Как найти бэкдор во взломанном сайте WordPress и исправить его

Был ли взломан ваш сайт WordPress? Хакеры часто устанавливают бэкдор, чтобы убедиться, что они смогут вернуться даже после того, как вы защитите свой...

Был ли взломан ваш сайт WordPress?

Хакеры часто устанавливают бэкдор, чтобы убедиться, что они смогут вернуться даже после того, как вы защитите свой сайт. Если вы не сможете удалить этот бэкдор, их уже не остановить.

В этой статье мы расскажем вам, как найти бэкдор во взломанном сайте WordPress и устранить его.

Как определить, что ваш сайт был взломан

Если у вас есть сайт WordPress, то вам необходимо серьезно относиться к безопасности. Это связано с тем, что каждый день веб-сайты подвергаются атакам в среднем 44 раза.

Вы можете изучить лучшие методы обеспечения безопасности вашего сайта в нашем окончательном руководстве по безопасности WordPress.

Но что делать, если ваш сайт уже взломали??

Некоторые признаки того, что ваш сайт WordPress был взломан, включают падение посещаемости или производительности сайта, добавление плохих ссылок или неизвестных файлов, поврежденная домашняя страница, невозможность войти в систему, подозрительные новые учетные записи пользователей и многое другое.

Очистка взломанного сайта может быть невероятно болезненной и сложной. В нашем руководстве для начинающих по исправлению взломанного сайта WordPress мы пошагово описываем весь процесс. Вы также должны убедиться, что проверили свой сайт на наличие вредоносного ПО, оставленного хакерами.

И не забудьте закрыть бэкдор.

Умный хакер знает, что вы в конечном итоге очистите свой сайт. Первое, что они могут сделать, это установить черный ход, чтобы они могли пробраться обратно после того, как вы защитите входную дверь на свой сайт WordPress.

Что такое бэкдор?

Бэкдор — это код, добавленный на сайт, который позволяет хакеру получить доступ к серверу, оставаясь незамеченным, и в обход обычного входа в систему. Он позволяет хакеру получить доступ даже после того, как вы найдете и удалите используемый плагин или уязвимость на вашем сайте.

Бэкдоры — это следующий шаг взлома после того, как пользователь взломал сайт. Вы можете узнать, как они могли это сделать, в нашем руководстве о том, как взламывают сайты WordPress и как это предотвратить.

Бэкдоры часто выживают после обновления WordPress. Это означает, что ваш сайт будет оставаться уязвимым, пока вы не найдете и не устраните все бэкдоры.

Как работают бэкдоры?

Некоторые бэкдоры — это просто скрытые имена пользователей администратора. Они позволяют хакеру войти в систему как обычно, введя имя пользователя и пароль. Поскольку имя пользователя скрыто, вы даже не знаете, что кто-то другой имеет доступ к вашему сайту.

Более сложные бэкдоры могут позволить хакеру выполнить PHP-код. Они вручную отправляют код на ваш сайт, используя свой веб-браузер.

Другие имеют полноценный пользовательский интерфейс, который позволяет им отправлять электронные письма с вашего хостинг-сервера WordPress, выполнять запросы к базе данных SQL и многое другое.

Некоторые хакеры оставляют более одного файла с бэкдором. После загрузки одного плагина, они добавят еще один, чтобы обеспечить себе доступ.

Где прячутся бэкдоры?

Во всех случаях, которые мы обнаружили, бэкдор был замаскирован под файл WordPress. Код для бэкдоров на сайте WordPress чаще всего хранится в следующих местах:

  1. WordPress тема, но, вероятно, не в том, которое вы сейчас используете. Код в теме не перезаписывается при обновлении WordPress, поэтому это хорошее место для размещения бэкдора. Вот почему мы рекомендуем удалить все неактивные темы.
  2. WordPress плагины являются еще одним хорошим местом, где можно спрятать бэкдор. Как и темы, они не перезаписываются обновлениями WordPress, а многие пользователи неохотно обновляют плагины.
  3. Сайт загружает папка может содержать сотни или тысячи медиафайлов, поэтому это еще одно хорошее место для скрытия бэкдора. Блоггеры почти никогда не проверяют его содержимое, потому что они просто загружают изображение, а затем используют его в посте.
  4. Сайт wp-config.php файл содержит конфиденциальную информацию, используемую для настройки WordPress. Это один из наиболее часто атакуемых хакерами файлов.
  5. Файл wp-includes Папка содержит файлы PHP, необходимые для нормальной работы WordPress. Это еще одно место, где мы находим бэкдоры, потому что большинство владельцев сайтов не проверяют, что содержит эта папка.

Примеры найденных нами бэкдоров

Вот несколько примеров того, куда хакеры загружают бэкдоры. На одном из сайтов, который мы очистили, бэкдор находился в папке wp-includes. Файл назывался wp-user.php , который выглядит достаточно невинно, но этот файл на самом деле не существует в нормальной установке WordPress.

В другом случае мы обнаружили PHP-файл с именем hello.php в папке uploads. Он был замаскирован под плагин Hello Dolly. Странно то, что хакер поместил его в папку uploads, а не в папку plugins.

Мы также обнаружили бэкдоры, в которых не используется расширение .расширение файла php. Одним из примеров был файл с именем wp-content.старый.tmp , и мы также обнаружили бэкдоры в файлах с адресом .расширение zip.

Как видите, хакеры могут использовать очень творческие подходы при скрытии бэкдора.

В большинстве случаев файлы были закодированы с помощью кода Base64, который может выполнять всевозможные операции. Например, они могут добавлять спам-ссылки, добавлять дополнительные страницы, перенаправлять основной сайт на спамные страницы и многое другое.

Учитывая вышесказанное, давайте рассмотрим, как найти бэкдор во взломанном сайте WordPress и устранить его.

Как найти бэкдор во взломанном сайте WordPress и исправить его

Теперь вы знаете, что такое бэкдор и где он может быть спрятан. Самое сложное — найти его! После этого, очистить ее так же просто, как удалить файл или код.

1. Сканирование на наличие потенциально вредоносного кода

Самый простой способ проверить ваш сайт на наличие бэкдоров и уязвимостей — это плагин WordPress malware scanner. Мы рекомендуем Securi, потому что он помог нам заблокировать 450 000 атак на WordPress за 3 месяца, включая 29 690 атак, связанных с бэкдорами.

Они предлагают бесплатный плагин Sucuri Security для WordPress, который позволяет сканировать ваш сайт на наличие распространенных угроз и укреплять безопасность WordPress. Платная версия включает сканер на стороне сервера, который запускается раз в день и ищет бэкдоры и другие проблемы безопасности.

2. Удалите папку Plugins

Поиск подозрительных файлов и кода в папках плагинов отнимает много времени. И поскольку хакеры очень хитры, нет никакой гарантии, что вы найдете бэкдор.

Лучшее, что вы можете сделать, это удалить папку plugins, а затем переустановить плагины с нуля. Это единственный способ узнать наверняка, что в ваших плагинах нет бэкдоров.

Вы можете получить доступ к папке plugins с помощью FTP-клиента или файлового менеджера вашего хостера WordPress. Если вы раньше не пользовались FTP, то вам стоит посмотреть наше руководство о том, как использовать FTP для загрузки файлов на WordPress.

С помощью программы вам нужно будет перейти в папку wp-content вашего сайта. После этого щелкните правой кнопкой мыши на папке plugins и выберите «Удалить».

Удалите папку с плагинами

3. Удалите папку с темами

Таким же образом, вместо того, чтобы тратить время на поиск бэкдора среди файлов тем, лучше просто удалить их.

После удаления папки с плагинами, просто выделите папку themes и удалите ее таким же образом.

Неизвестно, был ли в этой папке бэкдор, но если и был, то теперь его нет. Вы только что сэкономили время и устранили дополнительную точку атаки.

Теперь вы можете переустановить любые темы, которые вам нужны.

4. Поиск файлов PHP в папке Uploads

Далее следует просмотреть папку uploads и убедиться, что в ней нет файлов PHP.

У PHP-файла нет веских причин находиться в этой папке, поскольку она предназначена для хранения медиафайлов, таких как изображения. Если вы найдете там файл PHP, то его следует удалить.

Как и папки plugins и themes, папка uploads находится в папке wp-content. Внутри папки вы найдете несколько папок для каждого года и месяца, в которые вы загружали файлы. Вам нужно будет проверить каждую папку на наличие файлов PHP.

Некоторые FTP-клиенты предлагают инструменты, которые будут искать в папке рекурсивно. Например, если вы используете FileZilla, то вы можете щелкнуть правой кнопкой мыши на папке и выбрать «Добавить файлы в очередь». Любые файлы, найденные в любых подкаталогах папки, будут добавлены в очередь в нижней панели.

Убедитесь, что в папке Uploads нет файлов PHP

Теперь вы можете пролистать список в поисках файлов с символами .расширение php.

В качестве альтернативы, опытные пользователи, знакомые с SSH, могут написать следующую команду:

find uploads -name "*.php" -print

5. Удалите .Файл htaccess

Некоторые хакеры могут добавить коды перенаправления на ваш сайт .htaccess файл, который будет отправлять ваших посетителей на другой сайт.

Используя FTP-клиент или файловый менеджер, просто удалите файл из корневого каталога вашего сайта, и он будет создан заново автоматически.

Удалите файл .htaccess

Если по какой-то причине он не воссоздается, то вам следует перейти по ссылке Настройки » Permalinks в панели администратора WordPress. Нажав кнопку ‘Сохранить изменения’, вы сохраните новый файл .htaccess .файл htaccess.

Пересоздайте файл .htaccess при необходимости

6. Проверьте wp-config.php Файл

wp-config.Файл php — это основной файл WordPress, который содержит информацию, позволяющую WordPress взаимодействовать с базой данных, ключи безопасности для вашей установки WordPress и опции разработчика.

Этот файл находится в корневой папке вашего сайта. Вы можете просмотреть содержимое файла, выбрав опции Open или Edit в вашем FTP-клиенте.

Ищите все, что не на своем месте в файле wp-config.php

Теперь внимательно просмотрите содержимое файла, чтобы понять, нет ли там чего-то, что выглядит не к месту. Возможно, будет полезно сравнить файл с образцом wp-config-sample по умолчанию.php файл, который находится в той же папке.

Вы должны удалить любой код, который, как вы уверены, не принадлежит вам.

7. Восстановление резервной копии сайта

Если вы регулярно создаете резервные копии своего сайта, но все еще беспокоитесь, что ваш сайт не совсем чист, то восстановление резервной копии — хорошее решение.

Вам нужно будет полностью удалить свой сайт, а затем восстановить резервную копию, которая была сделана до того, как ваш сайт был взломан. Этот вариант не для всех, но он позволит вам быть уверенным на 100%, что ваш сайт в безопасности.

Для получения дополнительной информации см. наше руководство для начинающих о том, как восстановить WordPress из резервной копии.

Как предотвратить взломы в будущем?

Теперь, когда вы очистили свой сайт, пришло время улучшить его безопасность, чтобы предотвратить взломы в будущем. Не стоит быть дешевым или равнодушным, когда речь идет о безопасности веб-сайта.

1. Регулярно создавайте резервные копии вашего сайта

Если вы еще не делаете регулярные резервные копии своего сайта, то сегодня самое время начать.

WordPress не поставляется со встроенным решением для резервного копирования. Однако существует несколько отличных плагинов для резервного копирования WordPress, которые позволяют автоматически создавать резервные копии и восстанавливать ваш сайт WordPress.

UpdraftPlus — один из лучших плагинов для резервного копирования WordPress. Он позволяет настроить автоматическое резервное копирование и поможет вам восстановить ваш сайт WordPress, если случится что-то плохое.

Резервное копирование вашего сайта с помощью UpdraftPlus

2. Установите плагин безопасности

Вы не можете контролировать все, что происходит на вашем сайте, когда вы заняты работой над своим бизнесом. Вот почему мы рекомендуем вам использовать плагин безопасности, такой как Sucuri.

Мы рекомендуем Sucuri, потому что они хороши в своем деле. Крупные издания, такие как CNN, USA Today, PC World, TechCrunch, The Next Web и другие, согласны с этим. Кроме того, мы сами полагаемся на него, чтобы обеспечить безопасность WPBeginner.

3. Сделайте вход в WordPress более безопасным

Также важно сделать вход в систему WordPress более безопасным. Лучше всего начать с использования надежных паролей, когда пользователи создают учетную запись на вашем сайте. Мы также рекомендуем вам начать использовать утилиту для управления паролями, такую как 1Password.

Следующее, что вы должны сделать, это добавить двухфакторную аутентификацию. Это защитит ваш сайт от кражи паролей и атак грубой силы. Это означает, что даже если хакер знает ваше имя пользователя и пароль, он все равно не сможет войти на ваш сайт.

Наконец, вы должны ограничить попытки входа в систему в WordPress. WordPress позволяет пользователям вводить пароли столько раз, сколько они хотят. Блокировка пользователя после пяти неудачных попыток входа в систему значительно снизит шансы хакера узнать ваши данные для входа.

4. Защита административной области WordPress

Защита области администратора от несанкционированного доступа позволяет блокировать многие распространенные угрозы безопасности. У нас есть длинный список советов о том, как вы можете обезопасить админку WordPress.

Например, вы можете защитить паролем директорию wp-admin. Это добавляет еще один уровень защиты к самой важной точке входа на ваш сайт.

Вы также можете ограничить доступ к области администратора IP-адресами, используемыми вашей командой. Это еще один способ заблокировать хакеров, которые узнают ваше имя пользователя и пароль.

5. Отключите редакторы тем и плагинов

Знаете ли вы, что WordPress поставляется со встроенным редактором тем и плагинов? Этот текстовый редактор позволяет редактировать файлы тем и плагинов прямо из приборной панели WordPress.

Хотя это и полезно, это может привести к потенциальным проблемам безопасности. Например, если хакер проникнет в административную область WordPress, то он может использовать встроенный редактор для получения доступа ко всем данным WordPress.

После этого они не смогут распространять вредоносное ПО или проводить DDoS-атаки с вашего сайта WordPress.

6. Отключите выполнение PHP в определенных папках WordPress

По умолчанию PHP-скрипты могут быть запущены в любой папке вашего сайта. Вы можете сделать свой сайт более безопасным, отключив выполнение PHP в папках, которые в этом не нуждаются.

Например, WordPress никогда не нужно запускать код, хранящийся в вашей папке uploads. Если вы отключите выполнение PHP для этой папки, то хакер не сможет запустить бэкдор, даже если он успешно загрузит его туда.

7. Поддерживайте ваш сайт в актуальном состоянии

Каждая новая версия WordPress безопаснее предыдущей. Всякий раз, когда сообщается об уязвимости в системе безопасности, основная команда WordPress старательно работает над выпуском обновления, которое устраняет проблему.

Это означает, что если вы не поддерживаете WordPress в актуальном состоянии, то вы используете программное обеспечение с известными уязвимостями безопасности. Хакеры могут искать сайты, работающие на более старой версии, и использовать уязвимость для получения доступа.

Не просто поддерживайте WordPress в актуальном состоянии. Вам необходимо убедиться, что вы также поддерживаете актуальность плагинов и тем WordPress.

Мы надеемся, что это руководство помогло вам узнать, как найти и исправить бэкдор во взломанном сайте WordPress. Вам также может быть интересно узнать, как перевести WordPress с HTTP на HTTPS, или ознакомиться с нашим списком ошибок WordPress и способами их устранения.

Источник: www.wpbeginner.com

Оцените статью
Добавить комментарий