Как очистить взломанный сайт WordPress
Опубликовано: 2022-06-15Взломанный сайт WordPress — это не та тема, о которой хотят думать большинство владельцев сайтов WordPress. Но они представляют собой реальную проблему, затрагивающую более 30 000 веб-сайтов каждый день.
Если ваш сайт WordPress стал жертвой взлома, какие именно шаги вы должны предпринять, чтобы полностью очистить его и вернуть к нормальной работе? Ваш взломанный сайт теперь полностью бесполезен или его можно восстановить? Давайте погрузимся.
Представляем Кэти Зант, эксперта по безопасности WordPress
Недавно эксперт по безопасности WordPress Кэти Зант провела живой вебинар для iThemes, показав, как именно очистить взломанный сайт WordPress.
Кэти Зант работает в мире WordPress более десяти лет. И ее опыт в области безопасности WordPress, особенно в том, что касается очистки зараженных сайтов, не имеет себе равных.
Помимо своего опыта в области безопасности WordPress, Кэти также работала в сфере маркетинга для ряда различных брендов в сфере WordPress. Кроме того, она была организатором WordCamp Phoenix и WordCamp US.
В настоящее время она проживает в Техасе, где ее часто можно увидеть гуляющей со своими лошадьми и выгуливающей своих золотистых ретриверов.
«В первую очередь мы собираемся поговорить о том, — говорит Кэти, — как узнать, что ваш веб-сайт был взломан? Каковы некоторые из признаков? Какие первые шаги вы должны предпринять, как только у вас возникнет подозрение, что вас взломали?»
Далее она говорит: «Как разработать стратегию, быстрый и простой способ очистить свой сайт? И после того, как он будет очищен, я покажу вам, как защитить ваш сайт. А также дать несколько ключевых советов, как восстановить репутацию вашего сайта, что тоже крайне важно».
В этом подробном руководстве мы раскроем ключевые моменты живого вебинара Кэти Зант по очистке взломанных веб-сайтов WordPress. К концу вы будете точно знать, что вам нужно делать, если вы когда-нибудь окажетесь жертвой взломанного сайта WordPress.
Как узнать, что ваш сайт WordPress был взломан?
Прежде всего, важно понимать, что то, что ваш сайт не работает, не обязательно означает, что имел место взлом или вторжение злоумышленника. Но вам нужно определить, имел ли место взлом.
В чем именно проблема с вашим сайтом? Что конкретно происходит? Каковы признаки того, что у вас проблемы с руками?
Вот несколько вещей, на которые следует обратить внимание, если вы подозреваете, что ваш сайт WordPress был взломан:
- Файлы на вашем сервере или в вашей установке WordPress, которые не должны существовать (это требует достаточного количества знаний, чтобы знать наверняка).
- Файлы с последними датами изменения. Если все файлы в вашем каталоге
wp-includes
имеют дату изменения 2022-01-12, а один из них имеет дату изменения 2022-06-02, то вы должны сильно подозревать этот недавно измененный файл. - Странные запросы в ваших журналах доступа. Это может указать вам на файл, используемый для изменения файлов вашего сайта.
Специфика проблемы, которую вы видите, автоматически начнет информировать вас о том, что вам нужно сделать, чтобы решить ее.
Теперь, если у вас есть текущая резервная копия вашего сайта, вы наверняка захотите немедленно восстановить свой сайт из резервной копии. Плагин BackupBuddy — идеальное решение для всегда актуальных резервных копий.
В этом случае ваше исправление будет довольно простым.
Но если текущих резервных копий нет, вы незаметно переходите в режим восстановления, и вашей задачей будет очистить сайт.
Кэти объясняет: «Представьте, что кто-то приходит к вам. У них есть взломанный сайт, а их веб-разработчик пропал без вести. Самое первое, что вы хотите сделать, это сделать резервную копию взломанного сайта».
«Причина в том, что мы хотим сохранить доказательства взлома в том виде, в каком мы их нашли. По сути, мы хотим создать резервную копию, если вы можете получить доступ к WP Admin. Просто загрузите плагин BackupBuddy и сделайте резервную копию всего, включая базу данных».
И вы захотите сохранить резервную копию в месте, которое находится за пределами текущего сервера веб-сайта, потому что вы хотите, чтобы весь сайт находился вдали от скомпрометированного сервера.
Как только это будет завершено, пришло время разработать стратегию. Что именно делает сайт?
Это:
- Перенаправление трафика сайта в плохое соседство?
- Заражение устройств посетителей сайта при переходе по ссылкам, встроенным в сайт?
- Кража номеров кредитных карт клиентов с помощью скиммера в установке WooCommerce?
- Причинение общего вреда в Интернете?
Если это так, вы захотите немедленно положить этому конец, полностью отключив сайт. Затем создайте страницу «скоро».
После этого заблокируйте сайт учетной записью хостинга. Некоторые учетные записи хостинга автоматически приостанавливают работу сайтов, если обнаруживают признаки взлома и вероятность взлома сайта.
Приступаем к очистке взломанного сайта WordPress
После этого вам нужно зайти в cPanel сайта и взять все в папку public_html, заархивировать и загрузить на жесткий диск вашей локальной рабочей станции. Причина, по которой вы хотите очистить каждый файл в разделе public_html, заключается в том, что вам нужно предположить, что все полностью заражено.
Затем перейдите в файл версии в разделе wp-includes
, и вы увидите версию WordPress, которую использует сайт. Текущая версия WordPress — 6.0. Но есть вероятность, что сайт давно не обновлялся.
Мы хотим создать чистую версию сайта на основе текущей версии. Поэтому, если он использует более раннюю версию, загрузите zip-файл для этой конкретной версии, а затем начните создавать чистую версию сайта с этой свежей загрузкой.
Далее вам нужно определить, какие темы используются на взломанном сайте. Допустим, на сайте работает Kadence 2020, 2021 и 2022. Если сайт все еще работает и работает, просто войдите в wp-admin и проверьте, какая тема запущена.
Вы также захотите узнать, какая версия темы используется. Для этого перейдите в «readme», и там будет указана используемая версия.
В файлах темы найдите стабильный тег, который вы хотите использовать с вашей конкретной темой. Затем перейдите в репозиторий версий темы, где вы найдете все доступные версии темы.
Если на сайте не используется самая последняя версия темы, загрузите именно ту версию, которую он использует.
Это же правило справедливо и для плагинов. Когда вы заходите в любой плагин в списке плагинов вашего сайта и переходите к расширенному просмотру, просто прокрутите вниз, чтобы найти версию плагина.
Конечно, есть вероятность, что ваш сайт скомпрометирован из-за уязвимого плагина. Но даже если это так, вы все равно захотите создать сайт таким, какой он есть, включая уязвимый плагин.
Это поможет показать нам, где именно находится вредоносное ПО на взломанном сайте.
Что наиболее важно, так это то, что вы хотите начать свой чистый сайт именно там, где он сейчас находится. Затем используйте такой инструмент, как UltraCompare, который быстро покажет вам, что пошло не так с сайтом. Это отличный инструмент, и у него есть бесплатная версия, которую вы можете использовать в течение 30 дней.
Отсюда вы будете создавать чистый сайт, соответствующий вашему взломанному сайту. Инструмент UltraCompare точно покажет вам, что не совпадает, поэтому взломанный сайт можно будет правильно очистить.
Разработайте свой план атаки
Далее вам нужно предположить вектор вторжения. Он может сообщить вам, где именно искать наличие вредоносного ПО:
- Происходит ли текущая атакующая кампания?
- Как давно сайт заражен?
- Какие темы и плагины нуждаются в обновлении?
Теперь вы можете разработать план атаки. Не забудьте сначала удалить самые опасные части в следующем порядке:
- Сменить все пароли
- Удалить все спам-ссылки
- Удалить бэкдоры
- Исправление всех уязвимостей
- Удалить вредоносные перенаправления
Убедившись, что все угрозы устранены с сайта, вы можете вернуться в cPanel своего сайта и загрузить чистые файлы сайта, чтобы восстановить свой сайт.
Теперь пришло время полностью защитить сайт, чтобы любые потенциальные взломы в будущем были быстро предотвращены.
Чтобы обезопасить свой сайт:
- Удалите всех неузнаваемых пользователей-администраторов (или установите их только для подписчиков)
- Сменить все пароли администратора/редактора
- Изменить пароль FTP
- Изменить пароль от учетной записи хостинга
- Измените пароль базы данных WordPress и обновите файл wp-config.php.
- Измените соли wp-config.php
- Проверьте настройки, чтобы убедиться, что «любой может зарегистрироваться» установлен только для подписчика.
- Установите плагин iThemes Security и активируйте следующие настройки:
- Включите двухфакторную аутентификацию для всех пользователей с правами администратора.
- Включите iThemes Site Scan для поиска уязвимых плагинов, тем и основных версий WordPress.
- Включите управление версиями с автоматическим исправлением уязвимостей.
- Включить обнаружение изменения файла
- Убедитесь, что резервное копирование выполняется по расписанию
- Тестовые резервные копии
Как объясняет Кэти: «Вы определенно захотите установить iThemes Security и активировать настройки, которые будут информировать вас, если на сайт когда-либо снова произойдет какое-либо вторжение. И обязательно активируйте двухфакторную авторизацию для всех ваших административных пользователей».
Далее она говорит: «Вы захотите защитить сайт всеми возможными способами. Запустите сканирование сайта в iThemes Security, чтобы найти уязвимые темы, плагины и основные версии WordPress. Просто убедитесь, что все в порядке».
«И включите управление версиями. Это будет ваша первая линия обороны на случай повторного вторжения. Затем убедитесь, что у вас установлен плагин BackupBuddy, и протестируйте свои резервные копии. Убедитесь, что ваши резервные копии отправляются с сервера, и протестируйте их, чтобы убедиться, что вы можете их восстановить».
«Убедитесь, что все файлы SQL для базы данных также присутствуют, и убедитесь, что все ваши резервные копии выполняются по расписанию».
Восстановление репутации вашего сайта после взлома
Простая очистка и восстановление вашего взломанного сайта WordPress не восстановит репутацию сайта автоматически. На самом деле, вам нужно сделать несколько вещей, чтобы Google и другие поисковые системы не продолжали наказывать ваш сайт после того, как он был взломан и очищен.
Часто первым признаком того, что ваш сайт был взломан, является уведомление Google о ситуации. Чтобы узнать, как Google в настоящее время просматривает ваш сайт, перейдите в Google Search Console.
Во-первых, если вы обнаружите какие-либо посторонние файлы Sitemap в Search Console, которых там быть не должно, или которые, по-видимому, содержат спам-ссылки, вам следует немедленно их удалить.
Вы также можете найти файл Google в корне каталога WordPress, который дал хакеру доступ к консоли поиска вашего сайта. Когда вы перейдете в Search Console и перейдете в «Настройки», внимательно посмотрите на карты сайта, чтобы увидеть, были ли в этой области настроены какие-либо незаконные карты сайта.
После этого вы захотите взглянуть на любые проблемы безопасности, которые существуют в Search Console. Если в настоящее время отображается большой красный экран гибели и мрака от Google, вы увидите несколько больших флажков в консоли поиска в разделе «Проблемы безопасности».
И здесь вы попросите Google проверить ваш сайт после его очистки.
«Теперь, что касается Google AdWords, — объясняет Кэти, — у вас может быть самый чистый сайт в мире, но Google AdWords может по-прежнему сообщать вам о наличии проблемы. Ключевым моментом здесь является просто продолжать попытки с ними. Иногда они смотрят на другие вещи, чем вы, но вы знаете, что консоль поиска поможет вам только с иногда вводящими в заблуждение предупреждениями о сайтах AdWords».
Многие пользователи вашего сайта также могут использовать на своих устройствах антивирусное программное обеспечение Norton или McAfee. Из-за этого также важно, чтобы вы работали с этими компаниями, чтобы очистить любые черные списки, в которые ваш сайт мог попасть после взлома.
Кроме того, если ваш сайт рассылает спам, вам необходимо очистить свою репутацию в Spamhaus. Для этого вам понадобится IP-адрес вашего сайта, чтобы очистить репутацию этого адреса от Spamhaus.
Каждый из этих шагов важен для восстановления репутации вашего сайта после взлома.
Контрольный список для очистки взломанного сайта WordPress
Давайте погрузимся в полный контрольный список Кэти о том, как очистить взломанный сайт WordPress. Вы также можете скачать его здесь.
Шаг 1: Планирование очистки
- Действительно ли сайт заражен? Да нет наверное
- Создайте резервную копию взломанного сайта. (Да, даже вредоносные программы.)
- Загрузите резервную копию файлов сайта и базы данных, а также файлы журналов на свой компьютер.
- Определите, нужно ли сделать сайт недоступным.
- Это перенаправление посетителей сайта или использование ресурсов сервера? Находится ли он под активной атакой? Сними это.
- Просто спамить ссылками и не подвергаться активной атаке? Вы, вероятно, можете оставить это
- Угадайте вектор вторжения; это может сообщить вам, где искать вредоносное ПО.
- Есть ли текущая атакующая кампания?
- Как давно сайт заражен?
- Какие плагины/темы нуждаются в обновлении?
- Разработайте план атаки в таком порядке. Сначала удалите самые опасные части.
- Удалить вредоносные перенаправления
- Удалить бэкдоры
- Исправление уязвимостей
- Изменить пароли
- Удалить спам-ссылки
- Примечание:
- Номер версии ядра WordPress:
- Активная тема:
- Неактивные темы:
- Активные плагины:
- Неактивные плагины:
Шаг 2: Контрольный список процесса очистки взломанного веб-сайта
- Загрузите версию ядра WP, соответствующую зараженному сайту.
- Сравните загруженные файлы чистого сайта с файлами взломанного сайта
- Сравнить каталоги
- wp-админ
- Wp-включает
- Корневые файлы (кроме wp-config.php и .htaccess)
- Собрать чистую копию wp-content
- Все активные плагины
- Активная тема (и дочерняя тема)
- Найдите любые файлы php в wp-content/uploads/ (кроме пустых файлов index.php)
- Полностью просмотрите файл .htaccess вручную.
- Полностью просмотрите файл wp-config.php.
- Сравнить каталоги
- Проверьте свою базу данных WordPress. Мы очистим это после того, как очистим файлы с помощью PHPMyAdmin.
- таблица wp_posts
- таблица wp_options
- Проверить наличие вредоносных пользователей (wp_users)
- Если в вашем wp_posts есть вредоносное ПО:
- Используйте плагин WP Optimize для оптимизации вашей базы данных и удаления черновиков и удаленных сообщений. (Это просто значительно упрощает очистку данных)
Поместите очищенные файлы сайта обратно на сервер и замените их.
- Используя подключаемый модуль BackupBuddy, загрузите восстановленный файл public_html_clean на том же уровне, что и ваш каталог public_html.
- Переименуйте public_html в public_html_hacked.
- Переименуйте public_html_clean в public_html.
Шаг 3: Контрольный список процесса очистки взломанного веб-сайта
Сразу после замены взломанного сайта пришло время защитить его.
- Удалите всех неузнаваемых пользователей-администраторов (или сделайте их только подписчиками)
- Сменить все пароли администратора/редактора
- Изменить пароль FTP
- Изменить пароль от учетной записи хостинга
- Измените пароль базы данных WordPress и обновите файл wp-config.php.
- Измените соли wp-config.php
- Проверьте настройки, чтобы убедиться, что «любой может зарегистрироваться» установлен только для подписчика.
- Включить двухфакторную аутентификацию для всех пользователей с правами администратора
- Включите iThemes Site Scan для поиска уязвимых плагинов, тем и основных версий WordPress.
- Включите управление версиями с автоматическим исправлением уязвимостей.
- Включить обнаружение изменения файла
- Убедитесь, что резервное копирование выполняется по расписанию
- Тестовые резервные копии
Шаг 4: Восстановление репутации взломанного сайта
Как только сайт будет очищен и защищен, восстановите его репутацию.
- Безопасный просмотр Google
- В Google Search Console запросите проверку. Ожидайте 24-часовой оборот. Посещать:
- https://support.google.com/webmasters/answer/168328?hl=ru
- https://www.google.com/webmasters/tools/security-issues
- Перейдите в Google и выполните поиск «site:example.com», чтобы увидеть, что видит Google.
- Макафи
- Нортон
- Spamhaus, если ваш сайт рассылает спам
Дополнительные шаги по очистке веб-сайта
- Просмотрите файлы журналов, чтобы узнать, как они попали.
- Убедитесь, что ваш сайт является единственной установкой WordPress в учетной записи хостинга. Если у вас есть другие сайты, они могут быть вектором вторжения, если вы не обеспечиваете их безопасность.
- Для всех, у кого есть доступ администратора, убедитесь, что программное обеспечение обновлено, а пароли защищены.
- Безопасные компьютеры
- Безопасные учетные записи электронной почты
- Безопасные аккаунты в социальных сетях
- Безопасные мобильные телефоны
Как защитить ваш сайт WordPress от взлома
Хотя не существует такой вещи, как сайт со 100% гарантией безопасности, есть некоторые меры, которые вы можете предпринять, чтобы максимально обезопасить сайт.
1. Будьте очень осторожны при загрузке плагинов и тем.
Плагины и темы могут поступать с сомнительных сайтов, на которых есть код, который положил начало хакерским атакам. Существуют даже вирусы для плагинов и тем, которые автоматически заражают все остальные плагины и темы на сайте, поэтому, даже если вы очистите один из них, он автоматически заразится повторно.
2. Не запускайте устаревшие версии WordPress, тем или плагинов.
Убедитесь, что WordPress и все темы и плагины на вашем сайте обновлены. Удалите деактивированные плагины. Не оставляйте их в папке wp-content/plugins. Деактивированные плагины представляют собой потенциальную угрозу безопасности, поскольку они не часто обновляются. iThemes Sync Pro — это инструмент, который позволяет вам управлять несколькими сайтами WordPress, чтобы обновлять WordPress, темы и плагины одним щелчком мыши.
3. Не оставайтесь без надежной стратегии резервного копирования WordPress.
Часто делайте резервную копию своего сайта WordPress. Ключевым моментом является наличие здоровой полной резервной копии вашего сайта. Держите архив из нескольких файлов резервных копий. Если произойдет авария, вам понадобится резервная копия для восстановления вашего сайта (после очистки сервера). Небольшой совет по файлам резервных копий: время от времени запускайте несколько пробных восстановлений файлов резервных копий.
Наличие резервной копии, которую вы не можете восстановить, вероятно, самое худшее, что может случиться (после взлома). BackupBuddy позволяет настроить резервное копирование по расписанию, которое будет выполняться автоматически, а файлы резервных копий можно сохранять в удаленном месте. Это должно дать вам душевное спокойствие, что у вас всегда будет исправный файл резервной копии.
4. Используйте авторитетный плагин безопасности WordPress.
Вы можете принять меры, чтобы сделать ваш сайт WordPress более безопасным. iThemes Security, плагин безопасности WordPress, позволяет защитить ваш сайт WordPress. Есть несколько способов запретить доступ к вашей панели управления WordPress, отслеживать изменения файлов, сканировать на наличие вредоносных программ и так далее.
5. Не используйте слабые пароли.
Убедитесь, что вы практикуете защиту паролей WordPress, используя длинные и сложные пароли. Активируйте двухфакторную аутентификацию WordPress для дополнительного уровня безопасности.
6. Не забывайте время от времени проверять безопасность WordPress.
Возьмите за привычку регулярно оценивать ситуацию с безопасностью вашего сайта. Точно так же, как вы периодически проверяете уровень масла в автомобиле. Плагин iThemes Security позволяет запустить сканирование сайта, чтобы убедиться, что вы используете рекомендуемые настройки безопасности. Обязательно защитите WordPress с помощью этих 10 советов по безопасности WordPress.
7. Используйте хостинговую компанию, которая специализируется на WordPress.
Наконец, убедитесь, что вы размещаете свой сайт у поставщика, который понимает проблемы и риски, связанные с размещением сайтов WordPress, например управляемый хостинг WordPress от Liquid Web. Вам нужен хостинг-провайдер, который сделает все возможное со своей (серверной) стороны, чтобы обеспечить безопасную и хорошо защищенную среду хостинга.
Очистка взломанного сайта WordPress как эксперт
Теперь, когда вы понимаете, как распознать, очистить и восстановить репутацию взломанного сайта WordPress, вашей следующей целью должно быть обеспечение того, чтобы этот кошмар больше никогда не повторился.
В конце концов, даже если ваш сайт восстановлен и работает, учтите доход, потерянный во время незапланированного простоя.
Нет лучшего шага, который вы можете предпринять, чтобы полностью обезопасить свой сайт WordPress, чем загрузить, установить и активировать все ключевые функции плагина iThemes Security Pro. А в случае любых неожиданных атак обязательно выполняйте резервное копирование по расписанию с помощью BackupBuddy.
Когда эти два плагина используются вместе, вам больше никогда не придется беспокоиться о взломе вашего сайта.
Посмотрите повтор вебинара: Как очистить взломанный сайт WordPress
Лучший плагин безопасности WordPress для защиты и защиты WordPress
В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злым умыслом. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, чтобы упростить защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.
Кристен пишет учебные пособия, чтобы помочь пользователям WordPress с 2011 года. Как директор по маркетингу здесь, в iThemes, она стремится помочь вам найти лучшие способы создания, управления и поддержки эффективных веб-сайтов WordPress. Кристен также любит вести дневник (ознакомьтесь с ее побочным проектом «Год трансформации !»), походы и кемпинги, степ-аэробику, кулинарию и ежедневные приключения со своей семьей, надеясь жить более настоящей жизнью.