D'après W3Techs, 17.3% сайтов WordPress не обновлены с помощью исправлений безопасности. Это означает, что эти сайты открыты для атак со стороны хакеров или хакеров. Вы небрежно относились к безопасности своего сайта WordPress и вас взломали? Знайте, что это не конец света и что, приложив к этому усилия, вы можете вернуться к нормальной жизни. В этой статье я покажу вам, как восстановиться после взлома и внесения в черный список вашего сайта WordPress.

Хакерство - довольно известное понятие, а занесение в черный список - нет. Вкратце, черный список - это тот факт, что поисковые системы удаляют сайт из своего индекса. Когда это происходит, сайт может потерять до 95% своего органического трафика, то есть трафика, поступающего из поисковых систем, что приводит к его виртуальной невидимости в Интернете.

Что делать, чтобы вас не взломали?

Сам WordPress - довольно безопасная система, и вот некоторые из лучших практик, которым вам нужно следовать, чтобы избежать взлома:

  • Поддерживайте актуальность WordPress и его расширений (тем, плагинов, виджетов)
  • Устанавливайте расширения только из надежных источников
  • Зарегистрируйте свой сайт у известного веб-хостинга
  • Разместите свой сайт на выделенном сервере, если это возможно
  • Используйте надежный пароль с именем пользователя, отличным от Администратор
  • Делайте резервные копии всего вашего сайта (файлы, база данных данные, И т.д.)

Соблюдение этих правил - хорошее начало, но имейте в виду, что есть много других, которые могут повысить общий уровень безопасности вашего сайта. Чтобы узнать больше, смотрите наши статьи защитить свой блог, Как защитить свой сайт до того, как его взломают хакеры, Советы 4 по защите вашего блога от хакерских атакреальные и проверенные меры по защите блога.

Со знанием этой новой информации, прежде, чем видеть, как чистить ваш сайт, я предлагаю вам совершить поездку основных атак, которые хакеры запускают на сайтах WordPress.

Бэкдор эксплойты (Backdoor эксплойты)

Чтобы осуществить эту атаку, хакер вводит на ваш сервер скрипт. Обычно его называют, чтобы он сливался с другими файлами (например, wp-configs.php, wp-trakcback.php). Этот скрипт предоставляет хакеру различные уровни доступа к вашей файловой системе, а также к вашему сайту или сайтам, если вы размещаете более одного на этом сервере. Затем он может подключиться по своему желанию через этот бэкдор к вашему серверу и изменить его без вашего ведома.

Если у вас нет подключаемого модуля безопасности для оповещения об изменениях файлов на вашем сайте, если вы будете осторожны, вы увидите определенное поведение " ненормальный Вашего сайта, который может поставить вас на крючок.

Например, вы хотите получить доступ к своему сайту, и вдруг ваш браузер выдает вам сообщения об ошибках, относящиеся к безопасности. Вы открываете свой сайт, и ваш антивирус получает предупреждение, потому что он обнаруживает вредоносную активность между вашим сайтом и вашим компьютером (о которой вы, вероятно, не знаете). Письма, исходящие с вашего сервера, возвращаются вам с кодом ошибки SMTP 550. В последнем случае, если повезет, вам будут возвращены письма с дополнительной информацией, такой как ссылка на сайт, который вы занесли в черный список.

Фармацевтическое Хаки (Хаки Фармацевтическое)

В этой атаке хакер вставляет скрипты и ссылки (видимые или невидимые) в ваши файлы, чаще всего в ваши заголовки, но они могут появляться где угодно?

Когда вы становитесь жертвой фармацевтического взлома или атаки фармацевтического типа, ваш сайт наводнен ссылками, ведущими на спам-сайты или, что еще хуже, сайты, продающие виагру или сиалис (это не очень хорошая реклама. для тебя, правда?).

Чтобы убедиться, что вы являетесь целью одной из этих атак:

Перейдите в Google и введите: site:blogpascher.com bотя, замените blogpascher.com с вашей доменное имя. Полученный список должен отображать только результаты, относящиеся к вашему сайту, иначе вы подвергнетесь серьезной атаке.

Обновив свой статус в Facebook через ссылку на свой сайт, вы должны увидеть содержание этой страницы. С другой стороны, если вы видите спам и/или рекламу в описании и заголовке, это проблема.

злонамеренное перенаправление

Здесь хакер вставляет в ваши файлы скрипты, чтобы вызвать систематическое перенаправление на другие сайты или страницы, содержащие исключительно спам или содержание для взрослых.

Редирект не всегда очевиден для обнаружения, особенно если целевая страница использует стили вашего сайта.

Как протестировать и очистить ваш сайт после взлома

Даже в случае взлома, ваш первый инстинкт должен быть сохранить свой сайт. Да, потому что даже резервная копия вашего взломанного сайта может содержать бесценную информацию как с точки зрения обслуживания (де-взлома), так и с точки зрения его непрерывности. С другой стороны, вы должны сделать резервную копию, прежде чем обращаться к своему хостеру, потому что многие из них приостановят работу вашего сайта при малейшем предупреждении. содержание озорной.

Поскольку один поезд может скрывать другой, рекомендуется выполнить все возможные тесты на своем сайте (и на своем компьютере), даже если вы думаете, что знаете, жертвой какого типа атаки вы являетесь. Вот несколько сайтов, предлагающих бесплатное сканирование:

  • разоблачать Паразиты : Хорошо для глобального сканирования, чтобы выяснить, есть ли проблема и кто в черном списке.
  • Проверка Sucuri сайта : Погрузитесь глубже и сообщите, был ли ваш сайт занесен в черный список.
  • Нортон Safe Web : Знать, если тебе угрожают.
  • Quttera : Исследование вредоносных объектов на вашем сайте.
  • Вирус Всего : Использует более 50 сканирований для поиска распространенных вирусов и троянов на вашем сервере.
  • веб-инспектор : Ищет все виды вредоносных объектов, сообщает вам, если вы попали в черный список, и выдает отчет.
  • удаления вредоносных программ : Вредоносное ПО, код внедрения, вредоносные перенаправления, код XSS могут быть обнаружены с помощью этой службы.
  • сканирование сервера : Обнаруживает вредоносный код и составляет подробный отчет в течение 24 часов. Вы должны предоставить адрес электронной почты и резервную ссылку на ваш сайт, которая затем будет предоставлена ​​вам, чтобы подтвердить, что вы являетесь владельцем своего сайта.

Если вы не боитесь командной строки, вот несколько интересных SSH-команд, которые вы можете запустить, чтобы понять, какие файлы могут содержать вредоносный код:

чтобы отобразить список файлов на вашем сайте, которые были изменены 2 несколько дней назад:
find /racine/votre-repertoire/votre-site/ -mtime -2 -ls

Конечно, заменить /racine/votre-repertoire/votre-site по древовидной структуре вашего сайта на вашем сервере. Постепенно увеличивайте период, заменяя 2 большими значениями, пока не найдете что-нибудь.

искать файлы, содержащие символьные строки, часто используемые хакерами, такими как base64 ou hack3r :
grep -ril value *

Убедитесь в том, чтобы заменить value по рассматриваемому каналу. Когда у вас есть список файлов, вы можете проверить их с помощью команды:
grep -ri value *

Теперь, когда вы определили проблему и ее местоположение, вам нужно устранить ее. Действуйте следующим образом:

  • если это файл, созданный хакером на вашем сервере: удалите его.
  • если вредоносный код в WordPress файла: удалить его и загрузить новую копию.
  • если вредоносный код находится в одном из файлов: удалить вредоносный код и сохраните файл.

Если у вас есть резервная копия вашего сайта, и вы не хотите проходить все этапы очистки, перечисленные выше, восстановите свой сайт, обновите WordPress, ваши плагины, темы и скрипты. И, наконец, повысить уровень вашего сайта.

Чтобы убедиться, что вы ничего не пропустили, повторите операции очистки. Если вы думаете, что избавились от вредоносного кода, обратитесь к своему веб-хостеру, чтобы сообщить им о ситуации, с которой вы только что столкнулись. Это особенно важно, если другие сайты (или автоматические сканеры) или ваши пользователи называют ваш сайт угрозой. Затем ваш оператор предпримет все необходимые шаги, чтобы убедиться, что ваш сайт чистый, и при необходимости внесет вас в белый список (будет удален из черного списка).

Как получить свой сайт и ваш IP черный список

Поздравляю! Ваш сайт очищен от всего вредоносного кода. Единственная проблема сейчас в том, что он все еще может быть в черном списке. Чтобы получить его, сначала нужно узнать, на каком сайте он отмечен как спам. разоблачать Паразиты подойдет, но мы будем использовать Spamhaus потому что это не только один из сайтов, на которых вы можете попасть в черный список, но он также позволяет вам узнать о других сайтах, на которых вы находитесь. Таким образом, вы можете попросить внести вас в белый список.

Провести тест на spamhaus очень просто. Просто введите:
http://www.spamhaus.org/query/ip/987.654.321.98

где 987.654.321.98 это ваш IP-адрес. Если вы попали в черный список, на дисплее будут красные линии.

whitelister-sitepar-ф-qpamhous

Под каждым из них есть ссылка, откройте ее, и вы увидите, как отправить запрос в черный список для каждого из сайтов. После отправки запроса вам нужно будет подождать от 12 до 48 часов и повторно запустить тест, так как в большинстве случаев вы не будете уведомлены об изменении. Если вы попали в черный список Google, убедитесь, что вы прочитали и поняли Инструкции для запроса отзыва.

Будьте очень осторожны при отправке запроса на выход из черного списка и убедитесь, что ваш сайт больше не содержит ничего вредоносного, потому что чаще всего его можно запросить только один раз. Таким образом, легкомысленно подходя к этой задаче, вы рискуете навсегда попасть в черный список.

Поздравляем! Теперь ваш сайт - это не только чистым но он снова свободен. Еще раз убедитесь, что вы обновили WordPress вместе со своими плагинами, темами и скриптами.

Чтобы быть уверенным, что у вашего хакера больше не будет доступа к вашему сайту, измените ключи безопасности WordPress. Это приведет к отключению файлов cookie, которые удерживают пользователей вашего сайта в течение определенного периода времени. Вы можете использовать API  WordPress 'Генератор случайных ключей безопасности иметь новые ключи. Затем введите их в свой файл WP-config.php.

Еще одно решение для защиты вашего теневого сайта доступа - ConfigServer безопасность и межсетевой экран. Это брандмауэр, который устанавливается с помощью командной строки SSH в корневом каталоге вашего сервера и легко устанавливается. Убедитесь, что вы находитесь в корне своего сайта, и введите эти команды одну за другой:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

то:

perl /usr/local/csf/bin/csftest.pl

на этом этапе, если у вас нет ошибок, значит, ваш брандмауэр включен. Все, что вам нужно сделать, это ввести последнюю команду, чтобы настроить его:

sh /usr/local/csf/bin/remove_apf_bfd.sh

В дополнение к этому файерволу я настоятельно рекомендую вамустановить плагин безопасности чтобы быть в курсе любых подозрительных движений, которые происходят на вашем сайте.

Если вам пришлось пройти это руководство, чтобы освободить свой сайт от власти темных хакеров, то вам осталось сделать еще одну вещь. Это чтобы понять, как ваш сайт был взломан. Опять такие инструменты, как OSSEC существуют, чтобы помочь вам расшифровать журналы (файл журнала) вашего сайта WordPress.

Теперь у вас есть ноу-хау и знания, необходимые для того, чтобы возродить ваш сайт из пепла в случае, если хакеры подожгут его. Теперь вы понимаете, что лучше и, прежде всего, легче предотвратить, чем лечить. Если у вас нет резервной копии вашего сайта, обновите ее (WordPress, темы, плагины, скрипты и т. Д.), Установите пакет безопасности для WordPress и сделайте резервную копию вашего сайта. Тогда делайте это регулярно. Как можно чаще проверяйте и очищайте свой сайт, прежде чем он попадет в черный список.

Вас взломали? В черный список? Как ты выбрался из этого? Знаете ли вы о других инструментах, методах или плагинах, которые не были упомянуты в этом руководстве? Поделитесь с нами своим мнением в комментариях.