Bezpieczeństwo strony internetowej jest jednym z najważniejszych czynników, które powinieneś brać pod uwagę tworząc lub zlecając stworzenie strony witryny opartej o WordPress.
Klienci często pytają, jakie są oznaki, wskazujące na to, że ich strona została zaatakowana i w efekcie zawirusowana. Istnieje wiele charakterystycznych objawów, które świadczą o tym, że na stronie pojawił się niechciany Malware, poniżej 9 najpopularniejszych.
Nagły spadek ruchu na stronie
Jeżeli spojrzysz w statystyki np. Google Analytics i zauważysz nagły spadek ruchu, może to świadczyć o tym, że strona została zaatakowana, opcjonalnie ruch pozostaje niezmienny, ale czas przebywania na stronie oraz współczynnik odrzuceń jest nietypowy np. średnia wizyta trwa 5 sekund, a współczynnik odrzuceń to 100%. Istnieje wiele różnych trojanów i typów złośliwego oprogramowania, które przechwytują ruch i przekierowują je na strony np. dla dorosłych lub bukmacherskie. Niektóre trojany nie przekierowują użytkowników zalogowanych co pozwala ukryć im się czasem na dłuższy czas.
Innym powodem spadku ruchu, jednak dalej mającym związek z zawirusowaniem strony na WordPressie jest wyświetlenie się komunikatu w wyszukiwarce „Ta witryna nie jest bezpieczna”, które pokazuje się użytkownikom zarówno w wynikach jak i przy próbie przejścia na stronę z wyników wyszukiwania. Co tydzień Google umieszcza na czarnej liście około 50 tysięcy stron służących do wyłudzania informacji i około 20 tysięcy stron zawierających złośliwe oprogramowanie. Dlatego każda firma tworząca strony na WordPress oraz każdy właściciel takiej strony powinien zadbać o jej odpowiednie zabezpieczenie.
Dziwne treści, linki lub po prostu reklamy
Dodanie niechcianych treści do już istniejących wpisów i stron jest jedną z najczęstszych oznak, że ze stroną dzieje się coś niedobrego, podobnie ma się sprawa z dodawanymi nowymi treściami, które widać na stronie, a w panelu administracyjnym pozostają ukryte.
Cyberprzestępca otwierając sobie furtkę do strony, w większości przypadków uzyska też dostęp do bazy danych i zdarza się, że systemy zabezpieczeń nie odnajdą zawirusowanych plików, a wszystko zostało zmienione lub dodane bezpośrednio w bazie danych.
Jeżeli znajdziesz się w takiej sytuacji najlepiej poprosić specjalistę o odwirusowanie strony – często wirusy są przebiegłe i ukrywają się w plikach motywu lub innych np. SVG, a to oznacza, że zwykły użytkownik myśląc, że usuwa zagrożenie i wirusa… naprawia tylko problem objawowo, a ten będzie powracać
Jeżeli nie chcesz tego robić samodzielnie lub nie masz na to czasu → użyj formularza kontaktowego.
Podmiana strony głównej / usunięcie zawartości
Ataki w większości przypadku są skonstruowane w taki sposób, aby pozostać przez jak najdłuższy czas nie zauważone. Z drugiej strony niektórzy hakerzy podmieniają stronę główną lub kasują całą zawartość oraz dodają prywatną wiadomość z informacją o tym, że padliśmy ich ofiarą. Zdarza się też, że za odzyskanie zawartości lub przywrócenie strony do stanu sprzed ataku każą sobie płacić.
Nie możesz się zalogować do kokpitu WordPress’a
Jeśli masz problem z zalogowaniem się do panelu administracyjnego WordPress, istnieje możliwość, że Twoje konto zostało usunięte przez hakera lub trojana. Ponieważ konto już nie istnieje, nie możesz zresetować hasła wbudowanym mechanizmem. Istnieją jednak inne sposoby dodania konta administratora np. za pośrednictwem phpMyAdmin. Nawet jeżeli uda się stworzyć konto i zalogować dopóki nie usuniesz trojana i luki jaką się dostał – strona pozostaje w niebezpieczeństwie.
Istnieje też inna możliwość – będziesz mógł się zalogować jednak zostaniesz przekierowywany na stronę główną lub w Kokpicie nie będzie opcji administracyjnych – w takich wypadkach zostały Ci zmienione uprawnienia, a te możesz również przywrócić z poziomu zarządzania bazą danych.
Podejrzani i nieznani użytkownicy w kokpicie
Jeśli Twoja strona w WordPress pozwala na rejestrowanie użytkowników i nie korzystasz z żadnej ochrony przed spamem – to po prostu zwykły spam, który możesz po prostu usunąć. Z drugiej strony, jeśli nie pamiętasz, że aktywowałeś pozwolenia na rejestrację użytkowników, a mimo to taki się pojawił lub pojawiły się nieznane konta administratora – możliwe jest, a właściwie pewne, że strona została zaatakowana, a atakujący otrzymał komplet kluczy do skarbca – z poziomu kokpitu dostanie się do bazy danych, plików na serwerze, zawartości strony etc.
Bardzo często kont tych nie da się usunąć z poziomu panelu administracyjnego i należy zrobić to poprzez bazę danych oraz usunąć lukę i przyczynę, a nie jedynie objaw.
Nieznane pliki i skrypty na serwerze
Jeżeli podczas przeglądu plików na serwerze odnajdziesz dziwne pliki, skrypty lub inne pliki, których nie powinno tam być – prawdopodobnie ktoś ma dostęp do serwera i swobodnie nie tylko może pliki dodawać, ale też je modyfikować, usuwać czy zmieniać. Czasem te pliki mają nazwy zbliżone do tych, które standardowo znajdują się w instalacji lub ukryte są bardzo głęboko np. w katalogach obrazków wp-content.
Strona nie odpowiada, pokazuje mnóstwo błędów lub działa bardzo wolno
Każda strona internetowa może być ofiarą losowego, często automatycznego ataku. Ataki te wykorzystują wiele komputerów na całym świecie. Czasami wysyłają tysiące zapytań na minutę co blokuje łącze lub przeciąża serwer. Przeciążenie może też powodować próba złamania hasła lub przeszukiwanie strony pod kątem posiadania jednej ze znanych luk. Wszystkie takie działania spowodują, że Twoja strona będzie niedostępna, będzie wyświetlać błędy, a w najlepszym wypadku będzie działać bardzo wolno i nie zostanie ostatecznie „złamana” (ang. Cracked).
Dziwne zapisy logów, serwer dziwnie się zachowuje
Dzienniki (inaczej logi) serwerów są plikami tekstowymi przechowywanymi na serwerze, a na którym znajduje się strona. Te pliki zawsze rejestrują ruch i wszelkie działania lub błędy występujące na nim. Możesz uzyskać dostęp do logów z pomocą panelu serwera np. DirectAdmin lub cPanel. Dzięki tym dziennikom możesz dokładnie zrozumieć co dzieje się na serwerze, odtworzyć sposób włamania lub działania jakie wykonywał wirus/haker.
Wiadomości trafiają do spamu, nie są wysyłane lub nie możesz ich odbierać
W większości przypadków zaatakowane strony wysyłają SPAM – powoduje to nie tylko dodanie Twojej domeny czy adresu IP serwera na czarne listy, ale też może to całkowicie zablokować Tobie możliwość komunikacji do czasu rozwiązania problemu.
WordPress używa skryptu PHP do wysyłania wiadomości – dostawca Twojego hostingu mógł zablokować wykonywanie tej funkcji, a to spowoduje, że formularze na stronie internetowej przestaną działać.
To tylko 9 najczęstszych problemów – jeżeli zauważyłeś te lub inne niepokojące objawy na swojej stronie – [ninja-popup id=768]wyślij do mnie wiadomość[/ninja-popup], pomogę odnaleźć problem i przygotuję plan ataku na hakera lub uspokoję, że wszystko jest w porządku :)
Jeżeli nie chcesz tego robić samodzielnie lub nie masz na to czasu → użyj formularza kontaktowego.
4 komentarze do wpisu “9 oznak, że Twój WordPress może być zawirusowany Malware”
Janunsz Kamiński
Spotkałem się ostatnio z wirusem, który przy wejściu na stronę przekierowywał do ankiety z prezentem :)
Jakub Jaworowicz[ Autor Artykułu ]
Raczej z "prezentem" bo potem się okazuje, aby wziąć udział trzeba wyrazić zgodę na drogie subskrypcje lub podać mnóstwo swoich danych w ramach włąśnie takiej "ankiety" a czasem i jedno i drugie.
Anna Pisanie
A co z sytuacją, gdy google indeksuje wyniki wyszukiwania z wbudowanej wyszukiwarki i tam jest mnóstwo spamu?
Jakub Jaworowicz[ Autor Artykułu ]
Podobnie. Należy sprawdzić czy to tylko zewnętrzne zasypywanie linkami do fake wyszukiwań czy jednak coś więcej. W większości przypadków wystarczy dla braku wyników wyszukiwania nie wyświetlać zapytania w nagłówku + w większości przypadków wyniki wyszukiwania dać jako „noindex, no follow”