«
»
WordPressЗащита от вирусовПлагины

Как очистить взломанный сайт WordPress с помощью плагина Wordfence

Как очистить взломанный сайт WordPress с помощью плагина Wordfence

Если ваш сайт был взломан, не паникуйте. В этой статье будет описано, как очистить ваш сайт, если он был взломан и заражен вредоносным кодом, бэкдорами, спамом, вредоносными программами или другими неприятностями. Эта статья была обновлена ​​27 августа 2020 г. и добавлены дополнительные ресурсы, которые помогут избавиться от определенных типов инфекций. Эта статья написана Марком Маундером, основателем Wordfence.

Если ваш сайт был взломан, не паникуйте .

Автор статьи является аккредитованным исследователем безопасности, разработчиком WordPress, который владеет и управляет многими своими собственными веб-сайтами на WordPress. Даже если вы не используете WordPress, эта статья включает в себя несколько инструментов, которые вы можете использовать, чтобы очистить свой сайт от инфекции.

Если вы используете WordPress и вас взломали, вы можете использовать Wordfence для очистки большей части вредоносного кода со своего сайта. Wordfence позволяет сравнивать ваши взломанные файлы с исходными файлами ядра WordPress, а также с исходными копиями тем и плагинов WordPress в репозитории. Wordfence позволяет увидеть, что изменилось, и дает возможность восстанавливать файлы одним щелчком мыши и выполнять другие действия.

Если вы подозреваете, что вас взломали, сначала убедитесь, что вы действительно были взломаны. Иногда администраторы сайтов в панике связываются с поддержкой WordFence, думая, что их взломали, когда их сайт просто плохо себя ведет, происходит сбой обновления или возникает другая проблема. Иногда владельцы сайтов могут видеть спамерские комментарии и не могут отличить их от взлома.

По этому запомните что Ваш сайт был взломан, если:

  • Вы видите как спам появляются в заголовке вашего сайта или сноске, который содержит рекламу таких вещей, как порнография, наркотики, незаконные услуги и т.д. Часто это будет закачиваться в содержание страницы без какой-либо мысли для презентации, так что может показаться, как темный текст на темный фон и не очень заметный для человеческого глаза (но поисковые системы могут его видеть).
  • Вы выполняете поиск site: example.com (замените example.com своим сайтом) в Google и видите страницы или контент, которые вы не узнаете и которые выглядят вредоносными.
  • Вы получаете сообщения от ваших пользователей о том, что они перенаправляются на вредоносный или рассылающий спам веб-сайт. Обратите на них особое внимание, потому что многие взломы обнаруживают, что вы являетесь администратором сайта, и не покажут вам спам, а только покажут спам вашим посетителям или сканерам поисковых систем.
  • Вы получаете сообщение от вашего хостинг-провайдера о том, что ваш сайт делает что-то вредоносное или рассылает спам. Например, если ваш хост сообщает вам, что он получает отчеты о спаме, содержащем ссылку на ваш сайт, это может означать, что вас взломали. В этом случае хакеры рассылают откуда-то спам и используют ваш веб-сайт в качестве ссылки для перенаправления людей на принадлежащий им веб-сайт. Они делают это, потому что включение ссылки на ваш веб-сайт позволит избежать спам-фильтров, а добавление ссылки на их собственный веб-сайт попадет в спам-фильтры.
  • Wordfence обнаруживает многие из этих и других проблем, о которых я здесь не упоминал, поэтому обращайте внимание на наши предупреждения и реагируйте соответственно.

Как только вы убедитесь, что вас взломали, немедленно создайте резервную копию своего сайта. Используйте FTP, систему резервного копирования вашего хостинг-провайдера или плагин резервного копирования, чтобы загрузить копию всего вашего веб-сайта. Причина, по которой вам нужно это сделать, заключается в том, что многие хостинг-провайдеры немедленно удаляют весь ваш сайт, если вы сообщаете, что он был взломан, или если они обнаруживают вредоносный контент. Звучит безумно, но в некоторых случаях это стандартная процедура для предотвращения заражения других веб систем в их сети.

Убедитесь, что вы также сделали резервную копию базы данных вашего сайта. Резервное копирование файлов и базы данных должно быть вашим первым приоритетом. Сделав это, вы можете смело переходить к следующему этапу очистки вашего сайта, зная, что у вас есть хотя бы копия взломанного сайта и вы не потеряете все.

Вот правила дорожного движения при уборке вашего веб участка:

  • Обычно вы можете удалить что-нибудь в каталоге wp-content / plugins /, и вы не потеряете данные и не сломаете свой сайт. Причина в том, что это файлы плагинов, которые вы можете переустановить, и WordPress автоматически определит, удалили ли вы плагин, и отключит его. Просто убедитесь, что вы удалили целые каталоги в wp-content / plugins, а не только отдельные файлы. Например, если вы хотите удалить плагин Wordfence, вы должны удалить wp-content / plugins / wordfence и все в этом каталоге, включая сам каталог. Если вы удалите только несколько файлов из плагина, вы можете оставить свой сайт неработоспособным.
  • Обычно у вас есть только один каталог тем, который используется для вашего сайта в каталоге wp-content / themes. Если вы знаете, что это за каталог, вы можете удалить все остальные каталоги тем. Будьте осторожны, если у вас есть «дочерняя тема», вы можете использовать два каталога в wp-content / themes.
  • В каталоги wp-admin и wp-includes очень редко добавляются новые файлы. Поэтому, если вы обнаружите что-нибудь новое в этих каталогах, с большой вероятностью это вредоносный код.
  • Следите за старыми установками и резервными копиями WordPress. Специалисты WordFence часто видят зараженные сайты, когда кто-то говорит: «Но я постоянно обновлял свой сайт и установил плагин безопасности, так почему же меня взломали?» Иногда случается, что вы или разработчик создаете резервную копию всех файлов вашего сайта в подкаталоге, например / old /, который доступен из Интернета. Эта резервная копия не поддерживается, и даже несмотря на то, что ваш основной сайт безопасен, хакер может проникнуть туда, заразить его и получить доступ к вашему основному сайту из установленного им бэкдора. Поэтому никогда не оставляйте старые установки WordPress без дела,  и если вас взломают, сначала проверьте их, потому что они, скорее всего, полны вредоносных программ.

Если у вас есть SSH-доступ к вашему серверу, войдите в систему и выполните следующую команду, чтобы увидеть все файлы, которые были изменены за последние 2 дня. Обратите внимание, что точка указывает текущий каталог. Это приведет к тому, что приведенная ниже команда будет искать в текущем каталоге и во всех подкаталогах недавно измененные файлы. (Чтобы узнать, какой у вас текущий каталог в SSH, введите «pwd» без кавычек).

find . -mtime -2 -ls

Или вы можете указать конкретный каталог:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

Или вы можете изменить поиск, чтобы отображать файлы, измененные за последние 10 дней:

find /home/yourdirectory/yoursite/ -mtime -10 -ls

Мы предлагаем вам выполнить поиск, указанный выше, и постепенно увеличивать количество дней, пока вы не начнете видеть измененные файлы. Если вы сами ничего не меняли с момента взлома, весьма вероятно, что вы увидите файлы, которые изменил хакер. Затем вы можете отредактировать их самостоятельно, чтобы очистить взлом. Это, безусловно, самый эффективный и простой способ узнать, какие файлы были заражены, и его используют все профессиональные службы очистки сайтов.

Еще один полезный инструмент в SSH – grep. Например, для поиска файлов, содержащих base64 (обычно используемый хакерами), вы можете выполнить следующую команду:

grep -ril base64 *

Это просто перечислит имена файлов. Вы можете опустить опцию ‘l’, чтобы увидеть фактическое содержимое файла, в котором встречается строка base64:

grep -ri base64 *

Имейте в виду, что «base64» может встречаться и в легитимном коде. Прежде чем что-либо удалять, убедитесь, что вы не удаляете файл, который используется темой или плагином на вашем сайте. Более точный поиск может выглядеть так:

grep --include = *. php -rn. -e "base64_decode"

Эта команда рекурсивно ищет во всех файлах, которые заканчиваются на .php, строку «base64_decode» и печатает номер строки, чтобы вам было легче найти контекст, в котором эта строка встречается.

Теперь, когда вы знаете, как использовать grep, мы рекомендуем вам использовать grep в сочетании с find. Что вам нужно сделать, так это найти файлы, которые были недавно изменены, посмотреть, что было изменено в файле, и если вы найдете обычную строку текста, например «здесь был плохой хакер», то вы можете просто grep найти все свои файлы для этого текста следующим образом:

grep -irl "здесь был плохой хакер" *

и это покажет вам все зараженные файлы, содержащие текст «плохой хакер был здесь».

Если вы очистите много зараженных сайтов, вы начнете замечать закономерности, в которых обычно находится вредоносный код. Одно из таких мест – каталог загрузок в установках WordPress. В приведенной ниже команде показано, как найти все файлы в каталоге загрузки, которые НЕ являются файлами изображений. Вывод сохраняется в файле журнала с именем «uploads-non-binary.log» в вашем текущем каталоге.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

Используя два простых инструмента командной строки «grep» и «find», вы можете очистить зараженный веб-сайт целиком. Как это просто! Бьюсь об заклад, вы готовы начать свой собственный бизнес по очистке сайтов на этом этапе.

Теперь, когда в вашем арсенале есть несколько мощных инструментов и вы уже выполнили базовую очистку, давайте запустим Wordfence и проведем полное сканирование для очистки вашего сайта. Этот шаг важен, потому что Wordfence выполняет очень продвинутый поиск инфекций. Например:

  • Мы знаем, как должны выглядеть все основные файлы WordPress, темы с открытым исходным кодом и плагины с открытым исходным кодом, поэтому Wordfence может определить, заражен ли один из ваших исходных файлов, даже если это новая инфекция, которую никто никогда раньше не видел.
  • Мы ищем сигнатуры инфекций с использованием сложных регулярных выражений, и наша база данных известных инфекций постоянно обновляется. Вы не можете сделать это с помощью простых инструментов командной строки unix или cPanel.
  • Мы ищем вредоносные URL-адреса с помощью списка безопасного просмотра Google.
  • Мы используем множество других источников данных, таких как SpamHaus, для поиска вредоносных программ и инфекций в вашей системе.

Как очистить взломанный сайт с помощью Wordfence:

  1. Обновите свой сайт до последней версии WordPress. Если вы используете версию WordPress до WordPress 5.xx, то мы рекомендуем вам прочитать эту статью здесь, перед обновлением до последней версии WordPress.
  2. Обновите все свои темы и плагины до новейших версий.
  3. Измените все пароли на сайте, особенно пароли администратора.
  4. Сделайте еще одну резервную копию и сохраните ее отдельно от резервной копии, которую мы рекомендовали вам сделать выше. Теперь у вас есть зараженный сайт, но на нем установлена ​​последняя версия всего. Если вы что-нибудь сломаете при очистке своего сайта с помощью Wordfence, вы можете вернуться к этой резервной копии, и вам не нужно повторять все шаги, указанные выше.
  5. Перейдите на страницу сканирования Wordfence.  Щелкните ссылку «Параметры сканирования и планирование».  Включите опцию сканирования «Высокая чувствительность». Если сканирование занимает слишком много времени или не завершается, разверните раздел «Общие параметры».  Отмените выбор параметров «Проверять файлы вне установленного вами WordPress» и «Проверять изображения, двоичные и другие файлы, как если бы они были исполняемыми».  Сохраните изменения и попробуйте новое сканирование.
  6. Когда появятся результаты, вы можете увидеть очень длинный список зараженных файлов. Не торопитесь и медленно просмотрите список.
  7. Изучите все подозрительные файлы и либо отредактируйте их вручную, чтобы очистить, либо удалите файл. Помните, что вы не можете отменить удаления. Но если вы сделали резервную копию, которую мы рекомендовали выше, вы всегда можете восстановить файл, если удалите не то.
  8. Посмотрите на все измененные файлы ядра, темы и плагинов. Используйте параметр Wordfence, чтобы увидеть, что изменилось между исходным файлом и вашим файлом. Если изменения выглядят вредоносными, воспользуйтесь функцией Wordfence для восстановления файла.
  9. Медленно перемещайтесь по списку, пока он не станет пустым.
  10. Запустите еще одно сканирование и убедитесь, что ваш сайт чист.
  11. Если вам все еще нужна помощь, мы предлагаем коммерческую услугу по уборке сайта. Вы можете узнать больше, отправив письмо по адресу genbiz@wordfence.com с темой «Paid site cleaning service».

Отправьте его нам по адресу samples@wordfence.com, и мы сообщим вам. Если вы не получили ответа, возможно, ваша почтовая система или наша система отказались от сообщения, считая его вредоносным из-за вашего вложения. Поэтому, пожалуйста, отправьте нам сообщение без вложения, чтобы сообщить нам, что вы пытаетесь отправить нам что-то, и мы постараемся помочь с этим.

В Учебном центре Wordfence есть ряд статей, которые помогут вам. Вот список статей, которые помогут вам с определенными типами инфекций:

Вам необходимо удалить свой сайт из списка безопасного просмотра Google. Прочтите этот документ Google о том, как очистить свой сайт. Вот шаги:

  1. Сначала войдите в Инструменты Google для веб-мастеров.
  2. Добавьте свой сайт, если вы еще этого не сделали.
  3. Подтвердите свой сайт, следуя инструкциям Google.
  4. На главной странице Инструментов для веб-мастеров выберите свой сайт.
  5. Щелкните Состояние сайта, а затем щелкните Вредоносное ПО.
  6. Щелкните Запросить обзор.

Выход из списка безопасного просмотра Google – это большой шаг, но, возможно, вам предстоит поработать. Вам необходимо вести список всех антивирусных продуктов, которые говорят о заражении вашего сайта. Сюда могут входить такие продукты, как антивирус ESET, McAfee’s Site Advisor и другие. Посетите веб-сайты каждого производителя антивируса и найдите их инструкции по удалению вашего сайта из их списка опасных сайтов. Создатели антивирусов часто называют это «белым списком», поэтому поиск в Google таких терминов, как «белый список», «удаление сайта», «ложное срабатывание» и название продукта обычно приводит вас к месту, где вы можете удалить свой сайт.

Перейдите по следующему URL-адресу и замените example.com на адрес своего сайта.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Вы можете включить подкаталог, если он есть на вашем сайте. Появившаяся страница очень проста, но содержит подробную информацию о текущем статусе вашего сайта, почему он внесен в список вредоносных программ или фишинга Google (список безопасного просмотра Google на самом деле состоит из двух списков) и что делать дальше.

Поздравляем, если вам удалось очистить свой сайт. Теперь вам нужно убедиться, что его снова не взломают. Вот как:

  • Установите Wordfence и регулярно просматривайте свой сайт WordPress.
  • Убедитесь, что WordPress и все плагины и темы обновлены. Это самая важная вещь, которую вы можете сделать для защиты своего сайта.
  • Убедитесь, что вы используете надежные пароли, которые сложно угадать.
  • Избавьтесь от всех старых установок WordPress, лежащих на вашем сервере.
  • Подпишитесь на нашу рассылку предупреждений о безопасности, чтобы получать уведомления о важных обновлениях безопасности, связанных с WordPress.
  • Аутентифицируйте свой сайт в Wordfence Central, чтобы упростить управление безопасностью вашего сайта.

Источник записи: https://www.wordfence.com

Связанные записи
WordPressWP Migrate DB ProПлагины

Перемещение корневой установки WordPress в подкаталог для установки и наоборот

GeneratePressWordPressWordPress темы

GeneratePress - Как добавить локальные шрифты в лучшую тему для WordPress

WordPressВсе для functions.phpПлагины

Исправление карты сайта Rank Math WPBakery - не обычное дело

WordPressWordPress темы

Лучшие темы WordPress 2020: лучшие 50 (пересмотрено)