Příznaky napadeného WordPress
Čistit napadený WordPress není nic příjemného, většinou se to řeší obnovením ze zálohy. To ovšem znamená, že musíte mít funkční zálohu z doby, kdy WordPress byl ještě v pořádku. Spousta malware se však snaží skrýt svou přítomnost, co možná nejdéle, popřípadě provádí neplechu někde na pozadí. Po několika týdnech, tak už zálohu nenapadené verze mít nemusíte. Je tak dobré sledovat varovné signály, že něco není v pořádku.
Změny na domovské stránce
Mezi klasické příznaky patří pozměněná domovská stránka. Nemusí se přitom jednat hned o černou stránku s velkým nápisem, že váš web byl hacknut. Často je například vaše reklama nahrazena jinou, objeví se v patičce odkazy anebo vás prohlížeč varuje, že na stránce je prvek směřující na nebezpečnou doménu.
Žádný z těchto příznaků neberte na lehkou váhu. Pokud nemáte povolenou reklamu pro dospělé a najednou se zobrazuje, tak zkontrolujte ihned zdrojový kód. Obdobně to funguje i odkazy, které jste do stránky nevložili. Šablony jen výjimečně mění obsah patičky, navíc je nutná k tomu aktualizace. Nehledejte výmluvu, proč se to mohlo stát, hledejte důvody.
Jestliže prohlížeč na stránce našel něco co se mu nelíbí, tak projděte bezodkladně zdrojový kód. Je zcela běžné, že to uvidí třeba jeden člověk z deseti, popřípadě jen jednou za týden.
Podivný nárůst přístupů
Pokud máte to štěstí a váš hosting vám nabízí sledování návštěvnosti z access log, například přes awstats, snadno poznáte nárůst přístupů. Detailně se na to zaměřte a hledejte stránky, které to způsobují. Můžete totiž najít phishingovou stránku anebo soubor s malware, na které odkazuje emailový smap.
V takovémto případě musíte zakročit co nejdříve, abyste zabránili dalšímu šíření, popřípadě aby někdo nebyl poškozen. Neberte na lehkou váhu ani varování z hostingu, že váš web přetěžuje servery. Důvod nemusí vždy být zvýšená návštěvnost.
Pozor běžní počítadla přístupů jako je Google Analytics tento nárůst návštěvnosti neuvidí, protože se jejich kód na dané stránce nenachází.
Podivná přesměrování
Zcela běžné pro malware je nasadit na web přesměrování návštěvníků k tomu kdo platí. Takováto přesměrování bývají náhodná a nemusí se třeba týden opakovat. Často také z nich bývají vyjmuti registrovaní uživatelé, zvláště s vyššími právy. Důvod je samozřejmě jednoduchý, útočník nechce, abyste na to přišli. Je tak dobré občas kouknout na web z jiného prohlížeče, než používáte pro přihlášení do administrace.
Jakékoliv náhodné přesměrování neberte na lehkou váhu. Takovéto náhody neexistují. Něco je špatně a je třeba to řešit.
Vracející se emaily
Pokud máte na doméně nastavený emailový koš, tak se emaily poslané z neexistujících adres začnou vracet. Zde je třeba prostudovat hlavičku emailu a zjistit odkud byly ve skutečnosti odeslány. Zaměřte se hlavně na IP adresu.
Jakmile zjistíte, že jdou od vás, tak je třeba zajistit co nejrychleji nápravu. Vaše IP adresa se může dostat na blacklist různých služeb, co hlídají SPAM a dostat jí za odsud je někdy běh na dlouhou trať.
Emaily se odesílají přes funkci mail(). Tuto funkci je možné až do vyřešení zakázat. Jen si dejte pozor, pokud to uděláte nemůže vám WordPress zaslat například náhradní zapomenuté heslo.
Napsat komentář