מה עושים אם אתר הוורדפרס שלי נפרץ?

אתרי וורדפרס ישראלים הפכו למטרה לסקריפטים אוטומטיים ששותלים בהם דפי פישינג. זה מה שצריך לעשות אם נפגעתם.

למרבה הצער, אני מקבל לא מעט פניות של אנשים שגילו שכתובת האתר של העסק שלהם מופיעה בסמסים מזויפים מטעם הדואר או ups וכשהם נכנסים אל האתר שלהם הם מגלים שהוא נפרץ ודף מסוים בו מכיל טופס "קבלת פרטי אשראי של הדואר" שמופץ על ידי עבריינים לקורבנות תמימים.

איך זה קורה?

רוב הפריצות היום הם לא על ידי האקרים מרושעים, אלא על ידי סקריפטים אוטומטיים שסורקים את הרשת ומחפשים גרסאות וורדפרס לא מעודכנות או תוספים לא מעודכנים או שרתים מיושנים ומנסים לחדור אליהם באופן אוטומטי. לעתים החדירה הזו היא למטרת השחתה (הצבת דגל פלסטין ומוזיקה אוריינטלית מזעזעת) אבל גם למטרות אחרות כמו החדרת טופס פישינג או סקאם. התוקף בעצם מנצל את האתר שלכם כדי לשתול בו טופס מתחזה לדואר עם "הכנס את מספר כרטיס האשראי שלך כדי לקבל את החבילה" ומפיץ את הקישור לאתר שלכם בסמס סקאם המוני. כך אתם סובלים שלוש פעמים: גם האתר שלכם נפרץ ואתם צריכים לשבור את הראש על התיקון, גם הוא סובל מעומס כי המוני קורבנות נכנסים וגם האתר שלכם עלול להכנס לרשימה שחורה.

מה עושים? מידע טכני

אז מה עושים? האינסטינקט הראשוני הוא למחוק את הקוד הזדוני אם הצלחתם לאתר אותו. לפעמים זה index.php מורעל, לפעמים index.html שלא אמור להיות בתיקיה מסוימת או קובץ אחר ב-wp-includes. הבעיה היא שלפעמים דקות אחרי שהסרתם את הקובץ, הוא יחזור מחדש. זה לא בגלל שהתוקף תוקף שוב. בדרך כלל זה אומר שהתוקף שתל עוד קודים במערכת, לפעמים במקומות רבים ובקבצי ליבה של וורדפרס ותוספים והקוד הזדוני הזה בכל פעם יוצר מחדש את הקבצים. המערכת שלכם בעצם מורעלת. כי כל פעם יווצרו קבצים כאלו על ידי קוד אחר שנמצא באיזה קובץ ליבה שלא מצאתםץ

אם אתם מנהלים את השרת, הפתרון הוא סריקה של כל השרת ואני לא אפרט על הפתרון במאמר זה. המאמר מיועד לבוני אתרים/בעלי אתרים בלבד ואני יוצא מנקודת הנחה שהתשתית שלכם מנוהלת/ אתם משתמשים באיחסון שיתופי. והפתרון הוא ניקיון מלא של כל התיקיה שלכם בשרת. איך עושים את זה?

צעד 1: לא חובה אבל מאוד עדיף – להשבית את האתר לתנועה מבחוץ. ניתן לעשות זאת דרך htaccess או לבקש את זה מהתמיכה של ספק האחסון שלכם.

צעד 2:גיבוי מלא של מסד הנתונים של הוורדפרס – באמצעות תוסף גיבוי.

צעד 3: גיבוי מלא של התמונות והקבצים בתיקית wp-uploads והורדה למחשב האישי שלכם. בדיקה מקיפה שאין שם קבצי php.

צעד 4: גיבוי מלא של קבצים נוספים שיש בשרת וחשובים לכם ובדיקה שאין בהם קוד PHP או, אם מדובר בקבצי PHP שלכם – סריקה שאין שם קוד זדוני – איך? לפעמים בעין זה מספיק.

צעד 5: להכין רשימה של כל התוספים.

צעד 6: מחיקה של כל הקבצים בשרת. כולם.

צעד 7: התקנת וורדפרס נקי ומעודכן. התקנת התוספים, העברת תיקית התמונות חזרה והעלאת גיבוי מסד הנתונים.

צעד 8: הקשחת אתר הוורדפרס לאחר שוידאנו שהנזק נעלם.

הצעד האחרון הוא להחזיר את האתר לרשת החיצונית.

אפשר לעשות את זה עם תוספים

אלו הפעולות שאתם צריכים לעשות כדי לוודא התקנה נקיה. כמובן שבאופן ידני לעשות את זה זה סיוט אז יש כמה וכמה תוספים, חלקם חינמיים, שעושים זאת עבורכם. אבל בגדול הם עושים את אותם צעדים ב-ד-י-ו-ק.

התוסף של סוקורי – מבצע סריקה לקבצי ליבה של וורדפרס ומתריע אם יש שינויים. אם יש – תוכלו להחליף ידנית או, בגרסה של התוסף בתשלום, אוטומטית. הוא תוסף מצוין.

התוסף של וורדפנס – גם הוא דומה לסוקורי ומבצע סריקות והשוואות ונחשב לתוסף טוב. אם אתם לא מסתדרים עם זה של סוקורי, נסו אותו.

מומלץ להתקין את התוספים האלו לסריקות שבועיות גם אם אין לכם כרגע פריצה פעילה.

אבל אני לא איש טכני, מה אני עושה עכשיו?

אם אתם לא אנשים טכניים ומה שכתבתי כאן מייאש אתכם – גם סוקורי וגם וורדפנס מציעים שירותי מומחים לניקוי האתר ועשיית כל הפעולות האלו בתשלום סביר. גם cobweb security שהם חברה ישראלית מציעים שירותים כאלו ויש עוד כמה חברות ופרילנסרים (אם אתם פרילנסרים כאלו, אנא הגיבו בתגובות עם פירוט קצר על מה שאתם עושים, אני אאשר כל תגובה עם קישור). אם אתם לא אנשים מקצועיים אנא אל תנסו לעשות זאת לבד.

הדרך הכי טובה – להמנע מראש מהפריצה הזו

כאמור רוב הפורצים לאתרי וורדפרס, במיוחד בהיקף קטן, הם לא אנשים אלא סקריפטים שמבצעים סריקות ומנסים לאתר באופן אוטומטי פגיעויות. הדרך הטובה ביותר להמנע מהם היא לעדכן באופן אוטומטי את האתר, התוספים והתבניות. איך?

עדכון אוטומטי של וורדפרס כבר נכנס כברירת מחדל בגרסאות החדשות של וורדפרס, כדאי לוודא את זה באמצעות כניסה לפאנל הניהול -> שדרוגים.

עדכון אוטומטי של תוספים נעשה באמצעות כניסה לפאנל הניהול -> תוספים -> סימון התוספים והפעלת עדכון אוטומטי.

וכמובן להסיר תוספים ותבניות לא פעילות.

זו הפעולה הטובה ביותר שאפשר לעשות. נכון, זה חושף אתכם לשיבושים ובעיות אם התוסף שובר לכם פונקציונליות. אבל החלופה היא הרבה יותר גרועה. אחרי כן ניתן לבצע הקשחה של האתר, התקנה של תוספי אבטחה, מעבר לקלאודפלייר וחסימה/הגבלה של גולשים ממדינות אחרות ושאר פעולות אבטחה. אבל זה הדבר החשוב ביותר.

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

DALL·E 2023-10-21 22.28.58 - Photo of a computer server room with red warning lights flashing, indicating a potential cyber threat. Multiple screens display graphs showing a sudde
יסודות בתכנות

מבוא לאבטחת מידע: IDOR

הסבר על התקפה אהובה ומוצלחת שבאמצעותה שואבים מידע מאתרים

ספריות ומודולים

להתנסות ב AutoGPT

הטרנד החם בעולם ה-GPT וה-AI – הפעלת אייג׳נטים בקלות עם Auto GPT.

גלילה לראש העמוד