Какие типы вредоносных программ чаще всего встречаются на веб-сайтах WordPress и как они туда попадают? Внедрение SQL, вставка JavaScript и взлом .htaccess — все это распространенные способы изменить содержимое вашего веб-сайта WordPress. Некоторые вредоносные сценарии перенаправляют пользователей на другой веб-сайт, другие вставляют вредоносные ссылки, а третьи используют файл .htaccess, чтобы украсть рейтинг вашего веб-сайта в Google.

Если вы подозреваете, что вас взломали, вот несколько общих признаков, которые следует искать в коде вашего веб-сайта:

Измененный файл .htaccess

Файл .htaccess всегда находится в корневом каталоге вашего сайта WordPress. Этот файл позволяет вам писать правила для управления тем, как сервер обрабатывает запросы веб-сайта, такие как доступ поискового робота Google или перенаправления URL-адресов.

Хакеры, получившие доступ к файлу .htaccess, вставляют в него несколько строк кода, которые перенаправляют поисковые системы. Вредоносное ПО обнаруживает значение «пользовательский агент», которое передается из веб-браузера или поисковой системы на сервер WordPress. Если пользовательским агентом является «Google», взломанный файл .htaccess перенаправляет Google на взломанный веб-сайт.

Этот хак совершенно незаметен для ваших читателей WordPress и влияет только на ваш рейтинг в Google. Следующий код является примером взломанного кода .htaccess:

RewriteCond%{HTTP_REFERER}.*google.*[OR]

RewriteRule^(.*)$ http://hackedsite.com/index.php [R=301,L]

В приведенном выше примере, если робот Googlebot сканирует веб-сайт, сканер перенаправляется на веб-сайт хакера. Вы должны удалить эти строки кода из .htaccess, чтобы удалить вредоносное ПО.

Вставленный код JavaScript или PHP

Существуют две функции, которые помогают хакерам маскировать и скрывать вставленный вредоносный код: функция JavaScript «eval» и функция PHP «base64_decode». Для поиска этих функций в вашем коде можно использовать простую процедуру Windows «Найти» на всех ваших веб-страницах.

Функция «eval» позволяет хакеру внедрить код JavaScript, который выглядит как обычный код, но хакер вставляет ссылки или использует перенаправление, которое запускается через несколько секунд на веб-сайте.

Функция PHP «base64_decode» более популярна, потому что она позволяет хакеру шифровать вредоносные операторы кодирования. Функция «base64_decode» расшифровывает код при выполнении, поэтому он виден только при открытии кода в веб-браузере. Эта функция PHP обычно используется для включения скрытых ссылок на вредоносные веб-сайты.

Обычно хакер размещает вредоносный код на несколько строк ниже основного контента, поэтому веб-мастер пропускает утверждения. Убедитесь, что вы прокрутили страницу до конца, чтобы найти вредоносные утверждения. Следующий код является случайным примером вредоносного ПО PHP, которое вы можете найти на взломанных веб-страницах:

eval(base64_decode($_SERVER57F))%32%5E|.+)

Весь код после оператора «_SERVER» является зашифрованным кодом. В этом случае вы должны удалить всю строку кода, чтобы удалить вредоносное ПО.

SQL-инъекции

SQL-инъекция является наиболее сложной для понимания веб-мастером, потому что вы должны знать язык кодирования SQL, чтобы понять, как работает взлом. SQL-инъекция работает с использованием команд базы данных в базе данных WordPress.

Атака доступна на любом веб-сайте, который не использует процесс, называемый «очистка» во встроенном коде SQL. Лучший способ избежать вредоносного кода SQL-инъекции на сайте WordPress — обновить программное обеспечение до последней версии WordPress. Однако это не защищает от SQL-инъекций в плагинах WordPress. Убедитесь, что ваш код подключаемого модуля обновлен, и загружайте подключаемые модули только с официального веб-сайта WordPress.org.

Защитите себя от вредоносных программ

После того, как вы найдете и удалите вредоносное ПО со своего сайта, вы должны быть уверены, что знаете, как хакеру удалось внедрить вредоносный код. Смените все пароли, обновите файлы определений вирусов и запустите проверку на вирусы на всех компьютерах, имеющих доступ к коду веб-сайта. Частью защиты сайта от будущих взломов является понимание того, как хакер получил доступ к вашему сайту. Если вы просто измените код, вы рискуете быть взломанным в будущем.

К счастью, многие никогда не сталкивались со взломом веб-сайта, но некоторые из нас сталкивались с этим. Вы просматриваете свой сайт утром, и он зашифрован, исчез или, что еще хуже, показывает ссылки на сомнительные сайты. В каком-то смысле это наименее неприятный случай, потому что, по крайней мере, вы сразу понимаете, что что-то не так.

Что происходит, когда у вас есть скомпрометированный веб-сайт

Есть много показателей скомпрометированного веб-сайта. Мы перечислим только некоторые из них. Ваш пароль не работает, поэтому вы не можете войти в систему. Ваш браузер может предупредить вас. Поисковые системы могут занести ваш сайт в черный список. Это третье может быть особенно опасным, потому что каждый, кто посещает ваш сайт, видит предупреждение из независимого источника, который они знают и которому доверяют, и он сообщает им, что ваш сайт небезопасен!

Иногда атака более тонкая, и только когда посетитель или, что еще хуже, потенциальный клиент сообщают вам, что они были перенаправлены на неожиданный сайт, вы узнаете, что существует проблема.

Затем вы начинаете спрашивать себя, сколько потенциальных клиентов были отброшены, которые просто не смогли связаться с вами? Сколько денег вы потеряли? Сколько денег будет стоить исправить? И что не менее важно, как предотвратить повторение этого?

Если вы не опытный веб-мастер, маловероятно, что вы обратитесь к своей хостинговой компании, чтобы помочь вам восстановить нормальное состояние — и, при этом, они должны быть более чем способны вам помочь. Конечно, у них есть и тысячи других клиентов, так что вы не обязательно будете их главным приоритетом.

Что можно сделать?

Если у вас есть некоторые навыки и понимание FTP, баз данных SQL и т. д., вы, возможно, сможете пересобрать все самостоятельно. Вам понадобится последняя копия вашего сайта, которая была чистой. Другими словами, файлы, которые не были заражены тем, что изначально вызвало проблему. Если вы точно не знаете, когда произошло нападение, это может быть очень сложно установить. Важно хранить архив файлов резервных копий, чтобы убедиться, что вы можете найти чистую версию.

Какова бы ни была причина, по которой страница сайта не открывается, например DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.