So überprüfen, entfernen und verhindern Sie Malware von Ihrer WordPress-Site

Malware

Diese Woche war ziemlich beschäftigt. Eine der gemeinnützigen Organisationen, die ich kenne, befand sich in einer schwierigen Lage - ihre WordPress-Site war mit Malware infiziert. Die Site wurde gehackt und Skripte für Besucher ausgeführt, die zwei verschiedene Dinge taten:

  1. Versucht, Microsoft Windows mit zu infizieren Malware.
  2. Alle Benutzer wurden auf eine Site umgeleitet, auf der JavaScript verwendet wurde, um den PC des Besuchers zu nutzen meine Kryptowährung.

Ich stellte fest, dass die Website gehackt wurde, als ich sie besuchte, nachdem ich auf den neuesten Newsletter geklickt hatte, und informierte sie sofort darüber, was los war. Leider war es ein ziemlich aggressiver Angriff, den ich entfernen konnte, aber die Site sofort wieder infizierte, als ich live ging. Dies ist eine ziemlich übliche Praxis von Malware-Hackern - sie hacken nicht nur die Site, sondern fügen der Site entweder einen Administrator hinzu oder ändern eine WordPress-Kerndatei, die den Hack erneut injiziert, wenn er entfernt wird.

Malware ist ein fortlaufendes Problem im Web. Malware wird verwendet, um die Klickraten für Anzeigen zu erhöhen (Anzeigenbetrug), die Site-Statistiken zu erhöhen, um Werbetreibende zu überladen, um zu versuchen, Zugriff auf die finanziellen und persönlichen Daten der Besucher zu erhalten, und zuletzt, um die Kryptowährung abzubauen. Bergleute werden für Bergbaudaten gut bezahlt, aber die Kosten für den Bau von Bergbaumaschinen und die Bezahlung der Stromrechnungen sind erheblich. Durch die heimliche Nutzung von Computern können Bergleute ohne Kosten Geld verdienen.

WordPress und andere gängige Plattformen sind große Ziele für Hacker, da sie die Grundlage für so viele Websites im Web bilden. Darüber hinaus verfügt WordPress über eine Design- und Plugin-Architektur, die die wichtigsten Site-Dateien nicht vor Sicherheitslücken schützt. Darüber hinaus ist die WordPress-Community hervorragend darin, Sicherheitslücken zu identifizieren und zu beheben - aber Websitebesitzer sind nicht so wachsam, wenn es darum geht, ihre Website mit den neuesten Versionen auf dem neuesten Stand zu halten.

Diese spezielle Site wurde auf GoDaddys traditionellem Webhosting gehostet (nicht Managed WordPress-Hosting), die keinen Schutz bietet. Natürlich bieten sie eine Malware-Scanner und Entfernung Service, obwohl. Verwaltete WordPress-Hosting-Unternehmen wie Schwungrad, WP-Engine, LiquidWeb, GoDaddy und Pantheon Alle bieten automatisierte Updates, um Ihre Websites auf dem neuesten Stand zu halten, wenn Probleme identifiziert und behoben werden. Die meisten haben Malware-Scans und Themen und Plugins auf der schwarzen Liste, um Website-Eigentümern dabei zu helfen, einen Hack zu verhindern. Einige Unternehmen gehen noch einen Schritt weiter - Kinsta - ein leistungsstarker Managed WordPress-Host - bietet sogar eine Sicherheitsgarantie.

Ist Ihre Website für Malware auf der schwarzen Liste:

Es gibt viele Websites im Internet, die das "Überprüfen" Ihrer Website auf Malware fördern. Beachten Sie jedoch, dass die meisten von ihnen Ihre Website überhaupt nicht in Echtzeit überprüfen. Für das Scannen von Malware in Echtzeit ist ein Crawler-Tool eines Drittanbieters erforderlich, das keine sofortigen Ergebnisse liefern kann. Die Websites, die eine sofortige Überprüfung ermöglichen, sind Websites, auf denen zuvor festgestellt wurde, dass Ihre Website Malware enthält. Einige der Websites zur Überprüfung von Malware im Web sind:

  • Google-Transparenzbericht - Wenn Ihre Site bei Webmasters registriert ist, werden Sie sofort benachrichtigt, wenn sie Ihre Site crawlen und Malware darauf finden.
  • Norton Safe Web - Norton betreibt auch Webbrowser-Plugins und Betriebssystemsoftware, die Benutzer daran hindern, Ihre Seite abends zu öffnen, wenn sie auf die schwarze Liste gesetzt wurden. Websitebesitzer können sich auf der Website registrieren und eine Neubewertung ihrer Website beantragen, sobald diese sauber ist.
  • Sucuri - Sucuri führt eine Liste der Malware-Websites sowie einen Bericht darüber, wo sie auf die schwarze Liste gesetzt wurden. Wenn Ihre Site bereinigt ist, wird a angezeigt Erzwingen Sie einen erneuten Scan Link unter der Auflistung (in sehr kleinem Druck). Sucuri hat ein hervorragendes Plugin, das Probleme erkennt… und Sie dann in einen Jahresvertrag schiebt, um sie zu entfernen.
  • Yandex - Wenn Sie Yandex nach Ihrer Domain durchsuchen und „Laut Yandex könnte diese Seite gefährlich sein “, Sie können sich für Yandex-Webmaster registrieren, Ihre Website hinzufügen und zu navigieren Sicherheit und Verstößeund fordern Sie die Freigabe Ihrer Website an.
  • Phishtank - Einige Hacker stellen Phishing-Skripte auf Ihrer Website bereit, mit denen Ihre Domain als Phishing-Domain aufgeführt werden kann. Wenn Sie die genaue, vollständige URL der gemeldeten Malware-Seite in Phishtank eingeben, können Sie sich bei Phishtank registrieren und abstimmen, ob es sich wirklich um eine Phishing-Site handelt oder nicht.

Sofern Ihre Site nicht registriert ist und Sie irgendwo ein Überwachungskonto haben, erhalten Sie wahrscheinlich einen Bericht von einem Benutzer eines dieser Dienste. Ignorieren Sie die Warnung nicht. Auch wenn Sie möglicherweise kein Problem sehen, kommt es selten zu Fehlalarmen. Diese Probleme können dazu führen, dass Ihre Website von Suchmaschinen deindiziert und von Browsern blockiert wird. Schlimmer noch, Ihre potenziellen Kunden und bestehenden Kunden fragen sich möglicherweise, mit welcher Art von Organisation sie zusammenarbeiten.

Wie suchen Sie nach Malware?

Einige der oben genannten Unternehmen sprechen davon, wie schwierig es ist, Malware zu finden, aber es ist nicht ganz so schwierig. Das Schwierige ist tatsächlich herauszufinden, wie es auf Ihre Website gelangt ist! Schädlicher Code befindet sich am häufigsten in:

  • Wartung - Zeigen Sie vor allem auf a Wartungsseite und sichern Sie Ihre Website. Verwenden Sie nicht die Standardwartung von WordPress oder ein Wartungs-Plugin, da diese weiterhin WordPress auf dem Server ausführen. Sie möchten sicherstellen, dass niemand eine PHP-Datei auf der Site ausführt. Wenn Sie schon dabei sind, überprüfen Sie Ihre .htaccess Datei auf dem Webserver, um sicherzustellen, dass kein unerwünschter Code vorhanden ist, der möglicherweise den Datenverkehr umleitet.
  • Suche die Dateien Ihrer Site über SFTP oder FTP und identifizieren Sie die neuesten Dateiänderungen in Plugins, Themes oder WordPress-Kerndateien. Öffnen Sie diese Dateien und suchen Sie nach Änderungen, die Skripte oder Base64-Befehle hinzufügen (zum Ausblenden der Ausführung von Serverskripten).
  • vergleichen Die wichtigsten WordPress-Dateien in Ihrem Stammverzeichnis, im Verzeichnis wp-admin und im Verzeichnis wp-include, um festzustellen, ob neue Dateien oder Dateien unterschiedlicher Größe vorhanden sind. Problembehandlung für jede einzelne Datei. Selbst wenn Sie einen Hack finden und entfernen, suchen Sie weiter, da viele Hacker die Hintertüren verlassen, um die Site erneut zu infizieren. Überschreiben oder installieren Sie WordPress nicht einfach… Hacker fügen häufig schädliche Skripte in das Stammverzeichnis ein und rufen das Skript auf eine andere Weise auf, um den Hack einzuschleusen. Die weniger komplexen Malware-Skripte fügen normalerweise nur Skriptdateien ein header.php or footer.php. Bei komplexeren Skripten wird tatsächlich jede PHP-Datei auf dem Server mit Neuinjektionscode geändert, sodass Sie Schwierigkeiten haben, sie zu entfernen.
  • Entfernen Werbeskripte von Drittanbietern, die möglicherweise die Quelle sind. Ich habe mich geweigert, neue Werbenetzwerke zu verwenden, als ich gelesen habe, dass sie online gehackt wurden.
  • Shau  Ihre Posts-Datenbanktabelle für eingebettete Skripte im Seiteninhalt. Sie können dies tun, indem Sie einfache Suchen mit PHPMyAdmin durchführen und nach den Anforderungs-URLs oder Skript-Tags suchen.

Bevor Sie Ihre Site live schalten, ist es jetzt an der Zeit, Ihre Site zu härten, um eine sofortige erneute Injektion oder einen anderen Hack zu verhindern:

Wie verhindern Sie, dass Ihre Website gehackt und Malware installiert wird?

  • Verifizieren jeder Benutzer auf der Website. Hacker fügen häufig Skripte ein, die einen Administrator hinzufügen. Entfernen Sie alte oder nicht verwendete Konten und weisen Sie deren Inhalt einem vorhandenen Benutzer zu. Wenn Sie einen Benutzer namens haben AdministratorFügen Sie einen neuen Administrator mit einem eindeutigen Login hinzu und entfernen Sie das Administratorkonto vollständig.
  • Zurücksetzen Passwort jedes Benutzers. Viele Websites werden gehackt, weil ein Benutzer ein einfaches Passwort verwendet hat, das bei einem Angriff erraten wurde, sodass jemand in WordPress einsteigen und tun kann, was er möchte.
  • Deaktivieren die Möglichkeit, Plugins und Themes über WordPress Admin zu bearbeiten. Die Möglichkeit, diese Dateien zu bearbeiten, ermöglicht es jedem Hacker, dasselbe zu tun, wenn er Zugriff erhält. Machen Sie die WordPress-Kerndateien unbeschreiblich, damit Skripte den Kerncode nicht neu schreiben können. All in One hat ein wirklich tolles Plugin, das WordPress bietet Härten mit einer Menge Funktionen.
  • Von Hand Laden Sie die neuesten Versionen aller benötigten Plugins herunter und installieren Sie sie erneut. Entfernen Sie alle anderen Plugins. Entfernen Sie unbedingt administrative Plugins, die direkten Zugriff auf Site-Dateien oder die Datenbank ermöglichen. Diese sind besonders gefährlich.
  • Entfernen und ersetzen Sie alle Dateien in Ihrem Stammverzeichnis mit Ausnahme des Ordners wp-content (also root, wp-includes, wp-admin) durch eine Neuinstallation von WordPress, die direkt von ihrer Site heruntergeladen wurde.
  • Hilft dabei deine Seite! Die Seite, an der ich an diesem Wochenende gearbeitet habe, hatte eine alte Version von WordPress mit bekannten Sicherheitslücken, alten Benutzern, die keinen Zugriff mehr haben sollten, alten Themen und alten Plugins. Es könnte einer von diesen gewesen sein, der das Unternehmen für Hackerangriffe geöffnet hat. Wenn Sie es sich nicht leisten können, Ihre Website zu pflegen, stellen Sie sicher, dass Sie sie an ein verwaltetes Hosting-Unternehmen weiterleiten, das dies tut! Ein paar Dollar mehr für das Hosting auszugeben, hätte dieses Unternehmen vor dieser Verlegenheit bewahren können.

Sobald Sie glauben, dass alles repariert und gehärtet ist, können Sie die Site wieder live schalten, indem Sie die entfernen .htaccess umleiten. Sobald es live ist, suchen Sie nach der gleichen Infektion, die zuvor dort war. Normalerweise verwende ich die Inspektionstools eines Browsers, um Netzwerkanforderungen auf der Seite zu überwachen. Ich verfolge jede Netzwerkanforderung, um sicherzustellen, dass es sich nicht um Malware oder Rätsel handelt. Wenn dies der Fall ist, ist sie wieder ganz oben und führt die Schritte erneut aus.

Sie können auch einen erschwinglichen Drittanbieter verwenden Malware-Scan-Service mögen Site-ScannerHiermit wird Ihre Website täglich gescannt und Sie erfahren, ob Sie bei aktiven Malware-Überwachungsdiensten auf der schwarzen Liste stehen. Denken Sie daran: Sobald Ihre Website sauber ist, wird sie nicht automatisch aus den Blacklists entfernt. Sie sollten sich an jeden wenden und die Anfrage gemäß unserer obigen Liste stellen.

So gehackt zu werden macht keinen Spaß. Unternehmen verlangen mehrere hundert Dollar, um diese Bedrohungen zu beseitigen. Ich habe nicht weniger als 8 Stunden gearbeitet, um dieser Firma bei der Bereinigung ihrer Website zu helfen.

Was denken Sie?

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.