Co dělat, když dojde k napadení stránky na WordPressu?

10. října 2016

Zjištění, že váš pečlivě vybudovaný web byl napaden hackery, je stresující situace. Většina těchto útoků obvykle probíhá automaticky. Populární CMS aplikace, jako je právě WordPress, jsou bohužel kvůli svému otevřenému zdrojovému kódu zranitelnější než např. individuální webové řešení na míru. Co v takové chvíli dělat?

Co dělat při napadení WordPressu?

Naštěstí existuje několi praktických kroků, které pomáhají najít problém a zabránit jeho výskytu do budoucna:

Tato stránka obsahuje volný překlad článku „My site was hacked“, zveřejněného na webu codex.wordpress.org.

Proskenujte svůj počítač

První místo, které byste měli prozkoumat, je softwarové prostředí, ve kterém pracujete. V mnoha případech je zdroj napadení či virové infekce ukrytý ve vašem stroji (např. počítači, notebooku atd). Spusťte plnou antivirovou kontrolu. Existují i viry, které se umí před určitým antivirovým softwarem schovat – zkuste tedy použít i jiný antivir. Tento problém se může týkat počítačů s operačními systémy Windows, OS X i Linux.

Nemůžete se přihlásit do administrace WordPressu?

Tento problém bývá docela častý a lze ho vyřešit několika různými způsoby. Pokud znáte své uživatelské jméno, WordPress nabízí možnost vyresetování zapomenutého hesla pomocí e-mailu. Několik dalších možností je popsáno v oficiální dokumentaci zde:
http://codex.wordpress.org/Resetting_Your_Password

Také můžete použít nástroj PHP MyAdmin (https://myadmin.zarea.net/) a přihlásit se přímo do své databáze. Zde je možné obejít nastavení WP-ADMIN a resetovat jednotlivé uživatele v tabulce wp_users. Pozor, hesla jsou ukládána v podobě šifrovaného hash řetězce – pokud se tímto prvkem nechcete zabývat, upravte si pouze e-mailovou adresu uživatele, pak se vraťte k přihlašovacímu oknu a přepošlete si resetovaci e-mail.

Proskenujte svůj web

WordPress nabízí řadu nástrojů pro vyhledání a odstranění malware. Jsou k dispozici v tomto repozitáři:
https://wordpress.org/plugins/search.php?q=malware+scanner

Je užitečné zobrazit si veškeré soubory a adresáře na serveru včetně těch, které jsou označené jako „skryté“. Vyhledejte si soubory s koncovkou .EXE a seřaďte je podle velikosti. Škodlivý kód se obvykle ukrývá v tzv. spustitelných (executable) souborech menších než 5 MB, ale někdy mohou být i větší. Ne každý .EXE soubor pod 5 MB je však škodlivý. Podezřelé soubory si vypište do seznamu a vždy prověřte pomocí online databází  – smažte známé viry (viruses), červy (worms) a automaticky se spouštějící programy (autoruns). Pozor: nesmažte si žádné systémové soubory!

Je dobré vědět, jak se různé typy napadení projevují a co na vaší stránce najdou návštěvníci. Například škodlivý kód, který způsobuje přesměrování na cizí web, bývá ukryt v souborech .htaccess a index.php, které jsou v kořenovém adresáři (rootu) vašeho webu. Jiné typy napadení se mohou soustředit například do podadresáře wp-content/themes a změnit zdrojový kód v souborech index.php, header.php, footer.php a functions.php. Samozřejmě se může jednat i o jiné adresáře a varianty.

Pozor na blacklist Google

Pokud Google označí vaši stránku za napadenou a umístí vás na blacklist, může to mít velmi negativní vliv na vaši značku. Každý den se na tomto seznamu objeví asi 10 000 nových webů. Upozornění, že váš web není důvěryhodný, se může objevit na webu v podobě velkého nápisu anebo přímo mezi výsledky vyhledávání v SERP (Search Engine Result Pages).

Doporučujeme, abyste si vytvořili účet v Google Webmaster Tools. Google nabízí několik nástrojů pro diagnostiku. Po odstranění problému lze požádat o vyřazení z blacklistu:
https://support.google.com/webmasters/answer/168328?hl=en

Spojte se s poskytovatelem svého webhostingu

Pokud je vaše webová stránka uložena na sdíleném webhostingovém serveru, je možné, že hacker poškodil i další uživatele. Velký problém způsobuje zejména rozesílání spamu. Pokud je vaše webová stránka napadena a začne rozesílat spamové zprávy, může se IP adresa celého serveru objevit na blacklistu. Tato situace ovlivňuje i další zákazníky a obvykle je nutné ji řešit co nejdříve.

Vylepšete přístupové údaje

Je dobré si čas od času změnit hesla. Doporučujeme užívat delší, složitější a unikátní hesla. Ideální je použít náhodně generovaná hesla – o jejich „zapamatování“ se může postarat aplikace typu LastPass nebo 1Password.

Pamatujte, že hesla by se měla změnit ve všech přístupových bodech – k FTP, k MySQL databázi i v administraci WP-ADMIN. Neuvádějte na dvou místech stejné heslo.

Pokud někdo ukradne vaše přístupové heslo a je právě přihlášen k vašemu blogu, zůstane přihlášen i poté, co změníte heslo. Jak je to možné? Jejich cookies stále platí. Tato funkce se dá vyřadit, pokud vygenerujete nové bezpečnostní klíče (security keys). Ty bude následně potřeba vložit do souboru wp-config.php a přepsat jimi klíče původní. WordPress nabízí vlastní online generátor náhodných bezpečnostních klíčů zde:
https://codex.wordpress.org/Editing_wp-config.php#Security_Keys

Zazálohujte si to, co zbylo

Pokud jsou vaše soubory, fotografie a databáze stále na místě, zvažte, zda by nebylo dobré provést v tento moment jejich zálohu. Obsah zálohy můžete prozkoumat později. Získáte tak možnost obnovit část svého webu, pokud by při čištění nebo reinstalaci zavirované webové prezentace něco selhalo. Tuto zálohu si však výrazně označte, aby bylo jasné, že jde o NAPADENÝ web.

Odstraňte škodlivý kód

Tento úkol je pravděpodobně nejtěžší z celého seznamu a vyžaduje nejvíc práce.
Zajímavé rady, jak zjistit, kde se typicky skrývá škodlivý kód a jak ho odhalit, jsou sepsány zde:
http://z9.io/2008/06/08/did-your-wordpress-site-get-hacked/

Nejjednodušší způsob je vložení kódu do vašich PHP skriptů. Pokud jsou adresáře a soubory na vašem webu zapisovatelné, může hacker vložit svůj kód, kam chce. jedním z těchto souborů může být wp-blog-header.php nebo soubory vzhledových témat (Theme).

Útočník může použít váš soubor .htaccess k nastavení přesměrování, takže vaše doména bude náhle směřovat na cizí URL. Prohledejte i základní root adresář na serveru, ne jen adresář s vaším blogem. Cizí kód může být ukrytý až na konci dokumentu. Zkontrolujte také, zda nedošlo ke změně přístupových oprávnění (file permissions) – změňte je zpět na 644.

Více informací k nastavení práv u adresářů a souborů WordPressu:
http://stackoverflow.com/questions/18352682/correct-file-permissions-for-wordpress

Jako řešení se nabízí i možnost přeinstalovat určité prvky webu, aniž by došlo k výraznějšímu ovlivnění jádra systému (core). Dejte si pozor, abyste vždy použili kompatibilní verzi softwaru. Při této reinstalaci nepoužívejte automatické reinstalační možnosti ve WP-ADMIN, ale nakopírujte nové soubory přes FTP. Z dlouhodobého hlediska je to výhodnější řešení, protože automatický instalátor většinou pouze přepíše existující soubory, zatímco hacker vytvořil zcela nové.

Zkuste obnovit obsah webu ze zálohy

Pokud provedete obnovu databáze z důvěryhodného zdroje a znovu nahrajete své zazálohované pluginy a soubory témat přes FTP, bude téměř jisté, že všechny škodlivé soubory a skripty jsou pryč.

Nemáte zálohu? Pak jsou zde tyto možnosti: postavit od základů úplně nový web anebo se pokusit manuálně odstranit veškeré části škodlivého kódu. Prohlížení souborů může ale zabrat celé dny. Pokud vám nějaká část unikne, může se v okamžiku, kdy webovou stránku zveřejníte, celé napadení znovu opakovat. Pokud právě čtete tento text a nemáte zazálohovaný web, ihned si jděte udělat zálohu.

Nahraďte soubory jádra Worpdressu novými z čerstvě staženého ZIPu

Pokud nahradíte všechny soubory v jádře systému, zajistíte, aby už žádný z nich nebyl napaden cizími skripty. Pokud nemáte k dispozici zálohy svých pluginů a témat, přeinstalujte je také.

Aktualizujte!

Jakmile je vaše webová prezentace vyčištěná, měli byste aktualizovat svou instalaci WordPressu na nejnovější verzi. Starší verze jsou náchylnější k tomu, aby byly napadeny.

Změňte si znovu hesla a zajistěte bezpečnost webu

Pamatujte, že ve chvíli, kdy dojde k vyčištění webu, je nutné znovu změnit přístupová hesla. Poprvé jste je změnili, když jste objevili problém, nyní je změňte znovu. Opět doporučujeme užívat delší, složitější a unikátní hesla.

WordPress patří mezi nejpopulárnější CMS a je velmi oblíbený mezi koncovými uživateli. Bohužel to je zároveň i jeho velká slavost. Mnozí uživatelé si nejsou vědomi rizik, která jsou s administrováním webového serveru spojena. Mezi typické bezpečnostní slabiny patří:

– nesprávné nastavení práv (FTP, SFTP, SSH, WP ADMIN, DB…)
– nesprávný postup při administraci systému
– zapomenuté testovací weby a nepotřebné soubory na serveru
– zastaralý software (PHP, WP, DB, pluginy, témata)
– nedostatek vědomostí týkajících se webu
– nedostatek vědomostí týkajících se bezpečnosti
– samozvaní „experti“
– použití pluginů a skriptů z neprověřených zdrojů, které mohou být infikovány nebo obsahovat backdoor („zadní vrátka“).

Pravidelně zálohujte

Teď, když je problém vyřešen, začněte pravidelně zálohovat svou databázi i soubory. Pokud v budoucnu dojde k podobné situaci, bude stačit, když provedete obnovu dat ze zálohy a následnou změnu hesel a bezpečnostních klíčů.

Zdroj:
https://codex.wordpress.org/FAQ_My_site_was_hacked

Vyzkoušejte si WordPress na 30 dní zdarma díky profesionálnímu webhostingu od CZECHIA.COM.

Štítky: WordPress

Mohlo by vás také zajímat

Nejnovější

1 komentář

  1. Patrik

    Říj 11, 2018 v 13:35

    Máte pravdu, lidé tento problém velice podcenňují. Nabízíme firewall, který by mohl pomoci a asistenci při odvirování.

    Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *