Lapkričio mėnesį turėjome daug užklausų dėl užkrėstų WordPress svetainių, ir pastebėjome vieną, bendrą dominuojančią problemą, apie kurią ir papasakosiu šiame įraše, tai WP-VCD virusas. Tokio tipo virusas nėra naujiena, jis buvo pastebėtas jau 2017 metais, tačiau šiomis savaitėmis sparčiai pradėjo plisti WordPress svetainėse. Šią tendenciją pastebėjome ne tik mes, bet ir Wordfence, kurie taip pat pasidalino savo įžvalgomis apie padidėjusį šio viruso „populiarumą”.
Koks tai virusas ir ką jis daro?
Tai „malware” tipo virusas, kuris plinta per nelegalias, nulaužtas (angl. „nulled”) dizaino temas ir įskiepius. Jo plitimas pagrįstas svetainių kūrėjų noru naudotis nemokamai tuo kas mokama, tokiu būdu jis plinta ir sukuria tinklą (toliau vadinsime jį pažeistų svetainių tinklu). Viruso tikslas nėra vogti slaptažodžius, dažniausiai pažeista svetainė naudojama šiems tikslams:
- Blackhat SEO. Manipuliacijos Google paieškos rezultatais, naudojant neetiškus metodus, dažniausiai Jūsų svetainėje įterpiant nuorodas į išorines svetaines be Jūsų sutikimo. Tokie veiksmai labiausiai kenkia Jums, nes Jūsų svetainė dažniausiai pašalinama iš Google paieškos rezultatų.
- Peradresavimams. Užeinant į Jūsų svetainę, dalis Jūsų lankytojų yra peradresuojami į kitą svetainę. Įsivaizduokite jei turite e-parduotuvę, o kažkas užėjęs į ją yra peradresuojamas į torentų, ar pornografijos svetainę…
- Iššokantiems langams. Tai nepageidaujama reklama, iššokantis naujas langas (angl. „pop up”). Dažniausiai reklama pasiūlo „išvalyti” Jūsų kompiuterį nuo viruso, o sutikus, svetainės lankytojas iš tiesų užkrečiamas virusu.
Jei pastebėjote bent vieną iš anksčiau nurodytų reiškinių, ar kažką neįprasto, laikas ieškoti pagalbos.
Deja, yra buvę atvejų, kai klientai užsisakydavo svetainių sukūrimo paslaugą, sumokėdavo už dizaino temas ar įskiepius, o paaiškėdavo, kad svetainės kūrėjas „pataupė” ir panaudojo nelegalią dizaino temą ar įskiepį. Tokių atvejų nėra daug, bet jų yra buvę, tad jei abejojate, pasitikrinkite. Mūsų praktikoje, dažniausiai pastebimi nulaužti įskiepiai „Visual Composer” ir „WPML”.
Ką daryti jei mano svetainė jau užkrėsta?
Jei svetainę kūrėte pats, skaitykite toliau, aprašysime vieno kliento istoriją ir detalius veiksmus kaip pašalinti virusą.
Jei svetainę sukūrė laisvai samdomas programuotojas ar web agentūra, kreipkitės į juos.
Kreipkitės į Wordorado, arba kitus specialistus, kurie teikia WordPress svetainių priežiūros, „valymo” paslaugas.
Kas nutiks jei ignoruosite šį virusą ?
Turime puikų pavyzdį kas nutinka nesiėmus veiksmų pašalinti virusą, pasidalinsime tikra istorija.
2019-11-10dieną, į mus kreipėsi Saulius (vardas pakeistas), jis pastebėjo, kad užėjus į jo svetainę, jis pats kartais yra peradresuojamas į neaiškius puslapius, kurie niekaip su juo nesusiję ir jis pats to nedarė. Kadangi tai buvo nemokama konsultacija, ir svetainė buvo ne mūsų serveriuose, gavę prisijungimus prie Sauliaus nuomojamo serverio, atlikome pirminę analizę ir radome 12 apkrėstų svetainės failų. Užkrato požymiai atitiko WP-VCD viruso elgseną, WordPress sistemos kataloguose atradome failų kurių neturi būti, pastebėjome programinio kodo įterpinių dizaino temų functions.php failuose. Informavome apie tai Saulių, rekomendavome išvalyti svetainę, nusipirkti legalią dizaino temą, nes jis naudojo nulaužtą dizaino temą.
2019-11-14diena. Į mus vėl kreipėsi Saulius, sako, kad svetainės nuorodos pasikeitė, spaudi ant prekės, o atsiduri kitoje svetainėje, ne ten kur turėtum. Saulius užsisakė svetainės „valymą”, padėjome nusipirkti legalią dizaino temą. Prieš pradėdami valymą atliekome skanavimą. Vau! Suradome net 963 apkrėstus ar naujai susikūrusius neaiškius failus svetainėje. Tik pagalvokite, kiek laiko užtruks visus failus pašalinti, išvalyti nuo įterpto kenkėjiško programinio kodo?
2019-11-15diena. Užtruko ilgiau, valymas kainavo brangiau, tačiau svetainė išvalyta. Jei veiksmų būtų imtasi iš karto, būtų buvę greičiau ir be abejo – pigiau. Todėl nedelskite!
Kaip savarankiškai išvalyti WordPress svetainę nuo virusų?
Visų pirma, parodysime kokius svetainės failus šis virusas paveikia, ir kuriuose kataloguose sukuriami nauji WordPress sistemai nepriklausantys failai. Pradėkite ieškoti kataloge „WP-INCLUDES”, dažniausiai šiame kataloge užsikrėtus WP-VCD virusu rasite failus šiais pavadinimais:
- wp-includes/wp-vcd.php
- wp-includes/wp-tmp.php
Šių failų neturėtų būti standartinėje WordPress sistemoje. Jei matote šiuos failus, deja, Jūsų WordPress svetainė tikrai užkrėsta WP-VCD virusu. Žvelkim toliau, virusas integruojasi ir į daugiau WordPress sistemos, dizaino temų failų, dažniausiai šio viruso programinio kodo įterpiniai (prie esamo programinio kodo, įterpiamas papildomas, kenkėjiškas programis kodas) atsiranda šiuose failuose:
- wp-includes/post.php
- wp-content/themes/JŪSŲ_TEMOS_PAVADINIMAS/function.php (rekomenduojame patikrinti visų dizaino temų katalogus, net ir tų, kurių nesate aktyvavę)
„WP-CONTENT” kataloge gali atsirasti failų su viruso įterptiniu kodu šiais pavadinimais:
- class.theme-modules.php
- class.plugin-modules.php
Failų sąrašas negalutinis, jų gali atsirasti ir daugiau, kitose vietose, bet tai gera pradžia startui.
Kokių veiksmų imtis norint išvalyti svetainę nuo virusų?
Visų pirma, nenaudokite nelegalių, nulaužtų dizaino temų ir įskiepių savo WordPress svetainei, naudokite tik legalius įskiepius ir dizaino temas su licencija. Kartais galite surasti tikrai puikių nemokamų įskiepių, kurie gal būt turės tik dalį apribotų funkcijų, bet prilygs mokamam taip vadinamam „Premium” įskiepiui.
Nemokamų įskiepių rekomenduojame ieškoti oficialioje WordPress įskiepių svetainėje, jokiais būdais nerekomenduojame siųstis nemokamų, nulaužtų įskiepių iš Google paieškoje surastų svetainių.
Nemokamas dizaino temas taip pat rekomenduojame rinktis iš oficialaus WordPress dizaino temų tinklapio. Mokamas, reguliariai atnaujinamas WordPress temas rinkitės iš populiariausių temų kūrėjų prekyviečių, tokių kaip Theme Forest ar Template Monster.
Labai svarbu!Sukurkite dabartinės būsenos WordPress svetainės failų ir duomenų bazės kopiją. Nesvarbu, kad tai apkrėstos svetainės kopija, tačiau jei valymo metu netyčia pašalinsite svarbų sistemos failą ar programinio kodo fragmentą, vėliau galėsite jį atstatyti.
Pradėkite ieškoti apkrėstų WordPress failų, radę, juos pašalinkite. Apkrėstų failų suradimui galite naudoti populiarių WordPress saugumo įskiepių “WordFence Security”. Šis įskiepis sudarys apkrėstų failų sąrašą, tačiau juos pašalinti ar išvalyti turėsite savarankiškai. Primename, ne visi užkrėstus failus galima šalinti, kai kuriuose gali būti tik programinio kodo įterpinys, tokiu atveju reikėtų šalinti tik kenkėjišką kodą.
Svarbus patarimas! “WordFence Security” įskiepį rekomenduojame naudoti tik apkrėstų failų suradimui. Jei svetainės valymo momentu naudosite įskiepį kaip aktyvią WordPress svetainės apsaugą, tai gali sukelti papildomų problemų Jūsų svetainėje. Viena iš jų – Jūsų naudojamo serverio resursų išnaudojimas. Tai labai galingas įskiepis, aktyviai veikdamas jis atlieka įvairius ir dažnu atveju nuolatinius skenavimus Jūsų WordPress svetainėje. Jei Jūsų talpinimo planui suteikiama neužtektinai resursų veikti šiam įskiepiui, pajausite stiprų svetainės sulėtėjimą. Šis įskiepis gali būti naudingas, bet dabar mums reikia tik jo skenavimo funkcionalumo, tad nuskenuokite, išsisaugokite failų sąrašą, išjunkite “WordFence Security” įskiepį ir ištrinkite arba išvalykite apkrėstus WordPress svetainės failus.
Jei pavyko išvalyti įtartinus WordPress failus, svetainė veikia, rekomenduojame susikurti naują, papildomą atsarginę kopiją. Pradėkite trinti nelegalius įskiepius, dizaino temas, pakeiskite juos legaliais. Įsigykite temų ar įskiepių licencijas jų oficialiuose puslapiuose, įrašykite naujausias versijas, atnaujinimus.
Patikrinkite ar naudojate naujausią WordPress branduolio versiją, jei reikia – atnaujinkite. Versijų sąrašą galite rasti oficialioje WordPress svetainėje, atsinaujinti branduolio versiją Jums pasiūlys ir WordPress administravimo aplinkoje.
Ups, svetainė nebeveikia? Ar pasinaudojote patarimu susikurti atsarginę kopiją? Atstatykite svetainę ir kartokite žingsnius iš naujo 🙂 Stebėkite kurio įskiepimo pakeitimas, išjungimas įtakojo neveikimą. Prieš atnaujinant WordPress svetainės versiją, patikrinkite ar visi naudojami įskiepiai, temos bus suderinami su WordPress versija. Patikrinkite, ar serveryje nustatyta tinkama PHP versija. Atliekant svetainės valymą, visuomet rekomenduojame naudoti „Incognito” naršyklės rėžimą, taip išvengsite naršyklės kešavimo ir visuomet matysite realų svetainės vaizdą. Kalbant apie kešavimą, jei naudojate kešavimo įskiepius („W3Total Cache”, „LiteSpeed Cache” ir kt.), prieš valydami svetainę išvalykite visą kešavimo atmintį ir išjunkite kešavimo įskiepius.
Apkrėstų failų nebesimato, WordPress branduolio versija naujausia, įskiepiai ir dizaino temos atnaujintos, legalios. Ar tai viskas, svetainė veiks toliau be sutrikimų? Jei išvalėte viską, ir neliko saugumo spragų, kurį laiką galite būti ramūs. Šiandien Jūs savarankiškai administravote ir prižiūrėjote savo WordPress svetainę, jei esate svetainės administratorius, tuo užsiimti turite nuolatos ir reguliariai.
Viskas skamba labai baisiai ir sudėtingai?
Taip, tam reikia įgūdžių ir laiko. Wordorado gali Jums padėti. Mes turime reikalingas žinias ir įrankius, kaip užtikrinti Jūsų WordPress svetainės saugumą ir greitį. Žinome kaip sustabdyti kenkėjiškų programų plitimą, galime išspręsti Jūsų neveikiančios arba lėtai veikiančios svetainės problemas ir norime tai daryti reguliariai. Paslaugos kaina prasideda vos nuo 99 Eur/mėn. + PVM.
Plačiau apie Wordorado teikiamą WordPress svetainių priežiūros paslaugą galite rasti šioje nuorodoje: https://wordorado.lt/sprendimai/wordpress-svetainiu-prieziura/
Turite klausimų, norite pasitarti?
Užsisakykite nemokamą konsultaciją, parašykite mums el. laišką į labas@wordorado.lt, ar tiesiog pradėkite pokalbį internetu. Mielai atsakysime į visus Jūsų klausimus.
Būkite saugūs, nenaudokite nelegalių, nulaužtų dizaino temų ar įskiepių, perduokite kitiems ir viskas bus gerai!