Moja spletna stran je vdrta - kaj naj naredim?

Odkrili ste, da vam je nekdo vdrl v spletno mesto. Mogoče je Google prikazal opozorilo "To spletno mesto lahko poškoduje vaš računalnik", mogoče so bili obiskovalci preusmerjeni na nenavadno stran ali pa ste opazili neznane datoteke na strežniku. Ne glede na to, kako ste izvedeli, je panika razumljiva - vendar je pomembno, da se odzovete hitro in metodično. Ta vodnik vas vodi skozi vsak korak od odkritja do popolne obnove in preprečitve prihodnjih napadov.

Kako prepoznati vdor v spletno mesto?

Obstaja več znakov, ki kažejo na vdor. Googlovo opozorilo v iskanju ("To spletno mesto je lahko nevarno") je najbolj očiten znak. Preusmerjanje obiskovalcev na druga spletna mesta (običajno na igralnice ali farmacevtska spletna mesta) je pogosta posledica vdora. Neznana vsebina na spletnem mestu - neželene strani, povezave na sumljiva spletna mesta ali spremenjen videz. Bistveno počasnejše nalaganje spletnega mesta lahko kaže na rudarjenje kriptovalut (cryptojacking). Neznani uporabniki v skrbniški plošči WordPress. Sumljive datoteke na strežniku z nenavadnimi imeni. E-pošta od ponudnika gostovanja o sumljivi dejavnosti. Padec uvrstitve na Googlu brez očitnega razloga.

Korak 1: Brez panike, vendar se odzovite takoj

Prvič in najpomembneje - ne brišite ničesar in ne spreminjajte gesel na vdrtem spletnem mestu, preden ga izolirate. Heker ima morda še vedno dostop in lahko vidi vsako vaše dejanje. Namesto tega si zapišite vse, kar opazite - katere strani so prizadete, kdaj ste prvič opazili težavo, ali ste prejeli kakšno obvestilo. Te informacije bodo koristne za analizo in čiščenje.

Korak 2: Postavite spletno mesto v način vzdrževanja

Postavite spletno mesto brez povezave, da zaščitite obiskovalce pred zlonamerno programsko opremo in preprečite nadaljnjo škodo. V cPanel lahko preimenujete mapo public_html ali nastavite stran za vzdrževanje. Če uporabljate WordPress, lahko ustvarite datoteko .maintenance v root mapi. Pri BeoHostingu obrnite se na podporo in pomagali vam bomo, da hitro izolirate spletno mesto brez izgube podatkov. Pomembno je, da je spletno mesto nedostopno, dokler se ne očisti - Google ga bo še naprej označeval kot nevarno, dokler obstaja zlonamerna programska oprema.

Korak 3: Spremenite vsa gesla z druge naprave

Z DRUGE naprave (ne z računalnika, ki ga uporabljate za dostop do spletnega mesta, ker je morda kompromitiran) spremenite naslednja gesla: dostop cPanel, FTP račune, ključe SSH, bazo podatkov (uporabnik MySQL), skrbniški račun WordPress, e-poštne račune na domeni in račun gostovanja. Uporabljajte močna, edinstvena gesla za vsak račun - najmanj 16 znakov s kombinacijo črk, številk in posebnih znakov. Uporabljajte upravljalnik gesel za shranjevanje gesel.

Korak 4: Naredite varnostno kopijo vdrtega spletnega mesta

Pred kakršnim koli čiščenjem naredite popolno varnostno kopijo vdrtega spletnega mesta - datoteke IN baza podatkov. To se zdi protislovno, vendar je ta varnostna kopija namenjena forenzični analizi. Z njo lahko ugotovite, kako je heker vstopil, katere datoteke je spreminjal in ali je pustil zaledna vrata. BeoHosting samodejno hrani dnevne varnostne kopije do 120 dni nazaj, kar pomeni, da skoraj zagotovo imate čisto različico spletnega mesta pred vdorom.

Korak 5: Preglejte spletno mesto za zlonamerno programsko opremo

Uporabljajte specializirana orodja za pregled zlonamerne programske opreme. Za WordPress je Wordfence (brezplačen vtičnik) odlična izbira - namesti se na čisto namestitev WordPress in pregleda vse datoteke. Sucuri SiteCheck (spletno orodje) lahko pregleda spletno mesto od zunaj brez namestitve. ImunifyAV na strežniku (na voljo pri BeoHostingu) pregleda vse datoteke na računu gostovanja. Tudi ročno preverjanje je pomembno - iščite datoteke z nenavadnimi imeni, kodo PHP, kodirano z base64, in datoteke, ki so bile spremenjene v času vdora.

Korak 6: Očistite zlonamerno programsko opremo

Obstajata dva pristopa k čiščenju: ročno čiščenje in obnova iz varnostne kopije. Obnova iz varnostne kopije je hitrejši in zanesljivejši pristop. Poiščite zadnjo varnostno kopijo pred vdorom (preverite datume spremembe sumljivih datotek, da določite, kdaj se je vdor začel). Pri BeoHostingu lahko obnovite katero koli varnostno kopijo iz zadnjih 120 dni prek cPanela ali z obiskom podpore.

Za ročno čiščenje: izbrišite vse neznane datoteke, zlasti datoteke PHP v mapah za nalaganje, datoteke s funkcijami base64_decode, eval ali gzinflate ter datoteke z imeni kot je "wp-config-sample.php.bak" ali "about.php" na nepričakovanih lokacijah. Preverite datoteko .htaccess za neznana pravila preusmerjanja. Preverite wp-config.php za neznano kodo na začetku ali koncu datoteke. Preverite bazo podatkov za neznane skrbniške uporabnike in sumljivo vsebino v objavah.

Korak 7: Posodobite vse

Po čiščenju posodobite absolutno vse: jedro WordPress na najnovejšo različico, vse vtičnike (izbrišite tiste, ki jih ne uporabljate), temo (izbrišite neaktivne teme), različico PHP na najnovejšo stabilno (8.3 ali 8.4). Zastarela programska oprema je vzrok številka ena za vdor v spletna mesta WordPress. Več kot 50 % vdrtih spletnih mest je uporabljalo zastarele vtičnike z znanimi ranljivostmi.

Korak 8: Okrepite varnost

Uvedite naslednje ukrepe za preprečitev prihodnjih napadov. Namestite varnostni vtičnik (Wordfence ali Sucuri). Aktivirajte dvofaktorsko avtentikacijo (2FA) za vse skrbniške račune. Spremenite predpono baze podatkov WordPress, če je privzeta "wp_". Onemogočite izvajanje PHP v mapi wp-content/uploads. Omejite število poskusov prijave (limit login attempts). Skrijte prijavno stran wp-admin. Nastavite pravilna dovoljenja za datoteke (644 za datoteke, 755 za mape, 600 za wp-config.php). Aktivirajte SSL certifikat, če še ni aktiven.

Korak 9: Zahtevajte pregled od Googla

Če je Google označil vaše spletno mesto kot nevarno, morate po čiščenju zahtevati pregled. Prijavite se v Google Search Console, pojdite na razdelek "Security Issues" in kliknite "Request a Review". Opišite, kaj ste storili za čiščenje spletnega mesta in katere ukrepe ste sprejeli za preprečitev prihodnjih napadov. Google običajno pregleda zahtevo v 72 urah. Medtem ko poteka pregled, bo vaše spletno mesto v iskanju še naprej označeno kot nevarno.

Korak 10: Nadzor in preprečevanje

Po obnovitvi vzpostavite sistem za nadzor. Nastavite opozorila za spremembe datotek na strežniku (nadzor celovitosti datotek). Redno pregledujte spletno mesto za zlonamerno programsko opremo (tedensko). Spremljajte dnevnike dostopa za sumljive dejavnosti. Nastavite samodejne varnostne kopije (BeoHosting izdela dnevne varnostne kopije). Spremljajte Google Search Console za varnostna opozorila. Redno posodabljajte vse komponente spletnega mesta. Razmislite o uporabi WAF (Web Application Firewall) za dodatno zaščito.

Najpogostejši načini vdora

Razumevanje, kako hekerji vstopajo, pomaga pri preprečevanju. Zastareli vtičniki z znanimi ranljivostmi so vzrok v več kot 50 % primerov. Šibka gesla (napadi brute force) so drugi najpogostejši vzrok. Neposodobljene teme z ranljivostmi v kodi. Nevaren FTP dostop brez šifriranja. Cross-site scripting (XSS) prek obrazcev in komentarjev. SQL injection prek nevarnih vtičnikov. Napadi phishing na skrbnike spletnih mest, ki razkrijejo svoja gesla. Ranljivosti vključitve datotek v slabi kodi PHP.

Preprečevanje: Varnostni kontrolni seznam

Uporabljajte ta seznam kot mesečno preverjanje varnosti vašega spletnega mesta. Ali so vsi vtičniki posodobljeni na najnovejše različice? Ali je jedro WordPress posodobljeno? Ali so vsa gesla močna in edinstvena? Ali je 2FA aktiviran za skrbniške račune? Ali varnostni vtičnik deluje in redno pregleduje? Ali so varnostne kopije funkcionalne (poskusite obnovo vsaj enkrat četrtletno)? Ali so neuporabljeni vtičniki in teme izbrisani? Ali je različica PHP posodobljena? Ali so dovoljenja datotek pravilna? Ali je SSL certifikat veljaven?

Kdaj poklicati profesionalca?

Če je vdor resen (ransomware, kompromitirana baza podatkov, prizadetih je več spletnih mest na istem računu), priporočamo, da najamete strokovnjaka za varnost. BeoHosting nudi brezplačno pomoč pri čiščenju za stranke s poslovnimi paketi, vključno s forenzično analizo, ročnim čiščenjem zlonamerne programske opreme in uvedbo varnostnih ukrepov. Za manjše pakete vam lahko naša ekipa za podporo pomaga z osnovnimi koraki obnovitve.

Zaključek

Vdor v spletno mesto je stresna izkušnja, vendar je s pravilnim pristopom mogoče rešiti v nekaj urah. Ključno je hitro odzvati se, metodično slediti korakom in po obnovi uvesti ukrepe za preprečevanje, da se to ne ponovi. Pri BeoHostingu kombinacija dnevnih varnostnih kopij (120 dni), pregledov ImunifyAV, ModSecurity WAF in naše ekipe za podporo zagotavlja večplastno zaščito vašega spletnega mesta. Preberite naš popolni vodnik za varnost spletnega mesta. Če sumite, da je v vaše spletno mesto vdrl nekdo, takoj kontaktirajte našo podporo - hiter odziv je ključen.