Segítség! Feltörték a WordPress oldalam – akcióterv vírustámadás esetére

Szerző: | WordPress

Egy átlagos pénteknek indult ez a nap is. Gyanútlanul kattintgattam a megnyitott böngészők ablakai között, amikor az egyik általam kezelt weboldal elkezdett furcsán viselkedni. Mivel pár nappal előtte költöztettem át egy másik szerverre, így fel voltam készülve az esetleges hibákra, nem gondoltam először semmi (nagyon) rosszra.

ingyenes képszerkesztő programok - ingyenes Photoshop alternatívák

Először csak az egyik aloldal viselkedett furcsán. Ha az „árak” menüpontra kattintottam, felugrott a fent látható képernyőkép. Mivel úgy tűnt, hogy a reCHAPTA plugin bolodult meg, beléptem az admin felületre és kikapcsoltam, utána pedig gondoltam visszatértek meggyőzödni arról, hogy minden a legnagyobb rendben van.

De sajnos nem így lett!

Kiderült, hogy a reCHAPTA plugin csak tette a dolgát, hibátlanul működött, a problémát máshol kellett keresni. Felmerült, hogy esetleg vírusos lehet az oldal…

Miről ismerem fel, hogy vírusos lett a weboldalam?

Erre a kérdésre egyáltalán nem magától értetődő a válasz. Vannak olyan esetek, amikor egy villogó hacker oldalra irányít át a weboldal, és azonnal tudod, hogy baj van. De sok esetben ennél sokkal kevésbé feltűnő, ártatlannak látszó jelenségeket tapasztalunk. Van néhány jól felismerhető és bekategorizálható hibajelenség, ami arra utal, hogy vírusos lett egy weboldal. Érdemes egy esetleges vírustámadásra is gyanakodnod, ha a következők valamelyikét tapasztalod.

Hirtelen leesik az oldal forgalma

Az egyik jel, hogy hirtelen leesik a forgalom az oldaladon. Ha folyamatosan nyomon követed, hogy hány látogató jár a weboldalon (GA cikk link), akkor viszonylag hamar ki fogod tudni szúrni ezt a jelenséget. Számos olyan vírus van, ami a látogatóidat egy másik weboldalra irányítja át, különböző célból. Ráadásul sokszor a bejelentkezett felhasználókra nem érvényes ez az átirányítás, így akár egészen sokáig rejtve tud maradni ez a probléma. (Nálam is pontosan ez volt a helyzet.)vHa túl sokáig marad aktív egy ilyen átirányítás, akkor sajnos még az is megeshet, hogy a Google majd kockázatosnak fogja megítélni a weboldaladat és hátrébb sorol emiatt a keresőben! Ezért nagyon fontos, hogyha bármi furcsaságot tapasztalsz, a lehető leghamarabb cselekedj!

Szeretnéd leellenőrizni, hogy a Google biztonságosnak ítéli-e meg a weboldaladat, vagy van okod aggodalomra? Megteheted ezen a linken!

Furcsa linkek jelennek meg

A következő jel arra, hogy feltörték a weboldalad, ha furcsa, nem odaillő linkeket tapasztalsz, pl. más, kétes eredetű weboldalakra. Ilyenkor a hackerek nyitnak egy „hátsó kaput” a weboldalhoz és módosítani tudják a WordPress fájlokat és adatbázisait. Mindenféle linkeket adnak hozzá a weboldal különböző területeihez. Sajnos általában nem elegendő csak kitörölni a hivatkozásokat, a „hátsó kaput” kell megtalálni és becsukni.

Nem tudsz belépni az admin felületre

Ha nem tudsz belépni a weboldalad admin felületére, akkor is biztosan támadás áldozata lettél. Ilyenkor úgy ahogy van, az egész felhasználót szokták törölni, így hiába kérsz jelszó emlékeztetőt, az csak felesleges időpazarlás. Természetesen létre lehet hozni újra, egy adminisztrátori jogosultságokkal rendelkező fiókot, de sajnos ezzel a probléma nincs véglegesen megoldva, mert az a valaki, akit nem hívott senki, még mindig ott van a weboldaladon.

Új admin jogosultságú felhasználóval hoz össze a sors

Másik lehetőség, hogy a hackerek maguknak hoznak létre egy admin jogosultságú felhasználót a weboldalon belül. Sok esetben ezeket a felhasználókat nem is lehet egyszerűen, a WordPress admin felületén belül törölni.

Furcsa fájlok és scriptek

Néha ismeretlen fájlok és scriptek bújhatnak meg a weboldalon belül. Ha használsz Sucurit, akkor kapsz értesítést arról, hogy ismeretlen fájl vagy script található a szervereden. FTP kapcsolaton keresztül tudod kitörölni őket, amelyek leggyakrabban a wp-content mappában találhatóak. A hackerek figyelmet fordítanak arra is, hogy a fájlnevek hasonuljanak az amúgy megszokottakhoz, így nehézkes lehet megtalálni őket. Sajnos itt is igaz, hogy nem elég a törlés. Meg kell tisztítani az oldalt.

Az oldal hirtelen nagyon belassul

Ha a weboldalad szokatlanul lassú, esetleg nem válaszol, az is támadásra utalhat. Meglehet, hogy éppen túlterheléses támadás áldozata vagy. Ez annyit jelent, hogy hamis IP címekről küldenek sorozatosan kéréseket a szervered felé, ezzel nemcsak elérhetetlenné téve az oldaladat, de közben igyekeznek feltörni is!

Szokatlan tevékenységek a log fájlokban

Ha szokatlan tevékenységeket veszel észre a naplófájlokban (log fájlok), akkor bizony jó eséllyel te is áldozat vagy! Ezek a fájlok naplózzák a szerveren futó folyamatokat, hibákat, be és kimenő adatokat! Ezeket FTP-n és cPanelen keresztül is elérheted.

Gond van az email küldéssel és a fogadással

Ha nem tudsz a WordPress-en keresztül e-maileket küldeni vagy kapni, akkor szintén van okod a gyanúra. A feltört szervereket sajnos gyakran használják spamelésre, így ha nem tudsz emaileket küldeni vagy fogadni, akkor lehetséges, hogy veled is pont ez történt.

Időzítések funkció kihasználása

A listának még mindig nincs vége! Előfordulhat, hogy gyanús időzítéseket tapasztalsz. A hackerek néha kihasználják a WordPress ezen funkcióját, hogy olyan feladatokat hajtsanak végre, amelyről a felhasználó mit sem sejt.

Hijacked

Találkoztál már igazán furcsa (hijacked) Google találatokkal? Sajnos meg van rá az esély, hogy azok is vírusos weboldalról árulkodtak. Ilyenkor a keresési eredmények nem a megfelelő weboldalra mutatnak, vagy más szerepel a meta leírásokban. Sajnos olyan weboldal feltörés áldozata vagy ebben az esetben, hogy az adatmódosítások csak a keresőmotorok számára lesznek láthatóak.

Egy furcsa pop-up ugrik fel az oldaladon

Végül egy igazán bárki számára felismerhető módszer, ha az oldaladon egy pop-up (felugró ablak) igyekszik másik oldalra terelni a látogatókat.

Jött a pánik

A fenti felsorolásból már tisztán látszik, hogy kártékony kóddal volt dolgom. A reChapta bővítmény kikapcsolása után, amint megpróbáltam megnyitni az oldalt, egy „kedves” orosz oldalra lettem átirányítva. Ezen a remek orosz site-on persze rögtön lehetőségem is volt beállítani, hogy szeretnék tőlük állandóan értesítéséket kapni! Persze ilyet nem szeretnék! Ilyet senki sem szeretne!

Webdesigner vagyok. Kifejezetten érdekel a kódolás. Soha nem elégszem meg egy csak szép weboldallal, nekem fontos, hogy megbízható és jól működő is legyen, aminek a megfelelő védelem is elengedhetetlen része. Ez ebben az esetben sem volt másképp. Az oldal folyamatosan frissítve volt, és számos védelmi bővítmény is be volt állítva. Hát mégis, hogy történhetett ilyesmi?

Mit lehet tenni, ha már biztos, hogy feltörték a weboldalad?

ingyenes képszerkesztő programok social média posztokhoz

Mivel soha korábban nem történt velem hasonló, egyszerűen nem tudtam mit tegyek. De annyiban biztos voltam, hogy még mielőtt elkezdenék megoldás után kutakodni az interneten, jelzem a problémát a tárhelyszolgáltatónak. Ők megerősítettek abban, hogy vírusos az oldal, de közölték, hogy a megoldásban nem tudnak segíteni. Nagyon fontos, hogy tudassuk velük az ilyesmit, mert lehetséges, hogy szükség van a szerveren található többi weboldal védelme érdekében további lépésekre. Esetleg tippeket adhatnak, hogy szerintük pontosan hol történt a feltörés, ha nagyon szerencsés napra ébredtél, akkor az is lehet, hogy meg is tisztíthatják helyetted/neked a weboldalad!

Első lépések vírusos weboldal esetén

Teljesen mindegy, hogy WordPress-t, vagy esetleg más CMS-t használsz-e, nincsen egyetlen szuperbiztonságos megoldás sem. A weboldaladat folyamatosan támadni fogják és meglehet, hogy sikerül is feltörniük. Sokkal kisebb lesz az ijedtség és az okozott kár, ha felkészülten várod a támadásokat.

Miért kell nagyon komolyan venni, ha feltörték a weboldalad?

Az egyik legfontosabb ok az az, hogy bizony hátrébb kerülhetsz a Google találati listákban, amit csak nagyon sok és fáradtságos munkával fogsz tudni csak helyrehozni.
Vásárlókat/érdeklődőket és látogatókat veszíthetsz. Sajnos az emberek nem lesznek elnézők, főleg ha most járnak először az oldaladon. Meglehet, hogy vírussal fertőzöd meg a látogatóidat, de akár (ha nem rendelkezel biztonsági mentéssel), mindent elveszíthetsz!

Ezeket gondold át először

Tedd fel magadnak a következő kérdéseket, mert segíteni fognak a helyzet tisztázásában:

  • Be tudok lépni a WordPress admin felületére?
  • A weboldalam egy másik oldalra irányítja a látogatókat?
  • Találtam-e furcsa, oda nem illő linkeket a weboldalon?
  • A Google nem biztonságosnak ítéli-e meg a weboldalam?

Legyen az első teendőid között, hogy módosítod a weboldaladhoz tartozó jelszavakat (cPanel / FTP / MySQL) és tedd meg ezt akkor is, ha már végeztél a weboldalad megtisztításával!

Biztonsági mentés visszaállítása

Ha van biztonsági mentésünk, akkor azt állítsuk vissza egy olyan állapotba, amikor még biztosan nem ütötte fel a fejét a vírus! (Ezt az opciót én ebben a konkrét esetben kizártam, mivel rájöttem, hogy a költözés folyamán is volt egyszer hasonló hibajelenség, de megismételtem a költöztetést, és úgy már hibátlanul működött az oldal, így azt hittem azzal kapcsolatos volt a gond. Tehát nem volt információm arról, hogy mikor jelentkezhetett először a probléma valójában.)

Tudnod kell, hogyha folyamatosan kerülnek fel az új blogcikkeid, hozzászólások vannak az oldaladon, új oldalt hoztál létre vagy éppen módosítottál egy meglévőt, akkor ez bizony adatvesztéssel fog járni. A weboldal pontosan abba az állapotba fog visszakerülni, amikor a biztonsági mentés készült. Mérlegelj! Mikori az utolsó mentésed, mekkora tartalmat veszítesz a visszaállítással és azzal szemben mennyi pénzt és időt vesz igénybe az oldal megtisztítása. Ha rendszeresen, sok módosítás történik a weboldaladon, akkor érdemes lehet egy Excelben vezetni ezeket az adatokat, hogy melyik mentésed melyik állapotot tükrözi vissza. Amennyiben sikerül egy vírus előtti állapotba visszaállítani az oldalt akkor könnyen és gyorsan megoldottad a problémát.

Már csak azt kell megtudnod, hogy hogyan készíts megfelelő biztonsági mentés, és hogyan történjen a visszaállítás.

A biztonsági mentés készítésének alapszabályai

Szerencsére ma már nem kell FTP-n keresztül órákon át másolgatni a fájlokat ahhoz, hogy rendszeresen rendelkezzél ilyen mentésekkel. Az UpdraftPlus bővítmény segítségével ingyen, gyorsan és könnyen készíthetsz ilyen biztonsági mentéseket. A pluginban beállíthatod, hogy a rendszer automatikusan végezze el bizonyos időközönként a mentést és a fájlokat hova mentse, illetve visszamenőleg hány változatot őrizzen meg. Nekem kéthetente készült komplett mentés (a fájlokról és az adatbázisról egyaránt) erről a weboldalról. Továbbá 2 teljes változat megtartását állítottam be, tehát nem csak a leutóbb mentett állapottal rendelkeztem, hanem az azt megelőzővel is. Amennyiben ilyen esetben vissza akarod állítani a korábbi változatot, azt néhány gombnyomással megteheted, a plugin felületén belül. A mentésekkor lehetőséged van rögtön felhőben tárolni ezeket a fájlokat (pl. Google Drive), de célszerű legalább két helyen is elraktározni őket (pl. egy külső winchesteren is).

Rakj egy kis rendet

Menj fel az oldalra és töröld ki a nem használt WordPress bővítményeket és sablonokat. Lehet nem is gondolnád, de a hackerek sokszor ide rejtik ez azt a bizonyos „hátsó kaput”, ahol ki-be tudnak járkálni a weboldaladon.

A kártevő beazonosítása

Töltsd le és használd a Sucuri Security – Auditing plugint, ami felderíti a vírusos fájlokat, megmutatja, hogy hol bujkál a kártékony kód.

Az esetemben ez így nézett ki:

ingyenes képszerkesztő programok - ingyenes Photoshop alternatívák

Ezután használd a Theme Authenticity Checker plugint, amely először megmutatja neked, hogy esetleg valamelyik sablonban megtalálható-e kártékony kód és ha igen melyik fájljában. Lehetőséged van a kódot is törölni, de az is megoldás, ha a sablont cseréled le az eredetire (persze ez csak akkor működik, ha amúgy nem változtattál az eredeti sablon fájlokon). Ismételd ezt a folyamatot és szűrd ki, hogy van-e fertőzött plugin az oldalra feltelepítettek között. Ha igen, és van különbség az oldaladon lévő és az eredeti fájlban, akkor cseréld át az eredetire.

Ellenőrizd a jogosultságokat

Nézd meg vannak-e idegen felhasználók hozzáadva a WordPress oldaladhoz. Ha igen, akkor könyörtelenül töröld őket. 

ingyenes képszerkesztő programok social média posztokhoz

Mindezt nagyon könnyen megtalálod az admin felületen belül. A Felhasználók menüpont kiválasztása után, kattints az Összes felhasználó lehetőségre.

Titkos kulcsok törlése

Ezek a WordPress biztonsági kulcsok funkciójuk szerint az információk (jelszavak) megszerzésének a megnehezítését szolgálják. Viszont ha valaki feltörte a weboldalad és be van lépve, akkor hiába módosítod a jelszavad, ha a támadó cookiejai még mindig érvényesek. Hogy érvénytelenítsd ezeket a cookiekat, új titkos kulcsokat kell legyártanod és hozzáadnod a wp-config.php fájlhoz.

Feltört weboldal esetén gyorsan kell cselekedni

Sajnos a fenti lépések nem mindig vezetnek eredményre. Néha a honlap mappa-rendszerén kívülre települ a vírus, és képes egy teljesen tiszta verziót is később visszafertőzni. Ezért létkérdés, hogy beazonosításra kerüljön a kártevő, és ne elégedj meg azzal, hogy egy biztonsági mentésből visszaállított állapot éppen ideiglenesen jónak tűnik. Ha nincs elég tapasztalatod a fentiekhez, vagy olyan súlyosak a jelenségek, hogy be sem tudsz lépni adminként, akkor érdemes külső szakértőhöz fordulnod.

Szerencsére többen foglalkoznak weboldal feltörés esetén azonnali (SOS) segítségnyújtással. A speciális szaktudáson túl egy magasfokú rugalmasság is szükséges ahhoz, hogy ezt valaki tudja csinálni! Ez aztán tényleg egy olyan probléma, ahol szinte azonnal rendelkezésre kell tudni állni, nem lehet sokat várni a cselekvéssel!

Felvettem a kapcsolatot (a honlapján keresztül) egy fejlesztővel, aki gyors megoldást ígért. Az elküldött üzenet után, egy automatikus üzenetben kaptam a figyelmeztetést, hogy amennyiben sürgős az ügy, hívjam a megadott telefonszámon. Így is tettem, de sajnos egyáltalán nem éreztem a tenni akarást. Még mindig délelőtt volt, és annyit beszéltünk meg telefonon, hogy a mai nap folyamán küld egy árajánlatot (kérdeztem, hogy küldjek-e FTP vagy admin felület belépési adatokat, de nem kérte).

Szomorúan néztem tovább a weboldalt, ami valószínűleg sorra riasztotta el az arra járó látogatókat. Vártam a visszajelzést a fejlesztőtől, de az nem jött…. Délután elhatároztam, hogy megpróbálok mástól is segítséget kérni. Így találtam rá a (már korábban is ismert) HelloWP oldalra, és azon belül a vírusmentesítő szolgáltatásra. 12 perccel az elküldött megrendelés után már fel is vették velem a kapcsolatot, 23 perc múlva pedig már rendben működött az oldal. Erre volt szükségem!

A megelőzés ezután is nagyon fontos marad

Összegyűjtöttük azokat a lehetőségeket, amelyek a megelőzéshez szükségesek. Nem csak a saját weboldalad estében, de a weboldal karbantartási projekteknél, és az ügyfeleknek készített WordPress honlapok esetében is óriási gondot kell fordítanod a biztonságra. – Hamarosan érkezik az új blogbejegyzés, amely ebben nyújt segítséget, mert ellenőrző listaként is használhatod. Az egyik fontos javaslat az SSL tanúsítvány használata, azaz az átállás https kommunikációra. Szerencsére megkönnyítettük a dolgod, mert lépésekre bontottuk a https átállás folyamatát ebben az blogbejegyzésben.