Проверка php на вредоносный код. Обеспечение безопасности в интернете и защита конфиденциальной информации. Мораль про бесплатный сыр
Как проверить сайт на наличие вредоносного кода.Иногда бывает такая ситуация когда нужно проверить сайт на вирусы . Это может понадобится к примеру если вы долгое время ищите в интернете ответ на интересующий вас вопрос и вот в конце концов то нашли но вдруг в поисковике вы натыкаетесь на предупреждение, что сайт может угрожать вашей безопасности . Те кто много проводит времени в интернете понимают о чем я говорю. Для остальных я попытаюсь объяснить подробнее, что это может означать.
И так, все поисковые системы регулярно сканируют и проверяют все сайты на вирусы и вредоносный код. Когда поисковый робот находит такой код на сайте, он автоматически выставляет предупреждение в поиске, что этот сайт может угрожать вашему компьютеру. Но не всегда это соответствует действительности, так как эти роботы могут ошибаться и случается такое, что могут принять даже обычный код, к примеру, социальных кнопок или JavaScript за вредоносный. В такой ситуации возникает естественный вопрос. Стоит ли вообще посещать этот сайт?
Если есть возможность найти интересующую вас информацию на другом сайте то такой сайт, где есть предупреждение, что он может распространятьвредоносный код или вирус
, естественно посещать не стоит. Но когда вы долгое время искали очень нужную вам информацию и наконец-то нашли, как быть в таком случае?
Это с одной стороны, ну а с другой стороны, если вы являетесь владельцем сайта и в один прекрасный солнечный день, в акаунте яндекса или гугла, вы обнаружите, предупреждение, что на вашем сайте есть вредоносный код
? Я думаю такое предупреждение вам настроение не улучшит. И как быть в таком случае, Как найти этот вредоносный код или вирус
? Обычные антивирусные программы вам здесь вряд ли помогут. Для этого случая есть специальные программы и онлайн сервисы, которые могут сканировать сайт и проверять сайты на вредоносный код
. Таких программ и онлайн сервисов в интернете естественно, наверное, очень много. И обо всех я здесь рассказывать не собираюсь, да все я их конечно и не знаю. Я здесь расскажу о некоторых сервисах, о которых я знаю и которыми сам пользовался.
Если вы вебмастер, то вы можете это сделать через свой акаунт в яндексе, гугле, и т.д. хотя это тоже не всегда помогает. К примеру, так как было у меня. Однажды мне один мой знакомый сообщает, что при заходе на мой сайт его антивирусная утилита сообщает ему, что на моём сайте есть вирус. Я естественно сразу же проверяю по всем акаунтам в поисковых системах, где только зарегистрирован мой сайт. И везде сообщения о том, что на моем сайте вирусов или подозрений на вредоносный код
нет. Получается, что по мнению поисковиков мой сайт чистый и никаких вредоносных программ и вирусов нет. Но ведь антивирусная программа моего знакомого, где то что то нашла. И такая программа установлена наверняка не только у него, но и может быть, так же установлена еще у многих пользователей интернета. И получается, что все у кого установлена такая программа обойдут мой сайт стороной, и не факт, что в последствии, вернутся на этот сайт, после такого предупреждения.
Тогда я и начал искать различные программы и онлайн сервисы для проверки сайта на вредоносный код. Как я уже писал выше таких сервисов в интернете много но в основном они просто после сканирования показывают информацию о наличии на сайте вредоносного кода
. То есть имеется подозрение или нет и всё. К примеру как этот сервис.
Здесь есть подозрение на вирус и написано, что на сайте обнаружены, iframe-вставки . Но если разобраться и посмотреть код страницы то можно понять, что это просто код вставки видео с youtube.
Второй онлайн сервис для проверки сайта на наличие вредоносных программ
Antivirus Alarm
— для сканирования указанного вами сайта сервис использует антивирусные базы от крупнейших мировых антивирусных компаний. Полное сканирование длится до 10 минут и не останавливается, даже если вы закрываете страницу. Здесь же указывается ссылка, по которой вы сможете посмотреть результаты в любое время. Этот сервис еще хорош тем, что здесь есть список наиболее часто обнаруживаемых вирусов на сайтах. Например, вот так выглядит код вируса iframe asqyt.in:
Здесь же есть и список НЕ вирусов. Это позволяет не спешить паниковать, когда одна из антивирусных программ принимает код за вирус.
К примеру здесь по мнению Google он даже сам себе не доверяет.
Поэтому делаем вывод. И моё мнение такое, что все эти сервисы конечно бесспорно полезны и действительно приносят огромную помощь в поиске вредоносного кода на сайте. Но как говорится доверяй но проверяй, так, что каждую информацию выданную этими сервисами нужно проверять самому. И конечно же окончательное действие остаётся только за вами.
Будучи одной из наиболее часто используемых платформ в публикации онлайн-контента, WordPress часто подвергается инфицированию malware , "троянскими" вирусами, вредоносным кодом и другими опасными штуками. Есть несколько практических руководств, которые касаются wordpress-безопасности и вопросов очистки вашего сайта от malware (вредоносный код). Эта тема настолько важна и актуальна для владельцев сайтов, что нет ничего плохого в том, чтобы вернуться к ее обсуждению снова и снова.
Новички, которые только начали использовать автономную CMS на собственном веб-сервере, впадают в панику, столкнувшись впервые с заражением своего сайта вредоносным ПО. В попытках восстановить свой сайт они допускают дополнительные ошибки, что часто ведет к полной потере файлов и важных данных. В этой статье мы научимся находить, определять и корректно удалять malware так, чтобы не навредить вашим данным и основным файлам на сайте.
Делайте бэкапы вашего сайта
Прежде чем мы перейдем к обсуждению malware и взломанных сайтов на базе WordPress, немаловажно обсудить вопрос создания бэкапов информации с вашего сайта. Если вы - новичок в использовании WordPress и всерьез занимаетесь изданием онлайн-контента, то вы должны первым делом быстро освоить навык создания бэкапов.
Регулярное сохранения резервных копий вашего сайта должно включать не только БД сайта, но и все основные файлы. Этот процесс и пары минут не займет, зато сохранит вам кучу времени и нервов в будущем и предостережет от целого ряда серьезных проблем. Я настоятельно рекомендую Backup Buddy , Cloudsafe365 и VaultPress в качестве премиум-решений для проведения регулярных процедур создания резервных копий и восстановления данных из них при необходимости. Также есть бесплатные плагины для этой цели, такие как WP-DBManager и руководство по созданию бэкапов вручную .
Восстанавливать сайт или искать на нем malware?
Если вы используете сервис для бэкапов наподобие Backup Buddy или VaultPress , тогда у вас есть опция восстановления сайта к более ранней версии. Тем не менее, я полагаю, что это - не самая лучшая идея. Восстановление вашего сайта без изучения причин сбоя и устранения malware может привести к тому, что уязвимости на вашем сайте все равно останутся. Поэтому куда лучшим будет найти уязвимость , устранить ее , а затем восстановить состояние сайта.
Определяем наличие вредоносного ПО на сайте
Malware обычно представляет собой вредоносный контент на вашем сайте, который добавляется на сайт путем вставки кода в страницы, темы, плагины, файлы или БД сайта. В этом коде может содержаться ПО, которое нанесет вред компьютерам пользователей, посещающих ваш сайт, другим веб-сайтам, а также внутренним фреймам вашего собственного сайта. Много различных техник внедрения вредоносного кода используется для проведения атак на WordPress-сайты.
Проверяем обрабатываемый HTML-код
Начать поиск malware мы можем с поиска того, где и как срабатывает вредоносный код на вашем сайте.
- Присутствует ли такой код на всех страницах?
- Появляется ли он только на конкретных страницах или в конкретных постах?
- Где именно появился вредоносный код? Он вставлен в подвал, в шапку сайта, в основной контент или в боковые панели сайта?
Ответы на эти вопросы помогут вам определить, какие именно файлы на сайте следует проверить в первую очередь.
Проверяем ваши плагины и темы на наличие вредоносного кода
Наиболее часто атакам подвергаются темы оформления и плагины на сайте. Начать проверку можно с того, что проверить файлы вашей темы на наличие вредоносного кода. Если в папке с темами у вас лежит больше одной темы для оформления, стоит проверить все темы, даже те, которые в данный момент неактивны.
Более простым способом проверки станет загрузка бэкапа вашей папки с темами и удаление всех тем с веб-сервера. Загрузите затем свежую копию темы темы по умолчанию и разместите ее на своем веб-сервере. Теперь проверьте ваш веб-сайт: если вредоносный код исчез - значит, все дело было в одном из файлов темы. Теперь вы можете почистить свою старую тему, открывая вручную файлы в редакторе и сравнивая код "чистой" темы и вашей темы на наличие странных или подозрительных включений кода. Вы также можете скачать свежую копию темы с сайта разработчиков.
Предположим, что вы просмотрели все файлы и темы и не нашли в них вредоносного кода. Тогда следующий шаг - поискать в плагинах. Воспользуйтесь тем же методом, который мы применили для тем. Загрузите бэкап плагинов в папку, затем удалите их с вашего сервера. Теперь просмотрите сайт в браузере и убедитесь, пропал ли вредоносный код. Если да - дело было в одном из ваших плагинов на сайте. Если вы видите, что malware опять появляется на сайте после установки и активации плагина или плагинов, то удалите этот плагин с вашего веб-сервера.
Самые лучшие практические способы защиты ваших тем и плагинов:
- Удаляйте ненужные темы и плагины с вашего веб-сервера.
- Убедитесь, что ваши темы и плагины всегда взяты из надежных источников.
- Регулярно обновляйте темы и плагины на сайте.
- Не используйте премиму-плагины и платные темы, загруженные с торрентов или с неофициальных сайтов.
Находим вредоносный код, вставленный в файлы ядра WordPress
Если вы уже проверили и темы, и плагины, и при этом вредоносный код никуда не пропал, то следующим шагом в ваших поисках станет проверка файлов ядра WordPress. Здесь я снова рекомендую применить тот же подход, что и в случае с плагинами и темами.
Для начала делаем резервную копию всех файлов вашего сайта (важно, чтобы в бэкап попали такие файлы, как wp-config , wp-content папка, .htaccess и robots.txt ). После завершения процедуры резервного копирования начинайте удалять все файлы с вашего веб-сервера. Теперь скачайте свежую копию WordPress и установите его на сервер. Заполните wp-config информацией из вашей БД. Зайдите теперь на сайт и посмотрите, остался ли на нем вредоносный код. Если malware пропал, тогда значит, ваши файлы ядра были заражены. Теперь аккуратно восстановите изображения, видео и аудио-файлы из резервной копии вашего сайта.
Самые лучшие практические способы защитить код файлов в WordPress
- Убедитесь, что на сайте все разрешения на операции с файлами имеют значение 644.
- Не модифицируйте и не заменяйте файлы ядра в WordPress.
- Используйте надежные пароли в Shell, FTP, БД и панели администратора WordPress.
Находим инъекцию вредоносного SQL-кода в WordPress
Выше мы уже обследовали плагины, темы и ядро WordPress. Если все это не помогло побороть вредоносный код, пришло время браться за базу данных . Для начала убедитесь, что сделали резервную копию вашей БД сайта. Если делать бэкапы регулярно, то всегда можно легко восстановить предыдущую версию БД. Но перед этим убедитесь, что в БД закрался вредоносный код.
Скачайте и установите плагин WordPress Exploit Scanner . Активируйте его и просканируйте свой веб-сайт. Exploit Scanner проверит вашу БД, файлы ядра, плагины, темы на предмет подозрительного кода в них и выдаст вам результат сканирования. Как только сканирование завершится, вы просмотрите результаты: если в них обнаружится множество уведомлений об ошибках и ложных предупреждениях, вам придется выбирать результаты крайне внимательно. Этот плагин ничего не удаляет из ваших файлов и БД. Как только вы выясните, где именно "завелся" вредоносный код, эти файлы вам придется самостоятельно удалить вручную.
Если вы еще не делали резервной копии вашей БД, сделайте ее до того, как вносить в базу какие-либо изменения. Бэкап даже с вредоносным кодом в нем всегда лучше, чем полное отсутствие резервных копий.
Скопируйте код, который кажется подозрительным и был определен плагином-сканнером, а затем запустите mysql-запрос такого вида, используя phpMyAdmin :
SELECT * From wp_comments where comment_content Like "%SuspiciousCodeHere%"
В зависимости от того, куда вставлен этот подозрительный код (в посты, комментарии или в таблицы), вам придется запускать этот запрос для различных полей и таблиц на сайте. Если в результирующих строках не слишком много кода, то вы можете вручную отредактировать файлы и поля, убрать вредоносный код. С другой стороны, если выдало слишком много строк, тогда вам, возможно, понадобится запуск автозамены для полей по базе, что является довольно рискованным делом, и если вы не знаете, как правильно пользоваться данным инструментом, то рискуете потерять все данные с вашего сайта.
Проделали все вышеперечисленное, но все равно не избавились от проблем?
Полагаю, большинство людей в состоянии самостоятельно и сравнительно просто определить, найти и устранить вредоносный код на своих WordPress-сайтах. Но иногда malware хорошо маскируется и не поддается простому удалению. Если вы перепробовали все вышеупомянутые методы и при этом ничего не выяснили и не удалили, тогда настала пора приглашать экспертов по безопасности в WordPress, пользоваться онлайн-сервисами или услугами консультантов, которые очистят ваш сайт от зловредов за небольшую плату.
Сервисы мониторинга и очистки сайта от Sucuri
Sucuri - компания, которая занимается мониторингом и безопасностью веб-сайтов. Они предлагают различные тарифные планы, удаление вредоносного ПО, мониторинг сайтов и бесплатные услуги сканирования сайтов. Процедура довольно проста и не требует с вашей стороны ничего: они просто обследуют ваш сайт, высылают вам уведомление в случае, если что-то подозрительное или опасное найдут, а затем вы можете зарегистрироваться с аккаунтом на сайте Sucuri и передать задание специалисту. Они уверяют, что очистка большинства клиентских сайтов происходит в течение 4 часов.
Ищем индивидуального эксперта по безопасности в WordPress
Есть много веб-сайтов для фрилансеров, где вы можете разместить предложение о работе для консультанта по безопасности, который устранит вашу проблему с заражением сайта. Из всех поступивших предложений выберите того, кто кажется вам наиболее опытным и знающим. Вы также можете разместить заявку на выполнение работ по очистке сайта от вредоносного ПО на WordPress Jobs либо в Smashing Magazine’s Jobs Board . Просто убедитесь в том, что человек, которого вы нанимаете для выполнения этих задач, опытен, обладает хорошей репутацией и положительными отзывами о предыдущей работе.
Заключение
WordPress безопасен в работе настолько, насколько это возможно. Как владелец веб-сайта, вы несете ответственность за сайт и за использование здравого смысла в борьбе с типичными угрозами для безопасности сайта. Пользуйтесь надежными паролями, проверяйте разрешения на операции с файлами, регулярно очищайте закладки и создавайте регулярные бэкапы - и у вас не будет проблем.
Платформа WordPress завоевывает все большую популярность среди блоггеров благодаря удобному и быстрому процессу создания и управления Web-сайтом. Отдельно следует отметить огромное количество бесплатных плагинов и виджетов, доступных для данной системы. На базе этой платформы можно построить не только обычный блог, но и целый Интернет-магазин, новостной портал или online-кинотеатр.
Но большинство Web-сайтов, построенных на базе этой бесплатной CMS, обладают определёнными уязвимостями в системе безопасности. Разработчики WordPress, конечно, стараются оперативно закрывать их и выпускают обновления не только для самой платформы, но и для стандартных тем и плагинов. Тем не менее, защититься от взлома удаётся не всегда.
Опираясь на последние исследования, представленные на официальном сайте платформы, можно составить четкое представление о механизмах заражения, так как, сайт, построенный на WordPress, может быть взломан в основном через сторонние плагины или измененные темы оформления.
В случае взлома большинство неопытных Web-администраторов, как правило, начинают паниковать и совершать непоправимые ошибки, которые могут привести к потере всей базы данных или файлов. В этой статье мы постараемся рассказать, как "вылечить" Web-сайт и вернуть его к тому состоянию, в котором он находился до взлома.
Резервное копирование
Существуют два способа резервного копирования Web-сайта: копирование исходных файлов сайта и копирование базы данных (БД). Для WordPress существует стандартный инструмент для резервного копирования, но он создаёт только копию базы данных.
Для резервного копирования файлов можно воспользоваться сторонними плагинами или применить полное автоматическое резервное копирование, инструменты для которого обычно присутствуют на хостинге. Настроить выполнение полного резервного копирования по определённому расписанию не очень сложно, зато впоследствии этот процесс может сберечь нервы администратора и сэкономить значительное количество времени. Если вы не можете самостоятельно настроить механизм полного резервного копирования данных, то настоятельно рекомендуется обратиться к хостеру для решения этого важного вопроса. Начинающим Web-администраторам можно посоветовать регулярно выполнять резервное копирование вручную.
Если копия сайта и БД будет храниться на флеш-накопителе, то это стопроцентная гарантия того, что вы с легкостью сможете восстановить Web-сайт в любой момент.
Восстановление или лечение
Практически все Web-сайты предназначены для принесения дохода своему владельцу. Поэтому обязательным требованием для Web-сайта является работа в режиме 24х7 (24 часа в сутки, 7 дней в неделю) с минимальными периодами отключения для проведения технических работ.
Поэтому в случае заражения Web-сайта администраторы стремятся как можно быстрее восстановить информацию из резервных копий. Но так как проблема никуда не уходит, и Web-сайт по-прежнему имеет "брешь" в системе безопасности, то повторный взлом произойдёт очень скоро и не займет у злоумышленника много времени.
Подобная ситуация будет повторяться снова и снова, особенно это касается популярных Web-сайтов, поэтому правильным решением проблемы будет срочное закрытие уязвимости. Если же ограничиться только постоянным восстановлением Web-сайта, то можно потерять все показатели в поисковых системах и даже попасть под их фильтр из-за распространения вредоносного ПО.
Как определить наличие вредоносного ПО
Как узнать, был ли взломан Web-сайт, и определить первые симптомы заражения? На самом деле, это очень просто, провал статистики посещаемости, переадресация на незнакомые Web-сайты, чрезмерное потребление трафика – всё это признаки заражения и наличия вредоносных ссылок, понижающих рейтинг ресурса. Не говоря уже о явных ситуациях, когда в поисковой выдаче Яндекс или Google появляется отметка о "заражённости" вашего Web-сайта.
При посещении зараженного сайта в Web-браузерах Opera, Chrome или Firefox будет отображаться окно предупреждения об инфицированном ресурсе, так как данные браузеры имеют свои базы для определения инфицированных сайтов. В конце концов, локальный антивирус может определить, что Web-сайт был заражен, когда при попытке перехода между внутренними страницами, вы увидите соответствующее сообщение. Может оказаться, что Web-сайт был взломан и используется для рассылки рекламного спама. Об этом можно узнать, когда на адрес вашего хостера начнут приходить уведомления о массовой рассылке спама.
Как надо поступать в подобных ситуациях? Для начала следует определить, где скрывается вирус или рекламная ссылка, и каким образом они попали на сайт, так как могут быть "заражены" темы оформления, база данных или ядро сайта.
Самый простой, но и самый долгий способ поиска вируса – это попытаться отследить даты изменения файлов. Допустим, основная масса файлов в важнейших каталогах (wp-includes , wp-admin и др.) имеют одну и ту же дату создания, но есть один или два файла с более поздними датами создания. Отметьте эти файлы и сравните их с файлами из дистрибутива WordPress. Также можно сравнить файлы по размеру в программе Total Commander. Остаётся только сравнить содержимое подозрительных файлов и выяснить, для чего предназначены найденные лишние фрагменты кода.
Как проверить обрабатываемый HTML-код
Возможно, по какой-то причине у вас не получилось обнаружить проблему описанным выше методом. Тогда можно попытаться найти источник заражения другим способом.
Потребуется открыть "заражённый" Web-сайт в браузере (предпочтительнее в Opera или Firefox) и выбрать в контекстном меню пункт "Показать исходный код сайта ". Если вы знаете HTML, то наверняка сможете заметить подозрительные строки. Это могут быть незнакомые ссылки на сайты, куски "сжатого" или зашифрованного (способом base64) кода, также это может быть неизвестный фрагмент Javascript, который наверняка тоже будет зашифрован. Определить его можно по включенной в код фрагмента команде eval . Обычно это означает, что кто-то пытался скрыть истинный код Javascript, что должно вызывать определенные подозрения. На рисунке 1 представлен пример подозрительного кода.
Рис. 1 Фрагмент подозрительного HTML-кода
Кстати, если на Web-сайте используется бесплатный шаблон стороннего производителя, то таким методом можно найти рекламные ссылки, встраиваемые авторами шаблонов. Обычно подобные ссылки безобидны, т.е. не относятся к вирусам. Тем не менее, они могут негативно влиять на показатели Web-сайта в поисковых системах и перенаправлять трафик на сторонний ресурс.
Когда вредоносный код на страницах сайта не удается обнаружить способами, описанными выше, то можно воспользоваться сторонними online-инструментами. Например, можно установить плагин WordPress Exploit Scanner, который будет регулярно проверять Web-сайт и выявлять вредоносное ПО. Плагин представляет подробный отчет и выделяет строки, которые впоследствии следует удалить.
Кроме того, можно просканировать Web-сайт online-сканнером Sucuri SiteCheck – эта услуга абсолютно бесплатна, а за определенную плату можно заказать полное лечение ресурса.
Как проверить плагины и темы на наличие вредоносного кода
Что касается тем оформления, то в них можно отследить вредоносный код вручную или установить плагин TAC, который работает с файлами тем, проверяя их на посторонние ссылки и вирусный код. С помощью этого плагина можно проверить как уже установленные темы, так и новые.
Определить наличие вируса в теме оформления или в коде плагина очень просто. Если активная тема построена на основе одной из официальных тем, то нужно просто сравнить оригинальный код с кодом проверяемой темы. Для этого скачайте тему по умолчанию, которая входит в дистрибутив WordPress, измените её название и переключите оформление на нее. Остаётся только проверить сгенерированный сервером HTML-код на наличие вируса, и если он обнаружится, то проблема кроется явно не здесь.
Если вредоносный код был найден в файлах активной темы, и при этом были установлены, но не активированы дополнительные темы, то придется проверить и каждую из них, так как, возможно, вирус заражает определенные файлы из каталога themes . Лучше всего использовать только одну тему оформления, а все неактивные удалить.
Поиск вирусов в коде плагинов также не представляет особой сложности. Следует последовательно отключать плагины и проверять генерируемый HTML-код. Таким образом, можно выявить зараженный плагин, удалить его и переустановить из депозитария заново.
Лучшие способы защиты плагинов и тем Wordpress:
- скачивайте и устанавливайте темы и плагины только с проверенных Web-сайтов;
- не используйте "взломанные" платные плагины и темы;
- удаляйте неиспользуемые плагины и темы;
Как найти вредоносный код в файлах ядра WordPress
Если вы проверили плагины и темы, но так и не смогли определить источник заражения, то, возможно, он находится непосредственно в файлах ядра WordPress. Заражение ядра может означать, что злоумышленник получил доступ в административную часть сайта, подобрав или перехватив пароль для доступа к Web-сайту по протоколу FTP.
В первую очередь, проверьте на вирусы компьютер, с которого вы заходили на FTP или административный интерфейс Web-сайта. Пароль мог быть украден из вашего компьютера при помощи троянского вируса, который передал конфиденциальные данные злоумышленнику.
Зачастую злоумышленники встраивают в файл .htaccess коды перенаправления, зашифрованные ссылки на вредоносные сценарии, расположенные на удаленных серверах, поэтому первым делом нужно обязательно сравнить этот файл с оригинальным из дистрибутива. Особое внимание нужно обращать на подобные строки:
RewriteCond %{HTTP_REFERER} .*yandex.* RewriteRule ^(.*)$ http://неизвестныйсайт.com/Если подобные строки были обнаружены, то не следует сразу их удалять. Сначала запросите у хостинг-провайдера логи за период примерного изменения файла .htaccess и проанализируйте, с какого IP адреса и когда был отправлен этот файл. Возможно, в это же время были изменены и другие файлы.
Если был изменен только этот файл, то следует сменить пароли для FTP и административного интерфейса. Если же изменения были обнаружены и в *.php, *.html файлах, то, скорее всего, на сайт был загружен PHP-сценарий, через который злоумышленник сможет получить доступ ко всей имеющейся информации.
Профилактика такого вида угроз довольно проста и не требует особых затрат. Важно помнить следующие правила:
- не храните пароли в FTP-менеджерах или в почтовых сообщениях;
- регулярно обновляйте ядро WordPress;
- обновляете плагины и темы;
- не используйте простые пароли.
Вполне возможно, что вы изначально следовали всем этим правилам, и дело не в уязвимости Web-сайта, а в недостаточной защите самого сервера, на котором располагается ресурс. В таких случаях, отправьте подробное описание проблемы в техническую поддержку хостинг-провайдера и совместно ищите решение проблемы.
Как найти инъекцию вредоносного SQL-кода в WordPress
Итак, мы уже рассмотрели различные способы заражения и лечения Web-сайта, основанного на бесплатной CMS WordPress. Но одним из популярных методов проникновения и взлома является SQL-инъекция (sql injection). Этот способ заражения основан на составлении запроса в базу данных, в котором производится кража пароля от административного интерфейса или получение другой конфиденциальной информации. В отношении WordPress можно сказать, что известные на момент последнего обновления "бреши" в системе безопасности базы данных и в фильтрации запросов, были устранены.
Чтобы уберечься от взлома сайта с помощью SQL-инъекции следует внимательно выбирать плагины, так как они работают с базой данных, а потому недостаточно добросовестный разработчик мог оставить лазейку для злоумышленников. Возможно, в некоторые бесплатные плагины такой скрытый вход интегрируется намеренно. При выборе плагина необходимо руководствоваться не только его возможностями, но и популярностью, а также количеством произведенных установок. Также стоит изучить отзывы, оставленные на странице разработчика. Если у вас появится малейшее сомнение, или же найдётся негативный отзыв, касающийся безопасности, то лучше не рисковать и установить другой плагин с подобной функциональностью.
Большинство CMS построены таким образом, чтобы пользователь с минимальными навыками программирования смог ее установить, настроить, включить один из предложенных видов оформления и начать наполнять Web-сайт необходимой информацией. Поэтому Web-сайты зачастую находятся в руках неопытных администраторов, которые не могут распознать подобное вторжение с помощью SQL-инъекции.
Но плагин WordPress Exploit Scanner, упоминавшийся ранее, умеет работать и с базой данных, и в некоторых случаях он может найти внедренную в базу данных постороннюю функциональность. Вот только удалять ее придется вручную с помощью специальных SQL команд в программе администрирования баз данных PHPMyAdmin. Подобные действия нужно выполнять очень аккуратно, так как неправильный запрос или команда может повредить структуру или содержимое базы данных. Чтобы этого не произошло, стоит заранее озаботиться процессом создания резервных копий БД. Кстати, сам Exploit Scanner может выдавать рекомендации по исправлению SQL-запросов.
Практические способы защиты Web-сайтов, построенных на базе WordPress
В интернете можно найти множество советов о том, как обезопасить и защитить Web-сайт, работающий на бесплатной CMS WordPress. Ниже предлагается список из наиболее эффективных рекомендаций:
- следует изменить и никогда не использовать стандартные имена для пользователей, имеющих администраторские права, например, admin, administrator и т.д.;
- необходимо установить капчу, которая существенно снижает риск от взлома путём перебора паролей;
- для входа в административный интерфейс должен использоваться сложный буквенно-цифровой пароль, не менее 8-10 символов;
- пароль не стоит хранить в Web-браузере, текстовых файлах и т.д, offline-хранение на листке бумаге гораздо надёжнее;
- необходимо защищать и пароль почтового ящика, который был указан при установке WordPress;
- регулярно выполняйте резервное копирование вручную или с помощью специальных плагинов или сторонних программ, при этом полученные резервные копии обязательно должны храниться в нескольких местах;
- не устанавливайте плагины из неизвестных источников, взломанные платные плагины и темы;
- следует установить плагины, отвечающие за безопасность файлов и базы данных WordPress, и регулярно проверять состояние сайта с помощью антивируса;
- вовремя обновляйте ядро, плагины и темы (перед каждым обновлением обязательно делайте полное резервное копирование);
- файл admin.php стоит переименовать, чтобы затруднить его идентификацию;
- зарегистрируйте Web-сайт в Яндекс или Google, чтобы быть в курсе проблем, связанных с безопасностью сайта и его индексацией;
- необходимо проверить права для каталогов и файлов WordPress: для каталогов выставляются права 755 , для всех файлов 644 , отдельно для каталога wp-content права должны быть 777 ;
- если нет необходимости в регистрации пользователей, то лучше эту функцию отключить совсем;
- также можно отключить возможность комментирования и оставить только форму для комментирования через социальные сети;
- следует удалить файл readme.htm , расположенный в корневом каталоге, в котором хранятся сведения об установленной версии WordPress (это надо делать после каждого обновления CMS);
- также упоминание об используемой версии WordPress следует удалить из файла functions.php , добавив туда строчку: remove_action("wp_head", "wp_generator");
Что делать если проблему так и не удалось решить?
Безвыходных ситуаций не бывает. Может казаться, что вы перепробовали абсолютно все способы обезвреживания вирусного кода или скрытых рекламных ссылок. Возможно, что Web-сайт перестал работать после неудачного лечения от вирусов, и вы уже не в состоянии восстановить его работу. Не отчаивайтесь, а попробуйте обратиться к специалистам, которые за плату помогут восстановить Web-сайт и дадут советы, как улучшить его безопасность и работоспособность. Можно написать в техподдержку WordPress, найти ответ в WordPress Codex или задать вопрос на официальном форуме.
В случае если вы избавились от вирусов, правильно настроили плагины, отвечающие за безопасность, поменяли пароли, а через некоторое время ситуация повторилась вновь, то следует рассмотреть вопрос смены хостинг провайдера. Скорее всего, серверы, на которых расположен Web-сайт, плохо защищены или неправильно настроены.
Заключение
Большинство представленных советов останутся актуальными еще очень долго, так как они относятся не только к WordPress, но и к любым Web-сайтам, независимо от используемой платформы. Интернет стремительно развивается, постоянно появляются новые обновления и пишутся новые вирусы, закрываются пробелы в безопасности CMS и различных сервисов. Шагайте в ногу со временем, регулярно модернизируйте и обновляйте Web-сайт, и тогда вы сможете избежать подобных чрезвычайных ситуаций.
Периодическая проверка сайта на наличие вредоносных вирусов необходима, это первая заповедь любого уважающего себя веб-мастера. Даже если вы пользуетесь чистой темой Twenty Eleven, то не факт, что со временем она тоже не заразилась. Такое явление может происходить (и чаще всего происходит) из-за того, что сам движок WordPress предназначен изначально для публикаций он-лайн. Так что лишний раз провериться и сделать копию сайта и базы данных никогда не помешает.
Например, я (по прошествии какого-то времени, конечно) сделал для себя один вывод – нужен просто хороший хостер, и ваши проблемы с резервированием отпадут сами собой. Мне не нужно сейчас делать бекапы БД или сайта – все делает за меня хостер, причем в автоматическом режиме. В любое время при желании можно заказать копию любого раздела своего блога (и не только), скачать эту копию, или же восстановить блог прямо из панели управления. То есть, мне не нужно скачивать бекап, все происходит на автомате – резервирование, восстановление и т.д. Это удобно тем, что я могу не то что посуточно, а по часам отследить, когда на моем блоге появился вирус и, соответственно, принять меры по его устранению.
Начну с хорошей новости – по крайней мере, два плагина, которыми я пользовался, выдают хорошие результаты по обнаружению и локализации вредоносного кода. Это плагины AntiVirus и Exploit Scanner . Вы не поверите, сколько на вашем блоге вредного кода! Но не принимайте всю результирующую информацию после проверки за догму – много строк, которые эти плагины обнаруживают, на самом деле ничего плохого в себе не несут. Просто плагин ставит под сомнение какие-то строки, вот и все. Чтобы убедиться в этом, проверьте вручную те фрагменты, которые плагин определил, как вредоносные. Так, при проверке плагином AntiVirus оказалось, что даже простое обращение function get_cache_file () плагин уже считает подозрительным. Так что все результаты проверок придется отслеживать вручную. А вот это, например, действительно зараженная ссылка, и ее необходимо убирать:
Как узнать, вирус это или так и должно быть? Все очень просто – сравниваете ваш чистый шаблон (если есть), и сравниваете его (пофайлово) с тем, который установлен и уже претерпел какие-то изменения. Необязательно прямо так буквально проводить сравнение, просто поиском проверьте, есть ли в вашем чистом шаблоне та строка, которую выделил плагин. Если есть – жмите кнопку «Это не вирус», и при следующей проверке эта строка не будет учитываться.
А вот пример второго опробованного плагина — Exploit Scanner
Как видите, здесь все гораздо запущеннее. Для меня такой результат был шокирующим. Но и это еще не все. В плагине существует такая функция, как проверка . Так вот, если ее включить, то получится, что блог должен состоять из текста и максимум, из пары CSS таблиц. Так что, мне кажется, с безопасностью здесь автор плагина явно перестарался. Хорошо еще, что плагин просто показывает предполагаемые зараженные фрагменты, а не чистит их.
Проанализировав все выделенные желтым цветом строки, вы легко обнаружите malware (вредоносный код), ну, а что с ним делать дальше – решайте сами. Способ чистки все тот же – сравниваете выделенный код с бекапом сайта (см. ) и, если нашли расхождения – выявляйте, то ли это сделали вы сами, то ли кто-то за вас, а значит, это уже не есть хорошо и может оказаться вирусом. Даже разработчики WordPress советуют проводить проверку сайта на наличие вредоносного кода именно этим плагином. Но существуют такие безобидные вставки, например, в тело iframe, которые плагин тоже может определить, как зараженный код. Но на самом деле без этих строк этот участок вашего блога не будет работать правильно.
Как вообще malware может попасть в файлы блога и что это такое по определению? Слово malware значит буквально — злонамеренное программное обеспечение , от английского malicious software. Это любой софт, который может быть использован для несанкционированного доступа к сайту и его содержимому. Вы, наверное, представляете себе, что для подготовленного по-среднему хакера взломать сайт не составит труда, особенно после регистрации. После этого можно контент блога модифицировать как угодно – было бы образование.
Вредоносный malware можно вставить и в плагины, которые вы устанавливаете из неизвестного источника, и в скрипты, которые вы также иногда берете, не проверив, а доверившись автору. Самый безобидный malware – это ссылка на автора какого-либо модуля, который вы установили на сайт. И если автор сам не предупредил вас о том, что такая ссылка существует, то это уже чистой воды вирус.
Так, я устанавливал на тестовом блоге новую тему, и после удаления одной безобидной ссылочки на какой-то там мужской клуб в подвале сайта, он перестал вообще открываться, а на главной появилась надпись – «Вы не имеете права удалять ссылки». Вот тебе и бесплатная тема. О том, как выдирать такие левые ссылки, можете почитать .
Ваша БД тоже может быть использована для запуска вирусосодержащего кода. Спамерские ссылки тоже очень часто добавляются в записи или комментарии. Такие ссылки обычно скрываются при помощи CSS так, что неопытный администратор их не видит, но поисковая система их различает сразу. Конечно, здесь уже вступает в борьбу любой антиспам, например, тот же , который лицензирован, проверен и перепроверен много раз. Хакер может загружать файлы с расширениями файлов изображений, и добавлять их в код ваших активированных плагинов. Поэтому, даже если файл и не имеет расширение php, код в этом файле может быть запущен в действие.
Есть еще один простенький инструмент, с которого я начинал знакомство с malware – плагин Theme Authenticity Checker (TAC). Это легкий и достаточно действенный инструмент, но он проверяет только ваши темы, причем даже неактивные. Остальные директории он не трогает, и в этом его минус. Вот что дала мне проверка моей текущей темы этим плагином:
Два предупреждения в активной теме, и больше ничего. Вредоносного кода нет. Кстати, это те ссылки, которые я вставил сам по совету Google — для улучшения качества сниппета (вывод личных данных, адрес организации и т.д.). Но это только проверка файлов темы, а что делается в других директориях, вам придется узнавать или при помощи других плагинов, или он-лайн сервисами. Например, такой сервис (уж он-то заслуживает доверия), как Вебмастер Яндекса или аналогичный в Google. Они имеют функцию проверки любого веб-ресурса на наличие вредоносных вкраплений, и делают это качественно. Но если вам и этого мало, то сравнивайте результаты с результатами на других сервисах и делайте выводы.
Почему-то хочется верить Яндексу, а не плагинам. Еще один неплохой ресурс — http://2ip.ru/site-virus-scaner/. После проверки одного своего блога здесь вот что обнаружилось:
Здесь же вы можете проверить и отдельные файлы на наличие вредоносного кода, если у вас закрались такие сомнения. В общем, сервис неплохой.
Из всего сказанного я бы сделал такие выводы:
1. Чтобы не допустить появления вредоносного кода, нужно прежде всего пользоваться проверенными сервисами для закачки файлов – плагинов, тем и т.д.
2. Регулярно делать резервные копии всего, что содержит сайт – базы данных, контента, админпанели, закачанных сторонних файлов в том числе.
3. Пользоваться обновлениями, которые предлагает WordPress. Они, по крайней мере, не содержат вирусов, хотя и не всегда функционально оправданы. Но обновившись, вы тем самым удаляете возможно присутствующие вирусы.
4. Неиспользуемые темы, плагины, изображения и файлы удаляйте без сожаления – это еще один запасной вход для malware, о котором вы можете и не догадаться никогда.
5. Хорошенько запарольте свои FTP–доступы, вход в PhpAdmin, в панель администратора и вообще туда, куда никто, кроме вас, не должен иметь доступа.
6. Постарайтесь (даже если это желание у вас огромное, как небо) не изменять и не заменять файлы ядра WordPress – разработчики лучше знают, что и как должно работать.
7. После обнаружения и удаления вирусов поменяйте все пароли. Я думаю, у вас появится огромное желание сделать пароль из 148 символов в разных регистрах и со спецсимволами. Но не увлекайтесь слишком сложными паролями, можете потерять его, и тогда придется все восстанавливать, что не очень приятно.
Все эти методы и компоненты, которые я описал, и которые помогут вам избавиться от вирусов, конечно, бесплатные, конечно, почти самодельные, и конечно, не дают 100% гарантии того, что ваш сайт будет очищен от вредоносных вставок. Поэтому, если уж вы озаботились чисткой блога, то лучше обратитесь к профессионалам, например, в сервис Sucuri (http://sucuri.net/). Здесь ваш сайт хорошенько отмониторят, дадут практические рекомендации, которые вам вышлют письмом, а если вы не хотите заниматься чистой сайта самостоятельно, то к вашим услугам специалисты, которые в течение 4 часов сделают все в лучшем виде:
Вы знали, что 40% пользователей покидают сайты с плохим дизайном? Зачем терять прибыль? Выберите и установите прямо сейчас один из 44 тысяч премиум шаблонов для сайтов. Идеальный выбор для вашего бизнеса!
WordPress – одна из самых популярных систем управления контентом (CMS), которую можно использовать как для ведения блога, так и для создания корпоративного сайта или открытия полноценного . Для нее создаются плагины и темы, из которых можно выбрать что-то интересное. Некоторые из них бесплатные, а за некоторые придется заплатить. Так вот, чаще всего бесплатные подвержены различного рода уязвимость. Например, создатели таким тем и плагинов могут умышленно вносить в них вредоносный код для собственной выгоды. В лучшем случае это будут скрытые бэклинки, которые ведут на их сайты. При этом обычный пользователь не будет даже подозревать об этом. Наши читатели часто спрашивают у нас: «Возможно ли и как найти вредоносный код на сайте WordPress?».
Конечно, возможно! И сделать это довольно просто. Для сканирования сайта Вордпресс на вредоносный или нежелательный код создаются бесплатные и премиум (платные) инструменты. Выполнять регулярные проверки своего веб-ресурса, сканируя его на присутствие потенциально вредоносного кода, не только полезно, но и крайне необходимо. Я расскажу вам о нескольких вариантах, с помощью которых можно быстро и без особых сложностей осуществлять такие проверки.
В статье я собрал восемь лучших инструментов, которые помогут вам разобраться с вредоносным кодом в вашем шаблоне или на сайте на базе Вордпресса. Кстати, если помните, в прошлом месяце я уже рассказывал вам про плагины для сайтов WordPress. Прочтите – вам будет не менее интересно.
Как найти вредоносный код на сайте WordPress – 8 способов
WP Anti Hack File Monitor
Этот простой плагин позволит защитить сайт от хакеров, которые могут попытаться изменить ваш код для выполнения злонамеренных действий. Это может быть как добавление бэклинков, так и отправка с вашего сайта спама. Изменяя файлы WordPress, они позволяют сделать все так, чтобы их действия осуществлялись в фоновом режиме. То есть незаметно для пользователя. Именно поэтому вам обязательно нужен инструмент для мониторинга файлов.
Этот инструмент представляет собой скрипт, способный вычислять любые изменения в файле, а также фиксировать удаление старых и создание новых файлов. В него встроено три ключевых компонента, которые помогут найти вредоносный код на сайте WordPress: функция создания копий файлов, мониторинга и уведомления.
Благодаря созданию копий файлов вы сможете откатиться к предыдущим версиям файлов. Удобный компаратор файлов позволит определить какие строки были изменены и каким образом. Это позволит вам не заходить на FTP. Уведомления можно отправлять по смс или на e-mail. Для отправки SMS-сообщений используется Twilio API. Но не волнуйтесь – вас не будут спамить сообщениями. Для каждого изменения файла будет отправляться строго одно уведомление. При необходимости можно выставить ограничение на количество отправляемых сообщений в день.
Если вам не нужно осуществлять мониторинг определенных компонентов своего сайта (например, загруженных файлов или конкретных плагинов), любые файлы и каталоги можно легко исключить из списка для проверки.
Выберите одно из лучших решений для WordPress, чтобы уверенно защитить свой сайт.
Theme Authenticity Checker
TAC – это плагин, позволяющий проверять source-файл всех установленных и используемых шаблонов на присутствие «плохого» кода, в частности на наличие ссылок и Base64-кодов, спрятанных в футере. При их обнаружении инструмент показывает путь к шаблону, номер нужной строки и конкретный фрагмент «сомнительного» кода. С этим плагином администратору WordPress будет проще работать уже непосредственно с куском подозрительного кода.
Плагин доступен в директории WordPress. Имеет неплохой рейтинг и 80 тысяч скачиваний.
WordPress вредоносный код: Как избавиться от нежелательных угроз?
Sucuri Security
Пожалуй, довольно сложно найти более известную систему безопасности, чем Sucuri. Она себя зарекомендовала, как один из продвинутых и популярных плагинов для обеспечения безопасности и защиты WordPress и проверки на вредоносное ПО. Ключевые функции системы это мониторинг файлов, загружаемых на сайт, контроль «черного списка» и оповещения безопасности. У Sucuri даже есть специальный инструмент для удаленной проверки на вредоносный код.
Особую ценность представляет премиум версия. После установки система автоматически включает защиту и осуществляет мониторинг сайта и защиту от любых угроз в режиме 24/7. Она контролирует и проверяет любые действия, происходящие на сайте, чтобы вовремя отслеживать появление неприятностей. Если у Sucuri есть какие-то подозрения, она блокирует конкретный IP, откуда идет угроза. Если происходят уже критические ситуации, плагин способен отправлять оповещения. Еще одна полезная вещь, которая есть в этой системе, это услуга по чистке сайта от вредоносного кода, но для платной версии она уже входит в стоимость. Так что никаких дополнительных затрат у вас не будет, независимо от размера сайта.
В плагине также есть мощное дополнение с файрволом, которое покупается отдельно и позволит сделать ваш сайт еще более безопасным.
Услугами Sucuri пользуются различные категории пользователей, в том числе и такие серьезные бренды и компании, как CNN и TechCrunch. Эти ребята знают, что делают. К тому же, они на рынке уже очень давно, поэтому им можно доверять.
Anti-Malware
Это плагин на Вордпрессе, который можно использовать для выполнения проверки и для устранения нежелательных угроз, вирусов и других всевозможных вредоносных объектов. Особенными возможностями плагина являются полное и ускоренное сканирование, а также удаление так называемых «знакомых» угроз в автоматическом режиме. Сканирование можно при необходимости настроить. Бесплатная регистрация доступна на сайте производителя.
Если вам не хочется иметь дело со скриптами, которые выполняют обновление плагина, обращаясь к сайту и предоставляя при этом информацию о вашем местоположении, тогда к этому варианту стоит подходить с осторожностью.
Как найти вредоносный код на сайте WordPress и как удалить вредоносный код с сайта WordPress
Quttera Web Malware Scanner
Этот премиум плагин помогает сканировать сайт, обеспечивая уверенную защиту от инъекций «плохого» кода и различного рода угроз и вирусов. В нем заложены отличные функции, а именно сканирование и нахождение незнакомых хакерских программ, отслеживание статусов в так называемом «black list», мощный движок для выполнения сканирования с интегрированным AI-интеллектом, отслеживание исходящих линков и так далее.
С free-версией можно реализовать поиск нежелательного кода, а другие услуги, такие как очистка от «плохого» кода, исключение из черного списка и высококлассная поддержка обойдутся уже в 119$ в год (за один домен) и выше.
Wordfence
Хотите защититься от киберугроз и быстро находить вредоносный код на сайте WordPress? Тогда вам стоит присмотреться к этому плагину, о котором мы уже упоминали в обзоре премиум плагинов для .
Плагин обеспечивает уверенную защиту от «знакомых» ему взломщиков в режиме real-time, предоставляет возможность двухфакторной аутентификации, блокировки целой вредоносной сети, а также возможность сканирования на использование встроенных инструментов обхода системы защиты и осуществления несанкционированного доступа (бэкдоров). Вышеупомянутые услуги доступны бесплатно, но есть и более расширенные возможности, за которые придется выложиться от 99$ за год.
Как найти и устранить вредоносный код на сайте WordPress?
AntiVirus for WordPress
Несложный в освоении и работе плагин, с которым выполнять сканирование , выбранной и используемой для сайта, на присутствие нежелательного кода будет проще простого. С ним вам будет доступна возможность получать оповещения о найденных вирусах через админ-панель. В него встроена функция ежедневного сканирования, с помощью которой можно получать уведомления о подозрительных событиях на электронную почту. Познакомьтесь с возможностями этого плагина, нажав на кнопку ниже.
Super Security
Этот плагин предоставит вам комплексную систему защиты WordPress со встроенным сканером файлов темы, который сравнивает результаты с обновляемым RSS-списком известных проблем WordPress. Базовая задача этого плагина – защита сайта от вирусов и злонамеренных атак путем сканирования, резервного копирования и проверки трафика.
В плагине есть специальная панель cPanel, в которой можно осуществлять изменения базы данных, выполнять резервное копирование базы данных, папок и установленной WordPress, и настраивать пермиссии для файлов и папок. Также вам будут доступны уведомления безопасности и возможность получения статистики с сервера. Еще есть поддержка «белого» списка и функция «Google Safe Browsing» для мониторинга вредоносных программ и фишинга.
Super Security совместим с системой для получения статистики о трафике в режиме «real time» Easy Stats Pro и инструментом для сканирования файлов и папок на вирусы и наличие вредоносного кода WP Antivirus , который был представлен позицией выше.
Плагин отмечен многими пользователями Sucuri, как такой, которому стоит доверять. Если вам необходимо достойное решение, чтобы обезопасить свой сайт, подумайте над тем, чтобы выбрать Super Security.
Теперь вы знаете, как найти вредоносный код на сайте WordPress, как от него избавиться и самое главное – теперь вы подберете для себя такое решение, которое подойдет под ваши требования и цели. Если у вас возникнут какие-либо вопросы, обязательно нам напишите в комментариях.
Артём – автор многочисленных обзоров и статей на сайте проекта сайт "Веб-лаборатория успеха", посвященных шаблонам, плагинам, курсам и другим тематикам сайта. Эксперт по подбору шаблонов и плагинов для платформы WordPress и др. Увлечения: чтение интересной литературы и активный отдых.
