WordPress został zhakowany: pierwsza pomoc, gdy Twoja witryna zostanie zaatakowana

Więc ktoś włamał się na twoją stronę i jesteś zdruzgotany. Co minutę tracisz interesy i nie masz pewności, jak naprawić witrynę i przywrócić ją do trybu online. Mamy nadzieję, że masz mnóstwo kopii zapasowych, dzięki czemu możesz przywrócić wszystkie statystyki.

Ale najpierw musisz dowiedzieć się, w jaki sposób Twoja witryna została zhakowana i naprawić ją, aby było mniej prawdopodobne, że to się powtórzy. Może to obejmować przeprowadzenie audytu technicznego lub zatrudnienie dostawcy, aby prześledził kroki hakera. Poniżej przedstawiamy działania, które należy podjąć, jeśli odkryjesz, że Twoja witryna została naruszona.

Zamknij dostęp

Cyberprzestępcy i nieautoryzowani użytkownicy czasami uzyskują dostęp do stron internetowych za pomocą skradzionych haseł. Program do zarządzania hasłami może pomóc w jednoczesnej zmianie haseł wszystkich użytkowników. Powinieneś to zrobić natychmiast po stwierdzeniu, że Twoja witryna została zhakowana. Istnieje duża szansa, że ​​jedno z haseł autoryzowanych użytkowników zostało ujawnione przez złośliwe oprogramowanie lub łącze służące do wyłudzania informacji.

Niektóre menedżery haseł pozwalają również wymusić wylogowanie każdego, kto nadal jest zalogowany do konsoli administracyjnej witryny lub systemu zarządzania treścią. Wymuszenie wylogowania i zmiany hasła sprawi, że hakerzy z przejętymi danymi uwierzytelniającymi nie będą mogli dalej niszczyć Twojej witryny i reputacji. Po zakończeniu wszystkich sesji i logowań możesz rozpocząć skanowanie witryny w poszukiwaniu podejrzanych programów i kodów.

Skanuj w poszukiwaniu złośliwego oprogramowania

Po zamknięciu nieautoryzowanego dostępu do witryny możesz rozpocząć proces diagnostyki. Dobrym początkiem jest skanowanie kodów, stron, wtyczek i widżetów witryny w poszukiwaniu złośliwego oprogramowania. Hakerzy mogą instalować złośliwe oprogramowanie i złośliwe programy, które przekierowują Twoje adresy URL, domeny i subdomeny do nieodpowiednich witryn. Cyberprzestępcy mogą również instalować złośliwe oprogramowanie, aby wykorzystać Twoją witrynę jako bot lub przeprowadzić atak typu „odmowa usługi” lub atak DOS.

Niestety, hakerzy mogą to zrobić w dowolnej części witryny, która zawiera kod lub oprogramowanie. Dlatego musisz skanować każdy interfejs API lub widżet, taki jak Droit Addons, które integrują formularze kontaktowe i referencje klientów. Jednak nie wszystkie programy antymalware przechwytują lub poddają kwarantannie każdy szkodliwy program. Rozsądnie jest uruchomić więcej niż jedno pełne skanowanie przy użyciu różnych rozwiązań antywirusowych lub antymalware.

Zbierz odpowiednią dokumentację

Jeśli nie zajmujesz się wszystkimi pracami informatycznymi i technicznymi we własnym zakresie, prawdopodobnie będziesz współpracować z jednym lub dwoma dostawcami, aby naprawić witrynę i przywrócić ją do trybu online. Do tych partnerów należą dostawcy hostingu internetowego, programiści rozwiązań opartych na chmurze i dostawcy SaaS. Możesz nawet współpracować z dostawcami usług zarządzanych, którzy obsługują większość funkcji informatycznych i sieciowych.

Wszyscy ci partnerzy będą potrzebować dokumentacji, aby Ci pomóc. Na przykład będziesz chciał przekazać dowody, które skłaniają Cię do podejrzenia, że ​​Twoja witryna została zhakowana. Sprzedawcy będą również chcieli wiedzieć, czy Ty lub członek zespołu dokonaliście ostatnio autoryzowanych zmian. Załóżmy, że zainstalowałeś inną wtyczkę lub zaktualizowałeś wersję swoich systemów zarządzania treścią. Te szczegóły mogą mieć kluczowe znaczenie dla dostawców, którzy wycofują się z włamania.

Ponadto niektórzy partnerzy mogą potrzebować tymczasowego dostępu administratora do Twojej witryny i jej programów. Mogą również chcieć przeglądać dzienniki i pliki kopii zapasowych. Zebranie tych szczegółów i informacji pomoże przyspieszyć proces odzyskiwania. Co więcej, dostawcy będą mieli łatwiejszy czas na zidentyfikowanie, w jaki sposób doszło do włamania i usunięcie wszelkich istniejących luk i luk w zabezpieczeniach.

Skanuj wszystkie urządzenia

Tak, cyberprzestępcy mogą uzyskać nieautoryzowany dostęp do Twojej witryny za pośrednictwem chmury i usług w chmurze. Mogą jednak również instalować złośliwe oprogramowanie i oprogramowanie do keyloggera na urządzeniach lokalnych. Należą do nich laptopy, serwery, maszyny w punktach sprzedaży i wszelkie urządzenia, które łączą się z siecią lub uzyskują dostęp do oprogramowania witryny.

Oznacza to, że źródłem ataku na Twoją witrynę mógł być dysk USB lub pobrany załącznik do wiadomości e-mail. Oprócz skanowania oprogramowania witryny i widżetów pod kątem złośliwego oprogramowania warto przeskanować każde ze swoich urządzeń. Możesz to zautomatyzować za pomocą skryptów lub skanować każde urządzenie z osobna.

Czasami lepiej być dokładnym i robić jedno i drugie. Użyj swojego zwykłego programu antymalware z sieci i skorzystaj z osobnego programu lokalnie. Jeśli coś znajdziesz, możesz wykonać kopię zapasową w celach dokumentacyjnych i ponownie zainstalować oprogramowanie systemowe od zera. Oczywiście będzie to zależeć od zakresu wszelkich problemów ze złośliwym oprogramowaniem.

Usuń źródło problemu

Nie trzeba dodawać, że gdy ty lub jeden z twoich dostawców znajdziecie źródło włamania, musicie podjąć działania naprawcze. Może to być coś tak prostego, jak aktualizacja klienta lub oprogramowania do zarządzania treścią. Czasami łatwo jest przeoczyć lub zapomnieć rutynowe poprawki i aktualizacje zabezpieczeń.

To powiedziawszy, główna przyczyna włamania może być bardziej złożona i rozległa. W poważnych przypadkach może być konieczne ponowne skonfigurowanie punktów dostępu do sieci i elementów sterujących, w tym pulpitów nawigacyjnych administratora. Może być również konieczne przywrócenie większości zawartości z prawidłowych, bezpiecznych i oczyszczonych plików kopii zapasowej.

Najbardziej skomplikowane scenariusze wymagają wyłączenia oprogramowania do hostingu i zarządzania treścią podczas przechodzenia na zaktualizowaną usługę. Możesz potrzebować pomocy dostawcy, aby utworzyć tymczasową stronę docelową i formularz kontaktowy podczas przywracania całej witryny.

Wdróż nowe kontrole i procedury bezpieczeństwa

Włamania na strony internetowe zwykle zdarzają się z powodu luk w oprogramowaniu i kontroli bezpieczeństwa. Czasami jest to luźne zarządzanie hasłami i zasadami. Innym razem brakuje udokumentowanych procedur bezpieczeństwa, a pracownicy nie są pewni, jak radzić sobie w określonych sytuacjach. Przykładem są wszelkie zasady dotyczące dostępu dostawcy i pracownika spoza działu IT do zasobów i urządzeń sieciowych.

Po tym, jak Ty i Twój zespół zidentyfikujecie główną przyczynę włamania do witryny, powinniście ocenić, czy możecie skorzystać na ściślejszych kontrolach i procedurach bezpieczeństwa. Możesz chcieć wdrożyć biometrię jako środek uwierzytelniania wieloskładnikowego. Twoja organizacja i zespół mogą zdecydować o ograniczeniu fizycznego i wirtualnego dostępu do większości zasobów sieciowych. Możesz również rozważyć bardziej rygorystyczny proces zatwierdzania instalacji oprogramowania i dodatków do witryn.

Odzyskiwanie po włamaniu do witryny

W 100% naturalna jest panika po odkryciu, że Twoja witryna została zhakowana. Jednak ważne jest, aby zachować spokój i racjonalnie myśleć, aby przyspieszyć proces naprawy i powrotu do zdrowia. Jeśli brakuje Ci umiejętności technicznych lub wiedzy, konieczne jest skorzystanie z pomocy dostawcy posiadającego umiejętności diagnozowania włamań do sieci i witryn internetowych.

Niemniej jednak samodzielne podjęcie pewnych kroków zapobiegawczych i wstępnych może pomóc w odzyskaniu witryny. Obejmują one zamykanie dostępu i skanowanie w poszukiwaniu złośliwego oprogramowania. Gdy zidentyfikujesz problem, zastosuj środki, aby usunąć wszelkie luki i wzmocnić zabezpieczenia sieci. Mamy nadzieję, że Ty i Twoi partnerzy IT możecie zapobiec kolejnemu atakowi, dokumentując, co się stało i dlaczego.