Kategórie

Hacknutý WordPress

WordPress, ako najpoužívanejší CMS systém, je dennodenne pod útokom hackerov a nimi vytvorených robotov. Nezabezpečený web sa stáva ľahkou obeťou a jeho majiteľ si útok uvedomí častokrát až vtedy, keď sa útok naplno prejaví zmenou obsahu či úplným znefunkčnením webu.

V tomto blogu by som rád túto tému hlbšie rozobral a zodpovedal nasledovné:

  • Ako vyzerá hacknutý WordPress?
  • Ako vrátiť svoj web do pôvodného stavu?
  • Prevencia – aby sa toto už nikdy neopakovalo

Verím, že tento blog vám pomôže vašu stránku lepšie zabezpečiť a v tom horšom prípade sa zbaviť následkov hackerského útoku. Poďme na to.

Ak sa vám už nechce ďalej čítať, tak ma rovno kontaktujte a všetky problémy považujte za vyriešené.

Ako vyzerá hacknutý WordPress?

Za posledné obdobie som prišiel do kontaktu s niekoľkými hacknutými stránkami. Ich správanie bolo takéto:

  • Cudzí odkaz na web umiestený vo footeri
Cudzí odkaz na web umiestený vo footeri
  • Po príchode na web, je používateľ presmerovaný na neznámu stránku
  • Ťaženie kryptomeny na pozadí (CoinHive hack)
  • Zmena meta popisu stránky vo vyhľadávaní
Web so šperkami môže vo vyhľadávaní vyzerať aj takto…
  • Čínske znaky
  • 502 Bad gateway (úplne znefunkčnenie webu)

A určite narazíte aj na iné správanie hacknutého webu (napr. rozosielanie spamu). Posledný web, na ktorom som pracoval, obsahoval vyššie uvedených napadnutí hneď niekoľko.

Ako vrátiť svoj web do pôvodného stavu?

Teraz uvediem niekoľko spôsobov ako sa z tejto šlamastiky dá vyhrabať. Pravdepodobne budete potrebovať mix viacerých z nich.

Obnova zo zálohy

Najjednoduchšou odpoveďou je záloha. S jej pomocou viete mať do 30 minút web opäť plne funkčný.

Z osobnej skúsenosti však viem, že záloha vo väčšine prípadov nepostačuje. Majiteľ stránky si takmer vždy uvedomí napadnutie až po niekoľkých dňoch, či týždňoch. Medzičasom sa vykonajú na stránke rôzne zmeny, pridajú sa nové produkty, prídu nové objednávky a obnova niekoľko týždňov starého stavu jednoducho neprichádza do úvahy.

Samozrejme, v prípade vymazania obsahu stránky, resp. úplného prepísania zdrojových kódov, je záloha alfa a omega.

Ak máte web vo Websupporte, tak Vás isto poteším správou, že je zálohovaný a viete sa vrátiť ku verzii od dnes až dva týždne dozadu.

Wordfence

Free verzia toho dokáže veľmi veľa a bude Vám stačiť.

V prípade, že máte to štastie a viete sa dostať do administrácie, tak vám veľmi môže pomôcť bezpečnostný plugin Wordfence.

Jeho free verzia obsahuje možnosť bezpečnostného scanu, ktorý dokáže odhaliť všetky súbory, ktoré stratili integritu (boli pozmenené), či obsahujú akýkoľvek škodlivý kód. Wordfence postupuje veľmi rozumne a zdrojové súbory porovnáva s ich oficiálnymi verziami vo WordPress repozitári. Takisto vie identifikovať falošné používateľské účty a upozorniť vás na dôležité updaty alebo už ďalej nepodporované pluginy.

Wordfence scan
Wordfence Scan

Funkcia Scan vám teda s najväčšou pravdepodobnosťou nájde množstvo výsledkov a ponúkne vám aj nápravu problému. Vačšina výsledkov bude typu „Tento súbor nie je oficiálnym súborom témy, pluginu či WordPressu“. Názov súboru vás v tom často aj uistí. Neváhajte preto súbor odstrániť.

Dávajte si ale pozor, napadnutý môže byť aj samotný wp-config súbor a iné dôležité súbory. Ten odstrániť rozhodne neodporúčam. Treba si preto zachovať pri čistení súborov pozornosť a rozhodne to nerobiť strojovo. V tom lepšom prípade vám Wordfence ponúkne možnosť súbor jednoducho opraviť.

Manuálna kontrola súborov

Ani Wordfence však nie je dokonalý a niektoré infikované súbory prehliadne, alebo ich jednoducho nemôžete len tak vymazať, pretože za ne nemáte náhradu – napr. súbory profesionálnych tém.

V takom prípade odporúčam pripojiť sa na stránku cez FTP klienta a manuálne súbory prekontrolovať. Stačí, ak si súbory zoradíte podľa dátumu poslednej úpravy a hneď budete vedieť kde a kedy sa vykonala zmena.

Škodlivý kód rozpoznáte jednoducho. Zvyčajne sa nachádza na začiatku súbora a obsahuje znaky/príkazy, ktorým nebudete rozumieť 🙂

Ak máte prístup ku konzole, odporúčám použiť tento príkaz v domovskom adresári Vášho webu. Zobrazí vám všetky súbory, ktoré boli upravené za dané časové obdobie (v ukážke je to 7 dní).

find -type f -mtime -7 printf "%p %Tc\n"

Nič mi nepomáha, stránka ani nejde načítať

V tomto prípade si musíte poriadne vyhrnúť rukávy a manuálne sa prehrabávať v súboroch.

Vo väčšine prípadov je odpoveďou nefunkčný plugin. Keďže sa neviete prihlásiť do administrácie a po jednom pluginy deaktivovať, musíte na stránku pristúpiť napr. cez FTP klienta. Nasmerujete sa do priečinka wp-content/plugins/ a vytvoríte tam napr. priečinok X.
Do tohto priečinka môžete po jednom pluginy presúvať a vždy po presune refreshnete stránku. Týmto spôsobom viete zistiť, ktorý plugin spôsobuje výpadok stránky.

Problém však môže byť aj inde. Treba preto skontrolovať aj .htaccess a wp-config súbory.

Prevencia – Aby sa toto už nikdy neopakovalo

Na túto tému nájdete na internete množstvo článkov, z môjho pohľadu je najefektívnejšie dodržiavať tieto pravidlá:

  • Používajte silné heslo, ktoré sa nedá odhaliť slovníkovým útokom
  • Nainštalujte si bezpečnostný plugin, odporúčam Wordfence
  • Pravidelne aktualizujte WordPress, pluginy a tému

Nájdete toho aj viac, toto je však nutný základ.


Záver

Dúfam, že ste pri čítaní tohto príspevku našli niečo užitočné. Nové informácie sa budem snažiť priebežne dopĺňať.

Ak máte podobné skúsenosti, prípadne sa chcete niečo opýtať alebo doplniť, poteším sa vášmu komentáru nižšie.