tylko.
  2. Raport przejrzystości Google . Dzięki temu dowiesz się, czy Twoja witryna jest uważana za „niebezpieczną do odwiedzenia” według Google.
  3. VirusTotal to bezpłatna usługa, która może analizować adresy URL i pliki w celu sprawdzenia, czy zawierają one złośliwe treści.
  4. Darmowy internetowy skaner złośliwego oprogramowania na stronie internetowej według ryzyka komputera. Przeszukuje witrynę w poszukiwaniu „złośliwego kodu, ukrytych ramek iframe, luk w zabezpieczeniach, zainfekowanych plików i innych podejrzanych działań”.
  5. Darmowy skaner złośliwego oprogramowania firmy Quttera . Przeszukuje Twoją witrynę pod kątem „podejrzanych skryptów, złośliwych mediów i innych zagrożeń bezpieczeństwa internetowego ukrytych w legalnej treści i znajdujących się na stronach internetowych”. Generuje raport o bezpieczeństwie, z każdym znaleziskiem skategoryzowanym według poziomu zagrożenia.

Istnieje również kilka wtyczek WordPress, które pomagają chronić witrynę WordPress. Sprawdź również ten doskonały przewodnik po 7 najlepszych wtyczkach bezpieczeństwa WordPress firmy InfoSec.

Niezwykle ważne jest wyczyszczenie witryny, gdy tylko znajdziesz złośliwą zawartość i załatanie jej luk w zabezpieczeniach. Zaatakowana strona internetowa oznacza awarie lub nieprawidłowe zachowanie, które może i ostatecznie wpłynie na źródła utrzymania Twojej firmy!