Objavili ste na svojom webe neznáme súbory? Či dokonca vírus? Stránky fungujú, zdanlivo sú tie isté, ale majú niečo navyše? Spravil si niekto z vášho webu a domény vlastnú online lekáreň? Ako odstrániť vírus a infikované neznáme súbory? Tento problém je pomerne častý a niekedy má aj jednoduché riešenie. nevyhýbajú sa podobným problémom ani stránky inštitúcií.
Stránky ministerstva dopravy mindop.sk boli hacknuté práve takýmto spôsobom. Útočníci u nich nasadili iné falošné podstránky, ktoré ľudí ďalej presmerovali na thajské kasína. Toto hacknutie nie je tradičným hacknutím s cieľom vydierať, alebo uškodiť odstavením webu. Nie je tak ani nutné ho brať osobne, keďže pod podobným hacknutím sa denne ocitajú rôzne weby aj na Slovensku. útok je neadresný a ide o parazitujúci útok. Stačí, že je deravá téma, alebo kód v nejakom prvku a útočník prenikne na FTP. Na server tak prenikne, ale web neodpáli. Len na ftp umiestni nový obsah, na ktorý možno volať z iných adries.
Čo je výsledkom? Z iných stránok a redirektov tak smerujú na stránky napríklad „mindop.sk/ukryty_folder/ukryty_subor.htm“a administrátor o tom netuší aj celé mesiace, pretože sem môžu podvodníci smerovať napríklad výhradne rakúskych, či španielskych návštevníkov.
Čo robiť, ak sa stane niečo podobné vášmu webu?
Na Slovensku máme najrozšírenejším a najpoužívanejším systémom WordPress. Jeden z prvých krokov, ktorý možno spraviť, je obnoviť posledné funkčné zálohy. Problém však je, že takéto hacknutia trvajú aj celé mesiace, než sa prejavia, alebo než vás upozorní Google, pozorný návštevník, či nejaká služba. Zálohy tak môžu byť len do určitého dátumu, kedy už infikácia prebehla. Ak sa však zálohy podaria a súbory tam nie sú, urobte opatrenia, aktualizácie a zabezpečenia aj podľa tohto článku nižšie.
Opakovane sa nám stávalo, že nám hackri a automaty poškodili stránky. na mnohých sa to však nedeje po prechode na webhosting HostCreators, ktorý má viacero zabezpečení, bezpečnostných opatrení a aj geografické blokovanie. Určite odporúčame nazrieť na konfigurácie a výhody pre WordPress portály.
*****
1. Okamžité kroky na zabezpečenie webu
Zálohujte všetky dáta: Ak idete do webu zasahovať a robiť kroky, ktoré bežne nerobíte, skôr ako začnete s akýmkoľvek čistením, vykonajte kompletnú zálohu webu a databázy. Ak by sa niečo pokazilo, budete mať možnosť web obnoviť do pôvodného stavu. Napríklad cez plugin WP Migration (alebo iné riešenia pre „BACKUP“ funkciu) dajte vyexportovať komplet celé SQL. Alebo v administrácii webhostingu dajte vytvoriť zálohy celého FTP a SQL
Zmeňte všetky heslá: Okamžite zmeňte heslá k FTP, administrátorskému prístupu do WordPressu, databáze a akémukoľvek inému prístupu k webu.
Odstráň podozrivý kód alebo zložku a stránky:
Prekontroluj všetky súbory na FTP a odstráň neznáme súbory alebo zložky, ktoré si sám nevytvoril. Zameraj sa najmä na tieto súbory:
- index.php, header.php, footer.php a ostatné súbory v téme a pluginoch.
- .htaccess, kde hackeri často pridávajú škodlivé príkazy. Ak máte viac webov, pozrite si, ako vyzerá podobne nastavený web a všímajte si rozdiely. Ak si nie ste istí, pokúste sa vypnúť na WP webe plugin pre SSL a v nastaveniach celého WP vyberte permanentné odkazy „permalinks“ v rámci prvej možnosti. Deaktivujte CACHE plugin a následne zmažte obsah súboru htaccess na FTP. Následne vojdite do permalinks a vyberte pôvodnú možnosť zobrazovania celých odkazov. Určite funkciu, ktorá tam bola predtým, aby sa linky znova zobrazovali v pôvodnej podobe (to sa ukladá práve aj do htaccess). Zapnite znova cache a aj plugin pre SSL
- Skontroluj, či sa v kóde nenachádzajú neznáme skripty alebo iframy.
Aktualizuj WordPress a pluginy
Uisti sa, že používaš najnovšiu verziu WordPressu a všetkých pluginov. Zastaralé verzie obsahujú bezpečnostné chyby, ktoré môžu hackeri využiť. Na to tie aktualizácie sú, aby hacknuté stránky neboli hacknuté, ale len stránky. Vypnite a vyhoď všetky prebytočné pluginy a každý jeden, ktorý nepoužívate.
Skontrolujte užívateľské účty
V administrácii WordPressu overte, či neboli vytvorené neznáme užívateľské účty s administrátorskými právami. Ak nájdete neautorizované účty, okamžite ich odstráňte.
*****
2. Vyhľadanie a odstránenie škodlivého kódu
Použi bezpečnostné pluginy: Nainštaluj bezpečnostné pluginy ako Wordfence alebo iThemes Security. Tieto nástroje pomôžu skenovať web a identifikovať možné hrozby.
Preskúmaj databázu: Hackeri môžu vkladať škodlivý kód aj do databázy. Použi nástroje ako WP-DBManager, aby si skontroloval a opravil databázové tabuľky.
*****
3. Obnova webu a zabezpečenie
Obnov WordPress manuálne: Ak si si istý, že tvoje súbory sú čisté, nahraj čistú verziu WordPressu z oficiálnej webovej stránky WordPress.
Obnov čistú verziu témy a pluginov: Ak máš podozrenie, že téma alebo pluginy boli napadnuté, odstráň ich a nahraď čisté verzie z oficiálnych zdrojov.
Nastav pravidelné zálohy: Použi pluginy ako UpdraftPlus na pravidelné automatické zálohovanie webu a databázy.
*****
4. Preventívne opatrenia
Používaj silné heslá a 2FA: Používaj silné heslá a dvojfaktorovú autentifikáciu (2FA) na všetké prístupy.
Pravidelne aktualizuj WordPress: Zabezpeč, aby bol WordPress, pluginy a témy vždy aktuálne. Automatizované aktualizácie môžeš povoliť v nastaveniach.
Použi SSL certifikát: Aktivuj SSL certifikát pre svoju doménu, aby si zabezpečil šifrovaný prenos dát medzi užívateľmi a serverom.
Obmedz prihlasovacie pokusy: Použi pluginy na obmedzenie počtu neúspešných pokusov o prihlásenie, aby si zamedzil brute force útokom.
Skry verziu WordPressu
Hackeri často vyhľadávajú staršie verzie WordPressu so známymi zraniteľnosťami. Pridaj tento kód do functions.php, aby si skryl verziu WordPressu:
remove_action(‚wp_head‘, ‚wp_generator‘);
Prečo urgentne riešiť infikovanie FTP a webu? Pre toto!
Pýtate sa, prečo sa ponáhľať pri nákaze? Vaše stránky spôsobujú určitú škodu. Môžu ľudí presmerovať na podvodné stránky, alebo infikovať iné stránky vírusom. Zodpovednosť tak do určitej miery máte vy. Poškodená strana, návštevník za vinníka považuje váš portál. To nie je nič dobré pre budúcnosť značky, imidžu, alebo dobrého mena ako takého. bežne sa zo slovenských stránok stávajú online lekárne predávajúce podvodné prípravky. To je aj príklad bývalých stránok termálneho kúpaliska Veľký Meder, ako upozornilo práve včera Hoax.sk, ktoré sa zmenili cez ukrytý obsah na online lekáreň. Bežne sa zo slovenských stránok stane predajný portál, alebo recenzný portál na rôzne zahraničné hazardné portály. Bez toho, aby to prevádzkovateľ a hlavný administrátor vôbec vedeli. Nie bežne sa totiž pozeráme na FTP server.
Zásadný dôvod, prečo konať a hacknuté stránky dať do poriadku, čiže opraviť, je zisk penalizácie a blokácie. Váš web môže získať rôzne penalizácie. Google ho môže vylúčiť z vyhľadávania a antivírus na neho môže upozorňovať pri vstupe ako na hrozbu. To znamená zablokovanie návštevníkov, príjmu a čitateľov. Podvodník, či automat v pozadí má takto zneužitých množstvo webov a jemu zisk nepadá. Namiesto vás má v zálohe desiatky, či stovky ďalších obetí, ktoré si obstaráva priebežne a priebežne ich objavujú aj autority a zabezpečovacie systémy.