Cum sa curat un website WordPress infectat cu cod malware?

Cum se curata un website WordPress infectat?

WordPress este una dintre cele mai cunoscute platforme, fiind utilizata la constructia de site-uri web, magazine online si blog-uri. Fiind cea mai cunoscuta platforma si cel mai des utilizata la nivel global, este si cea mai vulnerabila impotriva atacurilor de orice fel.

In cazul in care website-ul tau WordPress este infectat nu trebuie sa intrii in panica. Mai jos o sa iti explic pas cu pas ce trebuie facut pentru a elimina codul malware din site. Daca parcurgi toti acesti pasi exista 99% sanse sa inlaturi codul malware si sa securizezi website-ul.

Pasul 1: Modificare parole.

Modificam parola de cPanel, parola de FTP daca exista conturi FTP active in cPanel, parola aferenta bazei de date si parola de la zona de wp-admin. Aceste patru parole trebuie modificate in prima faza.

Pasul 2: Scanare fisiere website

Poti utiliza tool-uri precum https://sitecheck.sucuri.net/ sau direct Imunify360 din cPanel. Firmele de web hosting detin acest tool de scanare in cPanel. In cazul in care nu ai optiunea activa poti solicita o scanare cu Imunify360 direct providerului de hosting.

Pasul 3: Verificam integritatea fisierelor

Personal prefer sa inlocuiesc toate fisierele aferente platformei, astfel ma asigur ca nu ramane nici un fisier infectat. Selectam toate fisierele si foldere in afara de /wp-content, /wp-config.php si fisierul de Google Site Verification daca avem unul.

In folderul /wp-content sunt stocate toate informatiile site-ului (imagini, tema, plugin-uri) iar in wp-config.php sunt stocate setarile site-ului, inclusiv setarile ce tin de baza de date de aceea acestea nu trebuie sterse niciodata!

Devirusare Website WordPress

Dupa ce stergem aceste fisiere descarcam o arhiva curata de WordPress, o incarcam in cPanel -> File Manager -> /public_html si o dezarhivam. Dupa dezarhivare o sa avem un folder nou numit /wordpress, folder din care o sa mutam toate fisierele in /public_html. Astfel instalarea noastra WordPress o sa contina ultimele update-uri.

Fisierele WordPress le descarcam de pe acest link – https://wordpress.org/download/

Pasul 4: Verificare fisier wp-config.php

Verificam fisierul wp-config.php daca contine linii codate in Base64, Exclusive OR (XOR), ROT13. (aceste coduri sunt scrise in primele linii din fisier).

Fisier WordPress Infectat

Daca identificam cod de genul celui de mai sus trebuie sa il indepartam din fisier. La fel trebuie verificate toate fisierele care au fost modificate recent. Este o munca putin mai migaloasa, insa doar asa putem sa eliminam toate bresele de securitate.

Pasul 5: Stergere fisiere .htaccess daca exista

Stergem toate fisierele .htaccess din folderele aferente site-ului, in afara de cel din /public_html (in unele cazuri atacatorii insereaza cate un fisiere .htaccess in toate folderele aferente site-ului). Aceste fisiere in mod normal contin cod malware.

Pasul 6: Stergere plugin-uri si teme neutilizate

Stergem toate plugin-urile si temele care nu sunt utilizate. Exista posibilitatea ca in aceste locatii sa existe fisiere infectate. Ca sa nu le verificam pe fiecare in parte cel mai bine le stergem – ele oricum nu sunt utile.

Pasul 7: Rulam inca o scanare

Dupa ce ne asiguram ca am sters toate resursele neutilizate rulam inca o scanare cu Imunify360. In cazul in care Imunify360 nu mai identifica nici un fisiere infectat putem trece la verificarea bazei de date direct din PhpMyAdmin. Aici ne intereseaza in mod special tabela de useri.

Pasul 8: Verificare baza de date

Verificam baza de date, in mod special tabela wp_users si ne asiguram ca nu avem useri noi cu nume „suspecte”. Daca identificam acest tip de useri ii stergem. De asemenea, modificam parola aferenta userului nostru. Modificarea se poate face direct din PhpMyAdmin prin editarea tabelei respective. Sa te asiguri ca folosesti mereu parole generate de minim 10 caractere.

Pasul 9: Update obligatoriu la toate plugin-urile

Personal inlocuiesc folderul plugin-ului dorit cu unul nou. Descarc plugin-ul „curat”, sterg cel vechi de pe server si ulterior il dezarhivez pe cel descarcat. Setarile plugin-urilor nu o sa se piarda, acestea fiind stocate in baza de date. As putea inlocui doar fisierele prin rescriere, insa daca am fisiere in plus (fisiere ce contin cod malware) acestea nu o sa fie rescrise iar bresa de securitate ramane in cont si peste cateva zile o sa avem din nou contul infectat.

Pasul 10: Inlocuire fisiere template

Daca ai achizitionat tema de pe ThemeForest sau dintr-o alta sursa sigura si nu ai adus modificari la nivel de core, iti recomand sa inlocuiesti fisierele temei cu o arhiva noua. La fel ca in cazul plugin-urilor setarile temei sunt stocate in baza de date, astfel putem inlocui fara probleme folderul temei.

Cum se curata un website WordPress infectat

Personal redenumesc tema veche iar ulterior incarc arhiva noua si o dezarhivez. Dupa ce ma asigur ca este totul functional sterg folderul vechi.

Pasul 11: Contactam o firma specializata

In cazul in care nu reusesti singur sa realizezi aceste operatiuni poti oricand contacta firme specializate in acest gen de operatiuni. Un astfel de serviciu oferim si noi la NAMEBOX. Poti afla mai multe detalii despre serviciul de devirusare website sau pe site-ul dedicat serviciului de devirusare website.

Lasă un comentariu