Ghid Pas cu Pas pentru Eliminarea Malware-ului din WordPress

În acest ghid, ne-am propus să simplificăm procesul de îndepărtare a malware-ului din WordPress prin oferirea unei explicații a simptomelor, unui proces pas-cu-pas pentru găsirea și eliminarea malware-ului și, de asemenea, vom oferi câteva sfaturi pentru a îmbunătăți securitatea WordPress-ului dumneavoastră.

Simptomele unei infectionate cu malware WordPress

Tipurile diferite de malware sunt create pentru a servi scopuri variate, de la coruperea datelor la furtul acestora. Ca urmare, simptomele prezentate de malware pot varia. Cu toate acestea, există unele semne care pot indica faptul că este timpul să începeți să faceți curățenie cu privire la malware-ul WordPress.

Câteva semne comune ale unei infecții malware WordPress sunt:

• Problema cu liste blacklist: Site-ul dvs. WordPress este pus pe lista neagră de motoarele de căutare precum Google, Bing, Yahoo etc., din cauza infectării cu malware. Puteți verifica manual acest lucru, căutând numele site-ului dvs. pe oricare dintre motoarele de căutare menționate mai sus. Sau puteți utiliza instrumentul gratuit pentru verificarea listelor negre oferit de Astra. Acesta va căuta site-ul dvs. pe peste 65 de motoare de căutare și platforme de securitate pentru a depista eventuale listări în aceste liste negative.
• O scădere dramatică a traficului: o pierdere bruscă de trafic utilizator pe site-ul dvs. poate fi un semn al unei programe malware sau a intrării în blacklist-ul motoarelor de căutare, după cum am menționat mai sus.
• Suspendarea contului de găzduire: Dacă furnizorul dvs. de găzduire suspendă contul dvs. din cauza răspândirii malware-ului, aceasta reprezintă un semn puternic. Veți primi un email sau o notificare de la furnizorul de găzduire cu privire la suspendarea site-ului dvs. și menționând problema.
• Pop-up-uri și Malverts: Site-ul tău WordPress afișează pop-up-uri și reclame ciudate care redirecționează utilizatorii către site-uri dubioase.
• Utilizarea excesivă a serverului: AdBlocker-urile arată că site-ul dvs. WordPress este blocat deoarece se minează criptomonede sau site-ul utilizează prea multe resurse GPU, chiar dacă traficul utilizatorilor este mic. De asemenea, utilizatorii se plâng că site-ul WordPress le epuizează puterea procesorului.
• Utilizatori necunoscuți: În baza de date a site-ului dvs. apar noi administratori sau ați fost blocat de pe propriul site web. De obicei, aceste conturi de admin/user au nume de utilizator suspecte.
• Fișiere suspecte: Pe site-ul dumneavoastră apar fișiere dubioase cu nume lungi, ilegibile, în foldere precum wp-admin și wp-includes. De asemenea, aceste fișiere sunt rulate din nou și din nou prin intermediul sarcinilor Cron.
• Modificări de fișiere: Fișiere sensibile precum cele ale anteturilor și subsolurilor au fost modificate și conțin cod obfuscat, cum ar fi codarea Base64.
• Mesaje Spam: Dacă site-ul tău trimite spam, utilizatorii vor primi emailuri nedorite de la domeniul tău, care poate apărea pe una dintre listele negre de spam.
• Apariția caracterelor străine pe paginile web: Caracterele japoneze apar pe site-ul web sau în rezultatele căutării pentru site.

Cum să elimini Malware de pe site-ul WordPress

Înainte de a începe procesul de eliminare a malware-ului WordPress, asigurați-vă că schimbați toate parolele precum panoul de control WordPress, FTP, SSH, serviciul de găzduire etc. Asta pentru a vă asigura că atacatorul nu poate folosi parola actuală în cazul în care a fost furată. De asemenea, pentru viitor, este recomandat să utilizați autentificarea în două etape. Acum, înainte de a începe procesul propriu-zis, trebuie să efectuăm câțiva pași:

• Asigură-ți backup pentru fișiere și baza de date.
• Activează modul de întreținere
• Verifică și înlătură modulele și temele infectate
• Eliminați fișierele infectate (începeți prin a compara fișierele)
• Cauta in baza de date
• Urmați recomandările de securitate.

Pasul 1: Faceți o copie de siguranță înainte

Înainte de a elimina malware-ul WordPress, este important să faceți o copie de siguranță a tuturor datelor de pe site pentru cazul în care ceva se strică și trebuie restaurat. Dacă utilizați un serviciu de găzduire precum Web365.ro, aveți serviciu de full backup automat al contului cu un istoric de 15 zile. Contactați-vă furnizorul de găzduire pentru mai multe informații. Totusi va recomand sa efectuați backup-ul site-ului WordPress în două etape: backup-ul fișierelor și backup-ul bazei de date.

Backup-ul de fișiere

Există mai multe modalități de a face backup pentru fișierele din WordPress, dintre care enumerăm câteva mai jos:

cPanel: Accesați panoul de administrare cPanel, opțiunea File Manager. Selectați directorul public_html sau directorul in care se află site-ul. De obicei acesta are numele domeniului.  Click mouse buton dreapta si selectati opțiunea „Compress”. Se va genera o arhivă cu numele domeniului si extensia .zip.

UpdraftPlus: este un modul gratuit și probabil cel mai popular modul de backup. Pentru a face o copie de rezervă urmăriți pașii de mai jos:

• Instalați această aplicație pe site-ul dvs. WordPress de la link-ul dat aici și activați-o.
• Genereaza acum o copie de rezervă folosind acest instrument și păstrează-o într-un loc sigur.

SSH: Pentru a face o copie de rezervă a site-ului dvs. WordPress prin SSH:

• Accesează site-ul tău prin SSH.
• Pentru a face acest lucru, rulați comanda: zip -r wp_backup.zip /nume-director.

Utilizați comanda „wp_backup” pentru a face o copie de siguranță a fișierului și specificați directorul dorit pentru backup. Descărcați apoi copia de siguranță într-o locație securizată.

SFTP este un protocol de transfer de fișiere securizat care folosește criptare pentru a proteja datele în timpul tranzacțiilor. Este o alternativă mai sigură la FTP și este adesea utilizată pentru transferul de fișiere sensibile sau confidențiale.

• Conectați-vă la site-ul dvs. WordPress folosind un client SFTP cum ar fi FileZilla.
• Pur și simplu faceți click pe folderul site-ului si cu  drag & drop din panoul site-ului copiați-l pe calculatorul dvs.
• Vom începe procesul de copiere a fisierelor, care poate dura o perioadă de timp în funcție de conexiunea și viteza site-ului dar și de marimea site-ului.

Copie de siguranță a bazei de date

Iată câteva metode prin care poți face o copie de siguranță a bazei tale de date înainte de a începe eliminarea malware-ului din WordPress:

Plugin-ul UpdraftPlus, menționat mai sus, are opțiunea de a efectua o copie de siguranță bazei de date .

PHPMyAdmin: Acesta poate fi folosit pentru a face backup la baza de date. 

• Accesați panoul cPanel site-ul dvs. si selectați opțiunea PhpMyAdmin.
• Selectați baza de date WordPress și apăsați pe opțiunea Export.
• Alegeți metoda rapidă pentru a începe descărcarea bazei de date în locația locală implicită. 
• Asigurați-vă că îl salvați în siguranță pe calculatorul dvs.. 

Protocolul SSH

Accesați site-ul WordPress prin SSH. Puteți utiliza aplicația PuTTY.

• Utilizați comanda: mysqldump -p -h hostname -u username database > wp_backup.sql
• Pentru a proteja baza de date, salvează fișierul ca wp_backup.zip. Descarcă-l de pe server și păstrează-l într-un loc sigur.
• După ce ai salvat copia de rezervă a fișierelor și bazei de date WordPress local, șterge-o de pe server dacă este prezentă acolo.

Pasul 2: Activează modul de mentenanță.

În timpul procesului de eliminare a programelor malware WordPress, este crucial să vă puneți site-ul în modul de întreținere pentru a preveni orice modificări. Acest lucru va informa, de asemenea, utilizatorii despre întreținerea continuă și despre motivul pentru care site-ul este temporar oprit.

În comparație cu alte CMS-uri, WordPress nu are o opțiune incorporată pentru a pune site-ul în modul de mentenanță. Acest lucru poate fi realizat prin diverse plugin-uri. Un exemplu este prezentat mai jos:

Descărcați, instalați si activați modul Coming Soon pe site-ul dvs. WordPress.

Pasul 3: Eliminați plugin-urile și temele infectate

Dacă site-ul dvs. WordPress a fost infectat cu malware dintr-un plugin sau temă, puteți șterge direct din directorul wp-content/plugins/. De asemenea, temele și temele copil infectate pot fi găsite și șterse din directorul wp-content/themes/. După aceea, reinstalați plugin-ul sau tema originală. Pentru viitor, evitați să utilizați teme sau plugin-uri nule deoarece conțin de obicei malware. Asigurați-vă că utilizați doar plugin-uri și teme care au o bună reputație și sunt actualizate regulat de dezvoltator.

Pasul 4: Eliminați fișierele infectate.

Deoarece fiecare fișier WordPress conține un set de funcții diferite, poate fi dificil pentru un utilizator mediu să deosebească între codul legitim și cel malefic. În plus, fiecare malware funcționează în moduri diferite, iar scrierea despre toate ar fi prea mult pentru acest articol. Nu există o soluție magică care să funcționeze pentru toate fișierele infectate, așa că va oferim o listă cu articole despre infecțiile comune cu malware și cum să le repareți în detaliu.

În plus, curățați fișierul sitemap.xml. Acesta poate fi găsit în directorul rădăcină, adică www.example.com/sitemap.xml. Ștergeți orice link-uri suspecte sau caractere spam din interiorul acestuia.

Pasul 5: Curățați baza de date

Baza de date poate fi curățată prin rularea de interogări SQL. Pentru a face acest lucru, trebuie să aveți acces la consola MySQL sau phpMyAdmin. Aici intră în joc Regex. De exemplu, dacă toate înregistrările malicioase din tabela wp_posts se află în coloana post_content și se termină cu cuvântul , acestea pot fi înlocuite folosind o singură interogare ca aceasta:

UPDATE wp_posts SET post_content = REGEXP_REPLACE(post_content, ‘<script>.*’, ‘’);

Folosind setul de comenzi UPDATE wp_posts, poti schimba continutul actual al postului in functie de nevoile tale. Aceasta functionalitate este utila pentru a sterge coduri adaugate care pot compromite securitatea site-ului tau.

Cu toate acestea, dacă codul malițios se află în mijlocul postării, va fi nevoie de o expresie regulată mai complexă. De asemenea, înlocuiți numele de tabele wp_posts cu alte tabele pentru eliminarea malware-ului WordPress.

Eliminarea malware-ului WordPress

Pluginul Astra Security poate înlătura malware-ului din WordPress. Pentru un începător, întregul proces de înlăturare a malware-ului poate părea copleșitor. Chiar și pentru un utilizator experimentat, poate fi obositor. Soluția la toate aceste probleme este Astra Security. Prin intermediul programului său imediat de înlăturare a malware-ului, experții de securitate ai Astra vor analiza și curăța site-ul dvs. WP de orice tip de malware sau puncte vulnerabile în doar 6-8 ore și îl vor proteja pentru viitor cu ajutorul suitei lor de securitate.

Cu Astra Security Suite pentru WordPress, site-ul dvs. va fi monitorizat în mod activ pentru orice amenințări malware și le va bloca înainte de a ajunge la site-ul dvs. Astra vă protejează împotriva atacurilor XSS, SQLi, CSRF, LFI, RFI, Spam, otrăvire SEO, injectare de cod și peste 80 de alte amenințări cibernetice.

Instalarea este foarte simplă și prețurile sunt accesibile. Și dacă întâmpinați dificultăți, asistența este doar la un mesaj distanță.

Cum pot verifica site-ul meu WordPress pentru malware?

Există două metode de a detecta malware – manual sau prin utilizarea unor unelte automate.

• Procesul de manual este consumator de timp, necesită expertiză tehnică și poate fi dificil pentru începători. În ceea ce privește instrumentele automate, acestea pot fi costisitoare.
• Detectarea malware-ului nu trebuie să fie un proces dificil. Există tehnici manuale ușor de urmărit și instrumente automate gratuite care fac acest lucru mai ușor ca niciodată. Iar în cazul detectării malware-ului, înlăturarea sa din WordPress nu este deloc dificilă.

Proces automatizat

Detectarea automată a malware-ului este un proces relativ simplu având în vedere că există multe scanere gratuite disponibile în piața astăzi. Astra Security oferă un astfel de scanner gratuit pentru malware. Pentru a scana site-ul dvs. cu acest program, accesați acest link pentru scannerul de malware Astra și introduceți adresa URL a site-ului dvs., după cum se arată în imaginea de mai jos. În doar câteva minute, scanarea vă va arăta fișierele infectate, dacă există unele.

În plus față de scanerul gratuit, Astra Security oferă și un scaner plătit pentru malware-ul sistemului de fișiere, care este mai avansat și mai cuprinzător. Scanerul plătit are și o caracteristică „Vizualizare diferențe de fișiere” care vă permite să revizuiți modificările în câteva secunde. De asemenea, scanerul nostru vă permite să ștergeți fișierele malitioase direct din panoul de control, astfel restaurând site-ul dvs. în câteva secunde.

Tehnică Manuală

Verificați plugin-urile și temele depășite: Una dintre cele mai frecvente cauze ale malware-ului WordPress este exploatarea plugin-urilor. Pluginurile și temele neactualizate devin vulnerabile în timp din cauza gestionării inadecvate. Dacă nu ați actualizat pluginurile/temele de mult timp, acestea pot fi cauza infectării cu malware în WordPress. Verificați panoul de administrare WordPress pentru a vedea dacă sunt disponibile actualizări pentru pluginuri sau teme.

Fisiere

În căutarea potențialului malware, verificați dacă există fișiere modificate recent. Puteți face acest lucru conectându-vă la site-ul dvs. WordPress folosind SSH și rulând următorul comandă:

find . -mtime -2 -ls

Aici puteți schimba valoarea 2 în orice număr, după cum doriți, pentru a vedea fișierele modificate din acea perioadă de zile. Cu toate acestea, uneori malware-ul se ascunde prin codificarea base64, puteți căuta și asta folosind următoarea comandă prin SSH, care va salva rezultatul într-un fișier numit hiddencode.txt:

grep --include=*.php -rn . -e "echo base64_decode"

După aceea, folosește instrumente online pentru a decoda funcția base64 și verifică dacă codul pare a fi malitios. De asemenea, poți să compari fișierele WordPress cu cele originale pentru orice modificări. Pentru a face acest lucru, descarcă o copie nouă de WordPress (asigură-te că este aceeași versiune pe care o utilizezi) și folosește un instrument online pentru a verifica diferența dintre fișierele originale și fișierele tale WordPress unul câte unul. Dacă vezi link-uri spam sau funcții periculoase precum eval, exec, strrev, assert etc. în fișierele modificate, este momentul să înlături malware-ul din WordPress.

Bază de date

Căutați prin tabelele site-ului dvs. WordPress pentru orice link-uri spam sau caractere pe care website-ul dvs. le arată. Comenzile SQL v-ar putea fi de ajutor în acest sens. Pentru a le rula, trebuie să aveți acces la consola MySQL a site-ului dvs. Deschideți-o și selectați baza de date WordPress folosind comanda:

• Folosiți wordpress_db;
• Înlocuiți wordpress_db cu numele bazei de date WordPress. Apoi, rulați următoarele interogări.
• Selectează toate postările din wp_posts unde conținutul include ‘iframe’.

SELECT * FROM wp_posts where post_content LIKE ‘%JavaScript%’;

SELECT * FROM wp_posts where post_content LIKE ‘%iframe%’;

Aceste comenzi vor lista toate postările WordPress care conțin iframe-uri ascunse și scripturi JavaScript. La fel, executați aceleași comenzi schimbând numele tabelului wp_posts în alte tabele. Dacă sunteți un utilizator mediu și nu cunoașteți nicio comandă SQL, utilizați un instrument precum PhpMyAdmin. 

Securizarea platformei WordPress

În majoritatea cazurilor, cauza infectării cu malware este securitatea slabă a unui site web. Iată câteva măsuri pe care le poți lua pentru a îmbunătăți securitatea site-ului tău WordPress:

• Pentru a proteja fișierele și informațiile site-ului tău WordPress, este important să setezi corect permisiunile de fișiere și să înlături vechile backup-uri de pe server. Asigură-te că păstrezi backup-ul în siguranță la nivel local.
• Pentru a preveni atacurile cibernetice și accesul neautorizat la contul de WordPress, îți recomandăm să schimbi URL-ul admin al site-ului. De asemenea, dezactivează indexarea fișierelor pentru a reduce șansele de hacking.
• Pentru site-ul dvs. WordPress, este important să vă mențineți mereu actualizate nucleul și temele/plugin-urile. De asemenea, aveți grijă să utilizați teme și pluginuri nule („sparte), deoarece acestea pot conține adesea programe malware rău intenționate. Nimic nu este GRATIS.
• Pentru o securitate sporită a site-ului web, se recomandă să utilizați un certificat SSL și să instalați un plugin care va solicita utilizatorilor să vă acceseze site-ul web folosind numai HTTPS.
• Protejați serverul prin blocarea porturilor sensibile și utilizarea subnetting-ului pe hosturile partajate pentru a crește securitatea.
• Pentru a proteja site-ul WordPress, este important să utilizați un firewall sau o soluție de securitate. De asemenea, efectuarea periodică a auditurilor de securitate poate ajuta la identificarea oricăror vulnerabilități înainte ca hackerii să le găsească.

Un mic punct vulnerabil de securitate poate compromite întregul dvs. website sau aplicație web.

Firewall Recomandat:  All-In-One Security (AIOS) – Security and Firewall