X
X
X
X

Почистете хакнат WordPress сайт с помощта на Wordfence

Начална страницаСтатииЗащита / Кибер сигурностПочистете хакнат WordPress сайт с п...
Неща, които трябва да знаете, преди да почистите WordPress сайт, който е бил хакнат

1. Обикновено можете да изтриете всичко в директорията wp-content/plugins/ и няма да загубите данни или да повредите сайта си. Причината е, че това са файлове с плъгини, които можете да преинсталирате и WordPress автоматично ще открие дали сте изтрили плъгин и ще го деактивира. Просто се уверете, че сте изтрили цели директории в wp-content/plugins, а не само отделни файлове. Например, ако искате да изтриете приставката Wordfence, трябва да изтриете wp-content/plugins/wordfence и всичко в тази директория, включително самата директория. Ако изтриете само няколко файла от плъгин, можете да оставите сайта си неработещ.

2. Обикновено имате само една директория с теми, която се използва за вашия сайт в директорията wp-content/themes. Ако знаете коя е тази, можете да изтриете всички други директории с теми. Внимавайте, ако имате „детска тема“, може да използвате две директории в wp-content/themes.

3.. В директориите wp-admin и wp-includes много рядко се добавят нови файлове. Така че, ако намерите нещо ново в тези директории, има голяма вероятност то да е злонамерено.

4. Внимавайте за стари инсталации и резервни копия на WordPress. Често виждаме сайтове заразени, когато някой казва: „Но аз поддържах сайта си актуален и имах инсталиран плъгин за сигурност, така че защо ме хакнаха?“ Това, което понякога се случва, е, че вие ​​или програмист ще направите резервно копие на всичките си файлове на сайта в поддиректория като /old/, която е достъпна от мрежата. Това архивиране не се поддържа и въпреки че основният ви сайт е защитен, хакер може да влезе там, да го зарази и да получи достъп до основния ви сайт от задната врата, която е поставил. Така че никога не оставяйте стари инсталации на WordPress да лежат наоколо и ако бъдете хакнати, първо ги проверете, защото е вероятно да са пълни със зловреден софтуер.

Изпълнение на сканиране с помощта на командите:

В Linux Server можете да получите достъп до вашия сървър чрез SSH, да влезете и да изпълните следната команда, за да видите всички файлове, които са били модифицирани през последните 2 дни. Командата по-долу изпълнява сканиране на пътя, в който сте инсталирали Wordpress, и идентифицира файлове, променени през последните 2 или 10 дни:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

find /home/yourdirectory/yoursite/ - mtime -10 -ls

Командата по-долу търси файлове, които съдържат base64 (често използван от хакери):

grep -ril base64 *

Можете да пропуснете опцията 'l', за да видите действителното съдържание на файла, където се среща низът base64:

grep - ri base64 *

Имайте предвид, че „base64“ може да се появи и в легитимен код. Преди да изтриете нещо, трябва да се уверите, че не изтривате файл, който се използва от тема или плъгин на вашия сайт. Тази команда търси рекурсивно всички файлове, които завършват с .php за низа „base64_decode“ и отпечатва номера на реда, така че да можете по-лесно да намерите контекста, в който се среща низът.

grep --include=*.php -rn. -e "base64_decode"

Ако изчистите много заразени файлове, ще започнете да забелязвате модели в местата, където често се намира зловреден код. Едно такова място е директорията за качвания в инсталациите на WordPress. Командата по-долу показва как да намерите всички файлове в директорията за качване, които НЕ са файлове с изображения. Резултатът се записва в регистрационен файл, наречен „uploads-non-binary.log“ във вашата текуща директория.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >качвания -non-binary.log

Как да почистите своя хакнат сайт с помощта на Wordfence:

1. Надстройте сайта си до най-новата версия на WordPress. Надстройте всичките си теми и плъгини до най-новите им версии.

2. Променете всички пароли на сайта, особено администраторските.

3. Направете друго архивно копие и го съхранете отделно от резервното копие, което ви препоръчваме да направите по-горе. Сега имате заразен сайт, но той работи с най-новата версия на всичко. Ако счупите нещо, докато почиствате сайта си с Wordfence, можете да се върнете към това архивиране и не е нужно да проследявате отново всички стъпки по-горе.

4. Отидете на страницата за сканиране на Wordfence. Кликнете върху връзката „Опции за сканиране и планиране“. Активирайте опцията за сканиране „Висока чувствителност“. Ако сканирането отнеме твърде много време или не завърши, разгънете секцията „Общи опции“. Премахнете отметката от опциите „Сканиране на файлове извън вашата инсталация на WordPress“ и „Сканиране на изображения, двоични и други файлове, сякаш са изпълними“. Запазете промените и опитайте ново сканиране.

5. Когато се появят резултатите, може да видите много дълъг списък от заразени файлове. Отделете време и бавно прегледайте списъка.

6. Проверете всички подозрителни файлове и или редактирайте тези файлове на ръка, за да ги почистите, или изтрийте файла. Не забравяйте, че не можете да отмените изтриванията. Но стига да сте направили резервното копие, което препоръчахме по-горе, винаги можете да възстановите файла, ако изтриете грешното нещо.

7. Погледнете всяко променено ядро, тема и плъгин файлове. Използвайте опцията, предоставена от Wordfence, за да видите какво се е променило между оригиналния файл и вашия файл. Ако промените изглеждат злонамерени, използвайте опцията Wordfence, за да поправите файла.

8. Бавно си проправете път през списъка, докато се изпразни.

9. Стартирайте друго сканиране и потвърдете, че вашият сайт е чист.

Top