Sajt vam se sporo učitava? Redirektuje vas na drugi sajt? Pokazuju vam se reklame (popup)? Ne možete da se ulogujte? Primetili ste foldere i fajlove sa neobičnim nazivima? Dobijate veliki broj failed-deffered mailova koje niste ni slali?
Najčešći su pokazatelji da je vaš WordPress sajt zaražen.
Ukoliko se nešto od ovoga desilo i vama, ne paničite, pokazaćemo vam kako da identifikujete da li je vaš WordPress sajt hakovan, koje korake je potrebno preuzeti kako biste očistili sajt od malicioznih fajlova i kako da ga bolje zaštitite za ubuduće.
BACKUP – Prva pomoć za hakovan WordPress sajt
Vraćanje sajta iz backupa može da bude rešenje – ali tu imamo opet problem – vi ne znate kada je sajt zapravo inficiran. Cyber kriminalci su mogli da ga inficiraju i pre godinu dana i da godinu dana ne vrše nikakve aktivnosti, vi nemate pojma da je sajt inficiran, i onda odjednom krenu u teror. Vama izgleda kao da je sajt hakovan juče – vratite backup od pre mesec dana – ali uzalud– i taj backup od pre mesec dana sadrži njihov malware.
Svim korisnicima UNLIMITED.RS Web hosting paketa dostupan je JetBackup u okviru cPanel-a, uz pomoć koga možete vrlo jednostavno odraditi restore (vraćanje) fajla, foldera, baze, email naloga na neki od dostupnih datuma u proteklih 20 dana – uputstvo kako da to uradite možete pročitati ovde.
U praksi najbolje je pogledati datum stvaranja malicioznih fajlova, i vratiti backup na datum pre nastanka tih fajlova, to ipak nije garancija.
Vraćanje sajta na neki raniji datum (restore bekapa) može samo otkloniti posledice ali ne i sam uzrok problema- ranjivosti WordPress sajta.
Nakon vraćanja sajta iz bekapa potrebno je dodatno unaprediti i osigurati samu instalaciju kako se problem ne bi ponovio.
ČIŠĆENJE WORDPRESS SAJTA
Ukoliko među fajlovima vašeg sajta primećujete fajlove i foldere čudnih naziva ili fajlove koji ne pripadaju standardnoj WordPress instalaciji, jedina ispravna odluka je radikalan rez – a suština se sastoji u tome da sa svog sajta (preko FTP-a ili File Manager-a na cPanelu) obrišete baš sve PHP fajlove i foldere – ostavite samo sledeće:
wp-content/uploads folder koji sadrži sve uploadovane slike
wp-config.php konfiguracioni fajl za povezivanje WordPress-a sa bazom (no proverite da li i on ima maliciozan kod)
Uporedni prikaz standardne WordPress instalacije i zaraženog WordPress sajta
ČIŠĆENJE BAZE
Kako proveriti i očistiti bazu od SQL injekcija i WordPress malware-a?
Za pregled baze predlažemo da exportujete vašu WordPress bazu podataka ručno iz phpMyAdmin-a.
Iz cPanel-a izaberite opciju phpMyAdmin, zatim sa leve strane iz menija kliknite na bazu koju želite preuzeti.
Ukoliko na vašem cPanel nalogu imate više sajtova imaćete i više baza. Ukoliko niste sigurni koju bazu vas WordPress sajt koristi, ime baze možete videti u wp-config.php fajlu u redu: define(‘DB_NAME’, ‘database_name’);
Nakon što sa leve strane izaberete bazu, kliknite na “Export” link u meniju i zatim na “Go” dugme.
Nakon što preuzmete čitavu bazu u .sql formatu možete otvoriti fajl u nekom tekstualnom editoru kao što je Notepad ili Notepad++ i pregledate sadržaj baze.
Šta tražimo? Bilo šta što izgleda sumnjivo odnosno sve što ne izgleda kao da mu je mesto u bazi WordPress sajta. Uglavnom tražimo sledeće tipove koda:
eval() base64_decode() gzinflate() error_reporting(0) shell_exec() str_rot13()
Ukoliko naiđete na sumnjiv kod, možete pretražiti na Google ili WordPress forumima da li se radi o legitimnom sadržaju ili ne.
Sav sumnjivi sadržaj je potrebno otkloniti iz .sql fajla a zatim importovati (uvesti) očišćenu bazu nazad u phpMyAdmin.
Pre importovanja očišćene baze potrebno je da sa stare obrišete sve tabele.
Ovo možete uraditi tako što izaberete bazu, označite sve tabele klikom na “Check all“, i pod “With selected:” opcijom izaberete “Drop“.
Klikom na dugme potvrdite brisanje svih tabela i nakon što brisanje bude završeno možete importovati očišćenu bazu.
Ponovo izaberite vašu bazu podataka i kliknite na “Import” u meniju. Izaberite pregledani .sql fajl i kliknite na “Go” dugme.
Nakon importovanja dobićete poruku da je import tabela u bazu uspešno sproveden.
Nakon što ste uklonili sve fajlove WordPress sajta (osim foldera wp-content/uploads i fajla wp-config.php), pregledali i ukoliko je potrebno očistili bazu, potrebno je ponovo dodati novu WordPress instalaciju.
RE-INSTALACIJA WORDPRESS-a
Korak 1: Preuzimanje WordPress instalacije
Preuzmite najnoviju verziju WordPress CMS-a sa ovog linka.
KORAK 2: Dodavanje WordPress-a
WordPress instalaciju zatim dodajte (upload) na sajt preko File Manager opcije u cPanel-u.
Uđite u folder u kome se nalazi vaš sajt (za glavni domen to je /public_html folder) i iz menija izaberite opciju “Upload”. Izaberite preuzetu WordPress instalaciju i sačekajte da se dodavanje završi.
KORAK 3: Extraktovanje WordPress-a
Nakon toga se vratite nazad u folder gde je fajl dodat i desni klik na .zip fajl, potom export i potvrdite.
KORAK 4: Ubacivanje postojećeg Uploads Foldera
Potom se vratite nazad u root folder domena (za glavni domen to je public_html) i uđite u folder wp-content. Iz ovog foldera prebacite folder uploads u tek dodatu WordPress instalaciju.
Označite ovaj folder i zatim desnim klikom na njemu izaberite opciju move to folder i u adresu dodajte /WORDPRESS folder u putanji, tako da na primer putanja public_html/wp-content bude public_html/wordpress/wp-content
KORAK 5: Brisanje starog WP- Content Foldera
Nakon ubacivanja uploads foldera potrebno je da se vratite u /wordpress folder i da iz njega obrišete wp-content folder.
KORAK 6: Prebacivanje WordPress instalacije
Nakon što ste prebacili stari uploads folder u novu WordPress instalaciju obrisali prazni wp-content folder, potrebno je prebaciti sav sadržaj /wordpress foldera u folder iznad. Označite sve fajlove i zatim desnim klikom na nekom od njih izaberite opciju move to folder i iz adrese obrišete /WORDPRESS folder iz putanje.
To je to, sada ste uspešno reinstalirali WordPress i možete se preko browsera ulogovati na admin deo dodavanjem /wp-admin na vaš domen.
Pošto ste ostavili bazu podataka i uploads folder u kome se nalaze sve dodate slike, sajt će imati isti sadržaj kao pre brisanja WordPress fajlova.
RE-INSTALACIJA WORDPRESS TEME I PLUGINA
Nakon reinstalacije WordPress-a potrebno je da ponovo instalirate aktivnu temu i sve dodatke.
Ulogujte se na wp-admin deo vašeg sajta, instalirajte istu temu (skinite najnoviju verziju teme, ne koristite staru) i instalirajte iste pluginove koje ste imali pre brisanja.
Ukoliko niste sigurni koje ste sve pluginove koristili na sajtu, nakon prvog ulaska u Plugins (Dodaci) stranu, prikazaće vam se lista svih plugina koji su sada isključeni a koje trebate ponovo instalirati.
Nakon instalacija biće možda potrebno samo da neka podešavanja u okviru teme ili plugin-ova ponovo podesite.
I na kraju, otvorite sajt kako biste proverili da li sve funkcioniše.
KAKO UNAPREDITI BEZBEDNOST WORDPRESS SAJTA
Kako dodatno obezbediti WordPress sajt?
Nakon čišćenja WordPress-a, teme i svih pluginova, potrebno je dodatno osigurati sam sajt kako se problem ne bi ponovio. Ovo su samo neke od preporuka za unapređenja bezbednosti WP sajta:
Hosting
Kvalitetan Web hosting je od presudnog značaja za sigurnost svakog sajta. Koliko god da obezbedite WordPress, to neće biti dovoljno ukoliko neko može da vam neovlašćeno pristupi hosting nalogu, doda fajlove preko FTP-a ili cPanel-a, ili čak da preko hakovanog sajta drugog korisnika na serveru ubaci fajlove na vaš sajt.
Sa strane hostinga (cPanel) možemo još dodatno ojačati WordPress koristeći .htaccess i wp-config.php konfiguracione fajlove ali i same permisije na folderima. Detaljnije o ovome možete pročitati na našem blogu
Permisije
Permisije foldera i fajlova možete takođe podesiti iz File Manager-a na cPanel-u, za WordPress preporučene vrednosti su sledeće:
/ 0755 wp-includes 0755 wp-admin 0755 wp-admin/js 0755 wp-content 0755 wp-content/themes 0755 wp-content/plugins 0755 wp-content/uploads 0755 wp-config.php 0400 .htaccess 0444
Permisije možete videti u File Manager-u u koloni sa desne strane, a duplim klikom na njih možete ih i izmeniti.
Promena lozinki
Promenite WordPress admin password.
Obrišite sve ostale admin korisnike (Upravnike).
Promenite FTP password (to je uglavnom ujedno i password od hosting naloga, tako da to u većini slučajeva možete uraditi u hosting panelu).
Promenite MySQL password (to takođe u većini slučajeva možete da uradite u hosting panelu), a zatim taj novi MySQL password unesite u wp-config.php fajl (preko File Manager-a).
I na kraju, uvek je bolje koristiti korisničko ime koje nije “admin” ili “administrator”.
Salts
WordPress koristi takozvane “Salt” – nasumično generisane vrednosti radi autentifikacije korisnika pomoću kolačića (Eng. cookies).
Kako bismo odjavili sve već prijavljene WordPress korisnike možemo postaviti nove salt vrednosti u fajlu wp-config.php
Na sledećem linku možete generisati nove vrednosti: https://api.wordpress.org/secret-key/1.1/salt/
Dovoljno je kopirati ove kodove i zameniti postojeće u fajlu wp-config.php kako biste poništili sve korisničke kolačiće (cookies).
PODESITE SIGURNOSNI PLUGIN
Na WordPress-u postoji dosta dodatnih funkcija koje je potrebno blokirati ili isključili jer se najčešče zloupotrebljuju. Jedna od ovih funkcija je i XML-RPC koji se danas sve više koristi za brute-force i dictionary napade.
Naša preporuka je iThemes Security dodatak, a neke od korisnih funkcija ovog plugina koje vredi istaknuti su:
▪ blokiranje pristupa xmlrpc.php fajlu
▪ upisivanje svih pristupa (Login log)
▪ ograničavanje pristupa preko .htaccess fajla
▪ forsiranje jakih lozinki i mogućnost 2FA
▪ zakazivanje redovnog bekapa baze
Nakon instalacije iThemes Security plugina videćete preporuku podešavanja koje sam plugin predlaže za sve WordPress sajtove.
Nakon što uključite sve navedene preporučene funkcionalnosti, potrebno je dodatno uključiti još i ova tri modula:
▪ 404 Detection
▪ File Change Detection
▪ SSL
Gore navedene module je dovoljno samo aktivirati i ostaviti na preporučenim vrednostima, međutim ova dva modula je potrebno dodatno konfigurisati:
▪ System Tweaks
▪ WordPress Tweaks
Za njih predlažemo da uključite sve opcije, međutim imajte u vidu da se neke od ovih funkcionalnosti koriste i za druge plugine kao što su JetBackup ili ContactForm7, te svakako nakon što ih aktivirate detaljno proverite da li sve uredno funkcioniše na samom sajtu.
OGRANIČAVANJE PRISTUPA
Preporuka je da sakrijete ili bar ograničite pristup /wp-admin i wp-login.php linkovima
WPS Hide Login je jedan vrlo jednostavan dodatak koji vam omogućava da preimenujete /wp-admin sekciju i time ograničite pristup samo onima sa linkom.
AŽURIRANJE
Poželjno je da uvek koristite najnoviju verziju WordPress-a, ažurirajte vašu temu i dodatake (plugine) čim novija verzija bude dostupna, pre toga naravno testirajte temu i vidite da li sve funkcioniše.
Obrišite WordPress teme i plugine koje ne koristite – ovi plugini se skoro nikada ne ažuriraju te samim tim predstavljaju sigurnosni rizik.
Nikada ne koristite WordPress “null-ovane” premium teme i pluginove – jer često dolaze sa malware-om.
BACKUP
Bekapi su veoma važni jer vam mogu skratiti dosta vremena i truda. Upravo zbog toga je važno praviti redovne bekape fajlova i baze, i što je najbitnije: ne čuvati ih na istoj lokaciji gde je i sajt!
Po definiciji Backup je rezervna kopija, te ga stoga i čuvajte u rezervi na vašem računaru ili nekom drugom nalogu.
Za korak po korak uputstvo kako bezbedno uraditi i preuzeti bekap sajta pročitajte naš članak: Kako da mirno uradite backup WordPress sajta
Ukoliko koristite naše Web hosting usluge, nećete imati potrebe praviti backup jer uz sve pakete imamo besplatan dnevni backup na više udaljenih lokacija.
I na kraju: Važno je ne preskočiti nijedan korak – čak i ako vam se neki korak čini besmislenim – verujte nam, nijedan nije besmislen. Preskakanjem bilo kog koraka biste rizikovali da hakerima ostavite prolaz do vašeg sajta – i da ponovo inficiraju sajt – pa ste onda uzalud čistili sajt.
BONUS: KAKO SKINUTI “OVAJ SAJT NIJE BEZBEDAN” UPOZORENJE
Ukoliko se umesto vašeg sajta pojavila stranica koja ukazuje da sajt više nije bezbedan, nakon što se očistili i sam WordPress sajt, potrebno je poslati zahtev Google-u da se upozorenje o nebezbednom sajtu ukloni.
Uputstvo za slanje zahteva za skidanje upozorenja na vašem sajtu možete videti ovde: https://developers.google.com/web/fundamentals/security/hacked/request_review
Nakon što pošaljete zahtev, Google će ponovo pregledati sajt i ukoliko potvrde da vaš sajt više ne sadrži malware/phishing sadržaj, dobićete email obaveštenje da je upozorenje uklonjeno.
U slučaju da vam je neophodna pomoć ili dodatne informacije, molimo vas da kontaktirate našu korisničku podršku na e-mail: [email protected] ili otvorite tiket putem korisničkog panela na adresi https://panel.unlimited.rs.
