Feltört WordPress honlap helyreállítása
Tavaly júliusban a wphu.org fórumon egy kérdésre adtam egy listát, ami arról szólt, mit lehet tenni egy fertőzött/feltört WordPress honlappal, hogy újra rendeltetésszerűen működjön, amit később több helyen láttam megosztva. Ezért kibővítem az ezzel kapcsolatos tudnivalókat.
Itt az eredeti kommentem:
„1. Megsasolod a látogatottsági statisztikát (a szerveren lévőt, nem analytics és hasonlókat), és nézed, hogy milyen – nem a rendszerbe illő – fájlokat hívnak meg különböző IP-kről. Ha látsz ilyet (esetleg többet is), az „sáros” – törlöd.
2. Letöltesz tiszta forrásból mindent, ami a honlapra telepítve van: wp, pluginek, sablon.
3. karbantartás miatt zárva „táblát” teszel ki a honlapra.
4. Törlöd, ami a honlapon van, kivéve a htaccess, robots.txt, config, sitemap fájlok, wp-content/uploads mappa tartalmát (és ha valamelyik bővítmény külön feltöltés könyvtárat használ, annak a tartalmát sem).
5. felmásolod a tiszta fájlokat.
6. Ellenőrzöd azokat a fájlokat, könyvtárakat, amiket nem töröltél.
7. Kitisztítod a sablonod fejlécét. Pl. a wlwmanifest, meta generátor teljesen fölösleges bele.
8. Phpmyadminban rákeresel ezekre a csodanevekre, ha találkozol az adatbázisban is ilyesmivel, kitakarítod azt is.
9. Wp all in one security (vagy ha költeni is hajlandó vagy a biztonságra, akkor az ithemes security pro is szóba jöhet) – telepíted, beállítod.
10. Amit nem használsz – sablonok, bővítmények – egy alapsablon kivételével törlöd.”
Miről van szó?
- A tárhelyed admin felületére belépve találsz statisztikákat. Tárhelyszolgáltatója válogatja, hogy éppen mit, de látnod kell, hogy milyen ip címről jött a látogató, mit kért le. Ha értelmetlen php végződésű fájlt látsz, esetleg több ip címről kérik le, akkor gyanakodj és gyorsan nézd meg mi az a fájl (vagy fájlok). Ezeket törölnöd kell.
- Tiszta forrásból: wordpress.org, sablon, bővítmény készítőjének weboldala, stb. Ha esetleg prémium alkalmazást használtál anélkül, hogy megvásároltad volna, akkor két választásod van. Megveszed vagy nem használod tovább. Ha egyedi fejlesztésű alkalmazásod van, akkor előkeresed a számítógépedről / újra elkéred a tiszta fájlokat a készítőjétől.
- Karbantartás miatt zárva. Fogsz egy maintenance bővítményt vagy .htaccess fájlban elkészíted az átirányítást. Ez gyakorlatilag csak azért kell, hogy ne lássák a látogatók, hogy hibajavítás folyik az oldalon.
- Törlés. Tényleg mindent, könyvtárastól, a .htaccess, robots.txt, wp-config.php, sitemap, wp-content/uploads mappa kivételével.
- Ha mindent töröltél, akkor másold fel a tiszta fájlokat.
- Ellenőrzés. Amit nem töröltél, minden egyes fájlt végignézel. Még a képeket is, azokban is lehetnek futtatható részek.
- Fejléc tisztítása. A meta generátort mindenképp szedd ki. Nem kell a hackernek segíteni még azzal is, hogy megmondod neki, melyik WordPress verzió fut a honlapodon.
- Csodanevek. Azokról a fájlokról van szó, amiket a látogatottsági statisztikában láttál.
- Biztonsági bővítmény. Meg lehet ugyan csinálni .htaccessben is a biztonsági beállításokat, de egyszerűbb egy bővítményt beüzemelni. A két említett nagyon jól teszi a dolgát, de az Amit a WordPress biztonságról tudni akartál című könyvben több hasonló alkalmazás is van említve.
- Mindenképp töröld azokat a bővítményeket, sablonokat – egy twenty sablon kivételével – amiket sosem használsz (pl. kipróbáltad, de nem vált be). Bármelyikről kiderülhet, hogy sérülékenység van benne és máris törhető a honlapod. Egy alapsablont pedig azért tarts meg, mert ha esetleg egy automatikus frissítésnél valami (kompatibilitási) gond lép fel a sablonnál, akkor a rendszer vissza tud állni az alapértelmezett sablonra.
Az itt elmondott módszer a lehető legegyszerűbb módja a javításnak. Természetesen lehetnek olyan esetek, amikor ez a módszer nem megfelelő. Pl. sok módosított bővítményt vagy egyedi sablont használsz, amik emiatt nem voltak frissítve. Ekkor csak a fájlok egyesével átnézése módszer a járható út.
Még néhány tanács
- Ha van cgi-bin könyvtárad, abba is nézz bele, néha oda is rejtenek kártékony kódokat. Egyszer régen olyan fájlt is találtam itt egyik ügyfélnél, ami a WordPressből törölt fájlokat újra beszúrta.
- A tárhelyed fő könyvtárában is nézz szét (a publikus rész fölötti könyvtár). Szintén a fenti okból. Itt természetesen már ne törölgess, csak a a fájlokból az esetlegesen beszúrt kódokat, illetve az egyértelműen kártékony kódokat tartalmazó rendszeridegen fájlokat.
- Az adatbázisodban nézd meg, hogy milyen admin jogú felhasználók vannak, illetve nézd meg ugyanitt a tartalmaidat is, nincsenek-e nem odaillő tartalmi részek (amik csak az adatbázisban látszanak).
- Olvasd el a fentebb ajánlott könyvet és vedd figyelembe az abban ajánlott biztonsági tanácsokat.
Ha pedig feltörték az oldalad és gyors segítségre van szükséged, kattints ide!