Cum să identifici un site WordPress piratat

Publicat: 2017-04-14

Un site WordPress piratat prezintă de cele mai multe ori mai multe simptome. În această postare, vom descrie care sunt aceste simptome și vă vom oferi câteva instrumente pentru a identifica dacă site-ul dvs. web este afectat de unul sau de toate.

Simptomele unui site WordPress piratat

Cele mai multe dintre simptome implică comportamentul site-ului dvs. într-un mod ciudat, precum și fișierele cu aspect ciudat și codul HTML care încep să apară în stânga și în dreapta. Să le vedem unul câte unul!

1. Site-ul dvs. web începe să trimită spam

Deși este mult mai ușor să identifici spam-ul primit decât cel trimis, există câteva lucruri pe care le poți face pentru a vedea dacă cineva folosește site-ul tău pentru a trimite spam:

  • Verificați-vă jurnalele de e-mail (de obicei sunt sub /var/log). Vederea unei cantități neobișnuite de e-mailuri blocate cu un mesaj de eroare 550 Sender interzis de SPF este considerată suspectă. Mai ales dacă aveți înregistrări SPF configurate pentru domeniul dvs. Atunci este cu siguranță un steag roșu.
  • Există diverse site-uri web, cum ar fi MXToolbox și UltraTools RBL Database LookUp, care vă pot spune dacă site-ul dvs. a fost inclus pe lista neagră ca sursă de spam. Există mai multe dintre ele disponibile și trebuie să căutați în câte puteți găsi. A nu fi pe lista neagră într-una nu înseamnă că ești 100% clar.

2. Site-ul dvs. web vă redirecționează în altă parte.

Acesta este probabil cel mai ușor simptom de observat. Când îți vizitezi site-ul web, în ​​loc să-ți vezi pagina web, ești redirecționat către un loc ciudat. În primul rând, verificați dacă înregistrările dvs. DNS s-au schimbat și acum indică o adresă IP diferită.

 Dacă înregistrările dvs. DNS par în regulă, atunci este foarte probabil să existe ceva în pagina dvs. HTML care să cauzeze acea redirecționare. Încercați să dezactivați suportul Javascript al browserului și vedeți din nou dacă site-ul dvs. web vă redirecționează. Dacă redirecționarea persistă, atunci este un semn că alte zone ale site-ului dvs. sunt cel mai probabil modificate (fie baza de date, fișierul .htaccess al site-ului dvs. sau configurația serverului dvs. web).

3. Site-ul dvs. conține cadre iframe suspecte.

Un iframe este un document HTML „încorporat” într-un alt HTML, care este folosit pentru a afișa conținut dintr-o altă sursă, de obicei reclame. Cadrele iframe vizibile sunt ușor de observat, cu toate acestea, cele mai multe dintre ele sunt atât de mici (uneori iau doar câțiva pixeli!) încât le puteți rata cu ușurință. Deschideți fișierul HTML într-un editor și căutați etichete <iframe> care încearcă să se conecteze la adrese URL necunoscute sau cu aspect suspect. Comentați-le punându-le în etichetele de comentarii HTML <!–. Nu ar trebui să vă opriți aici, pentru că probabil dacă ați manipulat fișiere HTML, înseamnă că site-ul dvs. este cu siguranță compromis și că ar putea exista și alte locuri în care site-ul dvs. a fost manipulat.

4. Site-ul dvs. web deschide ferestre pop-up la încărcare.

Acesta este, de asemenea, un semn ușor de observat. Site-ul dvs. încarcă ferestre pop-up care în mod clar nu sunt la locul lor. Unele dintre ele, numite pop-unders, sunt mai insidioase. Acestea nu sunt vizibile atunci când vizitați site-ul dvs. web, dar sunt încărcate în fundal. Cu toate acestea, dacă minimizați browserul, le vedeți instantaneu, ocupând de obicei o mare parte a ecranului.

Găzduiește-ți site-ul web cu Pressidium

GARANTIE 60 DE ZILE BANI RAPIS

VEZI PLANUL NOSTRU

5. Fișiere PHP deformate și cu aspect ciudat.

Descoperirea fișierelor PHP care par aparent de neînțeles, cum ar fi următorul exemplu, este întotdeauna un semn de avertizare clar că cineva a modificat site-ul dvs.:

<?php eval(„\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Termenul tehnic pentru aceste tipuri de fișiere este „obfuscat”. Obfuscarea este o tehnică comună folosită de hackeri pentru a ascunde sursa unei bucăți de cod de obicei răuvoitoare sau pentru a face foarte dificilă citirea și înțelegerea funcției acesteia.

6. Backdoors, webshell-uri, conturi de administrator

Webshell-urile sunt programe care pot fi folosite de hackeri pentru a se conecta de la distanță și pentru a obține acces administrativ complet la site-ul dvs. Aceste programe permit accesul web de la distanță la shell-ul serverului dumneavoastră (de unde și termenul webshell), astfel încât oricine se conectează la ele poate executa comenzi. Sunt șanse ca dacă găsiți undeva un fișier PHP ofuscat, acesta este un webshell.

Hackerii pot crea, de asemenea, conturi cu drepturi administrative pentru a le folosi ca uși din spate. Acestea sunt relativ ușor de găsit, deoarece sunt vizibile în backend-ul WordPress sau în baza de date.

Instrumente care vă ajută să identificați activitățile suspecte

Există mai multe instrumente care vă pot ajuta să identificați dacă site-ul dvs. web a fost modificat. Dacă credeți că ați fost compromis sau infectat, este o idee bună să vă verificați site-ul web folosindu-le pe toate. În acest fel, veți obține o vedere mai rotunjită, deoarece nu toate aceste servicii verifică aceleași lucruri. Toate resursele de mai jos sunt folosite gratuit și vă solicită doar să introduceți adresa URL a site-ului dvs.

În special, dacă credeți că sunteți infectat cu iframe rău intenționate, ferestre pop-up, redirecționări și alte fiare javascript, următoarele site-uri web vă vor anunța imediat:

  1. Sucuri's SiteCheck și demaskparazits . Acestea vor verifica dacă există programe malware cunoscute, dacă site-ul dvs. este pe lista neagră și multe altele.
  2. Raportul de transparență Google . Acest lucru vă va arăta dacă site-ul dvs. este considerat „periculos de vizitat” conform Google.
  3. VirusTotal este un serviciu gratuit care poate analiza adresele URL și fișierele pentru a vedea dacă acestea conțin conținut rău intenționat.
  4. Scaner online gratuit de malware pentru site-uri web de către PC Risk. Caută pe site-ul dvs. „„cod rău intenționat, cadre iframe ascunse, exploatări de vulnerabilități, fișiere infectate și alte activități suspecte”.
  5. Scanerul gratuit de programe malware de la Quttera . Caută în site-ul dvs. „scripturi suspecte, medii rău intenționate și alte amenințări de securitate web ascunse în conținut legitim și localizate pe site-uri web”. Produce un raport de securitate, fiecare constatare fiind clasificată în funcție de nivelul de amenințare.

Există, de asemenea, câteva pluginuri WordPress care vă ajută să vă mențineți site-ul WordPress în siguranță. Asigurați-vă că consultați și acest ghid excelent pentru cele 7 cele mai bune pluginuri de securitate WordPress de la InfoSec.

Este de cea mai mare importanță să vă curățați site-ul de îndată ce găsiți conținut rău intenționat și corectați vulnerabilitățile acestuia. Un site web compromis înseamnă întreruperi sau comportament anormal care poate și va afecta în cele din urmă mijloacele de trai ale afacerii tale!