W dzisiejszych czasach poziom zagrożenia stron internetowych jest większy niż kiedykolwiek wcześniej. Wszystko wynika z szybko rozwijającej się technologii a wraz z nią niebezpiecznego oprogramowania. W tym artykule przedstawimy sposoby na odwirusowanie strony internetowej (w tym konkretnym przypadku, strony opartej o CMS WordPress) oraz podzielimy się wiedzą na co zwracać uwagę, aby uniknąć ponownych infekcji kodu. Zaczynajmy!
Czym jest wirus? – krótka notka
Wirus to po prostu program/skrypt, który ma zdolność replikowania się w kodzie oraz manipulowania przepływem informacji w obrębie serwisu. Bardzo możliwe, że podczas poszukiwania usługi/produktów, trafiłeś/łaś na stronę, która zwracała komunikat o wygranym telefonie czy też od razu przekierowywała na chińskie portale, jest to nic innego jak serwis zainfekowany przez wirusa.
Prawdę mówiąc są to najlżejsze „formy” wirusa , który występuje na stronach internetowych. Najgroźniejsze są wirusy, które nie ujawniają się wprost i manipulują danymi pozyskanymi przez serwis – takie wirusy są źródłem wycieków danych osobowych do sieci – co często niesie ze sobą spore konsekwencje (zazwyczaj sankcje na właściciela serwisu w myśl ustawie o ochronie danych osobowych). Zgodnie z prawem, każdy właściciel serwisu internetowego jest zobligowany do zabezpieczenia danych osobowych swoich klientów przed wyciekiem.
Jak sprawdzić czy serwis jest zainfekowany?
Istnieje wiele sposobów na analizę swojego serwisu w poszukiwaniu wirusa:
1. Bardzo często firmy hostingowe oferują, darmowy skan plików w poszukiwaniu szkodliwego kodu. Jest to niezwykle wygodne i bardzo szybko daje odpowiedź czy wszystko jest ok.
2. Jeżeli firma hostingowa nie oferuje darmowego skanu, warto zacząć weryfikację serwisu od wpisania w wyszukiwarkę:
site:nazwadomeny
np. site:allegro.pl
Taka komenda pokaże nam wszystkie zaindeksowane podstrony w obrębie serwisu, jeżeli zauważymy tytuły podstron np.:
To mamy pewność, że serwis padł ofiarą wirusa.
3. Inny prosty sposób to po prostu wejść na serwis internetowy – jeżeli w ciągu 10 sec. zostaniemy przekierowani na zewnętrzny serwis to znaczy, że kod naszej strony został zainfekowany przez wirusa.
4. W przypadku stron internetowych opartych o system CMS WordPress, można zainstalować wtyczkę np. Wordfence Security (Link do repozytorium: https://pl.wordpress.org/plugins/wordfence/) a następnie przeskanować stronę, zaimplementowanym skanerem.
5. Ostatnim preferowanym sposobem jest ręczny skan plików w poszukiwaniu „dziwnych” skryptów często ładowanych na początku lub końcu kodu.
Jak odwirusować stronę internetową?
Istnieje kilka sposobów na odwirusowanie serwisu, najszybszym jest przywrócenie strony internetowej z backupu – bardzo często firma hostingowa posiada kopie serwisu sprzed 1 lub 2 miesięcy. Warto się do nich zgłosić w celu pozyskania plików strony oraz bazy danych.
W takim wypadku wystarczy podmienić zawartości plików oraz bazy + dodatkowo zabezpieczyć serwis internetowy.
W przypadku kiedy kopie hostingu także są zawirusowane, musimy przystąpić do naprawy serwisu „ręcznie”. W tym celu należy połączyć się z serwerem FTP strony np. poprzez program FileZilla (link do repozytorium: https://filezilla-project.org/)
* Dostęp do serwera FTP można wygenerować poprzez panel directAdmin na końcie hostingowym
Po połączeniu się z naszym serwerem FTP warto sprawdzić ostatnie daty modyfikacji plików – daty modyfikacji wprost pokażą, które pliki padły ofiarą infekcji.
W przypadku stron internetowych opartych na systemie CMS WordPress, najskuteczniej jest działać tylko na katalogu wp-content. W tym katalogu znajdują się pliki źródłowe naszej strony.
Pozostałe pliki i katalogi na tym samym poziomie co wp-content, są plikami odpowiadającymi za panelu administracyjnego systemu wordpress – najlepiej jest pobrać pliki systemu WordPress z repozytorium (https://pl.wordpress.org/download/releases/) i podmienić (z wyjątkiem pliku wp-config.php)
Aby pobrać odpowiednią wersję wchodzimy w katalog wp-includes a następnie sprawdzamy w pliku version.php jaka wersja wordpressa jest aktualnia na naszym serwisie internetowym.
Po podmianie plików źródłowych, przechodzimy do katalogu wp-content, gdzie sprawdzamy każdy plik ręcznie w poszukiwaniu szkodliwego kodu (w przypadku kiedy zaplecze działa, możemy skorzystać z wtyczki Wordfence Security w celu pozyskania raportu, dotyczącego zainfekowanych plików)
Dobrą praktyką jest podmiana całego katalogu Plugins – zazwyczaj wszystkie wtyczki są dostępne w repozytorium WordPress, przez co można je pobrać i podmienić.
Główne działania powinny być kierowane na katalog themes gdzie znajduje się motyw naszej strony. Dobrą praktyką jest przejrzenie wszystkich plików w poszukiwaniu niepokojącego kodu np.
Odwirusownie bazy danych
Po usunięciu całego szkodliwego kodu z plików czas przystąpić do odwirusowania bazy danych. Dostęp do bazy danych uzyskamy poprzez zalogowanie się do konta directAdmin na naszym hostingu a następnie przejściu do Phpmyadmin, gdzie możemy zalogować się za pomocą danych z pliku wp-config.php
Dla początkujących preferowaną metodą jest przejrzenie każdego rekordu bazy danych w poszukiwaniu klauzul . Bardziej zaawansowani użyją poleceń SQL. Niestety nie ma jednego uniwersalnego zapytania, które rozwiązuje wszystkie przypadki.
Uwaga! Niestety przegląd wszystkich rekordów bazy danych potrafi być bardzo czasochłonny, zatem zabierając się za odwirusowanie bazy danych, warto uzbroić się w czas i cierpliwość.
Zmiana danych dostępowych
Usunięcie szkodliwych skryptów to nie wszystko (oczywiście serwis powinien prawidłowo działać), warto zadbać o zmianę hasła do bazy danych oraz serwera FTP. Raz złamane hasła mogły zostać zapisane, przez co może dojść do nawrotu infekcji.
Jak przeciwdziałać infekcją kodu?
Podstawową obroną przed wirusami są regularne aktualizację motywu oraz wtyczek serwisu. Dodatkowo można wyposażyć serwis w plugin dbający o monitoring ruchu, zmiany na stronie oraz zmieniający standardowe linki do panelu administracyjnego np. Shield Security (link do repozytorium: https://pl.wordpress.org/plugins/wp-simple-firewall/)
Jako agencja oferujemy pomoc przy prowadzeniu strony internetowej. Masz pytania? Zapraszamy do kontaktu.
