Kako očistiti hakirani WordPress website?

Kako očistiti hakirani WordPress website?
Autor članka: Igor Kovačić
Kategorije: Internet
Teme:
Datum objave: 28.03.2016

Ukoliko ste vlasnik web stranice na WordPress CMS-u moguće je da ste se susreli sa situacijom u kojoj je vaš website bio hakiran.

Na početku je važno reći kako WordPress pogoni preko 50% svih websiteova s CMS-om (izvor: Built with) pa je upravo zbog tog razloga jedna od najviše napadanih platformi. No, to ne mora nužno značiti kako WordPress nije siguran – u nastavku ovog vodiča možete pročitati savjete za održavanje WordPressa sigurnim.

Do uspješnog napada može doći zbog:

  • sigurnosnog propusta na nekoj od WordPress datoteka
  • sigurnosnog propusta na nekom WordPress pluginu
  • probijanja lozinke za cPanel, FTP ili WordPress administraciju
  • sigurnosnog propusta na datoteci koja nije dio WordPressa ali se nalazi na istom hostingu (npr. druga web stranica)
  • zaraženog računala putem kojeg se spajate na cPanel/FTP

Vjerojatno prvi znak po kojem ćete prepoznati da je website napadnut izgledat će ovako:

wp hacked notification

Prije nego što stranica bude blokirana, napad je moguće prepoznati i prema sljedećem:

  • spam oglasi (npr. pornografija, lijekovi itd.)
  • preusmjeravanje na drugu domenu
  • Google pretraga za pojam site:primjer.com (zamijeniti primjer.com sa vašom domenom) vraća stranice koje izgledaju zlonamjerno
  • ukoliko primite obavijest od pružatelja hosting usluge (neke hosting kuće poput plus.hr preventivno šalje upozorenja o sigurnosnim propustima na vašem paketu)

Iako postoje automatizirani alati koji čišćenje mogu obaviti umjesto vas, ovdje je opisana ručna metoda čišćenja kako biste shvatili sami princip.

Koraci koje je zatim potrebno poduzeti slijede u nastavku.

Ukoliko ste Windows korisnik, prije početka provjerite je li vaše računalo zaraženo.

1. Prije početka radova, treba napraviti backup trenutnog stanja koda i baze.

2. Uklonite sadržaj koji uzrokuje problem.

Najjednostavnija metoda je vratiti svjež backup prije napada – ukoliko backup postoji. Ukoliko ne postoji, tada možete obrisati sve sumnjive sadržaje (datoteke) i ubačene dijelove koda. Ubačeni kodovi uglavnom se nalaze u vašim predlošcima i možete ih prepoznati po hrpi znakova unutar Javascript eval funkcije ili sadrže je negdje ispisan naziv “Base64”.

Savjet: ukoliko koristite sustav za verzioniranje koda kao primjerice Git, naredbom git status možete jednostavno pregledati datoteke koje su izmijenjene izravno na produkcijskom okruženju.

Za svaki slučaj preporuka je pregaziti sljedeće foldere i datoteke sa izvornim folderima i datotekama preuzetim s WordPressovih službenih stranica:

  • wp-admin
  • wp-content/plugins (prije brisanja važno je zapamtiti koje pluginove koristite)
  • wp-includes
  • index.php
  • license.txt
  • readme.html
  • wp-activate.php
  • wp-blog-header.php
  • wp-comments-post.php
  • wp-config-sample.php
  • wp-cron.php
  • wp-links-opml.php
  • wp-load.php
  • wp-login.php
  • wp-mail.php
  • wp-settings.php
  • wp-signup.php
  • wp-trackback.php
  • xmlrpc.php

Napomena: izbjegavajte kompletno brisanje foldera wp-content.

2. Obrišite pluginove i teme koji trenutno nisu aktivni.

3. Napravite ažuriranje WordPressa, pluginova i tema na najnoviju verziju.

Napomena: ukoliko koristite gotovu temu i izmjene niste radili kroz child theme, u procesu ažuriranja teme promjene bi mogle biti izgubljene.

4. Provjerite je li se u MySQL bazi nakupilo spam sadržaja.

5. Provjerite i ostale websiteove unutar istog hosting paketa.

6. Napravite promjenu svih lozinki: cPanel, FTP, WordPress (za sve WordPress korisnike) i MySQL.

7. Korištenjem Google Search Console alata, zatražite od Googlea da provjeri vaše stranice i ukine upozorenje za posjetitelje vašeg websitea.

Ako želite provjeriti nalazi li se vaš website na Google’s Safe Browsing listi možete to učiniti na adresi:
http://www.google.com/safebrowsing/diagnostic?site=http://primjer.com/ (zamijeniti primjer.com sa vašom domenom)

Ako vaši posjetitelji i dalje dobivaju upozorenja od antivirusnih programa, potrebno je otići na stranicu proizvođača antivirusnog softvera poput primjerice ESET ili ostalih te označiti website kao siguran (opcija whitelisting).

Ostali savjeti:

  • koristite jake password kombinacije – kombinirajte što više znakova, specijalne znakove i velika i mala slova
  • instalirajte plugin Wordfence Security
  • za detaljno skeniranje propusta možete koristiti alate poput WPScan-a
  • dodajte još jednu razinu sigurnosti tako da zaštitite wp-admin folder htaccess passwordom – to možete učiniti opcijom “Password Protect Directories” izravno iz vašeg cPanela

Za pomoć, slobodno nam se obratite korištenjem formulara pitajte učitelja.

Ako imate dodatne savjete, slobodno ih upišite u komentare.

Komentirajte prvi!

Pratite komentare na članak 'Kako očistiti hakirani WordPress website?' putem RSS feeda.

Ostavite komentar na ovaj članak

Uvredljivi i spam komentari biti će obrisani. Ukoliko se Vaš komentar ne pojavi odmah, pričekajte da ga odobrimo ;-). Odgovore na pitanje brže ćete dobiti ukoliko nas kontaktirate putem forme pitajte učitelja.