Wszystkie artykuły Poprzedni Następny

Czy moja strona WordPress została zhakowana?

W tym artykule przeanalizujemy objawy zhakowanej strony WordPress. Jeśli podejrzewasz, że padłeś ofiarą ataku na stronę WP, ten artykuł jest dla Ciebie.

Analiza 40 tysięcy stron WordPress znajdujących się w pierwszym milionie największych stron Alexa pokazała, że 70% z nich jest narażonych na ataki. Dlatego nie do końca może dziwić fakt, że strony korzystające z tego CMS-a tak często padają ofiarą hakerów.

Jeśli Twoja strona zaczęła zachowywać się w ostatnim czasie dziwnie, może to oznaczać, że padłeś ofiarą udanego ataku.

Poniżej postaramy się przedstawić najważniejsze objawy zhakowanych stron WordPress.

Spadek ilości wejść

Większość z właścicieli stron korzysta z narzędzi analitycznych takich jak Google Analytics. Nagły spadek wejść może oznaczać, że nasza strona padła ofiarą ataku.

Ten objaw może oznaczać, że malware spowodowało wrogie przekierowania na naszych stronach.

Możliwe jest też, że narzędzie Google pomagające w bezpiecznym przeglądaniu internetu zaczęło blokować zainfekowaną stronę. Każdego tygodnia Google dodaje do czarnej listy około 20 tysięcy zainfekowanych stron i 50 tysięcy stron zawierających phishing.

Trzeba pamiętać, że spadek wejść na stronę nie musi koniecznie oznaczać ataku. Google wprowadza, co jakiś czas, zmiany w swoim algorytmie, dlatego spadek wejść może być wynikiem spadków w SEO.

Hosting zawiesza stronę

Hosting w przypadku otrzymania skarg od użytkowników bądź po wykryciu malware na stronie może ją zablokować. Pomyłki zdarzają się tu bardzo rzadko, więc jeśli do tego doszło oznacza to, że padłeś ofiarą ataku.

„This site ahead contains malware”

Jeśli po wejściu na stronę zamiast jej treści przeglądarka wyświetla ten komunikat, oznacza, że ta padła ofiarą ataku i jest automatycznie blokowana przez przeglądarkę.

atak malware ostrzeżenie

Innym, częstym komunikatem jest: „Phishing attack ahead”.

atak phisingowy ostrzeżenie

Linki na stronie

Jednym z najczęstszych sposobów, w jaki wykorzystywane zostają zainfekowane strony, jest SEO spam.

Jeśli na naszej stronie pojawiły się linki, których tam nie umieszczaliśmy, jest praktycznie pewne, że nasz CMS został zhakowany.

Na temat SEO spamu możesz przeczytać więcej w naszym artykule Czym jest SEO spam i jak się przed nim obronić.

Zmienione tagi meta

Ten typ ataku również służy do celów SEO. Złośliwy kod zmienia, w tym przypadku, tagi meta, które są widoczne dla wyszukiwarek.

Zmieniona strona

To jeden z najbardziej oczywistych objawów. Z angielskiego defacement. W początkach internetu tego typu atak był bardzo popularny. Grupy hakerskie prześcigały się w tej formie cyfrowego wandalizmu, która polegała na przejęciu strony i zmiany jej treści.

zhakowana strona

Czasy się zmieniły i obecnie hakerzy wykorzystują ataki w celach zarobkowych, wykorzystując zainfekowane strony w inny sposób. Tego typu ataki są, natomiast, ciągle stosowane przez haktywistów w celach społecznych i politycznych.

Nie możesz się zalogować na stronę WordPress

Jeśli nie możesz się zalogować do panelu administracyjnego WP, może to oznaczać udany atak. Trzeba upewnić się, czy wprowadzamy hasło prawidłowo.

wordpress bląd przy logowaniu

Jeśli Twoje konto admina zostało skasowane, nie będziesz miał możliwości zresetowania hasła.

Dodani użytkownicy w panelu administratora

Jeśli Twoja strona nie umożliwia rejestracji, a w panelu administratora widzisz nowych użytkowników, oznacza to, z dużym prawdopodobieństwem atak.

wordpress podejrzani użytkownicy

Dodani użytkownicy zwykle mają status administratora.

By zwiększyć bezpieczeństwo w tej przestrzeni przeczytaj nasz poradnik: Jak zabezpieczyć przed atakami panel administracyjny WordPress.

Nieznane skrypty/pliki na serwerze

Skrypty lub pliki, które nie są częścią standardowej instalacji WordPressa, są częstą objawą. 

W przypadkach niezaawansowanych ataków zmiany mogą zostać zaobserwowane podczas zwykłego przeglądania plików, używając klienta FTP. Często złośliwe skrypty można znaleźć w folderze /wp-content/.

W przypadku bardziej zaawansowanych ataków może nie obejść się bez pełnej analizy. Jednym z celów hakerów po ataku jest właśnie ukrycie zainstalowanego malware i backdoorów i bardziej wysublimowani cybernetyczni wandale mają do dyspozycji cały szereg zaawansowanych metod, które mogą zastosować.

Wolna strona

Do zwolnienia działania strony może dojść w paru przypadkach. Jednym z nich jest atak DDoS przeprowadzany na naszą stronę — może dojść do całkowitego jej wyłączenia. Inną możliwością jest wykorzystywanie zasobów (np. procesora) naszego serwera do nielegalnych celów takich jak, popularne ostatnio, kopanie kryptowalut.

Dziwne aktywności w logach

Wskazanym jest korzystanie z plugin-ów logujących aktywności takich jak WP Security Audit Log. Niestety duża część klientów, którzy do nas trafiają, zapomina o tym, co utrudnia analizę ataku.

cpanel logi

Nawet jeśli nie korzystamy ze specjalnego plugin-u, mamy do dyspozycji podstawowe logi dostępne są z poziomu hostingu. Wszelkie odchyły od standardowych zachowań mogą oznaczać atak.

Problemy z wysyłaniem e-maili

Używanie serwera do wysyłania spamu to kolejny, częsty, sposób, w jaki zostaje wykorzystana zhakowana strona.

Jeśli mamy problemy z wysyłaniem lub odbieraniem e-maili może to oznaczać zhakowanie. Niestety może to mieć bardzo duże konsekwencje — nasz adres email lub adres IP serwera może zostać dodany do czarnej listy (co oznacza, że nasze wiadomości będą klasyfikowane jako spam przez większość klientów e-mailowych).

Podejrzany harmonogram zadań

Cron jest aplikacją działającą na serwerach, która służy do harmonogramowania zadań. Ta funkcjonalność bardzo często zostaje wykorzystania przez deweloperów malware i jest spotykana również podczas ataków na strony WordPress.

Warto sprawdzić, czy nie zostały stworzone dodatkowe zadania, które zwykle służą jako backdoor.

Reklamy / złośliwe pop-upy

Jeśli widzimy na naszej stronie reklamy, których nie powinno tam być, to jest to jasny sygnał, że nasza strona WP została zhakowana.

Atakujący mają możliwość wstrzyknięcia reklam na stronach, a także wykorzystują pop-upy do reklam, jak również do przeprowadzenia innych oszustw internetowych.

Zabezpieczenie strony

Jeśli padłeś ofiarą ataku, masz możliwość podjęcia próby, dokonania usunięcia wirusa samemu bądź skorzystania z pomocy analityków malware, którzy specjalizują się w usuwaniu wirusów ze stron.

Usunięcie nieskomplikowanego malware samemu jest jak najbardziej możliwe, ale trzeba brać pod uwagę, że wykonanie tego w sposób nieskuteczny może wiązać się z szeregiem konsekwencji.

Postaw kawę autorowi artukułu.

Zobacz wszystkie artykuły

Jeśli potrzebujesz pomocy, twoja strona została zainfekowana, chcesz dokonać audytu bezpieczeństwa, czy po prostu masz jakieś pytania — napisz do nas. Postaramy się pomóc.

Zgłoś błąd w tekście
×