Jak usunąć złośliwy kod na stronie z WordPress lub Joomla?

Złośliwy kod może spowodować poważne szkody na Twojej stronie. W tym artykule omówimy, jak samodzielnie wyczyścić stronę z wirusów i zabezpieczyć ją po oczyszczeniu.

Najpopularniejsze wirusy dla CMS.

Potrzebujesz profesjonalnej pomocy w usunięciu wirusów ze swojej strony?

Przeczytaj naszą specjalną ofertę. Gwarantujemy pełną skuteczność naszych działań - jeśli w ciągu miesiąca od zlecenia wykryjemy ponowne zainfekowanie witryny, usuniemy je bezpłatnie w ramach udzielonej gwarancji. Chcesz wiedzieć więcej?

Złośliwe oprogramowanie dla systemów CMS często przyjmuje formę złośliwych skryptów, które są osadzane w plikach Twojej strony. Mogą być wbudowane w motywy, wtyczki lub nawet w rdzeń Twojego CMS.

Do najczęściej spotykanych rodzajów wirusów należą: PHP Backdoors, JavaScript Injections, Drive-by downloads.

Przykład Twoich działań krok po kroku:

Krok 1: Kopia zapasowa danych

Przed rozpoczęciem oczyszczania należy wykonać kopię zapasową wszystkich plików i bazy danych strony.

Krok 2: Wyszukiwanie i usuwanie złośliwego kodu

Usuwanie złośliwego kodu zwykle obejmuje usuwanie podejrzanych plików i zastępowanie zainfekowanych plików czystymi kopiami. Zainfekowane pliki często zawierają pliki podstawowe WordPress lub Joomla, pliki motywu lub wtyczki.

Przykład 1: Podejrzane pliki

Pierwszą rzeczą, którą musisz zrobić, jest znalezienie i usunięcie wszystkich podejrzanych plików. Podejrzane pliki zwykle mają dziwne lub niezwykłe nazwy, na przykład "x4358.php", "file4456g.php" itp.

Pliki te mogą znajdować się w każdym katalogu Twojej strony, ale najczęściej są umieszczone w folderach /wp-content/ lub /wp-includes/ dla CMS WordPress, a dla Joomla mogą być umieszczone na przykład w takich katalogach jak /templates, /libraries/ lub /components/.

Przykład 2: Zainfekowane pliki

Zainfekowane pliki zazwyczaj zawierają osadzony złośliwy kod. W większości przypadków będziesz musiał zastąpić te pliki czystymi kopiami. Można to zrobić przez pobranie nowej kopii CMS i skopiowanie plików przez FTP.

Należy pamiętać, aby wymienić tylko pliki CMS, a nie wszystkie pliki na serwerze, aby nie stracić własnych ustawień i treści.

Co to jest złośliwy kod?

Złośliwy kod może przybierać wiele form, ale często wygląda jak zakamuflowany kod PHP lub JavaScript. Może to być długi ciąg wypełniony nieczytelnymi znakami i ciągami cyfr. Oto przykład takiego kodu:

<?php @eval(base64_decode('DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VVcmVyImJpbmciKSBhbmQh...

Jeśli widzisz coś podobnego w swoich plikach, najprawdopodobniej jest to złośliwy kod. Ważne jest, aby pamiętać, że złośliwy kod może być wszędzie: w plikach motywów, wtyczek, uploadach, a nawet w bazie danych.

Ważne jest sprawdzenie wszystkich tych miejsc podczas czyszczenia Twojej strony.

Krok 3: Sprawdzanie i czyszczenie bazy danych

Złośliwy kod może być osadzony nie tylko w plikach Twojej strony, ale także w bazie danych. Baza danych zawiera wszystkie dane Twojej strony, w tym informacje o użytkownikach, wpisy, ustawienia itp. Sprawia to, że baza danych jest atrakcyjnym celem dla hakerów.

Połączenie z bazą danych: Aby wyświetlić i wyczyścić bazę danych, musisz się z nią połączyć. Zazwyczaj dzieje się to za pośrednictwem panelu zarządzania hostingiem, w którym znajduje się narzędzie o nazwie phpMyAdmin.

Szukanie złośliwego kodu: Po zalogowaniu się do phpMyAdmin, musisz przejrzeć wszystkie tabele w swojej bazie danych w poszukiwaniu złośliwego kodu. Najczęstsze miejsca do szukania to tabele wp_options, wp_posts i wp_postmeta.

Przykłady złośliwego kodu w bazie danych

Złośliwy kod w bazie danych zwykle przyjmuje postać dziwnych lub nieznanych wartości w tabelach. Na przykład w tabeli wp_options możesz znaleźć podejrzane adresy URL, ukryte skrypty lub dziwne nazwy opcji. Oto przykład takiego wpisu: 

option_id option_name              option_value
123       default_site_options_xyz base64_decode('DQplcnJvcl9yZXBvcnRMCk7D...QokcWQzIg==

Jeśli widzisz coś podobnego, najprawdopodobniej jest to złośliwy kod.

Czyszczenie bazy danych

Jeśli wykryjesz złośliwy kod, musisz go usunąć. Możesz to zrobić, klikając ikonę "Edytuj" obok podejrzanego wpisu w phpMyAdmin i usuwając złośliwy kod.

Ważne: zawsze wykonuj kopię zapasową bazy danych przed wprowadzaniem zmian. Pozwoli Ci to przywrócić bazę danych, gdyby coś poszło nie tak.

Jak chronić stronę po oczyszczeniu?

Po oczyszczeniu Twojej strony, ważne jest podjęcie kroków w celu jej zabezpieczenia w przyszłości:

  • Aktualizacja: Upewnij się, że wszystkie elementy Twojej strony (wtyczki, motywy) zostały zaktualizowane do najnowszych wersji.
  • Usuń zbędne elementy: Usuń nieużywane motywy i wtyczki.
  • Skomplikowane hasła: Używaj skomplikowanych i unikalnych haseł dla wszystkich kont.
  • Ograniczenie dostępu: Ogranicz dostęp do panelu administracyjnego tylko dla określonych adresów IP.
  • Monitorowanie: Regularnie monitoruj swoją stronę pod kątem obecności złośliwego kodu i nietypowej aktywności.
  • Izolacja: Przenieś ważne witryny na oddzielne kontenery hostingowe.
Uwagi

Pamiętaj, że pełnego bezpieczeństwa nigdy nie ma, ale przestrzeganie tych zaleceń pomoże zmniejszyć ryzyko włamania na Twoją stronę.

  • February 6th at 3:40am
powrót do listy blogów