Vírusos WordPress honlap helyreállítása, körülményei (2024)

Home / webfejlesztés / Vírusos WordPress honlap helyreállítása, körülményei (2024)

Szeretnék teljeskörűen írni a honlap feltörés körülményeiről is, és a saját tapasztalatokról, mert ezek hiányoznak jelenleg a neten. Ezért ugyanaz az infó kering csupán. De természetesen lesz szó picit rövidebben a vírusos WordPress honlap helyreállítása kapcsán (ami természetesen a vírusos webshopra is igaz) a legfontosabb dolgokról is, melyet egy linkkel kiegészítve közreadok.

Nyilván erre a témára is igaz, hogy ugyan megosztom a hasznos infókat, de mindenki a saját felelősségére töröljön, módosítson file-okat a back up elkészítése után (ezért nyilván én látatlanban nem vállalom a felelősséget), de a legjobb talán megfelelő szakembert felkeresned, mert a stressznek is ára van…

Miért törik fel a honlapokat?

A forgalom és a figyelem a vásárlásokkal együtt az online térben egyre nagyobb. Mivel a WordPress egyszerűbb és bonyolultabb, céges és egyéb honlapként is működik, lehet blogolni, webáruházat készíteni vele, így potenciális célpont lehet. Sok esetben nincs a dologban semmi személyes, a fekete sapkás hacker egyszerűen megírja a programot és az elkezdi feltörni a honlapokat. Ez teljesen automatikus. De mi a megoldás WordPress vírus elleni hadművelet alkalmával?

Amíg ezt olvasod, addig is a honlapod vírussal történő megfertőzése folyamatban van az adminon keresztül

Ha megfelelő szoftverekkel megnézed, akkor látni fogod, hogy tulajdonképpen folyamatosan megpróbálják feltörni a honlapokat. De nemcsak az admin felületen, hanem elavult pluginokon, vagy formokon keresztül is be lehet lépni… Ezek már a szakma szépségei.

Milyen céllal törik fel a honlapot:

  • Találkoztunk olyan honlappal, amin SEO célzattal elkezdtek publikálni és linkelni különféle oldalakat.
  • Van, aki a dark side-ot képviselve így tanul és méri le a tudását.
  • Volt olyan ügyfél, aki egy sajátságos iparágat képviselve (komoly piac, komoly jövedelemmel, kevés konkurenciával) konkrétan sejtette, hogy melyik konkurense bérelte fel a hackert, aki ellehetetlenítette népszerű honlapjának a működését (ez konkrétan bűncselekmény).
  • Adathalászat (adatvédelmi incidens-t a NAIH-nak 48 órán belül jelenteni kell).
  • Létezik átirányítás is (a linkerő ilyenkor a keresőoptimalizálás alapján átadódik).
  • Reklámokat is előszeretettel helyeznek el honlapon, a kamu posztokkal, linkekkel együtt.

Miért „könnyebb” feltörni a WordPress honlapokat? 

A WordPress nyílt forráskódú rendszer, azaz teljesen átlátható, hogy mi van a „motorháztető” alatt. Mivel a legnépszerűbb ilyen jellegű platform, ezért érdemes megismerni a rendszert, ellentétben egy saját fejlesztésű „néhány ügyfélnek eladott” megoldással szemben. Ezáltal, tehát könnyebben feltörhető, mint egy például kevésbé népszerű egyedi fejlesztésű honlap.

Az egyedi fejlesztésű weblapot ugyanúgy rendszeresen frissíteni kell és az nem valószínű, hogy ingyenesen hozzá tudunk jutni, illetve az adott fejlesztő cégnek is kiszolgáltatva lehetünk, mert ők ismerik pontosan a honlapot. De ez egy másik story az előnyeivel és hátrányaival együtt…

Mivel segítem elő, hogy feltörjék a WordPress honlapomat?

  • Nem frissíted rendszeresen a WordPress-t,
  • a grafikai sablont,
  • a pluginokat.
  • Nem jogtiszta szoftvert használsz.
  • Egy egyedi fejlesztésű pluginod van, amit a fejlesztő megcsinált ugyan, de nem frissíti Neked.
  • Nem biztonságos tárhely szolgáltatónál vagy (erről később konkrétan írok még).
  • Nincs védelem a honlapon.
  • Egyszerű jelszavakat használsz.
  • Elavult pluginok vannak a weblapodon.

Honnan tudom, hogy fertőzött WordPress honlapom van?

Előfordulhat, hogy nem is vesszük észre. Ezért fontos a megfelelő karbantartás, miután a vírusvédelem kialakításra került. Ezért szerintem a hathatós megoldás az, hogy eltávolítjuk a vírust, kialakítjuk a védelmet és vállaljuk a karbantartást. Ennek az együttes alkalmazása oldja meg hosszú távon a problémát, és nem árt ha ez egy kézben van.

Ha „nagy a baj”, akkor a hosting szolgáltatótól kapsz egy levelet, hogy lekapcsolta a honlapodat (mostantól nem elérhető), mely automatizált folyamat és általában akkor fordul elő, ha már 72 órája vírus van rajta, mely a szerverüket is fenyegeti.

Árulkodó jelek:

  • Online vagy gépünkön lévő vírusírtó, például malware vagy egyéb problémát jelez, online ellenőrzés: (Norton és Google).
  • A honlapon lévő tartalom „magától” módosul.
  • Nem elérhető a honlap, vagy az óriási téli havazást is felülmúló szép nagy fehér látvány fogad.
  • Nem tudunk belépni az admin vagy egyéb felületen.
  • Egyes funkciók nem megfelelően működnek.
  • Új menüpont bukkant fel.
  • Spam-elést hajtottak végre a honlapod nevében (blacklist ellenőrző).
  • E-mailjeid nem érkeznek meg a címzetthez.
  • WordPressen lefuttatott vírus scan gyanús elemeket talált.
  • Olyan aloldalakra látsz forgalmat, amely aoldallal a honlap nem is rendelkezik.
  • A Google nem biztonságosnak ítéli meg weblapodat.
  • A Google keresőben a honlapod linkjére klikkelve másik weboldal/weboldalak például „nyereményjáték” honlapra irányítódik át a honlapod (akár csak időszakosan).
    Ezt azért nehéz webtulajdonosként észrevenni, mert ők nem szoktak a Google keresőből a saját honlapjukra klikkelni. Ráadásul ez a jelenség működhet csak mobilról vagy egyéb cifra módon. 
  • Új (általunk nem ismert) felhasználó lett regisztrálva, példának okáért admin jogkörrel.
  • Váratlanul egy általunk nem linkelt másik honlapra kerülünk.
  • „Idegesítő” pop-up ablakok ugranak fel a weblapodon.
  • Visszaesik a látogatottság (érdemes a Search Console és Google Analytics-et átnézni, ahol közvetlenül a Google-tól kapjuk az infót).
  • Marketing platformok nem megbízhatónak ítélik meg az oldalt (Facebook, Google Ads).

Vírusos WordPress honlap helyreállítása és megelőzés

Találkoztunk olyan esettel feltört WordPress weblap helyreállítása során, mikor az ügyfél tévesen hitte azt, hogy fel lett törve a honlap. Eleve vannak gyanús elemek, amik nem biztos, hogy negatív szándékkal lettek elhelyezve a honlapon. A legegyszerűbb megoldás a régi back up visszaállítása, amikor még minden megfelelően működött és nem volt vírus a honlapon.

Azonban itt még nem dőlhetünk hátra, mert ha fel tudták törni a honlapot, akkor csak idő kérdése, hogy ezt újra megteszik. Mindenképpen cseréljünk le minden jelszót az összes felületen valamennyi felhasználó esetében (FTP, adatbázis, admin felületek, tárhely stb.). Frissítsük le a WordPress-t, a pluginokat és a grafikai sablont.

Tapasztalatok alapján a fertőzött WordPress oldal megtisztításához nem elég a WordPress szoftvereket használni, mert a vírus más (külső) mappába is elhelyezésre kerülhet, ha például egy külső szoftver is integrálva van. Egyik alkalommal például egy hírlevélküldő szoftver volt telepítve a WordPress-en kívül, melyről elfeledkeztek… Arra is volt példa, hogy aldomain-ek voltak elhelyezve egyazon mapparendszerben és azok is megfertőződtek.

Ellenőrizzük a honlap vírusmentesítés során a funkciókat, tartalmat, például a kapcsolat oldalon lévő elérhetőségeket, amik akár egy kamu linkkel is rendelkezhetnek. Tesztelve küldjünk magunknak üzenetet a formokon keresztül, hogy lássuk megkapjuk-e azt (ha kevés az ügyfél megkeresés, akkor ezt érdemes rendszeresen ellenőrizni).

A tárhelyszolgáltató is segíthet a megfertőződött honlap monitoringban, főleg a nem publikus mappák tekintetében. A legfontosabb file átnézése a htaccess, wp-config és wp-content mappára terjedjen ki, az is megoldás lehet, hogy ha a többit töröljük miután elkészült a back up az aktuális állapotról is, és visszatöltjük a legfrissebb változatú WordPress file-okat. A phpMyAdmin-ban ismeretlen táblákat is érdemes átnézni (wp_post, wp_users). Ugyanis a pluginok is létrehoznak táblát telepítés alkalmával.

A gyökér könyvtárban is sok nem odavaló file szokott tündökölni, így ez is az eljárás részét képezi a vírusos WordPress honlap helyreállítása során. Érdemes azt is megnézni, hogy ezek közül a szerveren milyen file-ok kerülnek leggyakrabban meghívásra, ugyanis ez is árulkodó lehet számunkra. A plugins és languages mappákban is szeretnek megbújni a vírusok.

Érdemes a wp-config file-ban a titkosító kulcsokat megváltoztatni generátorral. Ez alapján salt-ként működik a sütikkel a honlap biztonságosabb módon. Meglévő php file kiterjesztésű dokumentumokban szoktak elhelyezni kódokat. Ezt össze is hasonlíthatod a legfrissebb eredeti változattal, hogy lásd, ha van különbség benne.

Érdemes a widgeteket átnézni vírusos honlap esetén, mert ott is megbújhatnak rosszindulatú kódok. Nézd át továbbá a szerveren történő file-ok módosítási dátumát. Emellett az emoji is okozhat problémát a Google számára, a megoldás: wp-includes\js\wp-emoji-loader.min.js és wp-includes\formatting.php” 5536-os sor törlése.

Jó megoldás lehet letiltani a gyökérkönyvtárban a xmlrpc.php file-t, hogy megelőzzük a vírusos weboldal kialakulásának lehetőségét. Ez ugyanis a trackback/pingback funkciót működteti, de szerepe kezd eltűnni, viszont általa könnyen feltörhető a honlap. A törléssel frissítésnél újra megjelenik, így például a htaccess-be ezt bemásolva megoldhatjuk a problémát végérvényesen:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

De mielőtt ezt megtennénk alaposan gondoljuk végig, mert a JetPack bővítmény is használja és külső API vagy közvetlen XML-RPC alkalmazás pl. WooCommerce (raktárkészlet kezelése) is ugyanezt teszi. De utasításokra alkalmas, így a rosszindulatú robotok egyik barátja.

A WordPress-be belépve a beállítás / beszélgetés menüponton belül ezt ne pipáljuk be: „Engedélyezzük a hivatkozás értesítéseket más weboldalak új bejegyzéseiről (visszajelzések és visszakövetések).”

Letilthatod a dashboardon keresztül a szerkesztési lehetőséget. A file-ok és mappák ne listázódjanak szerver beállítás alapján. Nem érdemes a weblap jelszavát böngészőben tárolni. A hozzászólásokat kikapcsolhatod, ha nem használod, de ha igen, akkor spam szűrővel tedd. Figyelj a file-ok, mappák jogosultságára is és érdemes azt beállítani megfelelően. Töröld a readme és egyéb felesleges file-okat.

Ha kész vagy a vírusmentesítéssel (leellenőrizted), akkor érdemes a Search Console-ban jelenteni ezt feltéve, hogy ott már megjelent a figyelmeztetés. A vírusos WordPress honlap helyreállítása a vírus irtása után a megfelelő védelem kialakításával és folyamatos karbantartással fejeződik be.

Használjunk megfelelő plugint a víruskeresésre. Erről és egyéb infókról itt írtam korábban: Feltört WordPress honlap vírusmentesítése és weboldal feltörés elleni beállítások

Mikor érdemes szakemberhez fordulni a feltört honlap helyreállítása megbízásával?

  • Nincs időnk, kedvünk, energiánk, tudásunk ezzel bajlódni, kísérletezni és a stresszre sem igazán van szükségünk.
  • Nagy a tét: elesünk attól a pénztől, amit a honlap kitermel nap, mint nap.
  • Nem szeretnénk megkockáztatni, hogy adathalászat esetén adatvédelmi incidenst elszenvedve értesíteni kelljen a hatóságokat, ügyfeleket, mely márkánk negatív megítélését is elősegítheti.
  • Nem szeretnénk, hogy a SEO szempontból keményen felépített honlapunk a süllyesztőbe kerüljön megbízhatatlan weboldalként.
  • Nem szeretnénk, hogy idővel úgy elszaporodjanak a vírusok a honlapunkon, hogy olcsóbb/csak az a megoldás jöhet szóba, hogy újra meg kell csinálni 0-ról a weblapunkat.

Vírusos WordPress honlap helyreállítása kapcsán miért vannak különböző árak?

Mivel volt szerencsém olyan ügyfélhez, aki korábban más cégtől kért vírusmentesítést, így ezen a téren is van tapasztalat. Sokan az árak alapján hoznak döntést az ügyfelek közül, ami érthető is, mondván, hogy ugyanaz a technológia. Azonban ez nem így van. Egyrészt a feltárás után látjuk, hogy tényleg vírusról van-e szó és az milyen mértékben terjedt el.

Nem mindegy ugyanis, hogy három vagy hatszázötven csillió file érintett, melyeket törölni kell, illetve újra felépíteni. Nyilván nem várható, hogy az ügyfél ezt előre elmondja, mert még a szakember sem látja vizsgálat nélkül ezt. És az is érthető, hogy az ügyfél szeretné tudni, hogy mennyi idő múlva nyithat pezsgőt és lélegezhet fel és mindez (a pezsgőn kívül) mennyibe fog neki kerülni.

Vannak, akik beárazzák fix díjra ezt a hadműveletet. És rosszabb esetben egy szoftverrel végig scannelik az oldalt és inaktíválnak néhány file-t és slussz passz. Nem nézik meg manuálisan mi a helyzet, mert az időbe telik. Találkoztunk olyan esettel, ahol emiatt működési probléma lépett fel, amit jóval nagyobb munka volt visszafejteni, mert csak automatikusan töröltek néhány file-t.

Az is megtörtént, hogy a gyanús elemet egy másik mappába tették át, ami ugyanúgy funkcionált továbbra is. Ezek a file-ok azonban nem „teljesen hülyék”. Számítanak rá, hogy megbabrálják őket, ezért nagyon körültekintőnek kell lenni, amit csak egy tűzszerész óvatossága múlhat felül. Jobb esetben visszakapjuk a pénzt, ha nem tudtak segíteni nekünk az adott „gyors vírusmentesítők”, de attól még a funkcióbeli problémák helyreállítása újabb pénzt emészthet fel.

Ha pedig úgy kérünk nyilvános ajánlást az ügyféltől, hogy még meg sem győződött arról, hogy milyen minőségben dolgozunk és ezt elősegítjük egy kis kedvezménnyel, akkor véleményem szerint elképzelhető, hogy sok szubjektív, de első látásra nagyon pozitív vélemény lesz a szolgáltató honlapján. Ha pedig alacsony árral dolgoznak, akkor biztos sokan választják ezt a megoldást. Szerintem bárhogyan is döntünk, legyünk alaposak és menjünk biztosra, hogy ne kelljen több cégnek is fizetnünk a vírusos WordPress honlap helyreállítása kapcsán felmerülő költségeket.

Néhány konkrétum a szemrevételezés fontossága jegyében

A végigfuttatok 30 perc alatt egy scan programot és elkérek az ügyféltől pár tízezer forintot, az szakmailag hagy némi kívánni valót maga után. Ugyanis az összefűzött file-okat hogyan tudná egy mintakereső plugin kimutatni? Időt és energiát rászánva, át kell nézni manuálisan is a file-okat és a log mappa hibaüzenet bejegyzései is árulkodóak lehetnek. Íme néhány példa:

A dashboardba (admin felület) belépve a bal side bar-on bármire klikkelt az ügyfél csak ez a hibaüzenet jött be (azaz semmit sem tudott megnézni, vagy beállítani a honlapján):

forbidden

A honlap tartalmában kutakodva rengeteg vírust találtunk.

vírusos file

vírusos file

vírusos file

Jól látható a 786. sorban, hogy egy rendezetlen, oda nem illő szövegrész található. Ezt a sokezer file-ban meg kell találnunk, belenézve külön-külön… A wp-includes/sodium_compat/namespaced/Core elérési útvonalon is láthatunk gyanús elemeket:

vírusos file

A ChaCha20 mappára klikkelve ezt látjuk:

vírusos file

vírusos file

Ez frissíti a lock 360-at, ami máshol, konkrétan a gyökérkönyvtárban van és 0 KB a mérete, ami már eleve gyanús egy file esetében.

A htaccess pedig néhány file-nak engedi, más file-oknak tiltja, hogy lefussanak:

vírusos file

Amikor sok száz vírus, kapu van a honlapon, akkor egyszerűbb újra építeni a honlapot, kivéve belőle azt, ami nem fertőzött pl. képek, szöveg stb. Tele van vírussal a honlap, de kívülről a user ebből semmit sem lát. A hosting szolgáltató lehet, hogy idővel jelzi, hogy pár napon belül oldjuk meg a problémát, különben fel kell függesztenie a honlap elérhetőségét. Ilyenkor ugyanis, akár az ő szerverét használva tömeges spam kiküldésre is használhatják a honlapunkat.

file felülírása

A permissions, azaz jogosultsági értékeket kell megvizsgálnunk és ebből láthatjuk, hogy könnyen felülírható-e a file. Ha ezek kikerülnek a zöld zónából, az nem túl szerencsés.

file felülírása

Ezek az értékek nem megfelelőek. A mappák számára 755, fájlok számára 644 a megfelelő.

file felülírása

Ezek a kívánatos értékek.

dashboard error

Ebben az esetben a dashboard (admin felület) nem működik és bármire klikkelsz 404-et kapsz (így nem tudsz pluginokat sem telepíteni, futtatni innen). 

vírusos file

Ez egy szép vírus, ami hasonló elven működik az előzővel, aminek megosztottam a képét. A szépsége a dolognak, hogy kb. 700 változatban klónozta magát számtalan mappában. Ilyenkor cPanellel, vagy WinSCP-vel csak egyesével tudnád levadászni őket, ahhoz, hogy ezt ne így kelljen megoldani, Linuxos megoldásban lehet gondolkodni. Ez a szépség okozhatja azt, hogy a dashboard felülete szép fehér lesz és linkeket látsz csak rajta (lásd, előző kép). 

vírus spamküldésre

Feltörhetnek egy oldalt azért, hogy spam-et küldjenek a honlapodról, aminek az lesz a jutalma, hogy a hosting cég letiltja azt és ezt a rossz hírt közli Veled. Ilyenkor elképzelhető, hogy ezek a file-okkal van a probléma. 

vírusos file

Vannak file-ok, amíg „nem a WordPress tartozékai”, ezeket általában lehet törölni. Ezt csak a fekete hacker bácsi/néni fogja megbánni. De, előbb meg kell vizsgálnunk ezeket. Tehát első lépésben gyanúsnak tekintjük ezeket a file-okat és helyzetfüggő, hogy törölni vagy módosítani kell őket vagy téves riasztással állunk szemben. 

vírusos file

vírusos file

vírusos file

vírusos file

De van olyan is, amit nem kellene törölni, így a beleírt nem kívánatos dolgokat kell „kipucolnunk” belőle. 

Mi a garancia? 

Ahogyan „megfelelő szaktudással” bármelyik autót fel lehet törni, ez a honlapokra is igaz. A garancia fogalmát amúgy a jog nem ismeri (lásd jótállás, szavatosság, termékfelelősség). De legyünk őszinték. Ha találtunk például 56 gyanús elemet és ezeket inaktíváljuk, cseréljük, töröljük, akkor mi a garancia arra nézve, hogy nincs még egy 57. vírus a honlapon?

Ha megtaláltuk, akkor (jobb esetben) kezdünk vele valamit. De, ha nem találtuk meg, akkor nem is tudunk a létezéséről (kivétel, ha a honlap emiatt nem megfelelően működik), így azt hihetjük, hogy teljesen tiszta lett a honlap. És, ha csupán egy darab vírus is ott marad a weblapunkon, akkor ő képes egyedül is szaporodni. Egy kis kapu fenn marad és bármikor vissza tud jönni a rossz szándékú hacker és kezdődik minden elölről.

Ezért a legtöbb, amit tehetünk, ha a lehető legalaposabb vizsgálatot végezzük el és rendszeresen elmentjük a teljes honlapról a biztonsági mentést, hogy ilyen esetben vissza tudjuk tölteni azt.

Biztos, hogy napi mentést kapunk, ahogy a marketing üzenetben olvastuk?

Vigyázat! Elképzelhető, hogy példának okáért a napi mentés a tárhely szolgáltató esetében jól hangzik, de valójában inkrementális mentést tartalmaz csupán, azaz nem a teljes honlapot mentik le, csak a módosításokat. Ezt a meglepetést hagyjuk meg másnak és helyette nézzünk a marketing üzenetek mögé, használva a józan eszünket.

„Normál”, virtuális (VPS) vagy fizikai dedikált szerver? 

Emellett biztonságos tárhelyen tároljuk honlapunkat. Létezik „normál” tárhely, melyen, ha például több honlapunk van egy szerveren, akkor ha az egyiket feltörik, akkor a szerveren be tudnak lépni a másik honlapra is. Létezik virtuális dedikált szerver, ahol az összes erőforrás a miénk és nem kell más honlapokkal együtt használnunk azt. Ha van „100 honlapunk”, vagy óriási a forgalom, akkor érdemes ebben gondolkodni. De ebben az esetben a programot is nekünk kell hozzá megírnunk (nekünk kell konfigurálni ezeket a prémium, nagy teljesítményű szervereket), illetve végrehajtanunk a frissítéseket a szerveren.

Ezen kívül a fizikai dedikált szerverről is beszélhetünk, amikor fizikailag is külön van a szerver teljes mértékben. Ennek magasabb az ára, mint a dedikált virtuális szervereké. De, mivel a hardvereszközöket más virtuális szerverekkel nem osztják meg, így kisebb lehet esetleg a teljesítménye. További infó: dedikált fizikai és virtuális szerver

Ezért mi az ügyfeleimmel mindig a pontos felmérés után stratégiában gondolkodunk, hogy ne vesszünk el a részletekben és ne tűzoltásból álljon a boldog vállalkozói létünk.

A WordPress vírus elleni harc különleges esetei

A vírusos WordPress honlap helyreállítása kapcsán fontos infó, hogy minden szituáció más. Máshogyan és máshol megfertőzött honlap vírusokról beszélhetünk az egyes eseteket tárgyalva. Ezért a munka nagysága is különböző. Olyan is előfordult, hogy később újra egy elfelejtett kapun beléptek a honlapra, sőt olyat is láttam már, hogy egy új vírus jelent meg a honlapon, mely a karbantartás és védelem hiánya miatt látogatta meg ugyanazt a honlapot.

Volt olyan ügyfél, aki az iránt érdeklődött, hogy a fertőzött WordPress oldal kialakulásáért ki a felelős? Hol és mikor jöttek be az oldalra? Sőt, találkoztam olyan esettel is mikor pontosan sejtette az illető, hogy ki áll a háttérben és mikor rendőrségi ügy lett belőle és kihallgatták az illetőt, akkor hirtelen megszűnt a honlap rendellenes működése. Azután a leendő ügyfelek újra kapcsolatba tudtak lépni a szolgáltatóval a honlapon keresztül, ami előtte blokkolva volt.

De mégis mikor, miért és mi vagy ki miatt fertőződött meg a honlap?

Nyilván az ember keresi a felelőst és tanulni szeretne az esetből, hogy legközelebb ne kelljen a honlap vírusmentesítésével foglalkoznia. Ez érthető is. Az, hogy milyen grafikai sablont, pluginokat használunk azonnal kideríthető, de vannak egyéb szoftverek, amikkel a weblap gyenge pontjai kifürkészhetőek.

Az alábbiak mind okozhatják a megfertőződött honlap kialakulását

  • Nem lett megfelelően lefrissítve a honlap (core, pluginok, grafikai sablon),
  • Elavult, nem jogtiszta egy plugin / grafikai sablon,
  • Esetleg könnyen feltörhető, vagy átadásra került a jelszó (nemcsak a loginra gondolok),
  • A fejlesztő nem frissítette / látta el megfelelő védelemmel a plugint, amit megírt,
  • Helytelen szerver beállítások,
  • Fertőzött otthoni / ismerős / nyilvános internetkávézóban használt gépen keresztül léptél be a honlapodra (Például rosszindulatú keylogger program volt rá feltelepítve, ami naplózza és a billentyűn begépelt dolgokat is képes elküldeni a fekete hackernek, lásd jelszavak), vagy elfelejtettél kilépni),
  • Otthoni / nyilvános / ismerős wifijét használtad, ami elavult, régen frissült firmwarrel rendelkező routeren keresztül ügyködtél, ami fel volt törve és ezáltal elérhető volt a géped, amivel feljelentkeztél a netre.
  • Gépeden, mobilodon nem megfelelő (fizetős) vírusirtó fut.
  • Biztonsági rést találnak példának okáért egy pluginon / grafikai sablonon, amit használsz és lassan frissítik és ezt az időt használják ki.
  • Egy biztonsági réssel rendelkező kompnenst több akár, prémium sablon használ és ezt a hacker előbb megneszeli, mint a plugin írója, aki ezután frissíti „betömve” a biztonsági rést.
  • A tárhely nem elég biztonságos ahol hosztolsz (pl. a sok ezer honlap közül akár egy feltört honlapon keresztül el lehet jutni az összes többihez, vagy nem frissítik az operációs rendszert stb.).
  • Böngésződben tároltad a honlapod jelszavait és nem jelszókezelőben (esetleg a jelszókezelőt törték fel, lásd pl. LastPass esete).
  • Alapból fertőzött, kapuval ellátott (nem jogtiszta) pluginok, grafikai sablonok lettek telepítve (ami lehet, hogy „csak” az ügyfelek adataira pályázik, amit úgy kaparint meg, hogy észre sem veszed adatvédelmi incidenst okozva. Ezért ha ingyenes megoldás érdekel, akkor csak a wordpress.org-on megtalálható pluginokat, grafikai sablonokat használd lehetőleg).
  • Okos eszközökön, mobil telefonon keresztül történt a feltörés és így jutottak hozzá a honlapod jelszavaihoz.
  • Egyszerűen csak a nyílt forráskód miatt feltörték a honlapodat (bárkivel előfordulhat annak ellenére, hogy körültekintően járt el).
  • Levelezőrendszered lett feltörve, amin például a fejlesztőnek elküldted a jelszavakat (vagy az övé volt feltörve) és a fentiek további variációi adottak.

Millió oka lehet annak, hogy feltörik a honlapot és az is előfordulhat, hogy nem történt mulasztás. Ráadásul, főleg egy ingyenes plugintól / sablontól nem várható el, hogy „örökké” működjön. De erről már volt szó ebben a cikkben… A feltört WordPress helyreállítása előtt az egyes file-ok dátuma lehet árulkodó, de a kaput hamarabb is létrehozhatták, illetve nem egy vírust szoktak elhelyezni a weboldalon.

Elképzelhető, hogy kisebb tudással is le tudjuk törölni a vírust a honlapról, ezért is írtam ezt a cikket, de egy bizonyos szint fölött programozói tudás kell hozzá. Meg kell találnunk a malware kódrészleteket, vírusos file-okat és nemcsak azt, hanem a kaput is likvidálnunk kell. Ha az egyik kimarad, akkor nincs megoldva a dolog. A fertőzött WordPress oldal megtisztítása után pedig jöhet a jelszócsere.

A honlap tartalmán, a vírussal együtt másik szerveren is lehet dolgozni a migrálás után. De ez nem feltétlen szükséges, mert a honlapon történő folyamatos, látogatók által történő böngészés letiltható és így nem feltétlenül indulnak be újabb folyamatok a vírusos honlapon emiatt azáltal, hogy nézegetik a user-ek.

A vírusos WordPress honlap helyreállítása és annak lépései

A fent leírtakat azzal egészíteném ki, hogy a backup elkésztése után vannak olyan file-ok, mappák, amiket sok esetben nyugodtan letörölhetünk, például a wp-login, wp-includes mappák. A legfrissebb WordPress file-okkal ezeket fogjuk tudni pótolni. Az index és htaccess (ezekbe a pluginok beszúrhatnak saját szabályokat), wp-config file-t át kell néznünk. Ezután a wp-content mappa következik, amit manuálisan is meg kell vizsgálnunk.

Ellenőrizzük a pluginokat és az egyedi fejlesztésűeket tüzetesen nézzük át. A grafikai sablon legfrissebb változatát nem árt feltöltenünk, de elképzelhető, hogy child van használatban, hogy a frissítés ne írja felül a „magyarított” és egyedi fejlesztésű WordPress-ünket. Természetesen ha a grafikai sablon és a pluginok módosítva lettek, akkor ne az eredeti változatot töltsük fel.

Ezután, ha az uploads mappában php file-okat találunk az általában elég gyanús. Itt ugyanis például képeknek kellene lenniük, de találkoztam már teleszórva htaccess file-okkal is. Át kell néznünk a felhasználókat és az adatbázist is.

A wp-configban új titkos kulcsokat is érdemes készíteni, mert a jelszócsere kevés lehet. Az egyéni JavaScript kódrészletek tisztázására is szükség van a pluginok és grafikai sablon kapcsán, HTML módban figyelve a titkosításra is, hogy biztosan lássuk és megtaláljuk őket. Blogbejegyzésekben, aloldalakon is elbújhatnak spam linkek, Javascript kódok, így ebbe is nézzünk bele HTML módban.

Természetesen szoftverekkel is scanneljük az oldalt. A jelszócseréről sem szabad megfeledkezni sehol sem. Érdemes a log file-t is átnézni, mert az esetleges hibákból is visszafejthető lehet, hogy melyik file-ok lettek átírva. Azt is megnézhetjük, hogy a legtöbb lekérést, mely file-ok kapják, ami szintén árulkodó. Töröljük továbbá az inaktív grafikai sablonokat, pluginokat. A feltört honlap helyreállítása után kell kérvényeznünk, hogy levegyék a honlapunkat a fekete listáról, ha esetleg arra is felkerültünk.

Figyeljünk a megelőzésre, különben csak idő kérdése, hogy mikor következik be a „katasztrófa”

Nem győzöm hangsúlyozni a rendszeres, teljes honlapról elkészített backup elmentését a gépedre, felhőbe stb., és a biztonság kialakítását, megfelelő karbantartást. Komoly profitot is bukhatsz, ha pénztermelő honlapod ideiglenesen nem működik vagy akár teljes mértékben tönkremegy.

Találkoztam olyan tárhelyszolgáltatóval is, melyen blokkolva volt a back up visszatöltése és éppen probléma volt a tárhellyel, hiába volt az ügyfél abban a tudatban (sok ezer termékes vírusos webshopjával), hogy baj esetén azonnal segítenek a srácok visszatölteni a régi honlap tartalmát.

Arra is van példa, hogy a hosting szolgáltató nem értesíti a vírusos honlap kapcsán a website tulajdonosát, mely elképzelhető, hogy nem is feladata (lásd szerződéskötés alkalmával lefektetett feltételek és megállapodás alapján). Láttam olyat is, hogy a backup visszatöltésénél derült ki, hogy sérültek a file-ok. Rendelkezzünk megfelelő alappal, mert az a bizonyos lóláb előbb utóbb (általában a legrosszabbkor) kilóg és az fájni fog…

Keresztes Attila

KKV számára épít csapatunk, komplexen, testre szabott WordPress alapú, tovább fejlesztett honlapot/webshopot garanciával. Fontos, hogy ezek ne csak szépek legyenek, hanem folyamatos bevételt is biztosítsanak.  Jómagam ezt a folyamatot segítem elő a megfelelő kommunikáció, határidők betartása és minőség megteremtésével. PR szakon diplomáztam és 2005 óta rengeteg céget tettünk sikeressé.

Related Posts
Googleweblapfejlesztés árak, kódolás