Привет, друзья IdeaFox!
Представьте себе, что Ваш ночной кошмар стал реальностью, и Ваш блог заразили вирусом…. Что делать будете? Куда побежите решать проблему?
Мне довольно часто пишут письма с просьбой помочь почистить блоги от всякой заразы. Вот я и решил написать эту статью, так как проблема есть и очень многие не знают что делать в такой ситуации.
Я настойчиво рекомендую обратить внимание на этот плагин всем блогерам и тем, кто не знает, что делать с уже зараженным сайтом. Плагин в рунете не очень известен, но чрезвычайно популярен у англоязычных блогеров.
Итак, если Ваш блог заражен, то вариантов у вас ровно четыре:
1. Восстановить сайт из резервной копии. Забавно, что многие блогеры бэкапы не делают, а потом рвут волосы на всех частях своего тела :- )
2. Обратиться к хорошим специалистам по безопасности, что само по себе довольно дорогое удовольствие.
3. Разбираться самому. Но придется методично лопатить движок и читать специализированные форумы.
4. Забить на проблему и жить дальше :- )
Вот и я столкнулся с тем, что один из моих сайтов на движке WordPress был заражен.
Я давно махнул на него рукой, но в последний момент решил разобраться до конца в этой ситуации. Подумал, что это будет хорошей тренировкой для возможных проблем в будущем. (Тьфу три раза )
Как найти вирус на сайте?
Я решил разобраться самостоятельно, так как тратить деньги на унылый говносайт никак не входило в мои планы. Но и лопатить код вручную до кровавых слез тоже не хотелось : –)
Недолго думая пошел читать зарубежные сайты. Технические сайты я читаю довольно бодро, а где спотыкаюсь, то быстро перевожу при помощи Гуглопереводчика.
Кстати, я уже давно ищу специализированную информацию на зарубежных сайтах, так как Рунет до такой степени забит SEO-сайтами с однотипной информацией, что уже не смешно.
Ну вот серьезно, после прочтения пары десятков ритуальных статей про “список моих плагинов”, я просто очумел. Абсолютно безликие статьи-клоны с заюзанными плагинами, про которые знает даже моя бабушка : –)
Пошел на свой любимый американский форум и сразу же нашел то, что мне нужно.
WordFence Security
Установить его можно стандартным способом или скачать с сайта разработчика http://www.wordfence.com/
Базовая версия является бесплатной, а платная версия за 39 долларов обладает некоторыми интересными функциями, недоступными в Free-версии (например, проверка сайта по расписанию)
Для кого он пригодится?
— В первую очередь для тех, у кого уже есть вирус на блоге ВордПресс :- )
— И очень рекомендую для разработчиков сайтов на WP, которые поддерживают или лечат клиентские сайты.
Какие возможности у WordFence Security?
Самая главная особенность этого плагина заключается в том, что он сравнивает каждый файл Вашего блога с эталонным файлом WordPress из репозитория.
Если не поняли, то поясняю. Предположим, у вас заражен файл плагина или движка. Какой именно файл Вам неизвестно …
WFS берет КАЖДЫЙ файл движка и расширений, и построчно сравнивает его с таким же файлом “чистого” движка WordPress. Все подозрительные файлы он выводит в отчет для дальнейшего разбирательства (см. ниже)
Кроме этого:
1. Проверяет все исходящие ссылки с блога. Например, если ссылка ведет на зараженный сайт из статьи или комментария, то такую ссылку лучше удалить. Я такие ссылки удаляю без малейших размышлений, так как это вредит блогу.
2. Проверяет каждую страницу блога через сервис Google Safe Browsing
3. Можно блокировать по IP целые страны. Вы прекрасно знаете, что взлом часто пытаются осуществить из стран Африки или Южной Азии. Очень удобно, так как IP-адреса постоянно меняются, но все они часто из этих теплых стран. (Доступно в платной версии)
4. Проверка движка антивирусом от WFS. Я бы не стал на него полностью полагаться, но тем не менее, он есть и работает. О том, как проверить блог на вредоносный код я писал в статье “7 способов проверить сайт на вирусы”
5. Просмотр поведения посетителей в прямом эфире. Данная функция позволяет посмотреть кто и что делает на блоге в данный момент. Или, например, показывает кто и с какого IP пытался зайти в админку.
6. Защита от брутфорса админки сайта. Это полный аналог Limit Logins Attempt, о котором писал отдельную заметку.
7. Оповещение по е-майл о любых подозрительных изменениях на сайте.
И еще множество других интересных функций…
После тестирования на двух сайтах могу уверенно рекомендовать его как отличное дополнение к прекрасному плагину безопасности Better WP Security
Если Better WP Security защищает от взлома, то WordFence Security позволяет находить вредоносный код на проблемных сайтах очень быстро.
Как настроить WordFence Security?
У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно.
Если лень смотреть видео : ) , то внимательно прочитайте инструкцию ниже.
После установки плагина Вы увидите в админке WP новый значок:
Сначала нужно сделать небольшие настройки плагина. В принципе, можно оставить все настройки по умолчанию, но так как я использую Better WP Security, то пришлось поколдовать с настройками, чтобы не было конфликтов между этими расширениями. Как это выглядит, можно увидеть на скриншоте ниже:
Все остальные настройки оставил без изменений (их там очень много).
Если у Вас не установлен Беттер ВП Секьюрити (или другой плагин безопасности), то можно оставить все настройки по-умолчанию, и не смотреть на мои скриншоты.
Теперь можно запустить сканирование файлов через пункт меню “Scan”.
Сама проверка занимает около 5-15 минут, в зависимости от мощности сервера и количества файлов на хостинге. Но и на виртуальном хостинге WFS отработал без проблем. Кстати, вы можете получить три месяца хостинга в подарок вот здесь :- )
После сканирования, в идеале, должны увидеть вот такое сообщение:
Это сообщение говорит, что никаких проблем на блоге нет. Но на самом деле, я увидел несколько предупреждений о том, что ряд файлов WP были изменены.
Например, я увидел, что один из файлов Akismet был изменен. Я напрягся :- )
Пугаться не нужно, так как скорее всего речь идет о незначительных расхождениях в файлах типа readme.txt, о возможных расхождениях между русской и английской версией.
Для того, чтобы понять, насколько критична проблема, следует нажать на надпись “See how the file has changed” и увидим что именно было изменено в файле. В моем случае файл отличается от оригинального только тем, что был добавлен еще один разработчик. Это, конечно, не вирус и можно проигнорировать эту проблему.
Чтобы этот файл не мозолил глаза при последующих проверках, нужно нажать на надпись “Always ignore this file”
Если же файл заражен, то можно удалить вредоносный код вручную, или восстановить файл из репозитория WordPress нажав на надпись “Restore the original version of this file”. Я предпочел почистить проблемный файл вручную.
Таким образом нужно просмотреть все файлы из списка возможных угроз. Но в большинстве случаев это незначительные расхождения, которые можно смело игнорировать:
- Отличия в переводе. Не забывайте, что сравнение идет с английской версией ВордПресс.
- Отличия в версиях плагинов
- Небольшие расхождения в файлах readme.txt у плагинов.
Если же вы видите, что код явно подозрительный, содержит странные ссылки или зашифрованный код, то стоит напрячься.
Пока писал заметку, то понял, что все-таки нужно иметь довольно хорошие знания, так как явным новичкам придется долго разбираться. Поэтому настойчиво рекомендую делать резервные копии перед любыми изменениями на сайте, чтобы всегда можно было откатить блог в прежнее состояние.
А вот для более-менее опытных блогеров этот плагин просто необходим. Те, кто хоть раз искал заразу на блоге вручную будут петь “алилуйя” :- )
Если есть вопросы, то задавайте в комментах и обязательно проверьте свои ненаглядные блоги :- )