Acesta este un articol pe care am decis să-l publicăm pentru că în ultima vreme am tot devirusat / curățat site-uri WordPress pentru clienții noștri păgubiți de persoane fără experiență, dar cu dorința de a face rapid niște bănuți din installuri făcute cu picioarele.

De ce se infectează site-urile pe WordPress?

Mecanismul este simplu – cineva vrea un site, găsește o ofertă din cele care abundă în online, la o sută, două de euro, și o vreme e fericit că are un site frumos, responsive, eventual cu parallax și alte efecte vizuale drăguțe, în care poate pune la nevoie informații noi despre afacerea pe care o are. Totul a fost atât de ieftin! Ce chilipir! (e-studio.ro cere 700 de euro pe același lucru! Oare de ce?)

Totuși, ce nu știe omul astfel păcălit (și, cel mai adesea, nici persoana care a făcut installul – Worpress e magic: “famous 5 minutes install”) este că orice sistem trebuie securizat măcar minimal. Nu vă gândiți la chestii complicate, minimal înseamnă chiar minimal, adică măcar baza de date și userul bazei de date să nu fie la fel, iar parola bazei de date să nu fie de forma 123321, 1234, 1234abcd sau combinații similare, care sunt primele pe listă în cazul unui atac. Și măcar userul cu drepturi depline de administrare să nu aibă o combinație user/pass de forma admin/1234! Sau măcar la instalarea de pluginuri fermecate, care schimbă fața site-ului și adaugă funcțiile atât de mult-dorite, să se verifice dacă pluginul are vechime, are rating bun de la cât mai mulți oameni, recenzii cu aspect natural și așa mai departe.

Ce e de făcut dacă ai un site virusat?

Apelezi la profesioniști și ei vor încerca să elimine complet fișierele infectate și să restaureze fișierele necesare. La fel și baza de date. Asta e ceva ce nu poți face mereu (dacă nu există backup-uri sau dacă infecția a modificat fișiere pe care nu ai de unde să le recuperezi și să le înlocuiești), dar, în general, soluții se găsesc.

Cei cu mai puțină experiență (dar cu suficientă, cât să înțeleagă cum funcționează genul ăsta de atac și ce afectează) pot face un install curat de WordPress, pe care pot pune tema necesară (cu condiția ca tema însăși să nu fie vreuna cu vulnerabilități!) și instala pluginurile esențiale (cu atenție să fie pluginuri legitime și testate în mod real de public – nu instalați toate prostiile care promit diverse, că riscați enorm!). Apoi poate exporta baza de date din installul infectat, spre a o importa în installul bun… cu condiția să nu fie și ea, la rândul ei, cu probleme (vezi mai jos). În cazul site-urilor cu 5-20 de pagini și puține poze în Media Gallery recomandăm soluția instalării de la zero și adăugării manuale a paginilor și galeriilor foto necesare, pe installul curat, fără complicația cu baza de date.

Cum se curață un site virusat?

Cu multă atenție și în ceva timp.

De ieri până astăzi am curățat (sperăm, complet) un site pe WordPress (care are 20 de pagini ale lui, atât!) pe care se lăfăiau aproximativ 80000 de fișiere *.js și *.html cu nume de genul “medicamentulXieftinonline” sau “brandulXoriginal”. Și fișiere de tip *.dat și *.php, pline cu cod menit să genereze trafic, spam, linkuri către site-uri spam și tot așa. Spam injection și cloaking într-o veselie. Până și în baza de date intrase infecția – avea user cu drepturi totale de administrare și – culmea – mailul indicat pentru acel user ilegitim ducea la o companie americană specializată în… securitate online. Totul pentru că explicaseră, la un moment dat, pe blogul lor, cum se face un user de WordPress direct în baza de date a site-ului (motiv pentru care nici noi nu vom pune aici niciunul dintre codurile descoperite în site-urile pe care le-am dezinfectat de-a lungul timpului).

Ce se întâmplă dacă ai un site virusat?

În primul rând, situația e dezastruoasă și în ceea ce privește SEO. Site-ul de care ne-am ocupat de ieri până azi avea indexate aproape 4000 de pagini spam. Cuvintele cheie listate ca fiind relevante pentru site… dezastru și acolo – de la medicamente ilegale sau doar cu rețetă până la prescripții false și mărci cunoscute, de lux, dar contrafăcute, e totul acolo.

Mare lucru nu putem face după devirusare, în afară de a încerca să eliminăm acel “manual action” inițiat de Google pe bună dreptate. Iată ce am scris, extrem de pe scurt, în formularul Google din Search Console, în încercarea de a-l convinge să scoată textul “This website is hacked” din rezultatele de căutare:

We first found a lot of files of js and html type that led to spam places (viagra, pharmacy etc) in the root of the website and deleted them. Then we inspected the plugins and found something called WordPress Researcher that was obviously not legit and we deleted it. We also found a series of other not legitimate plugins, such as Docs, Backup, WPUpdate, all full with malicious *.dat files and we deleted them all. We inspected the database and we found an illegitimate user and we removed it. Of course we changed all passwords and secret keys in WP, database, FTP accounts, cpanel. We also changed all legit users’ passwords. We updated all legit plugins and also the WP install, which was pretty old. We deleted all unnecessary plugins and we left only the ones rated by many people (and excluded those unrated or with few ratings and / or installs). We now believe the website is clean, but we are monitoring it closely anyway.

Nu suntem siguri că am scăpat 100% de problemă – în acest moment, pe internet nu există niciun fel de documentație pentru eliminarea virusului în cauză și credem că este destul de nou. Am găsit câteva referiri la același comportament și tip de fișiere, dar nimic care să vină și cu o soluție, așa că ne-am bazat pe muncă de detectiv și experiență (dacă vă confruntați cu ceva similar și aveți de devirusat un astfel de site bine infectat, contactați-ne). Vom monitoriza site-ul în perioada următoare, iar clientului îi vom recomanda fie să renunțe la WordPress și să-și facă un website pe E-Media, fie să aibă grijă de parole, să monitorizeze constant site-ul (ceea ce e un sfat bun în orice caz) și să-și facă la timp toate update-urile. Cât despre instalarea de pluginuri fără a consulta un profesionist, mai bine nu.

Advertisements