วิธีระบุไซต์ WordPress ที่ถูกแฮ็ก

เผยแพร่แล้ว: 2017-04-14

ไซต์ WordPress ที่ถูกแฮ็กมักแสดงอาการหลายอย่าง ในโพสต์นี้ เราจะอธิบายว่าอาการเหล่านั้นคืออะไร และให้เครื่องมือบางอย่างแก่คุณในการระบุว่าเว็บไซต์ของคุณได้รับผลกระทบจากอาการเหล่านี้หรือไม่

อาการของเว็บไซต์ WordPress ที่ถูกแฮ็ก

อาการส่วนใหญ่เกี่ยวข้องกับเว็บไซต์ของคุณมีพฤติกรรมแปลก ๆ เช่นเดียวกับไฟล์ที่ดูแปลก ๆ และโค้ด HTML เริ่มปรากฏทางซ้ายและขวา มาดูกันทีละคน!

1. เว็บไซต์ของคุณเริ่มส่งสแปม

แม้ว่าการระบุสแปมที่เข้ามาจะง่ายกว่าการส่งสแปมมาก มีสองสิ่งที่คุณสามารถทำได้เพื่อดูว่ามีคนใช้ไซต์ของคุณเพื่อส่งสแปมหรือไม่:

  • ตรวจสอบบันทึกอีเมลของคุณ (โดยปกติจะอยู่ภายใต้ /var/log) เห็นจำนวนผิดปกติของอีเมลที่ถูกบล็อกโดย ผู้ส่ง 550 ถูกห้ามโดยข้อความแสดงข้อผิดพลาด SPF ถือว่าน่าสงสัย โดยเฉพาะถ้าคุณมีระเบียน SPF ที่กำหนดค่าไว้สำหรับโดเมนของคุณ แล้วมันจะเป็นธงแดงอย่างแน่นอน
  • มีเว็บไซต์หลายแห่ง เช่น MXToolbox และ UltraTools RBL Database LookUp ที่สามารถบอกคุณได้ว่าไซต์ของคุณถูกขึ้นบัญชีดำว่าเป็นแหล่งที่มาของสแปมหรือไม่ มีหลายแบบให้เลือก และคุณต้องค้นหาข้อมูลให้มากที่สุดเท่าที่จะหาได้ การไม่ขึ้นบัญชีดำไม่ได้หมายความว่าคุณชัดเจน 100%

2. เว็บไซต์ของคุณเปลี่ยนเส้นทางคุณไปที่อื่น

นี่อาจเป็นอาการที่ง่ายที่สุดในการสังเกต เมื่อคุณเยี่ยมชมเว็บไซต์ของคุณ แทนที่จะดูหน้าเว็บของคุณ คุณจะถูกเปลี่ยนเส้นทางไปยังที่แปลก ๆ ก่อนอื่น ให้ตรวจสอบว่าระเบียน DNS ของคุณมีการเปลี่ยนแปลงหรือไม่ และตอนนี้ชี้ไปที่ที่อยู่ IP อื่น

 หากระเบียน DNS ของคุณดูดี มีความเป็นไปได้สูงที่จะมีบางอย่างในหน้า HTML ของคุณที่ทำให้เกิดการเปลี่ยนเส้นทางนั้น ลองปิดการใช้งานการสนับสนุน Javascript ของเบราว์เซอร์ แล้วดูอีกครั้งว่าเว็บไซต์ของคุณเปลี่ยนเส้นทางคุณหรือไม่ หากการเปลี่ยนเส้นทางยังคงอยู่ แสดงว่าส่วนอื่นๆ ของเว็บไซต์ของคุณอาจถูกดัดแปลงมากที่สุด (ฐานข้อมูลของคุณ ไฟล์ .htaccess ของเว็บไซต์ หรือการกำหนดค่าเว็บเซิร์ฟเวอร์ของคุณ)

3. เว็บไซต์ของคุณมี iframe ที่น่าสงสัย

iframe คือเอกสาร HTML "ที่ฝัง" ภายใน HTML อื่น ซึ่งใช้เพื่อแสดงเนื้อหาจากแหล่งอื่น ซึ่งมักจะเป็นโฆษณา iframes ที่มองเห็นได้นั้นมองเห็นได้ง่าย แต่ส่วนใหญ่มีขนาดเล็กมาก (บางครั้งใช้พิกเซลเพียงสองสามพิกเซลเท่านั้น) ที่คุณพลาดได้ง่าย เปิดไฟล์ HTML ในตัวแก้ไขแล้วมองหาแท็ก <iframe> ที่พยายามเชื่อมต่อกับ URL ที่ไม่รู้จักหรือดูน่าสงสัย แสดงความคิดเห็นโดยใส่ไว้ในแท็กความคิดเห็น HTML <!– คุณไม่ควรหยุดอยู่แค่นั้น เพราะหากคุณมีการแก้ไขไฟล์ HTML นั่นหมายความว่าเว็บไซต์ของคุณถูกบุกรุกอย่างแน่นอน และอาจมีที่อื่นๆ ที่เว็บไซต์ของคุณถูกดัดแปลงแก้ไข

4. เว็บไซต์ของคุณเปิดป๊อปอัปเมื่อโหลด

นี่เป็นสัญญาณที่สังเกตได้ง่าย เว็บไซต์ของคุณโหลดหน้าต่างป๊อปอัปที่ไม่อยู่ในตำแหน่งอย่างชัดเจน บางคนเรียกว่าป๊อปอันเดอร์ร้ายกาจมากกว่า สิ่งเหล่านี้จะไม่ปรากฏเมื่อคุณเยี่ยมชมเว็บไซต์ของคุณ แต่ถูกโหลดในพื้นหลัง อย่างไรก็ตาม หากคุณย่อขนาดเบราว์เซอร์ คุณจะเห็นได้ทันที ซึ่งมักจะกินพื้นที่ส่วนใหญ่ของหน้าจอ

โฮสต์เว็บไซต์ของคุณด้วย Pressidium

รับประกันคืนเงิน 60 วัน

ดูแผนของเรา

5. ไฟล์ PHP ที่อ่านไม่ออกและดูแปลกตา

การค้นหาไฟล์ PHP ที่ดูเหมือนเข้าใจยาก เช่น ตัวอย่างต่อไปนี้เป็นสัญญาณเตือนที่แน่ชัดว่ามีใครบางคนเข้ามายุ่งเกี่ยวกับเว็บไซต์ของคุณ:

<?php eval(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

ศัพท์เทคนิคสำหรับไฟล์ประเภทนี้คือ "ทำให้งง" Obfuscation เป็นเทคนิคทั่วไปที่ใช้โดยแฮ็กเกอร์เพื่อซ่อนแหล่งที่มาของโค้ดที่มักจะมุ่งร้ายหรือทำให้อ่านและทำความเข้าใจได้ยาก

6. แบ็คดอร์, เว็บเชลล์, บัญชีผู้ดูแลระบบ

Webshells คือโปรแกรมที่แฮ็กเกอร์สามารถใช้เพื่อเชื่อมต่อจากระยะไกลและเข้าถึงการดูแลระบบในเว็บไซต์ของคุณได้อย่างเต็มที่ โปรแกรมเหล่านี้อนุญาตให้เข้าถึงเว็บจากระยะไกลไปยังเชลล์ของเซิร์ฟเวอร์ของคุณ (ด้วยเหตุนี้จึงเรียกว่า webshell) เพื่อให้ทุกคนที่เชื่อมต่อสามารถรันคำสั่งได้ เป็นไปได้มากที่ถ้าคุณพบไฟล์ PHP ที่ทำให้งงที่ไหนสักแห่ง แสดงว่าเป็นเว็บเชลล์

แฮกเกอร์สามารถสร้างบัญชีที่มีสิทธิ์ของผู้ดูแลระบบเพื่อใช้เป็นแบ็คดอร์ได้ สิ่งเหล่านี้หาได้ง่ายเนื่องจากมองเห็นได้ในแบ็กเอนด์ของ WordPress หรือในฐานข้อมูลของคุณ

เครื่องมือที่จะช่วยคุณระบุกิจกรรมที่น่าสงสัย

มีเครื่องมือหลายอย่างที่สามารถช่วยคุณระบุว่าเว็บไซต์ของคุณถูกดัดแปลงหรือไม่ หากคุณคิดว่าคุณถูกบุกรุกหรือติดไวรัส คุณควรตรวจสอบเว็บไซต์ของคุณโดยใช้สิ่งเหล่านี้ทั้งหมด ด้วยวิธีนี้ คุณจะได้มุมมองที่โค้งมนมากขึ้น เนื่องจากบริการเหล่านี้ไม่ได้ตรวจสอบสิ่งเดียวกันทั้งหมด แหล่งข้อมูลด้านล่างทั้งหมดใช้งานได้ฟรีและกำหนดให้คุณต้องพิมพ์ URL เว็บไซต์ของคุณเท่านั้น

โดยเฉพาะอย่างยิ่ง หากคุณคิดว่าคุณติดไวรัส iframe ที่เป็นอันตราย ป๊อปอัป การเปลี่ยนเส้นทาง และจาวาสคริปต์อื่นๆ เว็บไซต์ต่อไปนี้จะแจ้งให้คุณทราบทันที:

  1. SiteCheck ของ Sucuri และ unmaskparasites ของ Sucuri สิ่งเหล่านี้จะตรวจหามัลแวร์ที่รู้จัก ไม่ว่าเว็บไซต์ของคุณจะถูกขึ้นบัญชีดำหรือไม่ และอื่นๆ อีกมากมาย
  2. รายงานเพื่อความโปร่งใส ของ Google สิ่งนี้จะแสดงให้คุณเห็นว่าเว็บไซต์ของคุณถือว่า "อันตรายต่อการเข้าชม" ตาม Google หรือไม่
  3. VirusTotal เป็นบริการฟรีที่สามารถวิเคราะห์ URL และไฟล์ต่างๆ เพื่อดูว่ามีเนื้อหาที่เป็นอันตรายหรือไม่
  4. เครื่องสแกนมัลแวร์เว็บไซต์ออนไลน์ฟรี โดยความเสี่ยงจากพีซี ค้นหาไซต์ของคุณสำหรับ ""โค้ดที่เป็นอันตราย, iframes ที่ซ่อนอยู่, ช่องโหว่, ไฟล์ที่ติดไวรัส และกิจกรรมที่น่าสงสัยอื่นๆ"
  5. เครื่องสแกนมัลแวร์เว็บไซต์ฟรี ของ Quttera ค้นหาไซต์ของคุณสำหรับ "สคริปต์ที่น่าสงสัย สื่อที่เป็นอันตราย และภัยคุกคามด้านความปลอดภัยของเว็บอื่นๆ ที่ซ่อนอยู่ในเนื้อหาที่ถูกต้องตามกฎหมายและอยู่บนเว็บไซต์" จัดทำรายงานความปลอดภัย โดยการค้นหาแต่ละรายการจะจัดหมวดหมู่ตามระดับการคุกคาม

นอกจากนี้ยังมีปลั๊กอิน WordPress หลายตัวที่ช่วยรักษาไซต์ WordPress ของคุณให้ปลอดภัย อย่าลืมตรวจสอบ คำแนะนำที่ยอดเยี่ยมนี้เกี่ยวกับ 7 ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุด โดย InfoSec

การล้างไซต์ของคุณเป็นสิ่งสำคัญที่สุดทันทีที่คุณพบเนื้อหาที่เป็นอันตรายและแก้ไขช่องโหว่ของไซต์ เว็บไซต์ที่ถูกบุกรุกหมายถึงการหยุดทำงานหรือพฤติกรรมผิดปกติที่สามารถและจะส่งผลต่อการทำมาหากินของธุรกิจของคุณในท้ายที่สุด!