Vírusos WordPress honlap helyreállítása, körülményei

Home / webfejlesztés / Vírusos WordPress honlap helyreállítása, körülményei

Szeretnék teljeskörűen írni a honlap feltörés körülményeiről is, és a saját tapasztalatokról, mert ezek hiányoznak jelenleg a neten. Ezért ugyanaz az infó kering csupán. De természetesen lesz szó picit rövidebben a vírusos WordPress honlap helyreállítása kapcsán (ami természetesen a vírusos webshopra is igaz) a legfontosabb dolgokról is, melyet egy linkkel kiegészítve közreadok.

Miért törik fel a honlapokat?

A forgalom és a figyelem a vásárlásokkal együtt az online térben egyre nagyobb. Mivel a WordPress egyszerűbb és bonyolultabb, céges és egyéb honlapként is működik, lehet blogolni, webáruházat készíteni vele, így potenciális célpont lehet. Sok esetben nincs a dologban semmi személyes, a fekete sapkás hacker egyszerűen megírja a programot és az elkezdi feltörni a honlapokat. Ez teljesen automatikus. De mi a megoldás WordPress vírus elleni hadművelet alkalmával?

Amíg ezt olvasod, addig is a honlapod vírussal történő megfertőzése folyamatban van az adminon keresztül

Ha megfelelő szoftverekkel megnézed, akkor látni fogod, hogy tulajdonképpen folyamatosan megpróbálják feltörni a honlapokat. De nemcsak az admin felületen, hanem elavult pluginokon, vagy formokon keresztül is be lehet lépni… Ezek már a szakma szépségei.

Milyen céllal törik fel a honlapot:

  • Találkoztunk olyan honlappal, amin SEO célzattal elkezdtek publikálni és linkelni különféle oldalakat.
  • Van, aki a dark side-ot képviselve így tanul és méri le a tudását.
  • Volt olyan ügyfél, aki egy sajátságos iparágat képviselve (komoly piac, komoly jövedelemmel, kevés konkurenciával) konkrétan sejtette, hogy melyik konkurense bérelte fel a hackert, aki ellehetetlenítette népszerű honlapjának a működését (ez konkrétan bűncselekmény).
  • Adathalászat (adatvédelmi incidens-t a NAIH-nak 48 órán belül jelenteni kell).
  • Létezik átirányítás is (a linkerő ilyenkor a keresőoptimalizálás alapján átadódik).
  • Reklámokat is előszeretettel helyeznek el honlapon, a kamu posztokkal, linkekkel együtt.

Miért “könnyebb” feltörni a WordPress honlapokat? 

A WordPress nyílt forráskódú rendszer, azaz teljesen átlátható, hogy mi van a “motorháztető” alatt. Mivel a legnépszerűbb ilyen jellegű platform, ezért érdemes megismerni a rendszert, ellentétben egy saját fejlesztésű “néhány ügyfélnek eladott” megoldással szemben. Ezáltal, tehát könnyebben feltörhető, mint egy például kevésbé népszerű egyedi fejlesztésű honlap.

Az egyedi fejlesztésű weblapot ugyanúgy rendszeresen frissíteni kell és az nem valószínű, hogy ingyenesen hozzá tudunk jutni, illetve az adott fejlesztő cégnek is kiszolgáltatva lehetünk, mert ők ismerik pontosan a honlapot. De ez egy másik story az előnyeivel és hátrányaival együtt…

Mivel segítem elő, hogy feltörjék a WordPress honlapomat?

  • Nem frissíted rendszeresen a WordPress-t,
  • a grafikai sablont,
  • a pluginokat.
  • Nem jogtiszta szoftvert használsz.
  • Egy egyedi fejlesztésű pluginod van, amit a fejlesztő megcsinált ugyan, de nem frissíti Neked.
  • Nem biztonságos tárhely szolgáltatónál vagy (erről később konkrétan írok még).
  • Nincs védelem a honlapon.
  • Egyszerű jelszavakat használsz.
  • Elavult pluginok vannak a weblapodon.

Honnan tudom, hogy fertőzött WordPress honlapom van?

Előfordulhat, hogy nem is vesszük észre. Ezért fontos a megfelelő karbantartás, miután a vírusvédelem kialakításra került. Ezért szerintem a hathatós megoldás az, hogy eltávolítjuk a vírust, kialakítjuk a védelmet és vállaljuk a karbantartást. Ennek az együttes alkalmazása oldja meg hosszú távon a problémát, és nem árt ha ez egy kézben van.

Árulkodó jelek:

  • Online vagy gépünkön lévő vírusírtó, például malware vagy egyéb problémát jelez, online ellenőrzés: (Norton és Google).
  • A honlapon lévő tartalom “magától” módosul.
  • Nem elérhető a honlap, vagy az óriási téli havazást is felülmúló szép nagy fehér látvány fogad.
  • Nem tudunk belépni az admin vagy egyéb felületen.
  • Egyes funkciók nem megfelelően működnek.
  • Új menüpont bukkant fel.
  • Spam-elést hajtottak végre a honlapod nevében (blacklist ellenőrző).
  • E-mailjeid nem érkeznek meg a címzetthez.
  • WordPressen lefuttatott vírus scan gyanús elemeket talált.
  • Olyan aloldalakra látsz forgalmat, amely aoldallal a honlap nem is rendelkezik.
  • A Google nem biztonságosnak ítéli meg weblapodat.
  • A Google keresőben a honlapod linkjére klikkelve másik weboldal/weboldalak például “nyereményjáték” honlapra irányítódik át a honlapod (akár csak időszakosan).
    Ezt azért nehéz webtulajdonosként észrevenni, mert ők nem szoktak a Google keresőből a saját honlapjukra klikkelni. Ráadásul ez a jelenség működhet csak mobilról vagy egyéb cifra módon. 
  • Új (általunk nem ismert) felhasználó lett regisztrálva, példának okáért admin jogkörrel.
  • Váratlanul egy általunk nem linkelt másik honlapra kerülünk.
  • “Idegesítő” pop-up ablakok ugranak fel a weblapodon.
  • Visszaesik a látogatottság (érdemes a Search Console és Google Analytics-et átnézni, ahol közvetlenül a Google-tól kapjuk az infót).
  • Marketing platformok nem megbízhatónak ítélik meg az oldalt (Facebook, Google Ads).

Vírusos WordPress honlap helyreállítása és megelőzés

Találkoztunk olyan esettel feltört WordPress weblap helyreállítása során, mikor az ügyfél tévesen hitte azt, hogy fel lett törve a honlap. Eleve vannak gyanús elemek, amik nem biztos, hogy negatív szándékkal lettek elhelyezve a honlapon. A legegyszerűbb megoldás a régi back up visszaállítása, amikor még minden megfelelően működött és nem volt vírus a honlapon.

Azonban itt még nem dőlhetünk hátra, mert ha fel tudták törni a honlapot, akkor csak idő kérdése, hogy ezt újra megteszik. Mindenképpen cseréljünk le minden jelszót az összes felületen valamennyi felhasználó esetében (FTP, adatbázis, admin felületek, tárhely stb.). Frissítsük le a WordPress-t, a pluginokat és a grafikai sablont.

Tapasztalatok alapján a fertőzött WordPress oldal megtisztításához nem elég a WordPress szoftvereket használni, mert a vírus más (külső) mappába is elhelyezésre kerülhet, ha például egy külső szoftver is integrálva van.

Ellenőrizzük a honlap vírusmentesítés során a funkciókat, tartalmat, például a kapcsolat oldalon lévő elérhetőségeket, amik akár egy kamu linkkel is rendelkezhetnek. Tesztelve küldjünk magunknak üzenetet a formokon keresztül, hogy lássuk megkapjuk-e azt (ha kevés az ügyfél megkeresés, akkor ezt érdemes rendszeresen ellenőrizni).

A tárhelyszolgáltató is segíthet a megfertőződött honlap monitoringban, főleg a nem publikus mappák tekintetében. A legfontosabb file átnézése a htaccess, wp-config és wp-content mappára terjedjen ki, az is megoldás lehet, hogy ha a többit töröljük miután elkészült a back up az aktuális állapotról is, és visszatöltjük a legfrissebb változatú WordPress file-okat. A phpMyAdmin-ban ismeretlen táblákat is érdemes átnézni (wp_post, wp_users). Ugyanis a pluginok is létrehoznak táblát telepítés alkalmával.

A gyökér könyvtárban is sok nem odavaló file szokott tündökölni, így ez is az eljárás részét képezi a vírusos WordPress honlap helyreállítása során. Érdemes azt is megnézni, hogy ezek közül a szerveren milyen file-ok kerülnek leggyakrabban meghívásra, ugyanis ez is árulkodó lehet számunkra. A plugins és languages mappákban is szeretnek megbújni a vírusok.

Érdemes a wp-config file-ban a titkosító kulcsokat megváltoztatni generátorral. Ez alapján salt-ként működik a sütikkel a honlap biztonságosabb módon. Meglévő php file kiterjesztésű dokumentumokban szoktak elhelyezni kódokat. Ezt össze is hasonlíthatod a legfrissebb eredeti változattal, hogy lásd, ha van különbség benne.

Érdemes a widgeteket átnézni vírusos honlap esetén, mert ott is megbújhatnak rosszindulatú kódok. Nézd át továbbá a szerveren történő file-ok módosítási dátumát. Emellett az emoji is okozhat problémát a Google számára, a megoldás: wp-includes\js\wp-emoji-loader.min.js és wp-includes\formatting.php” 5536-os sor törlése.

Jó megoldás lehet letiltani a gyökérkönyvtárban a xmlrpc.php file-t, hogy megelőzzük a vírusos weboldal kialakulásának lehetőségét. Ez ugyanis a trackback/pingback funkciót működteti, de szerepe kezd eltűnni, viszont általa könnyen feltörhető a honlap. A törléssel frissítésnél újra megjelenik, így például a htaccess-be ezt bemásolva megoldhatjuk a problémát végérvényesen:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

De mielőtt ezt megtennénk alaposan gondoljuk végig, mert a JetPack bővítmény is használja és külső API vagy közvetlen XML-RPC alkalmazás pl. WooCommerce (raktárkészlet kezelése) is ugyanezt teszi. De utasításokra alkalmas, így a rosszindulatú robotok egyik barátja.

A WordPress-be belépve a beállítás / beszélgetés menüponton belül ezt ne pipáljuk be: “Engedélyezzük a hivatkozás értesítéseket más weboldalak új bejegyzéseiről (visszajelzések és visszakövetések).”

Letilthatod a dashboardon keresztül a szerkesztési lehetőséget. A file-ok és mappák ne listázódjanak szerver beállítás alapján. Nem érdemes a weblap jelszavát böngészőben tárolni. A hozzászólásokat kikapcsolhatod, ha nem használod, de ha igen, akkor spam szűrővel tedd. Figyelj a file-ok, mappák jogosultságára is és érdemes azt beállítani megfelelően. Töröld a readme és egyéb felesleges file-okat.

Ha kész vagy a vírusmentesítéssel (leellenőrizted), akkor érdemes a Search Console-ban jelenteni ezt feltéve, hogy ott már megjelent a figyelmeztetés. A vírusos WordPress honlap helyreállítása a vírus irtása után a megfelelő védelem kialakításával és folyamatos karbantartással fejeződik be.

Használjunk megfelelő plugint a víruskeresésre. Erről és egyéb infókról itt írtam korábban: Feltört WordPress honlap vírusmentesítése és weboldal feltörés elleni beállítások

Mikor érdemes szakemberhez fordulni a feltört honlap helyreállítása megbízásával?

  • Nincs időnk, kedvünk, energiánk, tudásunk ezzel bajlódni, kísérletezni és a stresszre sem igazán van szükségünk.
  • Nagy a tét: elesünk attól a pénztől, amit a honlap kitermel nap, mint nap.
  • Nem szeretnénk megkockáztatni, hogy adathalászat esetén adatvédelmi incidenst elszenvedve értesíteni kelljen a hatóságokat, ügyfeleket, mely márkánk negatív megítélését is elősegítheti.
  • Nem szeretnénk, hogy a SEO szempontból keményen felépített honlapunk a süllyesztőbe kerüljön megbízhatatlan weboldalként.
  • Nem szeretnénk, hogy idővel úgy elszaporodjanak a vírusok a honlapunkon, hogy olcsóbb/csak az a megoldás jöhet szóba, hogy újra meg kell csinálni 0-ról a weblapunkat.

Vírusos WordPress honlap helyreállítása kapcsán miért vannak különböző árak?

Mivel volt szerencsém olyan ügyfélhez, aki korábban más cégtől kért vírusmentesítést, így ezen a téren is van tapasztalat. Sokan az árak alapján hoznak döntést az ügyfelek közül, ami érthető is, mondván, hogy ugyanaz a technológia. Azonban ez nem így van. Egyrészt a feltárás után látjuk, hogy tényleg vírusról van-e szó és az milyen mértékben terjedt el.

Nem mindegy ugyanis, hogy három vagy hatszázötven csillió file érintett, melyeket törölni kell, illetve újra felépíteni. Nyilván nem várható, hogy az ügyfél ezt előre elmondja, mert még a szakember sem látja vizsgálat nélkül ezt. És az is érthető, hogy az ügyfél szeretné tudni, hogy mennyi idő múlva nyithat pezsgőt és lélegezhet fel és mindez (a pezsgőn kívül) mennyibe fog neki kerülni.

Vannak, akik beárazzák fix díjra ezt a hadműveletet. És rosszabb esetben egy szoftverrel végig scannelik az oldalt és inaktíválnak néhány file-t és slussz passz. Nem nézik meg manuálisan mi a helyzet, mert az időbe telik. Találkoztunk olyan esettel, ahol emiatt működési probléma lépett fel, amit jóval nagyobb munka volt visszafejteni, mert csak automatikusan töröltek néhány file-t.

Az is megtörtént, hogy a gyanús elemet egy másik mappába tették át, ami ugyanúgy funkcionált továbbra is. Ezek a file-ok azonban nem “teljesen hülyék”. Számítanak rá, hogy megbabrálják őket, ezért nagyon körültekintőnek kell lenni, amit csak egy tűzszerész óvatossága múlhat felül. Jobb esetben visszakapjuk a pénzt, ha nem tudtak segíteni nekünk az adott “gyors vírusmentesítők”, de attól még a funkcióbeli problémák helyreállítása újabb pénzt emészthet fel.

Ha pedig úgy kérünk nyilvános ajánlást az ügyféltől, hogy még meg sem győződött arról, hogy milyen minőségben dolgozunk és ezt elősegítjük egy kis kedvezménnyel, akkor véleményem szerint elképzelhető, hogy sok szubjektív, de első látásra nagyon pozitív vélemény lesz a szolgáltató honlapján. Ha pedig alacsony árral dolgoznak, akkor biztos sokan választják ezt a megoldást. Szerintem bárhogyan is döntünk, legyünk alaposak és menjünk biztosra, hogy ne kelljen több cégnek is fizetnünk a vírusos WordPress honlap helyreállítása kapcsán felmerülő költségeket.

Mi a garancia? 

Ahogyan “megfelelő szaktudással” bármelyik kocsit fel lehet törni, ez a honlapokra is igaz. A garancia fogalmát amúgy a jog nem ismeri (lásd jótállás, szavatosság, termékfelelősség). De legyünk őszinték. Ha találtunk például 56 gyanús elemet és ezeket inaktíváljuk, cseréljük, töröljük, akkor mi a garancia arra nézve, hogy nincs még egy 57. vírus a honlapon?

Ha megtaláltuk, akkor (jobb esetben) kezdünk vele valamit. De, ha nem találtuk meg, akkor nem is tudunk a létezéséről (kivétel, ha a honlap emiatt nem megfelelően működik), így azt hihetjük, hogy teljesen tiszta lett a honlap. És, ha csupán egy darab vírus is ott marad a weblapunkon, akkor ő képes egyedül is szaporodni. Egy kis kapu fenn marad és bármikor vissza tud jönni a rossz szándékú hacker és kezdődik minden elölről.

Ezért a legtöbb, amit tehetünk, ha a lehető legalaposabb vizsgálatot végezzük el és rendszeresen elmentjük a teljes honlapról a biztonsági mentést, hogy ilyen esetben vissza tudjuk tölteni azt.

Biztos, hogy napi mentést kapunk, ahogy a marketing üzenetben olvastuk?

Vigyázat! Elképzelhető, hogy példának okáért a napi mentés a tárhely szolgáltató esetében jól hangzik, de valójában inkrementális mentést tartalmaz csupán, azaz nem a teljes honlapot mentik le, csak a módosításokat. Ezt a meglepetést hagyjuk meg másnak és helyette nézzünk a marketing üzenetek mögé, használva a józan eszünket.

“Normál”, virtuális (VPS) vagy fizikai dedikált szerver? 

Emellett biztonságos tárhelyen tároljuk honlapunkat. Létezik “normál” tárhely, melyen, ha például több honlapunk van egy szerveren, akkor ha az egyiket feltörik, akkor a szerveren be tudnak lépni a másik honlapra is. Létezik virtuális dedikált szerver, ahol az összes erőforrás a miénk és nem kell más honlapokkal együtt használnunk azt. Ha van “100 honlapunk”, vagy óriási a forgalom, akkor érdemes ebben gondolkodni. De ebben az esetben a programot is nekünk kell hozzá megírnunk (nekünk kell konfigurálni ezeket a prémium, nagy teljesítményű szervereket), illetve végrehajtanunk a frissítéseket a szerveren.

Ezen kívül a fizikai dedikált szerverről is beszélhetünk, amikor fizikailag is külön van a szerver teljes mértékben. Ennek magasabb az ára, mint a dedikált virtuális szervereké. De, mivel a hardvereszközöket más virtuális szerverekkel nem osztják meg, így kisebb lehet esetleg a teljesítménye. További infó: dedikált fizikai és virtuális szerver

Ezért mi az ügyfeleimmel mindig a pontos felmérés után stratégiában gondolkodunk, hogy ne vesszünk el a részletekben és ne tűzoltásból álljon a boldog vállalkozói létünk.

Keresztes Attila

KKV számára épít csapatunk, komplexen, testre szabott WordPress alapú, tovább fejlesztett honlapot/webshopot garanciával. Fontos, hogy ezek ne csak szépek legyenek, hanem folyamatos bevételt is biztosítsanak.  Jómagam ezt a folyamatot segítem elő a megfelelő kommunikáció, határidők betartása és minőség megteremtésével. PR szakon diplomáztam és 2005 óta rengeteg céget tettünk sikeressé.

Related Posts
Google