So überprüfen, entfernen und verhindern Sie Malware von Ihrer WordPress-Site

So entfernen Sie Malware aus WordPress

Diese Woche war ziemlich voll. Eine der gemeinnützigen Organisationen, die ich kenne, befand sich in einer ziemlich misslichen Lage – ihre WordPress-Seite war mit Malware infiziert. Die Website wurde gehackt und Skripte wurden auf Besuchern ausgeführt, die zwei verschiedene Dinge taten:

  1. Versucht, Microsoft Windows mit zu infizieren Malware.
  2. Alle Benutzer wurden auf eine Site umgeleitet, auf der JavaScript verwendet wurde, um den PC des Besuchers zu nutzen meine Kryptowährung.

Ich stellte fest, dass die Website gehackt wurde, als ich sie besuchte, nachdem ich auf den neuesten Newsletter geklickt hatte, und informierte sie sofort darüber, was los war. Leider war es ein ziemlich aggressiver Angriff, den ich entfernen konnte, aber die Site sofort wieder infizierte, als ich live ging. Dies ist eine ziemlich übliche Praxis von Malware-Hackern - sie hacken nicht nur die Site, sondern fügen der Site entweder einen Administrator hinzu oder ändern eine WordPress-Kerndatei, die den Hack erneut injiziert, wenn er entfernt wird.

Malware ist ein Dauerthema im Internet. Malware wird verwendet, um die Klickraten für Anzeigen zu erhöhen (Werbebetrug), Website-Statistiken aufzublähen, um Werbetreibende zu überlasten, zu versuchen, Zugang zu den finanziellen und persönlichen Daten der Besucher zu erhalten, und zuletzt – um Kryptowährung zu schürfen. Bergleute werden für das Schürfen von Daten gut bezahlt, aber die Kosten für den Bau von Bergbaumaschinen und die Bezahlung der Stromrechnungen dafür sind erheblich. Durch die heimliche Nutzung von Computern können Bergleute ohne Kosten Geld verdienen.

WordPress und andere gängige Plattformen sind große Ziele für Hacker, da sie die Grundlage für so viele Websites im Web bilden. Darüber hinaus verfügt WordPress über eine Design- und Plugin-Architektur, die die wichtigsten Site-Dateien nicht vor Sicherheitslücken schützt. Darüber hinaus ist die WordPress-Community hervorragend darin, Sicherheitslücken zu identifizieren und zu beheben - aber Websitebesitzer sind nicht so wachsam, wenn es darum geht, ihre Website mit den neuesten Versionen auf dem neuesten Stand zu halten.

Diese spezielle Site wurde auf GoDaddys traditionellem Webhosting gehostet (nicht Managed WordPress-Hosting), die keinen Schutz bietet. Natürlich bieten sie eine Malware-Scanner und Entfernung Service, obwohl. Verwaltete WordPress-Hosting-Unternehmen wie Schwungrad, WP-Engine, LiquidWeb, GoDaddy und Pantheon Alle bieten automatische Updates, um Ihre Sites auf dem neuesten Stand zu halten, wenn Probleme erkannt und gepatcht werden. Die meisten haben Malware-Scans und Themen und Plugins auf der schwarzen Liste, um Website-Eigentümern dabei zu helfen, einen Hack zu verhindern. Einige Unternehmen gehen noch einen Schritt weiter – Kinsta – ein leistungsstarker Managed WordPress-Host – bietet sogar einen an Sicherheitsgarantie.

Außerdem ist das Team von Jetpack bietet einen großartigen Service, um Ihre Website täglich automatisch auf Malware und andere Schwachstellen zu überprüfen. Dies ist eine ideale Lösung, wenn Sie WordPress auf Ihrer eigenen Infrastruktur selbst hosten.

Jetpack scannt WordPress auf Malware

Sie können auch einen erschwinglichen Drittanbieter verwenden Malware-Scan-Service mögen Site-Scanner, das Ihre Website täglich scannt und Sie darüber informiert, ob Sie bei aktiven Malware-Überwachungsdiensten auf der schwarzen Liste stehen oder nicht.

Ist Ihre Website für Malware auf der schwarzen Liste:

Es gibt viele Websites online, die dafür werben Überprüfung Ihre Website auf Malware, aber denken Sie daran, dass die meisten von ihnen Ihre Website überhaupt nicht in Echtzeit überprüfen. Für Malware-Scans in Echtzeit ist ein Crawling-Tool eines Drittanbieters erforderlich, das nicht sofort Ergebnisse liefern kann. Die Websites, die eine sofortige Überprüfung anbieten, sind Websites, die zuvor festgestellt haben, dass Ihre Website Malware enthält. Einige der Malware-Überprüfungsseiten im Internet sind:

  • Google-Transparenzbericht - Wenn Ihre Site bei Webmasters registriert ist, werden Sie sofort benachrichtigt, wenn sie Ihre Site crawlen und Malware darauf finden.
  • Norton Safe Web - Norton betreibt auch Webbrowser-Plugins und Betriebssystemsoftware, die Benutzer daran hindern, Ihre Seite abends zu öffnen, wenn sie auf die schwarze Liste gesetzt wurden. Websitebesitzer können sich auf der Website registrieren und eine Neubewertung ihrer Website beantragen, sobald diese sauber ist.
  • Sucuri - Sucuri führt eine Liste der Malware-Websites sowie einen Bericht darüber, wo sie auf die schwarze Liste gesetzt wurden. Wenn Ihre Site bereinigt ist, wird a angezeigt Erzwingen Sie einen erneuten Scan Link unter der Auflistung (in sehr kleinem Druck). Sucuri hat ein hervorragendes Plugin, das Probleme erkennt… und Sie dann in einen Jahresvertrag schiebt, um sie zu entfernen.
  • Yandex - Wenn Sie Yandex nach Ihrer Domain durchsuchen und „Laut Yandex könnte diese Seite gefährlich sein “, Sie können sich für Yandex-Webmaster registrieren, Ihre Website hinzufügen und zu navigieren Sicherheit und Verstößeund fordern Sie die Freigabe Ihrer Website an.
  • Phishtank - Einige Hacker stellen Phishing-Skripte auf Ihrer Website bereit, mit denen Ihre Domain als Phishing-Domain aufgeführt werden kann. Wenn Sie die genaue, vollständige URL der gemeldeten Malware-Seite in Phishtank eingeben, können Sie sich bei Phishtank registrieren und abstimmen, ob es sich wirklich um eine Phishing-Site handelt oder nicht.

Sofern Ihre Website nicht registriert ist und Sie irgendwo ein Überwachungskonto haben, erhalten Sie wahrscheinlich einen Bericht von einem Benutzer eines dieser Dienste. Ignorieren Sie die Warnung nicht … Sie sehen zwar kein Problem, aber Fehlalarme treten selten auf. Diese Probleme können dazu führen, dass Ihre Website von Suchmaschinen deindexiert und von Browsern blockiert wird. Schlimmer noch, Ihre potenziellen Kunden und bestehenden Kunden fragen sich vielleicht, mit welcher Art von Organisation sie zusammenarbeiten.

Wie suchen Sie nach Malware?

Mehrere der oben genannten Unternehmen sprechen davon, wie schwierig es ist, Malware zu finden, aber es ist nicht ganz so schwierig. Die Schwierigkeit besteht darin, herauszufinden, wie es auf Ihre Website gelangt ist! Bösartiger Code befindet sich am häufigsten in:

  • Wartung - Zeigen Sie vor allem auf a Wartungsseite und sichern Sie Ihre Website. Verwenden Sie nicht die Standardwartung von WordPress oder ein Wartungs-Plugin, da diese weiterhin WordPress auf dem Server ausführen. Sie möchten sicherstellen, dass niemand eine PHP-Datei auf der Site ausführt. Wenn Sie schon dabei sind, überprüfen Sie Ihre .htaccess Datei auf dem Webserver, um sicherzustellen, dass sie keinen Rogue-Code enthält, der den Datenverkehr möglicherweise umleitet.
  • Suche die Dateien Ihrer Site über SFTP oder FTP und identifizieren Sie die neuesten Dateiänderungen in Plugins, Themes oder WordPress-Kerndateien. Öffnen Sie diese Dateien und suchen Sie nach Änderungen, die Skripte oder Base64-Befehle hinzufügen (zum Ausblenden der Ausführung von Serverskripten).
  • vergleichen Die wichtigsten WordPress-Dateien in Ihrem Stammverzeichnis, im Verzeichnis wp-admin und im Verzeichnis wp-include, um festzustellen, ob neue Dateien oder Dateien unterschiedlicher Größe vorhanden sind. Problembehandlung für jede einzelne Datei. Selbst wenn Sie einen Hack finden und entfernen, suchen Sie weiter, da viele Hacker die Hintertüren verlassen, um die Site erneut zu infizieren. Überschreiben oder installieren Sie WordPress nicht einfach… Hacker fügen häufig schädliche Skripte in das Stammverzeichnis ein und rufen das Skript auf eine andere Weise auf, um den Hack einzuschleusen. Die weniger komplexen Malware-Skripte fügen normalerweise nur Skriptdateien ein header.php or footer.php. Bei komplexeren Skripten wird tatsächlich jede PHP-Datei auf dem Server mit Neuinjektionscode geändert, sodass Sie Schwierigkeiten haben, sie zu entfernen.
  • Entfernen Werbeskripte von Drittanbietern, die möglicherweise die Quelle sind. Ich habe mich geweigert, neue Werbenetzwerke zu verwenden, als ich gelesen habe, dass sie online gehackt wurden.
  • Shau Ihre Posts-Datenbanktabelle für eingebettete Skripte im Seiteninhalt. Sie können dies tun, indem Sie einfache Suchen mit PHPMyAdmin durchführen und nach den Anforderungs-URLs oder Skript-Tags suchen.

Bevor Sie Ihre Site live schalten, ist es jetzt an der Zeit, Ihre Site zu härten, um eine sofortige erneute Injektion oder einen anderen Hack zu verhindern:

Wie verhindern Sie, dass Ihre Website gehackt und Malware installiert wird?

  • Verify jeder Benutzer auf der Website. Hacker fügen häufig Skripte ein, die einen Administrator hinzufügen. Entfernen Sie alte oder nicht verwendete Konten und weisen Sie deren Inhalt einem vorhandenen Benutzer zu. Wenn Sie einen Benutzer namens haben AdministratorFügen Sie einen neuen Administrator mit einem eindeutigen Login hinzu und entfernen Sie das Administratorkonto vollständig.
  • Zurücksetzen Passwort jedes Benutzers. Viele Websites werden gehackt, weil ein Benutzer ein einfaches Passwort verwendet hat, das bei einem Angriff erraten wurde, sodass jemand in WordPress einsteigen und tun kann, was er möchte.
  • Deaktivieren die Möglichkeit, Plugins und Themes über WordPress Admin zu bearbeiten. Die Möglichkeit, diese Dateien zu bearbeiten, ermöglicht es jedem Hacker, dasselbe zu tun, wenn er Zugriff erhält. Machen Sie die WordPress-Kerndateien unbeschreiblich, damit Skripte den Kerncode nicht neu schreiben können. All in One hat ein wirklich tolles Plugin, das WordPress bietet Härten mit einer Menge Funktionen.
  • Von Hand Laden Sie die neuesten Versionen aller benötigten Plugins herunter und installieren Sie sie erneut. Entfernen Sie alle anderen Plugins. Entfernen Sie unbedingt administrative Plugins, die direkten Zugriff auf Site-Dateien oder die Datenbank ermöglichen. Diese sind besonders gefährlich.
  • Entfernen und ersetzen Sie alle Dateien in Ihrem Stammverzeichnis mit Ausnahme des Ordners wp-content (also root, wp-includes, wp-admin) durch eine Neuinstallation von WordPress, die direkt von ihrer Site heruntergeladen wurde.
  • Diff – Vielleicht möchten Sie auch zwischen einem Backup Ihrer Website, als Sie noch keine Malware hatten, und der aktuellen Website unterscheiden. Dies hilft Ihnen zu sehen, welche Dateien bearbeitet und welche Änderungen vorgenommen wurden. Diff ist eine Entwicklungsfunktion, die Verzeichnisse und Dateien vergleicht und Ihnen einen Vergleich zwischen beiden liefert. Bei der Anzahl an Updates, die an WordPress-Seiten vorgenommen werden, ist dies nicht immer die einfachste Methode – aber manchmal fällt der Malware-Code wirklich auf.
  • Hilft dabei deine Seite! Die Seite, an der ich an diesem Wochenende gearbeitet habe, hatte eine alte Version von WordPress mit bekannten Sicherheitslücken, alten Benutzern, die keinen Zugriff mehr haben sollten, alten Themen und alten Plugins. Es könnte einer von diesen gewesen sein, der das Unternehmen für Hackerangriffe geöffnet hat. Wenn Sie es sich nicht leisten können, Ihre Website zu pflegen, stellen Sie sicher, dass Sie sie an ein verwaltetes Hosting-Unternehmen übertragen, das dies tut! Ein paar Dollar mehr für das Hosting auszugeben, hätte dieses Unternehmen vor dieser Verlegenheit bewahren können.

Sobald Sie glauben, dass alles repariert und gehärtet ist, können Sie die Site wieder live schalten, indem Sie die entfernen .htaccess umleiten. Suchen Sie nach der gleichen Infektion, die zuvor vorhanden war, sobald sie aktiv ist. Normalerweise verwende ich die Inspektionstools eines Browsers, um Netzwerkanforderungen auf der Seite zu überwachen. Ich verfolge jede Netzwerkanforderung, um sicherzustellen, dass es sich nicht um Malware oder Rätsel handelt. Wenn dies der Fall ist, ist sie wieder ganz oben und führt die Schritte erneut aus.

Denken Sie daran – sobald Ihre Website sauber ist, wird sie nicht automatisch von den schwarzen Listen entfernt. Sie sollten sich an jeden wenden und die Anfrage gemäß unserer obigen Liste stellen.

So gehackt zu werden macht keinen Spaß. Unternehmen verlangen mehrere hundert Dollar, um diese Bedrohungen zu beseitigen. Ich habe nicht weniger als 8 Stunden gearbeitet, um dieser Firma bei der Bereinigung ihrer Website zu helfen.

Was denken Sie?

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.