Як перевірити сайт WordPress на віруси
- Звідки може взятися шкідливий код?
- Перевірка wordpress сайту на віруси
- 1. TOC
- 2. VIP Scanner
- 3. Anti-Malware from GOTMLS.NET
- 4. Wordfence
- 5. AntiVirus
- 6. Integrity Checker
- онлайн сервіси
- Ручна перевірка
- висновки
WordPress - це найпопулярніший движок для створення різних інформаційних сайтів і блогів. Безпека вашого сайту - це більше ніж безпека ваших даних. Це набагато важливіше, тому що це і безпеку всіх користувачів, які читають ваш ресурс і довіряють йому. Ось чому так важливо щоб веб-сайт не був заражений вірусами або будь-яким іншим шкідливим кодом.
Як захистити WordPress від злому ми розглянемо в одній з наступних статей, а зараз я хочу розповісти як перевірити сайт WordPress на віруси і шкідливий код, щоб переконатися що все в безпеці.
Зміст статті:
Звідки може взятися шкідливий код?
Найперший варіант, який приходить на розум - вас зламали хакери і вбудували в код вашого сайту свої бекдори, щоб мати можливість розсилати спам, ставити посилання і інші погані речі. Так іноді трапляється, але це досить рідкісний випадок якщо ви вчасно оновленні програмного продукту.
Існують тисячі безкоштовних тем для WordPress і різних плагінах і вже тут може критися загроза. Одна справа, коли ви завантажуєте шаблон з сайту WordPress і зовсім інша, коли знаходите на лівому сайті. Недобросовісні розробники можуть вбудовувати різний шкідливий код в свої продукти. Ще більше ризик, якщо ви завантажуєте безкоштовно преміум шаблони, там зломщики вже нічим не ризикуючи можуть додати якусь дірку в безпеці, через яку потім зможуть проникнути і зробити те, що їм потрібно. Ось тому так важлива перевірка wordpress сайту на віруси.
Перевірка wordpress сайту на віруси
Перше до чого потрібно звернутися при перевірці сайту не віруси, це плагіни WordPress. Швидко і просто ви можете сканувати свій сайт і знайти підозрілі ділянки коду, на які варто звернути увагу, будь вони в темі, плагін і самому ядрі Wodpress. Розглянемо кілька найпопулярніших плагінів:
1. TOC
Цей дуже простий плагін перевіряє всі встановлені на вашому сайті теми на предмет наявності в них шкідливого коду. Плагін виявляє приховані посилання, зашифровані за допомогою base64 вставки коду, а також виводить детальну інформацію про знайдені проблеми. Найчастіше, знайдені частини коду - це не віруси, але вони потенційно можуть бути небезпечні, тому вам варто звернути на них увагу.
Відкрийте "Зовнішній вигляд" -> "TAC" потім дочекайтеся поки усі теми будуть перевірені.
2. VIP Scanner
Дуже схожий на TOC сканер для тих, але виводить більше докладної інформації. Ті ж самі можливості по виявленню посилань, прихованого коду та інших шкідливих вставок. Просто відкрийте пункт VIP Scaner в розділі інструменти і аналізуйте результат.
Можливо, досить видалити зайві файли, наприклад, desktop.ini. Або ж потрібно більш детально подивитися що відбувається в файлах використовують base64.
3. Anti-Malware from GOTMLS.NET
Цей плагін дозволяє не тільки сканувати теми і ядро сайту на наявність вірусів, але і захищати сайт від перебору паролів і різних XSS, SQLInj атак. Пошук виконується на основі відомих сигнатур і вразливостей. Деякі уразливості можна на місці усувати. Щоб почати сканувати файли відкрийте "Anti-Malvare" в бічному меню і натисніть "Run Scan":
Перед тим як ви зможете запустити сканування, потрібно оновити бази даних сигнатур.
4. Wordfence
Це один з найпопулярніших плагінів для захисту WordPress і сканування на наявність шкідливого коду. Крім сканера, який може знайти більшість закладок в коді WordPress, тут є постійний захист від різних видів атак і перебору паролів. Під час пошуку плагін знаходить можливі проблеми з різними плагінами і темами, повідомляє потребу в оновленні WordPress.
Відкрийте вкладку "WPDefence" в бічному меню, а потім перейдіть на вкладку "Scan" і натисніть "Start Scan":
Сканування може зайняти певний час, але по завершенні ви побачите детальний звіт про виявлені проблеми.
5. AntiVirus
Це ще один простий плагін, який просканує ваш шаблон сайту на наявність шкідливого коду. Недолік у тому, що сканується тільки поточний шаблон, але інформація виводиться досить докладно. Ви побачите всі небезпечні функції, які є в темі і потім можете детально проаналізувати чи становлять вони якусь небезпеку. Знайдіть пункт "AntiVirus" в настройках, а потім натисніть "Scan the theme templates now":
6. Integrity Checker
Також бажано перевірити цілісність файлів WordPress, на випадок, якщо вірус вже записався вже куди-небудь. Для цього можна використовувати плагін Integrity Checker. Він перевіряє всі файли ядра, плагінів і шаблонів на зміни. В кінці сканування ви побачите інформацію про змінені файлах.
онлайн сервіси
Існує також кілька онлайн-сервісів, які дозволяють перевірити сайт wordpress на віруси або перевірити тільки шаблон. Ось деякі з них:
themecheck.org - ви завантажуєте архів теми і можете дивитися всі попередження про можливі шкідливих функціях, які в ній використовуються. Ви можете не тільки дивитися інформацію про свою темі, але і про інших темах, завантажених іншими користувачами, а також про різних версіях теми. Все що знаходять плагіни, може знайти і цей сайт. Перевірка wordpress теми теж дуже важлива.
virustotal.com - всім відомий ресурс, де ви можете перевірити свій сайт або файл шаблону на віруси.
ReScan.pro - перевірка WordPress сайту на віруси за допомогою цього сервісу безкоштовна, виконується статичний і динамічний аналіз, щоб виявити можливі редіректи сканер відкриває сторінки сайту. Перевіряє сайт за різними чорних списків.
sitecheck.sucuri.net - простий сервіс для сканування сайту і тим на віруси. Є свій плагін для WordPress. Виявляє небезпечні посилання і скрипти.
Ручна перевірка
Нічого не може бути краще ніж ручна перевірка. У Linux є така чудова утиліта grep, яка дозволяє шукати входження довільних рядків в папці з файлами. Залишилося зрозуміти що ми будемо шукати:
eval - ця функція дозволяє виконувати довільний php код, її не використовують поважають себе продукти, якщо один з плагінів або тема використовують цю функцію майже зі стовідсотковою ймовірністю можна сказати, що там є вірус;
- base64_decode - функції шифрування можуть використовуватися разом з eval, щоб заховати шкідливий код, але вони можуть застосовуватися і в мирних цілях, так що будьте уважні;
- sha1 - ще один метод шифрування шкідливого коду;
- gzinflate - функція стиснення, ті ж цілі, разом з eval, наприклад, gzinflate (base64_decode (код);
- strrev - перевертає рядок задом ні перед, як варіант може використовуватися для примітивного шифрування;
- print - виводить інформацію в браузер, разом з gzinflate або base64_decode небезпечно;
- file_put_contents - сам WordPress або плагіни ще можуть створювати файли в файлової системі, але якщо це робить тема, то вже варто насторожитися і перевірити навіщо їй це, так можуть встановлюватися віруси;
- file_get_contents - в більшості випадків використовується в мирних цілях, але може використовуватися для завантаження шкідливого коду або читання інформації з файлів;
- curl - та ж історія;
- fopen - відкриває файл для запису, хіба мало для чого;
- system - функція виконує команду в системі Linux, якщо це робить тема, плагін або сам wordpress, швидше за все, там вірус;
- symlink - створює символічні посилання в системі, можливо, вірус намагається зробити основну файлову систему доступною із зовні;
- copy - копіює файл з одного місця в інше;
- getcwd - повертає ім'я поточного робочого каталогу;
- cwd - змінює поточну робочу папку;
- ini_get - отримує інформацію про налаштування PHP, частіше в мирних цілях, але хіба мало;
- error_reporting (0) - відключає висновок усіх помилок;
- window.top.location.href - javascript функція, яка використовується для редиректів на інші сторінки;
- hacked - так, про всяк випадок, перевіряємо, раптом, хакер сам нам вирішив розповісти.
Ви можете підставляти кожне окреме слово в таку команду:
grep -R "hacked" / var / www / шлях / до / файлів / wordpress / wp-content /
Або ж використовувати простий скрипт, який буде шукати всі слова за раз:
values = "base64_decode (
eval (base64_decode
gzinflate (base64_decode (
getcwd ();
strrev (
chr (ord (
cwd
ini_get
window.top.location.href
copy (
eval (
system (
symlink (
error_reporting (0)
print
file_get_contents (
file_put_contents (
fopen (
hacked "
cd / var / www / шлях / до / файлів / wordpress / wp-content /
$ Fgrep -nr --include \ *. Php "$ values" *
Ви можете отримати певну кількість попереджень для будь-якої теми або плагіна, але трохи їх проаналізувавши, ви зможете зрозуміти які небезпечні, а які - помилкові спрацьовування. Утиліта виводить все досить детально, відразу ім'я файлу, а потім ділянку коду, який ви шукаєте, так що ви будете знати де шукати шкідливий код wordpress. Це вже приклад шкідливого коду:
висновки
От і все. Тепер ви знаєте як виконується перевірка шаблону wordpress на віруси, а також перевірка цілого сайту. Звичайно, всі ці методи не дають стовідсоткової гарантії, що з вашим сайтом все добре, але в багатьох випадках вони можуть допомогти вирішити проблему зі зломом.
Оцініть статтю:
Звідки може взятися шкідливий код?