„Devirusare” site WordPress – teme și pluginuri crackuite

Cred că am două preluări de siteuri în care am avut de a face cu platforme infectate. De obicei se creează tot felul de redirecționări, iframe-uri, până la compromiterea mai multor directoare sau baze de date de pe hostingul care găzduiește siteul.

De exemplu, acum am două situații în care homepage-ul unui site redirecționează către alte siteuri pliiiiine cu tot felul de bannere și pop-uri, iar în cealaltă situație atât homepage-ul, cât și adminul redirecționează către diverse siteuri care încearcă instalarea de malware. Iar acum un an am preluat ceva site făcut pe Joomla, care avea ceva iframe cu siteuri porno.

Am mai întâlnit o instanță în care un site care „agățase ceva”, atrăgea tot felul de vizite „suplimentare” din campaniile de AdWords, în special vizite din India și Vietnam.

Cum se manifestă aceste probleme de malware/virus pe WordPress?

  1. Redirecționări către alte siteuri – fie că vorbim, pur și simplu, de siteuri care vând ceva sau de siteuri care încearcă sa instaleze malware/spyware/ransomware;
  2. Iframe-uri apărute din senin pe site sau chiar prezența unor bannere care nu au nicio treaba cu siteul propriu-zis;
  3. Apariția unor scripturi care se autoinstalează și provoacă tot felul de probleme. Un exemplu concret ar fi scripturile care minează BitCoin sau altfel de criptomonede;
  4. Erori 500 absolut ilogice pe diverse destinații alte siteului;
  5. Apariția unor pagini html sau chiar din CMS pe care nu le-ați creat niciodată;
  6. Încărcarea super grea a siteului;

exemplu de script malware wordpress

Care este cauza acestor întâmplări absolut… reprobabile?

  1. Voi începe cu motivul mai inocent și anume faptul că siteul nu a fost ținut la zi cu ultimile update-uri, patchuri și că în în general a fost lăsat baltă. Știu că ce urmează sa scriu acum este absolut stupid, daaaar, în cazul în care nu știați, acele update-uri de platformă sau plug-inuri implică de multe ori și rezolvarea unor probleme de securitate. Scriam mai devreme de acel site făcut în Joomla și care a fost hackuit și „pornificat”. Acolo era vorba de lipsa update-urilor pe platformă, iar acest lucru a devenit exploatabil.
  2. Teme și plug-inuri crackuite – este, de fapt, cel mai întâlnit motiv pentru care se întâmplă astfel de chestii. Am pățit-o cel mai recent cu două WordPress-uri care aveau  teme injectate cu JS-uri. Și atât de bine au fost realizate acele „pachete promoționale”, încât modulele acelea required erau preluate dintr-un repo „privat” și veneau și ele injectate cu cadouri. Mai jos, unde voi prezenta câteva soluții, vă voi arăta și câteva exemple. Am mai pățit asta și cu un Magento 1.9 luna trecută. Avea o temă luată de pe nu știu ce site și m-am trezit cu ceva bannere pe pagina de categorii de produse. Și ia tu la mâna toate blocurile și templateurile din temă să rezolvi situația.
  3. Securitate slabă a hostingului sau tratarea acestui aspect cu multă ignoranță – mă refer aici la firmele de hosting super ieftine și absolut rudimentare. De exemplu, un prieten și-a luat hosting la NameCheap și avea de vreun an un plug-in hackuit, care colecta datele utilizatorilor și le trimitea către terți.

Și ce facem? Ce soluții există și cum prevenim astfel de situații?

Pentru a preveni astfel de situații este cel mai bine să cumpărați acele teme sau plug-inuri. Sau măcar să vă asigurați de sursa din care luați acele chestii.

Dar în cazul în care ați fost deja atacat, propun următorii pași:

  1. Verificarea fișierelor .htacces, index.php și wp-config.php din public_html – este foarte posibil să aveți ceva script pe acolo, de obicei fiind JS-uri sau chestii codate în base64;
  2. Verificați dacă au apărut fișiere noi în public_html sau în plugins ori themes. Nu am pățit așa ceva până acum la WordPress, dar nu ar fi exclus. În schimb, am pățit asta la Joomla și era ceva fișier kid.php;
  3. Eh.. acum e partea mai grea! Dacă trecem de primii doi pași, înseamnă că problema este mai complexă. De multe ori se întâmplă să nu mai putem accesa backendul din WP. De aceea eu recomand în primă instanță ștergerea plug-inurilor și repunerea acestora unul câte unul până se detectează „vinovatul”. Important este faptul că trebuie să ajungem iar în administrare, pentru a parcurge următorul pas. Dacă tot nu vi se permite intrarea în backend, atunci va trebui să ștergeți și tema și să reveniți la una din teme basic;
  4. Instalarea unui modul antimalware – aici recomand Wordfence și Sucuri Security, deoarece se completează foarte bine. Ba mai mult, aș începe cu Wordence care are o bază de date de definiții de scripturi foarte bună pentru WP, apoi aș instala Sucuri care este o soluție mai generală și mai prinde ceea ce Wordfance scapă. După scanare veți  găsi problemele, numai că la versiunile gratuite ale acestor module va trebui să vă descurcați singuri cu „dezinstalarea”.
  5. Aș mai recomanda să aruncați și un ochi în tabelul wp_options (sau nuștiucum_options, în funcție de prefixul setat) pentru că de multe ori mai sunt injectate tot felul de destinații dubioase pe acolo;

 

devirusare site WordPress scan

Cam atât! Pentru mai multe informații/ajutor vă stau la dispoziție prin secțiunea de comentarii sau formularul de contact;

 

 

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.