Mam dla Was poważny temat, który ostatnio poruszałam na lajw w grupie Zostań specką – co zrobić kiedy na stronie pojawi się wirus. Oczywiście wiadomo co robić – pozbyć się go, ale jak? No i o tym będzie mowa w tym wpisie, ale na wstępie kilka słów na temat diagnozowania zawirusowania strony.
Jak poznać, że strona jest zawirusowana?
Jeżeli macie dobry hosting to prześle Wam on maila z informacją, że jego skanery wykryły na Waszym serwerze złośliwy kod czy też podejrzane pliki i co niektóry załączy Wam również plik ze skanem Waszych plików, gdzie będziecie mieć info, które z tych plików są podejrzanymi. Grzecznie Was poproszę o usunięcie, a w naprawdę poważnej sytuacji – wyłączą Wam stronę. Nie ma co wtedy jednak wyzywać tylko zakasać rękawy, naprawić problem i zgłosić się do supportu by Wam odblokowali www. Pamiętajcie jednak, że nie wystarczy usunąć tylko tego, co wykażą skanery, bo mogły nie wykryć wszystkiego!
W kontekście hostingu warto jeszcze sprawdzić czy oferuje on separację serwisów – jeżeli tak, to koniecznie ją włączcie.
Jak nie macie informacji ze strony hostingu to cynk o wirusach mogą Wam przesłać Wasi czytelnicy, albo – jeśli odwiedzacie swoją www regularnie – sami zauważycie, że coś z nią jest nie halo. Jak?
Albo wyświetli Wam się czerwona strona z komunikatem, że strona jest niebezpieczna, albo wyświetli Wam się zamiast Waszej www podstrona stworzona przez jakiegoś Abdullaha i info, że zostałaś/eś zhackowany, albo tu i ówdzie będzie widać jakieś krzaczki (fragmenty kodu), albooooo nagle wygrasz telefon czy wylądujesz na stronie porno. Jak widać możliwości sporo – pewnie ich jeszcze więcej, ale nie udało mi się jeszcze na takowe trafić.
No i jeszcze jedna możliwość – dostaniecie komunikat o malware w Google Search Console. Jak się roboty Googla połapią to potem pamiętajcie by dać odpowiedź na ten ich komunikat, że już naprawiliście problem na Waszej stronie www, wtedy nie będzie się pojawiać ze strony Google informacja o tym, że Wasza strona jest niebezpieczna.
Jak usunąć malware z serwera / strony www na WP?
Jak już zdiagnozujemy, że nasza strona faktycznie padła ofiarą ataku to czas na jej oczyszczenie. Jak to zrobić najszybciej?
Wywalić wszystko i wgrać backup. Tak – to najszybsza metoda, aczkolwiek musicie mieć tą kopię zapasową i być pewni, że ona jest czysta.
Druga metoda – bardziej żmudna, dla bardziej zaawansowanych użytkowników WP to taka, że częściowo wywalacie z serwera rzeczy a resztę przeglądacie ręcznie. Poniżej kroki, które należy począć:
- wywalamy wszystko poza folderem wp-content oraz plikiem wp-config
- to co usunęliśmy zastępujemy świeżymi plikami WP pobranymi ze strony wordpress.org
- z pliku wp-config kopiujemy dane bazy, wyrzucamy plik wp-config, tworzymy nowy i do niego wrzucamy dane naszej bazy
- wchodzimy w folder wp-content, spisujemy co mamy w plugins, wywalamy wszystko z tego folderu i wgrywamy na świeżo wtyczki z repozytorium WP. UWAGA! Przy okazji sprawdźcie co tam macie za wtyczki, czy o któreś nie było ostatnio głośno, że zawiera dziury!
- podobnie robimy z folderem themes – wywalamy wszystko poza motywem potomnym (tu ręcznie sprawdzamy czy nie ma w nim nic podejrzanego), a motyw główny wgrywamy na świeżo. UWAGA! Jak używaliście motywu niewiadomego pochodzenia, bo szkoda Wam było kilku dolarów na jego kupno to warto jednak go kupić 🙂
- jak macie jakiś folder backups – wywalcie wszystko co tam jest, bo i tak te kopie nie będą już do użytku, foldery z cache też można wyczyścić
- co idzie wgrać na świeżo to wgrywany, a pozostałe foldery przeglądamy i szukamy w nich podejrzanych plików. Często złośliwy kod wstrzyknięty zostaje do plików index.php, header.php czy footer.php (złośliwy kod zwykle jest zamieszczany zaraz od góry, aczkolwiek nie zawsze). Często są to dodatkowe pliki .php tam, gdzie być ich nie powinno np. w folderach ze zdjęciami – no przecież nikt z Was nie wgrywa takich plików w bibliotekę mediów, co nie? No właśnie. Je trzeba usunąć. Zdarzają się też niespodzianki w plikach .js
- jak już wszystko wgracie na świeżutko, przejrzycie pozostałe foldery, wywalicie co zbędne to stronę należy zabezpieczyć – o tym pisałam o tutaj.
- warto również sprawdzić czy coś złego nie podziało się w bazie danych. Tam się dostaniecie przez phpmyadmin, dostęp do niego jest zwykle przez panel Waszego hostingu. Tam sprawdźcie przede wszystkim czy w tabel wp_options nie ma przekierowań url oraz w tabeli z userami nie ma jakiś obcych użytkowników. Przy okazji możecie zresetować hasło to Waszego konta administratora 🙂
- na koniec przejrzyjcie raz jeszcze wszystko w kokpicie – czy nie ma jakiś spamerskich wpisów, komentarzy, zamówień, czy na pewno wszystkie wtyczki, które macie są Wam potrzebne 🙂
Czy można automatycznie odwirusować stronę na WordPress?
Niestety nie ma magicznego guzika w WP usuń wirusy 🙂 Wtyczek do usuwania malware i zabezpieczających nie polecam i zdania nie zmienię, choćby mi przyszło przeglądać ręcznie tysiąc folderów 😀 Jak nie chcecie się w to bawić sami to można się zgłosić do kogoś kto się specjalizuje w odwirusowywaniu stron.
Jak zweryfikować czy strona została poprawnie odwirusowana?
Jeżeli Wasz hosting oferuje skan plików na serwerze (jak np. LH.pl) to napiszcie do supportu by taki skan dla Was wykonali.
Jak będziecie zgłaszać w Google Search Console, że już pozbyliście się problemu to też dostaniecie odpowiedź od nich czy już jest okej, czy jeszcze coś wykryli.
Jest też opcja skorzystania np. z narzędzi jak https://sitecheck.sucuri.net/ – jednak tutaj wyniki również mogą zakłamywać, więc nie ma co polegać tylko na tym rozwiązaniu.
Dajcie znać czy poradnik się przydał 🙂 Jak ktoś woli audio-wideo to na grupie Zostań specką jest nagranie z lajw w tym temacie. Pozdrawiam serdecznie.