Kötü amaçlı yazılım, spam ve diğer bilgisayar saldırılarını WordPress’ten kaldırma adımları.
Bu yazı, her şeyi kapsayan bir rehber olacağı anlamına gelmez, ancak takip edilirse, gördüğümüz enfeksiyonların% 70’ini gidermeye yardımcı olacağından emin olabilirsiniz.
Hack’i Bul ve Tanımla
1.1Sitenizi Tarama
Hackli WordPress Sitesi içerisinde kötü amaçlı yükleri ve kötü amaçlı yazılım konumlarını bulmak için sitenizi uzaktan tarayan araçları kullanabilirsiniz. Sucuri, WordPress resmi deposunda bulabileceğiniz ücretsiz bir WordPress eklentisine sahiptir. Bu eklenti sayesinde kolayca tarama yaparak sitenizdeki kötü amaçlı yazılımları bulabilirsiniz.
Kötü amaçlı yazılımlar için WordPress nasıl taranır?
- SiteCheck web sitesini ziyaret edin .
- Web Sitesini Tara’yı tıklayın
- Siteye virüs bulaşmışsa, uyarı mesajını inceleyin.
- Yükleri ve konumları not alın (varsa).
- Kara liste uyarılarına dikkat edin.
Hackli WordPress Sitesi içerisinde uzak tarayıcı bir hack bulamıyorsa, bu bölümdeki diğer testlere devam edin. Ayrıca , bilmediğiniz veya şüpheli öğeleri aramak için Kötü Amaçlı Yazılım Taraması’nın iFrames / Bağlantıları / Komut Dosyaları sekmesini el ile de inceleyebilirsiniz.
Aynı sunucuda birden fazla WP siteniz varsa, hepsini taramanızı öneririz (bunu yapmak için SiteCheck’i de kullanabilirsiniz ). Siteler arası kirlenme , yeniden enfeksiyonların önde gelen nedenlerinden biridir. Her web sitesi sahibinin, hosting ve web hesaplarını izole etmelerini öneriyoruz.
Uzak bir tarayıcı, potansiyel güvenlik sorunlarını tanımlamak için siteyi arayacaktır. Bazı sorunlar bir tarayıcıda görünmez, bunun yerine sunucuda tezahür eder (ör. Arka kapılar, kimlik avı ve sunucu tabanlı komut dosyaları). Taramaya en kapsamlı yaklaşım, uzak ve sunucu tarafındaki tarayıcıları içerir. Uzaktan tarayıcıların nasıl çalıştığı hakkında daha fazla bilgi edinin.
Çekirdek Dosya Bütünlüğünü Kontrol Edin
Çekirdek WordPress dosyalarının çoğu hiçbir zaman değiştirilmemelidir. Wp-admin, wp-include ve root klasörlerindeki bütünlük sorunlarını kontrol etmeniz gerekir.
WordPress çekirdek dosyalarınızın bütünlüğünü onaylamanın en hızlı yolu terminaldeki diff komutunu kullanmaktır. Komut satırını kullanmakta rahat değilseniz, dosyalarınızı SFTP üzerinden manuel olarak kontrol edebilirsiniz.
Hiçbir şey değiştirilmemişse, çekirdek dosyalarınız temizdir.
Wp-content gibi dizinlerdeki kötü amaçlı yazılımları hızlı bir şekilde kontrol etmek için bir FTP istemcisi kullanmak isteyebilirsiniz. Şifrelenmemiş FTP yerine FTPS / SFTP / SSH kullanmanızı öneririz.
Son Değiştirilen Dosyaları Kontrol Et
Hackli WordPress Sitesi içerisinde yeni veya yakın zamanda değiştirilmiş dosyalar, bilgisayar korsanlığının bir parçası olabilir.
Son zamanlarda değiştirilip değiştirilmediğini görerek saldırıya uğramış dosyaları tanımlayabilirsiniz.
Son değiştirilen dosyalar manuel olarak nasıl kontrol edilir:
- Bir FTP istemcisi veya SSH terminali kullanarak sunucunuza giriş yapın.
- SSH kullanıyorsanız, bu komutu kullanarak son 15 günde değiştirilen tüm dosyaları listeleyebilirsiniz :
$ find ./ -type f -mtime -15
- SFTP kullanıyorsanız, sunucudaki tüm dosyalar için en son değiştirilen tarih sütununu inceleyin.
- Yakın zamanda değiştirilmiş dosyaları not alın.
Son zamanlarda değiştirilen dosyalar Linux’ta terminal komutlarını kullanarak nasıl kontrol edilir:
- Terminalinizi yazın:
$ find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r .
- Dizin dosyalarını görmek istiyorsanız terminalinizi yazın:
$ find /etc -printf '%TY-%Tm-%Td %TT %p\n' | sort -r .
- Son 7-30 gündeki bilinmeyen değişiklikler şüpheli olabilir.
Teşhis Sayfalarını Kontrol Edin
WordPress siteniz Google veya diğer web sitesi güvenlik yetkilileri tarafından kara listeye alınmışsa, web sitenizin güvenlik durumunu kontrol etmek için tanılama araçlarını kullanabilirsiniz.
Google Şeffaflık Raporunuzu nasıl kontrol edebilirsiniz:
- Güvenli Tarama Sitesi Durumu web sitesini ziyaret edin .
- Site URL’nizi girin ve arayın.
- Bu sayfada şunları kontrol edebilirsiniz:
- Site Güvenliği Ayrıntıları: Kötü amaçlı yönlendirmeler, spam ve indirmeler hakkında bilgiler.
- Test Ayrıntıları: Kötü amaçlı yazılım bulan en son Google taraması.
Sitenizi herhangi bir ücretsiz web yöneticisi aracına eklediyseniz, web siteniz için güvenlik derecelendirmelerini ve raporlarını kontrol edebilirsiniz. Bu ücretsiz izleme araçları için zaten bir hesabınız yoksa, kullanmaları için ücretsiz oldukları için kaydolmanızı önemle tavsiye ederiz:
WordPress Sitenizden Kötü Amaçlı Yazılımları Kaldırma
Artık kötü amaçlı yazılım konumları hakkında bilgi sahibi olduğunuza göre, kötü amaçlı yazılımları WordPress’ten kaldırabilir ve web sitenizi temiz bir duruma geri yükleyebilirsiniz.
İpucu: WordPress’te hacklenmiş dosyaları tanımlamanın en iyi yolu, sitenin mevcut durumunu eski ve temiz bir yedekleme ile karşılaştırmaktır. Bir yedekleme varsa, bunu iki sürümü karşılaştırmak ve neyin değiştirildiğini tanımlamak için kullanabilirsiniz.
Bu adımların bazıları web sunucusu ve veritabanı erişimi gerektirir. Veritabanı tablolarını yönetme veya PHP düzenleme konusunda bilginiz yoksa, lütfen WordPress kötü amaçlı yazılımını tamamen kaldırabilecek profesyonel bir Olay Tepki Ekibi üyesinden yardım isteyin . Bu konuda eğer ekip bulamıyorsanız bizimle iletişime geçerek WordPress çalışmanızı inceledikten sonra maliyet hesaplamasını yapalım ardından size bildirimde bulunacağız.
Temizlenmiş Hacked WordPress Dosyaları
Eğer enfeksiyon çekirdek dosyalarınızda veya eklentilerinizde ise, manuel olarak düzeltebilirsiniz, wp-config.php dosyanızın veya wp-content klasörünün üzerine yazmayın .
Özel dosyalar yeni kopyalarla veya yeni bir yedekleme ile değiştirilebilir (virüslü değilse). İşte WordPress ile kullanabileceğiniz bazı ek ipuçları ve püf noktaları .
Bilgisayar korsanlığını gidermek için ilk adımda bulunan kötü amaçlı yükleri veya şüpheli dosyaları kullanabilirsiniz.
Kötü amaçlı yazılım bulaşmasını web sitenizdeki dosyalardan elle nasıl kaldırabilirsiniz:
- Sunucunuza SFTP veya SSH ile giriş yapın.
- Değişiklik yapmadan önce sitenin yedeğini oluşturun.
- Son değiştirilen dosyaları tanımlayın.
- Değişiklik tarihini, değiştiren kullanıcı ile onaylayın.
- Resmi WordPress deposundaki kopyalarla şüpheli dosyaları geri yükleyin.
- Herhangi bir özel veya premium dosyayı (resmi depoda olmayan) bir metin editörüyle açın.
- Özel dosyalardan şüpheli kodu kaldırın.
- Değişikliklerden sonra sitenin hala çalışır durumda olduğunu doğrulamak için test edin.
Temizlenmiş Hacked Veritabanı Tabloları
Kötü amaçlı yazılım bulaşmasını WordPress veritabanınızdan kaldırmak için veritabanına bağlanmak için veritabanı yönetici panelinizi kullanın. Search-Replace-DB veya Adminer gibi araçları da kullanabilirsiniz .
Kötü amaçlı yazılım bulaşmasını WordPress dosyalarınızdan el ile kaldırma:
- Veritabanı yönetici panelinize giriş yapın.
- Değişiklik yapmadan önce veritabanını yedekleyin.
- Şüpheli içerik arayın (ör. Spam amaçlı anahtar kelimeler, bağlantılar).
- Şüpheli içerik içeren tabloyu açın.
- Şüpheli içeriği elle kaldırın.
- Değişikliklerden sonra sitenin hala çalışır durumda olduğunu doğrulamak için test edin.
- Yüklemiş olabileceğiniz tüm veritabanı erişim araçlarını kaldırın.
Yeni başlayanlar, kötü amaçlı yazılım tarayıcısının sağladığı faydalı bilgileri kullanabilir. Ara kullanıcılar, eval, base64_decode, gzinflate, preg_replace, str_replace, vb. Gibi genel kötü amaçlı PHP işlevlerini manuel olarak da arayabilir.
Güvenli Kullanıcı Hesapları
Bilmediğiniz bir WordPress kullanıcısı olduğunu fark ettiyseniz, bilgisayar korsanlarının erişemeyeceği şekilde kaldırın. Yalnızca bir yönetici kullanıcısına sahip olmanızı ve diğer kullanıcı rollerini gereken en düşük ayrıcalıklara (örneğin, katkıda bulunan, yazar, editör) ayarlamanızı öneririz.
Şüpheli kullanıcıları WordPress’ten el ile kaldırma:
- Devam etmeden önce sitenizi ve veritabanınızı yedekleyin.
- WordPress’e yönetici olarak giriş yapın ve Kullanıcılar’ı tıklayın.
- Şüpheli yeni kullanıcı hesaplarını bulun.
- Şüpheli kullanıcının üzerine gelin ve Sil’i tıklayın.
Herhangi bir kullanıcı hesabınızın tehlikeye girdiğini düşünüyorsanız, şifrelerini sıfırlayabilirsiniz. Bunu yapmanın yollarından biri Sucuri eklentisini kullanmak.
Gizli Arka Kapıları Kaldır
Hackerlar her zaman sitenize geri dönmenin bir yolunu bırakır. Çoğu durumda, saldırıya uğramış WordPress sitelerinde çeşitli tiplerde arka kapılar buluyoruz.
Genellikle arka kapılar WordPress çekirdek dosyalarına benzeyen ancak yanlış dizinlerde bulunan dosyalara gömülüdür. Saldırganlar ayrıca arka kapıya wp-config.php gibi dosyalara ve / themes, / plugins ve / upload gibi dizinlere enjekte edebilirler.
Arka kapılar genellikle aşağıdaki PHP fonksiyonlarını içerir:
- base64
- str_rot13
- gzuncompress
- eval
- exec
- sistem
- assert
- stripslashes
- preg_replace (/ e / ile)
- move_uploaded_file
Bu işlevler ayrıca eklentiler tarafından yasal olarak da kullanılabilir, bu nedenle herhangi bir değişikliği test ettiğinizden emin olun, çünkü sitenizi iyi huylu işlevleri kaldırarak bozabilirsiniz.
Gördüğümüz kötü amaçlı kodların çoğu, algılamayı önlemek için bir tür kodlama kullanır. Kimlik doğrulama mekanizmalarını korumak için kodlama kullanan premium bileşenlerin yanı sıra, resmi WordPress deposunda kodlamayı görmek çok nadirdir.
Bir WordPress kesmesini başarıyla temizlemek için tüm arka kapakların kapatılması çok önemlidir, aksi takdirde siteniz hızlı bir şekilde yeniden bulaşır.
Kötü Amaçlı Yazılım Uyarılarını Kaldırma
Google, McAfee, Yandex (veya başka bir web spam yetkilileri) tarafından kara listeye alındıysanız, bilgisayar kimliği düzeltildikten sonra inceleme isteyebilirsiniz.
Sitenizdeki kötü amaçlı yazılım uyarıları nasıl kaldırılır:
- Hosting şirketinizi arayın ve askıya almalarını isteyin.
- Kötü amaçlı yazılımı nasıl kaldırdığınızla ilgili ayrıntılı bilgi vermeniz gerekebilir.
- Her kara liste otoritesi için bir inceleme talebi formu doldurun.
- yani. Google Arama Konsolu, McAfee SiteAdvisor, Yandex Web Yöneticisi.
Sucuri Web Sitesi Güvenlik Platformu ile sizin adınıza kara liste inceleme istekleri sunuyoruz. Bu, sitenizin kesinlikle incelemeye hazır olmasını sağlamaya yardımcı olur. Ancak, elle yapılan işlemlerin bir sonucu olarak web spam saldırıları gibi bazı incelemeler iki hafta kadar sürebilir.
Not: Bu yazı Sucuri.net üzerinden Türkçe’ye çevrilmiştir. WordPress’in önermesi sonucu yazı hakkında ikinci bölümde detaylara yer vereceğiz.