Nếu trang web WordPress hoặc bảng điều khiển quản trị viên của bạn bị chuyển hướng đến một trang web spam thì trang web của bạn đã bị tấn công bằng phần mềm độc hại chuyển hướng.
Vậy bạn có thể làm gì với phần mềm độc hại chuyển hướng WordPress bị tấn công trên trang web của mình?
Trước hết, hãy quét trang web của bạn để xác nhận xem bạn có thực sự bị hack hay không.
Điều quan trọng cần nhớ là thời gian là người bạn tốt nhất của bạn ở đây. Đừng lãng phí thời gian đau khổ vì nó. Vụ hack hoàn toàn có thể khắc phục được và trang web của bạn có thể được làm sạch. Nhưng bạn cần phải di chuyển nhanh chóng.
Chúng tôi đã gặp vụ hack này hàng nghìn lần. Chúng tôi sẽ cho bạn biết các bước chính xác để giúp bạn xóa các chuyển hướng độc hại khỏi trang web của bạn, sửa chữa trang web của bạn và đảm bảo điều đó không xảy ra lần nữa.
TL;DR: Quét trang web của bạn để ngăn chặn trang web của bạn chuyển hướng đến các trang web spam. Với một số biến thể của hack chuyển hướng WordPress, việc tìm hiểu gốc rễ của nó có thể gây khó chịu. Bài viết này sẽ giúp bạn tìm và dọn dẹp phần mềm độc hại theo từng bước một cách nhanh chóng.
Hiểu về cách hack chuyển hướng WordPress
Chuyển hướng bị tấn công WordPress xảy ra khi mã độc được đưa vào trang web của bạn, sau đó mã này sẽ tự động đưa khách truy cập của bạn đến một trang web khác. Thông thường, trang web đích là trang web spam, có các sản phẩm dược phẩm chợ đen, dịch vụ bất hợp pháp hoặc các trang web được thiết kế cho các cuộc tấn công lừa đảo nhằm đánh cắp thông tin cá nhân từ khách truy cập của bạn.
Có nhiều loại phần mềm độc hại gây ra hành vi này, vì vậy hack chuyển hướng phần mềm độc hại WordPress là một thuật ngữ chung đề cập đến triệu chứng phổ biến:chuyển hướng độc hại.
Có 4 bước để khôi phục sau vụ tấn công chuyển hướng:
- Quét trang web của bạn để tìm phần mềm độc hại
- Dọn sạch phần mềm độc hại tấn công chuyển hướng
- Đảo ngược mọi thiệt hại do vụ hack gây ra
- Ngăn chặn các vụ tấn công chuyển hướng trong tương lai làm hỏng trang web của bạn
Loại hack này ảnh hưởng đến hàng triệu trang web và gây ra tổn thất khủng khiếp hàng ngày. Các trang web mất doanh thu, thương hiệu và thứ hạng SEO, chưa kể đến áp lực phục hồi.
Tuy nhiên, điều tồi tệ nhất về một vụ hack là nó ngày càng trở nên tồi tệ hơn. Phần mềm độc hại lây lan qua các tệp và thư mục và thậm chí cả cơ sở dữ liệu trang web của bạn, tự sao chép và sử dụng trang web của bạn để lây nhiễm cho người khác.
Ưu tiên của bạn là lưu trang web của bạn. Bạn có thể làm điều đó bằng cách quét trang web của bạn ngay bây giờ.
Bước 1:Quét sâu trang web của bạn để tìm các chuyển hướng spam
Sử dụng trình quét trực tuyến miễn phí của MalCare để chắc chắn 100% trang web của bạn có chuyển hướng spam.
Chúng tôi khuyên dùng MalCare vì chúng tôi đã thấy nhiều biến thể của phần mềm độc hại chuyển hướng bị tấn công trên trang web WordPress.
Một trường hợp rất phổ biến là khi trang web của bạn được truy cập trên thiết bị di động, điều này cho thấy phần mềm độc hại có trong tệp .htaccess. Hoặc một điều chúng ta thường thấy là hack trên các trang tự động chuyển hướng. Điều này xảy ra khi cơ sở dữ liệu có phần mềm độc hại. Thực tế là phần mềm độc hại trực tiếp bị tấn công trên WordPress có thể ở hầu hết mọi nơi trên trang web của bạn.
Ngoài ra, nhiều máy quét sẽ gắn cờ theo cách khác—hoặc thậm chí bỏ sót phần mềm độc hại. Ví dụ:Quttera sẽ gắn cờ phần mềm độc hại như thế này:Threat name: Heur.AlienFile.gen
Và WordFence sẽ hiển thị cảnh báo cho hàng loạt tệp không xác định, như sau:
* Tệp không xác định trong lõi WordPress:wp-admin/css/colors/blue/php.ini
* Tệp không xác định trong lõi WordPress:wp-admin/css/colors/coffee/php.ini
* Tệp không xác định trong lõi WordPress:wp-admin/css/colors/ectoplasm/php.ini
Đây là những dấu hiệu tốt cho thấy trang web của bạn đã bị hack, bởi vì, như chúng ta sẽ thấy sau, thư mục /wp-admin không được có bất cứ thứ gì ngoài các tệp cốt lõi từ quá trình cài đặt WordPress.
Tuy nhiên, thật không may, điều này không hữu ích cho việc quét. Rốt cuộc thì các tập tin không xác định có thể làm được bất cứ điều gì. Mã tùy chỉnh, có ai không?
Nhìn chung, có những vấn đề lớn với cách hoạt động của các trình quét phần mềm độc hại WordPress khác, do cách hoạt động của cơ chế phát hiện của chúng. Kết quả dương tính giả, thiếu tệp và một loạt vấn đề khác.
Trang web của bạn rất quan trọng, vì vậy hãy lựa chọn một cách khôn ngoan.
Các cách khác để quét phần mềm độc hại trên trang web của bạn
Sử dụng trình quét bảo mật trực tuyến
Có một số trình quét bảo mật trực tuyến nhưng chúng không—không thể—toàn diện như một plugin bảo mật.
Lấy Sucuri SiteCheck làm ví dụ. Nó đủ đơn giản để chạy kiểm tra phần mềm độc hại chuyển hướng bị tấn công WordPress bằng cách sử dụng nó. Tuy nhiên, trình quét bảo mật trực tuyến hoặc trình quét giao diện người dùng chỉ có thể quét mã trong các trang và bài đăng của bạn để tìm kiếm các tập lệnh phần mềm độc hại.
Mặc dù có rất nhiều phần mềm độc hại chuyển hướng bị tấn công tồn tại trong các trang này nhưng có một số biến thể tồn tại trong các tệp cốt lõi. Máy quét giao diện người dùng sẽ không hiển thị những thứ này.
Sử dụng trình quét bảo mật trực tuyến như công cụ chẩn đoán hàng đầu. Nếu nó hiển thị tích cực, bạn có thể tin tưởng rằng nó tích cực và nỗ lực giải quyết vụ hack. Nếu kết quả là âm tính, bạn có thể kiểm tra thủ công ở những nơi mà máy quét giao diện người dùng không quét được. Bằng cách này, bạn có thể loại bỏ một số công việc thủ công liên quan.
Quét phần mềm độc hại theo cách thủ công
Nếu bạn đang sử dụng plugin quét phần mềm độc hại để quét phần mềm độc hại chuyển hướng bị tấn công, bạn có thể bỏ qua hoàn toàn phần này. Một plugin bảo mật tốt như MalCare sẽ thực hiện chính xác những gì chúng tôi đề xuất bên dưới, nhưng nhanh hơn và tốt hơn nhiều.
Quét trang web của bạn để tìm phần mềm độc hại về cơ bản có nghĩa là tìm kiếm mã rác trong các tệp và cơ sở dữ liệu. Chúng tôi hiểu rằng 'mã rác' không hữu ích như một chỉ dẫn, nhưng do có nhiều biến thể nên không có một chuỗi nào mà bạn có thể nhanh chóng xác định và tuyên bố rằng có một vụ hack.
Tuy nhiên, trong phần tiếp theo, chúng tôi đã liệt kê một số ví dụ về phần mềm độc hại mà chúng tôi đã thấy trên trang web của khách hàng. Và trong phần sau đó, chúng ta sẽ nói về những vị trí điển hình mà phần mềm độc hại được chèn vào, tùy thuộc vào hành vi chuyển hướng được nhìn thấy.
Phần mềm độc hại chuyển hướng WordPress CÓ THỂ trông như thế nào
Có rất nhiều biến thể của phần mềm độc hại chuyển hướng bị tấn công trên WordPress.
Vì vậy, không có một điểm đánh dấu tiêu chuẩn nào mà chúng ta có thể nói:“Hãy tìm cái này!” Ngoài ra, phần mềm độc hại thay đổi rất nhiều theo thời gian, vì vậy khi chúng tôi viết bài này, nó có thể đã thay đổi đáng kể.
Hãy nhớ rằng những điều này tốt nhất chỉ mang tính biểu thị, đây là một số điều chúng tôi đã thấy giống như:
- Mã có thể được lồng vào tiêu đề trang ở đâu đó hoặc trong tất cả các trang của bảng wp_posts. Dưới đây là một số ví dụ:
- Các bảng wp_options có thể có các URL lạ trong site_url. Đây là một số ví dụ mà chúng tôi thấy gần đây nhất.
- Các tập lệnh cũng có thể bị xáo trộn, điều đó có nghĩa là bạn phải chạy nó thông qua một công cụ giải mã trực tuyến để trích xuất mã thực.
Mã bị xáo trộn
Và ý nghĩa thực sự của nó
- Các plugin giả mạo có thể có các tệp trông như thế này khi mở ra
- Chuyển hướng dành riêng cho thiết bị di động cho biết những thay đổi trong tệp .htaccess. Mã bên dưới chuyển hướng đến
Những nơi để tìm phần mềm độc hại chuyển hướng
WordPress được chia thành hai phần chính, các tập tin và cơ sở dữ liệu của nó. Vấn đề với phần mềm độc hại chuyển hướng bị tấn công là nó có thể ở bất cứ đâu.
Nếu bạn đã quen với việc mày mò mã trang web của mình, bạn có thể xem các vị trí sau để tìm mã chuyển hướng mà chúng tôi đã đề cập. Tải xuống bản sao lưu trang web của bạn—cả hai tệp và cơ sở dữ liệu —để tìm kiếm những bổ sung đáng ngờ.
Một lần nữa, xin lưu ý rằng các biến thể tồn tại, như cổ điển, tình huống, dành riêng cho thiết bị, hoặc thậm chí chuyển hướng theo chuỗi . Mỗi mã sẽ khác nhau và vị trí cũng vậy.
A. Tệp trang web
- Các tệp WordPress cốt lõi: Bắt đầu với cách dễ nhất, /wp-admin và /wp-includes không nên thay đổi chút nào so với bản cài đặt WordPress mới. Tương tự với index.php, settings.php, và load.php tập tin. Đây là các tệp WordPress cốt lõi và các tùy chỉnh không ghi bất kỳ thay đổi nào vào chúng. So sánh với bản cài đặt mới của WordPress để xác nhận xem có bất kỳ biến thể nào không.
.htaccess tập tin là một trường hợp đặc biệt. Hack chuyển hướng trên thiết bị di động hầu như sẽ luôn hiển thị trong tập tin này. Hãy tìm quy tắc tác nhân người dùng để xác định hành vi tùy thuộc vào thiết bị được sử dụng và kiểm tra tập lệnh chuyển hướng ở đó.
- Tệp chủ đề đang hoạt động: Nếu bạn đã cài đặt nhiều chủ đề (đây không phải là ý tưởng hay khi bắt đầu), hãy đảm bảo chỉ có một chủ đề đang hoạt động. Sau đó xem các tệp chủ đề đang hoạt động như header.php, footer.php, và functions.php cho mã lẻ.
Một cách tốt để kiểm tra điều này là tải xuống các bản cài đặt nguyên sơ từ các trang web của nhà phát triển và khớp mã với các tệp đó. Thông thường, các tệp này phải có định dạng nhất định nên mã rác sẽ xuất hiện. Tuy nhiên, hãy nhớ rằng các tùy chỉnh cũng sẽ thay đổi mã.
Ngoài ra, nếu bạn đang sử dụng các chủ đề hoặc plugin không có giá trị, bạn có thể dừng chẩn đoán ngay tại đây vì chúng tôi có thể đảm bảo với bạn rằng bạn đã bị tấn công vì những điều đó.
- Các plugin giả mạo trên trang web của bạn: Vâng, đây là một điều. Tin tặc ngụy trang phần mềm độc hại bằng cách làm cho nó trông hợp pháp nhất có thể. Đi vào wp-content/plugins thư mục và có một cái nhìn. Có thứ gì bạn chưa cài đặt không? Có sự trùng lặp kỳ lạ nào không? Có ai trong số họ chỉ có một hoặc hai tệp trong thư mục của họ không?
Ví dụ chúng ta đã thấy gần đây:
/wp-content/plugins/mplugin/mplugin.php
/wp-content/plugins/wp-zzz/wp-zzz.php
/wp-content/plugins/Plugin/plug.phpNếu bạn đã cài đặt vô số plugin, việc kiểm tra tất cả chúng có thể khó khăn. Một nguyên tắc nhỏ để xác định các plugin giả mạo là, theo quy ước, tên plugin hợp pháp hiếm khi bắt đầu bằng chữ in hoa và tên của chúng không có ký tự đặc biệt ngoại trừ dấu gạch nối. Đây không phải là quy tắc, mà là quy ước. Vì vậy, đừng đặt quá nhiều sự chú ý vào những thứ này để xác định rõ ràng hàng giả.
Nếu bạn nghi ngờ một plugin là giả mạo, hãy Google và tìm phiên bản gốc từ kho lưu trữ WordPress. Tải xuống từ đó và kiểm tra xem các tệp có khớp với nhau không.
B. Cơ sở dữ liệu
- wp_posts bảng:Các tập lệnh độc hại thường có trên mỗi trang. Nhưng như chúng tôi đã nói trước đây, tin tặc rất khôn ngoan. Kiểm tra một số bài viết mẫu trước khi xác định rằng vụ hack không tồn tại.
Một cách khác để kiểm tra mã trang và bài đăng của bạn là kiểm tra nguồn trang của nó sử dụng trình duyệt của bạn. Mỗi trang trên trang web của bạn đều có mã HTML, được trình duyệt đọc. Mở nguồn Trang và kiểm tra đầu trang, chân trang và bất cứ thứ gì giữa các thẻ