Po zjištění napadení WordPress je nutné reagovat velmi rychle. V momentě, kdy už je vidět nějaká aktivita, například se ozve antivirus, že na stránce je škodlivý kód ohrožujete nejen návštěvníky, ale i sebe. Útočník totiž nezřídka rozesílá přes své skripty spam, útočí na jiné weby anebo zde už může být phishingová stránka. Dále je jen otázkou času, než se váš web dostanete na seznamy nebezpečných webů, což mimo jiné znamená vyřazení z vyhledávačů a zobrazení varování prohlížeče případným návštěvníkům.

Abyste tomuto zabránili je nutné web „vypnout“. To se většinou dělá přes .htaccess do kterého se vloží přesměrování na stránku s omluvou (302 – dočasné přesměrování), popřípadě přes 403 zákaz vstupu, také ideálně s vlastním textem.

Po zavedení dočasných opatření je potřeba instalaci vyčistit. Tohle by měl provádět odborník a to hned z několika důvodů.

Zvládne to rychleji

Člověk pro kterého je čistění napadených instalací denním chlebem, už má vypracovaný určitý postup a využívá osvědčené nástroje. Zatímco vám to bude trvat celé odpoledne s tím, že není jisté, zdali jste na něco nezapomněli, odborník si postupně v seznamu úkonů bude odškrtávat jednotlivé položky.

Napadení také bývají občas takovou sezónní záležitostí. Objeví se díra v nějakém pluginu a ta se hromadně zneužívá. Vše provádí robot, který prochází desítky tisíc instalací a testuje zdali danou díru obsahují. Když jí najdou, tak postupují vždy stejně. Pokud takovéto napadení vidíte už poněkolikáté, tak se s ním dokážete poměrně rychle vypořádat.

Má patřičné znalosti

Čištění napadeného WordPress není jednoduchou záležitostí. Musíte znát celou jeho architekturu, umět programovat a vyznat se poměrně dobře v jeho kódu. Jen tak dohledáte, co tam nepatří, popřípadě o co vlastně útočníkovi jde. Pokud tyto znalosti nemáte velice snadno něco přehlédnete.

Skryté nástrahy

Napadený web má často nějaký backdoor. Jakmile vše vyčistíte, tak přes backdoor se vše rozjede nanovo. Takovýto backdoor může být schovaný jako samostatný soubor anebo kus kódu. Teoreticky může být naprosto kdekoliv.

Dále většinou od odborníka dostanete seznam instrukcí, co máte dělat. Většinou to jsou běžné rady jako změnit si přístupová hesla k administraci, FTP, databázi atd. Nejednou už bylo třeba změnit si heslo k emailu, protože uživatel měl v počítači malware co hledal v emailech přihlašovací údaje.

Občas se však můžete dozvědět, že nemáte používat určitý plugin, protože je už tři roky neaktualizovaný a děravý.

Ví s kým se poradit

Někdy může být napadení opravdu záhadou. Zjistit jak proběhlo znamená odhalit novou bezpečnostní díru, o které vývojář pluginu či autor šablony netuší. Bezpečnostní odborníci většinou umí obejít běžnou komunikaci a dostat se rovnou k vývojářům.

Většinou také mají někoho s kým probrat případný zádrhel, jestliže bude nad jejich síly. Může se jednat například o uzavřené komunity anebo prostě kolegy v práci. Někdy na odstranění napadení může pracovat i celý tým lidí.

Když nejsou peníze na odborníka

Takový bezpečnostní odborník není levnou záležitostí. Pokud máte po ruce zálohu většinou je na 50 procent vyhráno. Zvláště jestli je staršího data. Chybějící data jde doplnit z cache prohlížečů anebo internetových archivů. Popřípadě zkuste stáhnout export databáze.

Export databáze dokáže zachránit den i když zálohu vůbec nemáte. Backdoor může být i v databázi, na to nezapomínejte. Většinou vám však stačí čistě texty.

Závěr

Samozřejmě pokud není web tak důležitý je zkoumání napadení zajímavou záležitostí, zvláště pokud už nějaké znalosti máte. Procházet access log a dívat se odkud přichází příkazy a kde se má nacházet backdoor je tak trochu adrenalinovou zábavou. Když už backdoor najdete a strávíte hodiny reverzním inženýrstvím, jsou odměnou zkušenosti fascinace jak tohle mohl dát někdo vůbec dohromady. Vaše poznatky, které vás stály hodiny či desítky hodin života můžete předat dále. Zajímavý článek plný faktických poznatků a detailů často velmi rády publikují odborná média.

Tento článek byl byl přečten 2616 krát