Į mano WordPress svetainę buvo įsilaužta, ką turėčiau daryti?

Šiame straipsnyje sužinosite, ką daryti, jei į jūsų svetainę buvo įsilaužta. Straipsnis bus suskirstytas į keletą skyrių, kuriuose nagrinėsime šiuos klausimus:

1. kaip sužinoti, ar į svetainę buvo įsilaužta
2. kaip nustatyti, kad į svetainę buvo įsilaužta, ir rasti įsilaužimo šaltinį
3. ką daryti po įsilaužimo

Šioje instrukcijoje naudosiu gyvą pavyzdį, t.y naujienų svetainės, kurioje veikia WordPress ir į kurią buvo įsilaužta 2022 m. gruodžio 18 d. Nuosekliųjų veiksmų technologija ir logika yra svarbi bet kuriai svetainei ir CSM, nesvarbu, ar tai būtų Opencart, Bitrix, Joomla, Drupal ar kita svetainės valdymo sistema.

Sudarau instrukcijas visiems, kad jie suprastų, ką daryti, jei jūsų internetinę svetainę buvo įsilaužta, o svarbiausia – kaip to išvengti.

Kaip sužinoti, ar į svetainę buvo įsilaužta?

Taip buvo ir su https://spauda.vip svetaine, kurioje iš pradžių buvo nedaug lankytojų, bet galiausiai ši nedidelė svetainė išaugo į patrauklų projektą, kuri dar 2022 m. per dieną jau uždirbdavo iki 20 eurų  pajamų.

Pastaba: Nuo pat svetainės sukūrimo dienos, mes šia svetainę ir toliau sekame ir prižiūrime.

Pirmieji varpai

Atėjo diena, kai kelis kartus prisijungęs iš naujos naršyklės, kurioje slapukai buvo išvalyti, buvau nukreiptas į pažinčių svetainę su merginomis iš pradžių pamaniau, kad mano kompiuteris tiesiog užsikrėtė virusais ar kažkokiais naršyklės plėtiniais ar kt. Bet ta pati situacija pasikartojo ir kitame mano kompiuteryje. Pėdsakų paieška serveryje nedavė jokių rezultatų.
Į svetainę buvo įsilaužta ir ji buvo nukreipta į pažinčių svetainę.
Beje, tada ši svetainę buvo patalpinta serveriai.lt hostinge, tik dabar, neseniai ja esame perkėlę į galingesni Contabo VPS serverį. Jei nežinote, kuris hostingas ar VPS serveris yra geresnis ir saugesnis jūsų projektui, patariu apsilankyti kad sužinotumėte, kuris svetainės talpinimo Hostingas ir VPS Serveris geriausias jūsų projektui.

Nuskenavus spauda.vip svetainę mūsų turimomis priemonėmis radome, kad svetimas kodas buvo patalpintas tiesiai į HEAD skyrių.
WordPress svetainė buvo nulaužta naudojant specialu robotą.
Kol aiškinausi, kas ir kaip, mano antivirusinė programa užblokavo svetainę su ženklu – Užkirstas kelias pavojingo objekto pakrovimui

Priežastis: objektas užkrėstas heur:trojan.script.generic.

PASTABA: Jus gal būt niekada net neįtarsite, kad jūsų svetainė yra užkrėsta, bet jei turite gera antivirusinę programą savo kompiuteryje, antivirusinė programa jus iškarto apie tai informuos. Geriausiu antivirusinių pasirinkimą siūlo Agor.lt svetainė.

Apibendrinkime pirmąją dalį

Kaip suprantate, šios dalies rezultatas bus liūdnas, svetainė buvome nulaužta ir į svetainę buvo išmestas didžiulis skaičius (kaip mes vadiname) įvairių būtybių, o labiausiai įžeidžiantis dalykas yra tai, kad šio šaltinio 2022 m. jau buvo nemažas lankytojų skaičius per 1 dieną (bet ką aš pasimokiau iš šios situacijos):

1. Šykštuolis moka du kartus
2. Viskas, kas internete yra „nemokama“, ilgainiui atneš jums dešimtis ar šimtus kartų daugiau nuostolių, nei naudojant oficialius šablonus ar papildinius svetainei, kurie bent jau turi palaikymą.
3. Ištekliaus, kuris atneša jums pinigų, saugumas yra pats svarbiausias dalykas! Jei elgsitės nerūpestingai, prarasite pinigus ir, svarbiausia, vartotojų pasitikėjimą!

Dabar, kai jau viskas sutvarkyta (visi virusai pašalinti) ir įdiegtos galingos saugumo priemonės, įdomu buvo pamatyti, kaip keitėsi pelnas ir įvertinti, kiek pinigų buvo prarasta, kol pamatėme šią problemą. O įsilaužta buvo dėl to, kad nebuvo geru saugumo priemonių dėl įsilaužimo.

Kaip rasti ir suprasti, į ką buvo įsilaužta svetainėje?

Norėdami išanalizuoti svetainės įsilaužimo pasekmes, mes naudojame Wordfence papildinį. Iš šio įskiepio valdymo skydelio, galite iš karto paleisti magišką komandą „Skenuoti” svetainę. Po skenavimo jus matysite visus failus, kuriuose buvo patalpintas virusas. Mūsų atveju Wordfence įskiepis aptiko, kad per pastarąsias 24 valandas buvo pakeista 110 failų su JS plėtiniu.

Greitai pažvelgus į modifikuotus JS failus, pačiame viršuje buvo matyti užšifruotas kodas: …..

Ką tai reiškia arba kaip iššifruoti kodą, kuris buvo pridėtas prie šablono nustatymų?

Taip pat jums pateikiame svetainę, kuri gali koduoti ir iššifruoti kodą – https://malwaredecoder.com/

Apibendrinkime antrąją dalį

Tačiau apibendrinkime keletą svarbių patarimų, ką daryti iškart po įsilaužimo, kad kaip nors sumažintume nuostolius ir tolesnį viruso plitimą. Didžiausias pavojus svetainėse yra pasenusios priedų versijos. Pirmiausia juos ir atnaujinkite, taip pašalinsite dali virusų, bet prieš tai nepamirškite pasidaryti svetainės kopijos.

Toliau, jus galite įsidiegti ir ieškoti virusu su nemokamu Wordfence įskiepių, bet nemokama versija turi ribotas funkcijas ir ji toliau visiškai neapsaugos jūsų svetainės. Geriausia išeitis įsigyti Wordfence premium versija.

Wordfence premium oficialioje svetainėje kainuoja 119 eurų metams, pas mus jus galite įsigyti už 120 eurų visam gyvenimui. Mes galime Wordfence įdiegti, sukonfigūruoti ir optimizuojame už papildoma 30 eurų mokestį.

Jei jums reikia profesionalios pagalbos atkuriant svetainę po įsilaužimo, galiu padėti ir kaip atlikėjas, ar kaip konsultantas.

Jei neturite specialisto, kuris galėtų padėti šiuo klausimu iš karto po viruso aptikimo:

1. Padarykite savo svetainės ir duomenų bazės atsarginę kopiją
2. Serveryje grįžti iš atsarginės kopijos į ankstesnę dieną, kai dar nebuvo įsilaužimo.
3. Iš svetainės pašalinkite visus nenaudojamus arba abejotinus papildinius / modulius.
4. Atnaujinkite savo svetainės TVS į naujausią versiją.

Ką daryti, jei nėra svetainės atsarginės kopijos

1. Padarykite savo svetainės ir duomenų bazės atsarginę kopiją.
2. Iš svetainės pašalinkite visus nenaudojamus arba abejotinus papildinius / modulius.
3. Atnaujinkite savo svetainės TVS į naujausią versiją.
4. Vadovaudamiesi anksčiau pateiktomis instrukcijomis, suraskite visus pakeistus failus savo priegloboje.
5. Išvalykite visus pakeistus failus, į kuriuos buvo įsilaužta iš trečiosios šalies kodo.
6. Patikrinkite failus šakniniame svetainės kataloge ir ištrinkite nereikalingus.

Bet kokiu atveju, pigiausias virusų aptikimo ir pašalinimo variantas būtu – įsigyti Wordfence premium.

Ką daryti, kai į svetainę buvo įsilaužta arba kokie tolesni veiksmai?

Kaip aprašiau aukščiau, kiekvieną dieną prastovos laikas slegia mūsų kišenes ir, atsižvelgiant į tai, kad bet kurio puslapio įkėlimas sumažėjo iki 7–10 sekundžių, galite įsivaizduoti, kaip viskas yra blogai.

Didžiausias pliusas mūsų situacijoje yra tai, kad aš jau turiu didelę patirtį kovoje su įsilaužimu į svetaines ir jau turiu apytikslį supratimą apie tolesnius veiksmus.

Šiandien, kol rašau šį straipsnį, svetainė jau antri metai veikia ramiu režimu, gerokai sumažėjo hostingo apkrova, puslapio įkėlimas grįžo į 1-3 sekundes.

Leiskite man žingsnis po žingsnio apibendrinti, ką aš padariau, galbūt tai jums bus naudinga.

Ką daryti, kai į svetainę buvo įsilaužta ir yra užkrėsti keli šimtai ar keli tūkstančiai failų.

1. Sukurkite subdomeną arba naudokite techninį prieglobos padomenį (jokiu būdu nedarykite visko veikiančios svetainės kataloge!!!) ir ten įdiekite švaru WordPress
2. Įdiekite reikiamus papildinius svetainei.
3. Perkelkite failų aplanką iš senos svetainės į naują, bet prieš tai patikrinkite, ar kataloguose nėra kitų failų formatų, išskyrus paveikslėlius!!!!
4. Naudokite standartinį „WordPress“ turinio importavimo įrankį

MUMS tikrai nereikia dviejų svetainių, kurios liestųsi viena su kita, turinį importuojame ir eksportuojame, perkeliame naudodami standartinius WordPress įrankius ir tikrai nieko blogo ten nenutiks

O perkeliant medijos failus reikia labai saugotis, kad ten nebūtų kopijuojami php ar js failai ar dar koks mėšlas – viską patikrinti labai paprasta, rūšiuoti pagal formatą. Tuo pačiu, visus failus galima masiškai konvertuoti į lengvesni formatą.