El meu lloc webWordPress té malware, Què faig?

WordPress amb malware

Darrera actualització:

Esbrinar que el teu lloc web ha estat hackejat és un malson. El malware al teu lloc web de WordPress pot ser un desastre. Però no t’espantis! Aquesta guia proporciona instruccions pas a pas per identificar i netejar de manera eficaç l’amenaça cibernètica, alhora que ofereix estratègies per a la protecció futura.

Si tens molta pressa, et donem una solució GRATUÏTA. Tanmateix, si teniu temps i algunes habilitats, el nostre procediment de neteja provat t’ajudarà a restaurar el teu lloc al seu estat normal.

Table of Contents

Com sé si el meu web WordPress ha estat hackejat?

Sabràs que probablement el teu lloc web ha estat piratejat si observes coses com:

  • L’aspecte del teu lloc ha canviat sense que hagis fet res.
  • Quan navegues pel teu lloc, reps u un avís al teu navegador o,
  • Google ha inclòs el teu lloc a la llista negra i veus el missatge “Aquest lloc pot danyar el teu ordinador”
  • No pots iniciar sessió. Els pirates informàtics de vegades suprimeixen usuaris o canvien les contrasenyes per impedir l’accés. Si no pots restablir la contrasenya, el teu compte d’usuari podria haver estat eliminat. Aquest és un signe de hackeig.
  • El teu lloc està redirigint a un altre lloc web no autoritzat o fa redireccions inesperades. Probablement aquest serà un lloc al qual no vols que els teus usuaris siguin dirigits.
  • Quan inspecciones els fitxers del teu lloc, identifiques els canvis als fitxers, plugins o temes del sistema bàsic.
  • El teu servidor té una càrrega de CPU inusual.

Si encara no estàs segur, pots escanejar el teu lloc web amb serveis externs com https://sitecheck.sucuri.net/ o https://www.isitwp.com/wordpress-website-security-scanner/

Necessites netejar el Malware del teu web urgentment?

Tens pressa? et donem dues opcions:

  1. Posa’t en contacte amb un professional de renom. En cas que no tinguis algú a prop teu, podem ajudar-te a trobar la persona adequada .
  2. Sol·licita la teva migració gratuïta a Wetopi . El netejarem per a tu, aplicant la nostra oferta de temps limitat a continuació:

A wetopi, migrem el teu lloc web hackejat GRATIS ,
i el tnetegem al mateix temps.
Sol·liciteu ara la vostra migració gratuïta
oferta limitada

Condicions del servei:
Subscriu-te a un pla mitjà durant 1 any.

Si no tens pressa, la següent guia ofereix passos clars per netejar ràpidament la infecció i protegir el teu lloc web.

Passos per netejar el teu lloc web hackejat

Espera! Si pots: restaura una còpia de seguretat anterior.

Abans de netejar el programari maliciós, pensa si és correcte que perdis contingut o compres recents restaurant una còpia de seguretat antiga .

El procés de neteja de programari maliciós pot ser difícil perquè pot haver-hi portes de darrera amagades al sistema. Aquestes portes del darrere són punts d’entrada secrets que els creadors de programari maliciós utilitzen per recuperar l’accés fins i tot després d’haver eliminat l’amenaça inicial.

És possible que els passos següents no cobreixin tots els aspectes de la infecció de programari maliciós, però seguint-lo, hauríes de poder gestionar moltes de les infeccions típiques que observem.

1 Fes una còpia de seguretat o clona el teu web actual

Durant el procés de neteja, hauràs de fer algunes accions no reversibles, com ara actualitzacions i reinstal·lacions. Conserva una còpia del lloc actual infectat en un entorn de prova.

No facis proves directament al teu servidor producció.

En testar noves configuracions de servidor, es recomanable treballar en un servidor “localhost” o “Staging”.

Si no tens un servidor de desenvolupament WordPress amb staging, a Wetopi, és GRATIS, registra’t.

2 Torna a instal·lar el nucli de WordPress

El primer pas del procés de neteja és reinstal·lar els fitxers de WordPress Core. Aquest procés és segur perquè els fitxers de WordPress Core no s’haurien de modificar mai.

Aquí tens tres opcions alternatives:

Torna a instal·lar WordPress amb WP-CLI

La millor opció és utilitzar el teu terminal i WP-CLI , la interfície de línia d’ordres per a WordPress.

# save your WordPress root path in an ENV var:
export WP_PATH=/var/www/html/
cd $WP_PATH
# get the current WP Version:
export WP_VERSION=$(wp core version)
# download WP:
cd /tmp
wp core download --version=$WP_VERSION --path=./
rm -rf $WP_PATH/wp-admin
mv ./wp-admin $WP_PATH
rm -rf $WP_PATH/wp-includes
mv ./wp-includes $WP_PATH
rm ./wp-config*.php
mv -f ./*.php $WP_PATH

IMPORTANT : hi ha mètodes més ràpids per a la reinstal·lació, però el nostre enfocament és intencionat. L’objectiu d’aquestes ordres és substituir tots els directoris bàsics de WordPress, amb l’objectiu d’eliminar qualsevol fitxer potencialment ocult que es pugui utilitzar com a porta posterior.

Torna a instal·lar WordPress des del tauler d’administració de WP

Si no tens accés a la línia d’ordres, pots iniciar sessió a wp-admin i tornar-lo a instal·lar des de la pàgina Actualitzacions de WordPress :

Torneu a instal·lar la versió actual des de la pàgina Actualitzacions de WordPress

IMPORTANT: tot i que aquest mètode substitueix tots els fitxers de WordPress Core, no elimina cap fitxer potencialment ocult que pugui servir com a porta posterior.

3 Inspecciona el fitxer wp-config.php

Després de la substitució anterior de WordPress Core, l’únic fitxer bàsic php que hauríem de tenir a l’arrel de WordPress hauria de ser wp-config.php.

Elimina qualsevol codi maliciós del fitxer wp-config.php . Per fer-ho, obre el fitxer amb un editor i inspecciona’l a fons per detectar qualsevol cosa sospitosa. Si trobes alguna cosa relacionada, treu-la.

4 Torna a instal·lar una versió neta del teu tema

Obté una còpia neta del tema i utilitza-la per sobreescriure tot el directori existent.

Si tens un tema fill, substitueix també tot el directori per una còpia neta o inspecciona un per un tots els fitxers existents.

5 Elimina tots els temes no utilitzats

Per evitar possibles forats de seguretat o fitxers ocults utilitzats com a portes posteriors, elimina tots els temes que no fassis servir.

6 Elimina tots els plugins no necessaris

És important eliminar qualsevol problema de seguretat potencial suprimint els plugins no utilitzats.

També és hora d’inspeccionar individualment els plugins inusuals que no heu instal·lat vosaltres mateixos o els plugins que no estiguin disponibles als dipòsits oficials.

7 Torna a instal·lar els plugins

has de tornar a instal·lar tants plugins com sigui possible.

Durant aquesta etapa, mantenir les mateixes versions és fonamental per evitar qualsevol interrupció.

Sí!! , et recomanem que actualitzis els teus plugins més endavant , però només després que el teu lloc web s’hagi netejat, s’hagi creat una còpia de seguretat i el teu treball de programari maliciós estigui protegit .

# save your WordPress root path in an ENV var:
export WP_PATH=/var/www/html/
cd $WP_PATH

# get commands to update plugins preserving versions:
wp plugin list --fields=name,version --skip-update-check --format=csv | \
awk -F"," 'NR>1 {print "wp plugin install " $1 " --force --version=" $2}'

Això generarà una llista d’ordres per ajudar-tea reinstal·lar:

reinstal·leu els connectors de WordPress conservant les versions

Executa cada comanda ” wp plugin install “, una a la vegada, vigilant els possibles errors. Una alerta d’advertència relacionada amb problemes d’escriptura o substitució de fitxers pot indicar un plugin compromès o infectat. Si cal, elimina tot el directori del plugin i torna a executar l’ordre fins que s’executi sense errors.

8 Inspecciona els mu-plugins dir

Si existeix un directori ” mu-plugins “, inspecciona manualment tots els plugins instal·lats que hi hagi. Aquesta és una de les ubicacions habituals on sovint es pot amagar programari maliciós.

A WordPress, el directori “mu-plugins” (Must Use) alberga plugins que s’activen automàticament per a tots els llocs d’una instal·lació. Aquests plugins es carreguen abans que els altres i no es poden desactivar des del tauler d’administració.

9 Escaneja el sistema de fitxers de WordPress

A hores d’ara, el lloc de WordPress hauria d’estar gairebé net. És hora de dur a terme una exploració exhaustiva de tots els fitxers del sistema de fitxers de WordPress.

Per a l’anàlisi de programari maliciós, a Wetopi et recomanem el plugin WordFence . Instal·la’l:

Instal·leu WordFence Malware Scan

A continuació, configurem les opcions d’escaneig per a una inspecció profunda. Salta la secció “Escaneja” de WordFence i, a continuació, prem l’enllaç “Opcions d’escaneig i programació”:

Secció "Escaneja" de WordFence amb enllaç a "Opcions d'escaneig i programació"

Ves a la pàgina “Opcions d’escaneig i programació”.

A la secció “Opcions bàsiques del tipus d’escaneig”, selecciona l’opció “Alta sensibilitat” .

Opció d'escaneig de WordFence d'alta sensibilitat

Després de fer aquesta selecció, fes clic a “DESA ELS CANVIS”, situat a la part superior dreta de la pàgina.

Finalment, torna a la secció principal “Escaneig” i fes clic al botó “INICIA UN NOU ESCANEIG”.

WordFence trigarà un temps a dur a terme l’anàlisi i una llista de possibles problemes apareixerà a continuació durant aquest procés. Per obtenir més detalls sobre com interpretar aquests resultats, consulta la pàgina oficial del plugin titulada ” Treballar amb els resultats de l’escaneig “.

En resum, el teu objectiu és netejar tots els problemes trobats a la pestanya “Resultats trobats”. A continuació, torna a “escanejar” COMENÇA UN NOU ESCANEIG fins que obtinguis els “Resultats trobats (0)”.

S'han trobat resultats de WordFence (0)

10 Escaneja manualment el sistema de fitxers de WordPress

Si has identificat l’hora de la intrusió a partir d’una exploració anterior, hauràs de buscar fitxers que s’han modificat durant aquest temps. Tens diverses ordres per ajudar-te:

# find files with content modified between 2023-06-07 and 2023-06-01:
find /var/www/html -type f -newermt "2023-06-07" ! -newermt "2023-06-01" | xargs ls -l
 
# find files with inode data change time older than 720 days:
find /var/www/html -type f -ctime +720 
 
# find files with content modified in the last 15 days:
find /var/www/html -type f -mtime -15
 
# find files modification time older than 720 days:
find /var/www/html -type f -ctime +720 
 
# delete files with content modification time older than 720 days:
find /var/www/html -type f -mtime +720 -exec rm {} \;  
 
# sort files by date
find /var/www/html -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort

Si les exploracions anteriors van revelar un “patró” o rastres de “codi maliciós”, et suggerim que fassis una segona exploració. Les ordres següents et poden ajudar en aquest procés:

# search text 'the_malicious_code' inside files:
grep -r --include "*.php" 'the_malicious_code' /var/www/html/
 
# search for malicious evals:
grep -r --include "*.php" -E "^[^/]*[^(double)]eval\(([^)]+)\)" /var/www/html/
 
# combined find and grep using a file with a list of patterns:
cat <<EOF > patterns.txt
eval\(
exec\(
gzinflate\(
base64_decode\(
str_rot13\(
gzuncompress\(
rawurldecode\(
strrev\(
ini_set\(
chr\(
rand\(
shell_exec\(
fopen\(
curl_exec\(
popen\(
EOF
 
find /var/www/html/ -type f -mtime -7 -exec egrep -Hno -f patterns.txt {} \;

11 Elimina els usuaris que no reconeguis

Minimitza el nombre de comptes a tots els teus sistemes, com ara SSH, SFTP, base de dades i WordPress, al mínim. Per a WordPress, presteu una atenció especial als usuaris “administradors” i només conserveu els que siguin absolutament necessaris.

12 Canvia totes les contrasenyes d’usuari de WordPress

Després d’eliminar tots els usuaris que no són essencials, estableix un restabliment de la contrasenya per a cadascun d’ells.

Pots canviar totes les contrasenyes d’usuari alhora mitjançant l’acció massiva, la funció “Envia el restabliment de la contrasenya” a la pàgina Llista d’usuaris de WordPress.

Envieu el restabliment de la contrasenya de WordPress a tots els usuaris

IMPORTANT : tingues en compte que aquesta acció no canviarà directament les contrasenyes, ni obligarà els usuaris a fer-ho. Aquesta acció massiva envia un correu electrònic amb un enllaç de restabliment de la contrasenya a cada usuari. Per tant, assegura’t d’informar a tots els usuaris per comprovar el seu correu electrònic per trobar l’enllaç de restabliment de la contrasenya.

En aquesta etapa, el teu lloc hauria d’estar lliure de programari maliciós.

Malgrat això,

⚠️ no t’aturis aquí

– el teu lloc continua sent vulnerable.

Protegeix el teu lloc de WordPress de ser hackejat

Després d’una intrusió de programari maliciós, ets l’objectiu dels robots que intenten recuperar l’accés a les vulnerabilitats del teu lloc. Coneixen les vulnerabilitats anteriors i ho intentaran una i altra vegada. És hora de tancar les portes obertes.

1 Feu una còpia de seguretat del teu lloc net

Quan estiguis segur que el teu lloc està net, creeu una còpia de seguretat immediatament. Pots fer-ho des del panell Wetopi amb un sol clic del ratolí.

En endavant, tasques com ara actualitzar plugins o temes poden alterar l’aspecte i la funcionalitat del teu lloc. Per tant, és vital tenir una còpia de seguretat per a una possible reposició. Una estratègia més prudent és configurar un entorn de preparació: un clon segur del lloc on pots realitzar proves abans d’implementar canvis al teu lloc de WordPress en directe.

Per no trencar la teva web producció durant les proves …

Clona el teu server producció i crea un entorn “staging” !!!

Clonar un lloc de WordPress amb Wetopi és tan fàcil com un simple clic.

2 Actualitza els plugins, els temes i el nucli de WordPress

Tot i que és crucial recuperar-se de les intrusions de programari maliciós el més aviat possible durant el procés de neteja, no recomanem l’actualització en aquesta etapa. Ara, un cop et trobis en un entorn de preparació segur i tinguis més flexibilitat amb el temps, és essencial actualitzar a les últimes versions. Si no són les últimes versions, almenys les últimes versions que inclouen correccions de seguretat.

Seguiu aquesta ordre i feu actualitzacions, una a la vegada:

  1. Actualitzar els plugins
  2. Actualitzar temes
  3. Actualitza el nucli de WordPress

3 Bloqueja el teu sistema de fitxers de WordPress

Si, per qualsevol motiu, no has pogut actualitzar el teu codi de WordPress al pas anterior per tancar totes les vulnerabilitats de seguretat, et recomanem fermament que eliminis els permisos d’escriptura del teu lloc .

En bloquejar el sistema de fitxers de WordPress mitjançant Permisos de fitxers, pots millorar la seguretat de la teva instal·lació de WordPress.

En aquesta publicació, oferim una guia pas a pas sobre com bloquejar fitxers i directoris de WordPress per a la màxima seguretat .

4 Inspecciona el trànsit maliciós i bloqueja les IP

El concepte darrere d’això és examinar les sol·licituds de trànsit associades amb fitxers anteriors de codi maliciós.

Aquesta és una precaució addicional que nosaltres, a Wetopi, prenem per protegir el teu lloc i els llocs de tots els nostres clients de la plataforma.

4 Les teves credencials poden haver estat compromeses

Un darrer consell per a la teva protecció futura.

Els llocs web es poden hackejar si les dades d’inici de sessió estan compromeses o es filtren a causa d’incompliments en altres llocs. Com que sovint utilitzem la mateixa informació d’inici de sessió a diversos llocs web per costum, és crucial comprovar si les credencials d’inici de sessió s’han vist compromeses en incompliments públics coneguts.

Comprova si les infraccions públiques conegudes han compromès les credencials d’inici de sessió a https://haveibeenpwned.com .

Have I Been Pawned va ser creat el 2013 per Troy Hunt, un expert en seguretat, per oferir al públic en general un mitjà per comprovar si la teva informació privada s’ha filtrat o s’ha compromès.

https://en.wikipedia.org/wiki/Have_I_Been_Pwned

Què passa si el meu lloc és hackejat mentre s’allotja amb Wetopi?

En el rar cas que un lloc sigui hackejat a Wetopi , el nostre equip d’experts de WordPress eliminarà el programari maliciós de manera ràpida i acurada sense cap cost per a servidors de Medium o superior.

Si ets client de Wetopi, això s’inclou al teu pla:

  • Lliure de garantia de pirateig : arreglarem tots els llocs piratejats de forma gratuïta en servidors Medium i superiors .
  • Còpies de seguretat incloses : recupera instantàniament el teu lloc amb les nostres còpies de seguretat diàries incloses.
  • Infraestructura de seguretat de WordPress : no cal que enfonsis els recursos del servidor amb els plugins del tallafoc. Tots els plans inclouen WAF extern de WordPress dedicat, fonts de llista negra, filtratge de trànsit i infraestructura anti-DDoS.
  • Comprovacions d’exploració diària : analitzem cada dia els fitxers del teu servidor per identificar programari maliciós.
  • Assistència les 24 hores del dia, els 7 dies del dia : s’assigna un enginyer de Wetopi per a un suport continu.

Resumidament, som uns techies apassionats per WordPress que hem creat Wetopi, un Hosting WordPress Gestionat, per minimitzar la fricció a la que tot professional s’enfronta en treballar i allotjar projectes WordPress.

Inclou servidors de desenvolupament Gratis.
No cal tarjeta de crèdit.

Aquests articles et poden interessar:

Compara Wetopi amb el teu hosting actual

Dóna’t d’alta, demana una migració i compara.

Sense cap compromís ni esforç per part teva, migrem una còpia del teu web.

Sense lletra petita.
Sense compromisos.
Sense targeta de crèdit.