Honnan tudjuk, hogy WordPress oldalunkat megfertőzte egy vírus? Miért olyan gyakori ez? A vírusok egyre kifinomultabbak, sokszor észre sem lehet venni őket. Ha azonban a Google megneszeli a dolgot, akkor legrosszabb esetben ki is zárhatja honlapunkat a keresőből. Sőt, ha ügyfeleink adatait is a honlapon, tárhelyen őrizzük, akkor az adatvédelmi incidenst 2 napon belül be kell jelentenünk a hatóságoknak.
Bírságra is számíthatunk. Időt, pénzt, felesleges bosszankodást, cégünk reputációján esett foltot kerülhetjük el azzal, ha azonnal WordPress fejlesztőhöz, programozóhoz fordulunk. Ahogyan autónkat sem kezdjük el megszerelni, ha nem vagyunk szakemberek a témában.
Miért lesz fertőzött a WordPress weboldalad?
A WordPress egy nyílt forráskódú ingyenes rendszer, amit sok ezren fejlesztenek. Ez azt jelenti, hogy teljesen átlátható az, hogy mi van a motorháztető alatt. Bárki tovább építheti, fejlesztheti ezáltal. Emiatt is a legnépszerűbb megoldás a világon a weblapkészítés tekintetében. Ezért sokan használják. Magyarán a negatív szándékú hackerek is szívesen megpróbálják feltörni, akár tanulási szándékkal.
De ez nem azt jelenti, hogy kipécéz magának valaki és ellened indít hadjáratot. Hanem azért lesz vírusos az oldalad, mert programokat írnak, ami elkezd csámborogni a neten és folyamatosan próbálja feltörni a WordPress oldalakat.
Erre volt példa az amikor sok százezer WordPress honlapot feltörtek, azért mert az „admin” felhasználónevet használták ott. Ahogyan egy darabig lehet, hogy működött anno jelszóként a „béla1234”, de ma már biztos, hogy nem egy életbiztosítás ilyen jelszavakat használni.
Emellett nemcsak az admin felületen belül próbálják folyamatosan feltörni a honlapot, hanem például egy lejárt szavatosságú bővítményen (pluginon) vagy a szerveren, grafikai sablonon keresztül is feltörhető az oldal. A lényeg, hogy amíg ezt a cikket olvasod addig is automatikusan megy a próbálkozás. Ezeket a különféle biztonsági pluginok log mappáiban könnyen kiolvashatjuk.
Ezenkívül vírusos WordPress oldalakkal azért is lehet gyakran találkozni, mert rengeteg van belőlük és mivel sok ezren fejlesztik (frissítik) folyamatosan, biztonsági rések is gyakran keletkeznek rajtuk.
Mit tehetek azért, hogy ne kerüljön vírus a WordPress weboldalamra?
Fontos, hogy minden naprakész legyen és jogtiszta. Nemcsak a WordPress, hanem a pluginok és a grafikai sablon is. Ha azonban túl hamar frissítünk, az okozhat funkcióbeli problémákat, mert még nem lett letesztelve az új frissítés. Ezek a pluginok egymással is összeakadhatnak. Emellett rendszeresen ellenőrizni kell, hogy nincs-e vírus a honlapunkon. A másik fontos dolog, hogy az elavult pluginokat érdemes lecserélni. Olyan grafikai sablonról, pluginról van szó, melyek például 1-2 éve nem lettek frissítve és lekerültek a listáról: WordPress plugin ellenőrzése.
Csak az ingyenes pluginok között is több tízezer plugin van. A karbantartás része az is, hogy a plugin vagy grafikai sablon írójával fel kell venni a kapcsolatot és írni neki, kérdezni stb. Rendszeresen teljes back up-ot kell készítenünk a honlapról. Erre ügyeljünk, mert a tárhely szolgáltatók is gyakran csupán inkrementális (részleges) mentést készítenek. Az is előfordulhat, hogy a honlap lementését könnyedén meg tudjuk tenni, de az, hogy sérült egy file, az majd akkor derül ki, mikor visszatöltjük.
A szervert is frissíteni kell, lásd php verziót. És sok egyéb dolog merülhet fel, például egy webáruház esetében, illetve tört linkek megszüntetését is érdemes figyelni, bár ez már SEO kategória. A nem létező aloldalak ugyanis az egész honlap minőségét rontják. Emellett a Search Console is jelzi a hibákat és az egyéb biztonsági mentéseket is el kell olvasni a karbantartás részeként.
Gyakori hiba az is, hogy akár a szakember visszatölti a régi biztonsági mentést, vagy törli a vírust és utána elköszön az ügyféltől. Ebben az esetben nagyon sokszor visszafertőződik a honlap. Egyrészt mindent frissíteni kell, azon kívül, hogy lekaptuk a vírust és a kaput. Ezen kívül a biztonságot ki kell alakítani. Különben csak visszaléptünk a múltba, mielőtt megfertőzésre került a honlap. Előbb utóbb be fog ez következni. Emellett a rendszeres karbantartás is fontos közvetlenül a vírus levétele után. Arról nem is beszélve, hogy a biztonsági mentés visszatöltése adatvesztéshez vezethet, mert ami azután történt a honlapon, mikor a biztonsági mentést elkészítették (lásd pl. újabb feliratkozók, vásárlók feliratkozása, hozzászólások, publikációk, beállítások stb.) az el fog veszni. A mentés után nem árt lejegyzetelni, hogy milyen módosítások történtek a honlapon. Pluginokat is használhatunk a mentéshez, amit több helyen tárolunk.
Láttunk már olyat is, hogy az ügyfél nyugodtan hátradőlve azt hitte, hogy megfelelő biztonsági mentéssel rendelkezik, de az csak FTP-re volt elkészítve. Az adatbázis nem került lementésre vagy az más időpontban történt meg. Egy másik esetben pedig közben frissítés is volt, illetve a honlapon vásárlás, módosítás… Ez nem megfelelő back up.
Találkoztunk olyan esettel is, mikor a jelszavakat nem is cserélték le. Pedig ez alap a vírusmentesítés után. Rajta maradtak inaktív pluginok, grafikai sablonok, amik természetesen nem lettek frissítve. A WordPress telepítés során automatikusan egy ingyenes grafikai sablon kerül rá. Mivel ezt nem szoktuk használni, ezért a biztonság része, hogy ezt és a felesleges pluginokat, read-me file-okat töröljük, illetve amiből következtetni lehet, hogy WordPress honlapról van szó, hogy a robotok ne tudják beazonosítani.
Sokszor az ügyfél kitöröl egy plugint, de azt nem tudja, hogy azok nem mindig törlődnek az adatbázisból, amihez sokszor azt sem tudja, hogyan lehet hozzáférni. Nem véletlen, ez egy külön szakma. A tábláknál elég egy rossz kattintás és máris elszáll a teljes honlap…
Elveszíthetjük a teljes honlapunkat
A rendszeres biztonsági mentés elkészítése alap. Főleg nagyobb módosítás után. Ha ugyanis ezzel nem rendelkezünk és utána olyan mértékben fertőzött lesz a honlap, hogy nem nagyon lehet megmenteni, vagy túl drága lenne és nincs biztonsági mentés, amit fel tudunk használni, akkor elképzelhető, hogy újra kell az egész oldalt csinálnunk. Ráadásul hiába töltünk vissza biztonsági mentést, ha már az is meg lett fertőzve a vírusok által.
Találkoztunk olyan esettel is, mikor a grafikai sablon évekig nem lett frissítve és azóta a könyvtárszerkezetet is megváltoztatták, így nem lehetett lefrissíteni a sablont, mert a struktúrája megváltozott. Egy másik hírlevélküldő szoftver esetében pedig, akik nem frissítettek az utóbbi években és fizették meg ennek az árát, azoknak újra meg kellett venni a teljes szoftvert. Ez elég nagy ráfizetés volt azon kívül, hogy kockázati tényező is elavult szoftvereket használni.
Sok esetben az ügyfél már csak akkor kap észbe, mikor baj van. Nem lett frissítve az oldal, ezért nem működnek egyes funkciók és feltörték a honlapot. Ezek egymással összefüggnek. Éppen ezért kerüljük el a bajt azzal, hogy odafigyelünk erre és rendszeresen ellenőrizzük a honlapunkat.
Ha sokáig vírusos marad a honlapod, akkor tiltólistára kerülhet fel a szerver IP címe is. Sőt a domain név is. Ezt elég nehéz később visszacsinálni. Ez problémát okozhat abban az esetben is, ha rendszeresen leveleket küldünk ki az ügyfeleinknek. Emiatt a hoszting cég is letilthatja a honlapunkat, mert ez őt is érinti.
Mi az esélye, hogy többé nem fertőzik meg a honlapunkat?
Semmi. Sőt azt sem tudhatjuk biztosan, hogy a vírusirtás után nem maradt kapu vagy vírus a honlapon. Ügyfél adott már olyan honlapot, amit egy cég állítólag vírusmentesített. Ezeket olyan karanténba tette (vírusirtás helyett), ahol ugyanúgy működtek tovább. Állítólag fix díjon dolgoztak és 1-2 órát számoltak bele. Valószínűleg nagyobb volt a baj, ez már túllépte a kompetenciát, így itt megállt a történet.
Gondoljuk végig, hogy ha találunk 456 vírust és letöröljük, megtaláljuk a kaput is, ahol beléptek, azt is likvidáljuk, az mire ad garanciát? Mondhatja azt a cég, hogy megtörtént a vírusirtás, de mi van akkor, hogy ha 457 vírus volt a honlapon és 2 kapu. Csak eggyel kevesebb kaput és vírust vettek észre. Ezért nem törölték le. Emiatt idővel újra vissza fog jönni a robot és megfertőzi a honlapot. Természetesen lehet mást kommunikálni, vagy egyéb szolgáltatást felajánlani, de ez az igazság.
Az egyik esetben például a tárhelyszolgáltató végzett hanyag munkát. Nem mindig lehet megtalálni a valódi okot…
Arról nem is beszélve, hogy WordPress honlap karbantartásánál tapasztaltuk azt, hogy hiába teszünk meg mindent azért, hogy folyamatosan biztonságban, működőképesen üzemeljen a honlap, ha esetleg az ügyfél követ el hibát. Annak ellenére, hogy erről nem tehet. Például böngészőben elmenti (vagy csak belép) egy vírussal megfertőzött nyilvános kávézóban a honlapjára. A jelszó, felhasználónév máris nyilvánossá válhat.
Olyanra is volt már példa, hogy a jelszó elvesztésénél ideiglenesen használatos pótkulcs évekig fennmaradt a honlapon. Ez volt a kapu. Illetve túl sok embernek lett kiadva a jelszó, ami sosem lett módosítva. Érdemes inkább mindig új teszt felhasználót létrehozni, akinek bármikor meg tudjuk változtatni a jelszavát.
A másik esetben egy évek óta nem frissült hírlevélküldő maradt a gyökérmappán kívül (WordPress rendszerét tartalmazó mappán túl) a szerveren. Az ügyfél fizetett a karbantartásért, aztán jött a meglepetés. A biztonsági szoftver rosszul volt beállítva, mert csak a gyökérkönyvtárat ellenőrizte.
Emellett egy biztonsági plugin mintákat keres. Találkoztunk már olyannal is, amikor tévesen jelzett egy plugin esetében, ami csupán körülményesen lett lekódolva, de nem volt hibás.
És olyat is láttunk már, mikor nem vett észre egy vírust. Ehhez erős programozói ismeretekre van szükség és ezt egy cikkben nem lehet megtanítani. Ezért, ha nem túl nagy a baj (bár ennek felismeréséhez is már kell egyfajta tudás) lehet, hogy néhány tűzoltó megoldás létezik, de ezekre a próbálkozásokra ne vegyünk mérget. A legbiztosabb, ha megfelelő tudással és hajlandósággal rendelkező WordPress szakember tartja folyamatosan karban az oldalt.
Hackerek támadásai
Ha nem multi céget megszégyenítő nagy honlapod van, akkor nem valószínű, hogy egy hacker feltöri szándékosan a honlapodat. Helyette robotok automatikusan pásztázzák a weboldalakat és keresik a rést, hogy betörjenek. Azonban találkoztunk már olyan esettel, amikor egy nagyon jó pozíciót ért el SEO-ban egy honlap, azaz magas volt a látogatottsága, annak ellenére, hogy KKV-ban tevékenykedett. Ebben az esetben konkrétan orosz hackerek támadták meg az oldalt és többször is harcmodort változtattak.
Más esetekben pedig olyan speciális szakmák voltak érintettek, melyben óriási a verseny egy adott régióban. Ide tartozik a duguláselhárítás és autómentés. Ezek SEO szempontból is különlegesek. Nem véletlenül. Azonban, ha valaki szándékosan támadja meg a honlapunkat, mely üzletvesztést okoz, akkor érdemes jogi szakember véleményét is kikérni, mert elképzelhető, hogy ez bűncselekménynek számít.
Honnan tudjuk, hogy vírusos a WordPress oldalunk?
Nagyon bosszantó tud lenni, ha honlapunkon, webáruházunkban vírus ólálkodik. Főleg akkor, ha jelentős a forgalom, weblapunkkal pénzt keresünk és most futnak a marketing kampányok az oldalon.
Régebben könnyen ki lehetett szúrni, mert nem voltak ilyen szofisztikáltak az online vírusfertőzések. Ma már sokféle megoldás van. Hosszú évekkel ezelőtt például találkoztunk olyan vírussal, ami idegen nyelven kezdett el blogolni, hogy SEO előnyökre szert tegyen. Konkrétan publikált egy blogcikket, amit nem is engedett szerkeszteni.
Az őskorban még különféle krikszkrakszok, linkek jelentek meg. Ma már attól is függnek a vírusfertőzéssel kapcsolatos tünetek mikéntjei, hogy milyen céllal törték fel a honlapot. Például spam-elésre vagy linkeket helyeznek el, adatokat gyűjtenek rajta stb.
Sokféle tünet van, így nem egyértelmű a válasz, hogy hogyan lehet (főleg laikusként) kiszűrni, hogy mivel van probléma. Lehetnek példának okáért gyanús linkek az oldalon, amiket nem te linkeltél meg. Leeshet egyik-pillanatról a másikra az oldal látogatottsága. Ennek SEO okai is lehetnek, lásd új algoritmus futtatása után.
Megtörténhet, hogy a vírusirtó vagy más ablak jelenik meg a honlapon és figyelmeztet, hogy vírusos a honlapod. Ha indokolatlanul megnő az adatforgalom az szintén gyanúra ad okot, mert ilyenkor többnyire spam-elésre használják az oldalunkat.
Amikor gyanús file-ok és scriptek jelennek meg a honlapon, természetesen az is a vírusnak köszönhető. Sokszor az elnevezés is hasonló, de a file típusa az árulkodó vagy egyszerűen nem eleme a WordPress-nek. Természetesen sok ezer mappa és file van, így ehhez ismerni kell a WordPress-t, ráadásul a pluginokból is sok ezer fajta van a neten, mely folyamatosan változik.
Az is megeshet, hogy nem történt jelentős változás az oldalon mégis nagyon belassul. Tehát nem került ki egy nagy terjedelmű videó egy aloldalra és csak az lassult be, vagy nem volt frissítés éppen és ennek ellenére a teljes honlap belassul. Általában ennek az az oka, hogy hamis IP címeket használnak fel arra, hogy az oldalad nevében a szervert felkeressék.
Van olyan vírus, ami átirányítja a forgalmat, de csak egyes felhasználók számára, bejelentkezés alapján. Másik vírusra utaló jelenség, mikor nem tudsz belépni az admin felületre. Ilyenkor hiába próbálsz új jelszót kérni az e-mail címedre, elképzelhető, hogy töröltek téged, mint felhasználót. És emiatt nem tudsz belépni.
Megtörténhet, hogy a vírusirtó vagy más ablak jelenik meg a honlapon és figyelmeztet, hogy vírusos a honlapod, mert a Google letiltotta. Felbukkanhat rajta ismeretlen tartalom, amit nem te publikáltál. Arra is van példa, hogy ismeretlen kódok jelennek meg a honlapon, akár a különféle tartalmak helyett. Ezek lehetnek veszélytelen short kódok is, amit a grafikai sablon is okozhat. A hibákról, feltörésről a Search Console regisztráció alkalmával a Google is értesít e-mailen.
A különféle hibaüzeneteket akár a dashboard-on, log mappában, illetve, amik e-mailen érkeznek meg, vedd komolyan. Használj erős jelszavakat és ez mindenkire vonatkozzon, aki az oldaladhoz hozzáférést kap.
Ha példának okáért marketing kampány fut a honlapodon, elképzelhető, hogy a Google Ads nem engedi megjeleníteni a hirdetéseket, mert észlelte, hogy vírusos az oldalad.
Az is előfordulhat, hogy az smtp szerver nem továbbítja az admin üzenetet e-mailen. Ez azt jelenti, hogy spam-nek ítéli meg, így hiába szeretnél e-mailt kapni az admin felületről, nem fog megtörténni, mert a WordPress nem továbbítja az üzenetet. Ez akkor is igaz, ha valaki a honlapodon kitölti leendő ügyfélként a formokat, vagy webáruházadban ügyfelek szeretnének vásárolni. Ennek azonban más okai is lehetnek, például nem megfelelő e-mail cím használata, átirányítás példának okáért egy ingyenes gmail címmel stb.
Arra is sokszor van példa, hogy új felhasználóként regisztrál a robot. Ezért a felhasználókat (főleg admin joggal) érdemes megnézni. Nem biztos, hogy könnyedén ki tudjuk törölni az ismeretlen illetőt. Emellett a stratégia kialakítása sem mindegy. Először a vírust kell törölni és utána letörölni a hozzáféréseket és megváltoztatni a jelszavakat, amiket az elején is meg kell tenni.
Természetesen nemcsak az adminfelületen, hanem a MySQL adatbázis, FTP hozzáférésnél és, ha cPanel-t használsz, akkor ott is érdemes. A levelezést is meg kell nézni, ha az egy itteni mappában történik.
Érdemes a log file-okat (napló) átnézni, mert itt láthatjuk, hogy milyen folyamatok futnak le a szerveren. Ha ezeket tudjuk megfelelően értelmezni, akkor kiszúrhatjuk ezáltal is azt, hogy vírus van a honlapon.
Hijacking-nek hívják azt, amikor a Google találatokban megjelenik a honlapod, de máshova van belinkelve, nem a te oldaladra. Domain theft / hijacking esetén is van erre példa, lásd domain eltérítése, eltulajdonítása.
Az is előfordulhat, hogy ehelyett felugró pop-up ablakkal próbálják eltéríteni a látogatókat más honlapra az oldaladon. Vannak reklámblokkolok, amiket ez nem hat meg.
Léteznek oldalak, ahol online ellenőrizni tudod az oldaladat, de ezek nem feltétlen fogják megtalálni a vírust. Példának okáért íme a Google webhelyállapot ellenőrzője. A szervert is ellenőrizheted a black list alapján.
Megjelenhet új menü, vagy widget is, amit nem is te hoztál létre a honlapodon. Vírus a honlapodon más kódolásban is megjelenhet, amit ki kell kódolni. Ilyenkor vissza kell fejteni a kódokat.
Sokszor a kommentekbe helyezik el a vírust, mert azt nem mindenki nézi át. Az „ico” kiterjesztésű file-ok is legyenek gyanúsak. Vannak vírusok, amik a file-ok dátumát is megváltoztatják, így sokszor ebből sem tudunk kiindulni. Kicserélhették az admin e-mail címedet például az űrlapot működtető pluginban, így nem te kapod meg az üzeneteket, ha írnak neked, hanem a hacker.
Előfordul, hogy az ügyfél nem is tud róla, hogy a honlapkészítő nem jogtiszta grafikai sablont telepített, mert így több webhelyen fel tudja használni. Lehet, hogy korábban ennek ellenére még működött a frissítés, de azóta a honlap ugyan működik, de már a frissítés nem. Esetleg a netről lett lehalászva és már a WordPress fejlesztő által felrakott verzió is vírust tartalmazott, ami szintén csak később derül ki.
Vírus megbújhat az adatbázisban is és „Custom JS” azaz egyéni JavaScript kódrészletekben is. Ezeket is ellenőrizni kell. Nem mindegy, hogy a WordPress szakember teljeskörűen ténylegesen elvégzi-e ezeket, mert különben könnyen visszafertőződhet az oldal. A bejegyzésekben, akár titkosítva is megbújhat a vírus, ami szabad szemmel nem látható, lásd kódolt scriptek.
Hogyan történik a WordPress vírusmentesítése?
Egyrészt érdemes a tárhely szolgáltatóval beszélni. Rosszabb esetben ők automatikusan jelzik a problémát és azt is, hogy adnak mondjuk 3-4 napot, hogy eltávolítsd a vírust utána lekapcsolják a honlapodat.
Egy teszt domain-en is el lehet végezni a vírusirtást, ami a honlap egy részének az újraépítéséből áll. Ugyanis nem lehet manuálisan sok ezer file-t egyesével átnézni, a szoftverek pedig sokszor csak mintákat találnak meg, de más összefüggéseket nem szúrnak ki. Ezért ez a leghatásosabb megoldás. A megmaradt mappákat, file-okat pedig át kell manuálisan nézni. Ezután lehet visszamásolni a honlapot a teszt tárhelyről, miután a jelszavak is lecserélésre kerültek. Ezt jelenti nagy vonalakban a vírusírtás a honlapodon.
Ha megijedtél, mert megijedve látod, hogy „feltörték a WordPress oldalam”, akkor aggodalomra semmi ok. De keress fel egy WordPress szakértőt.
A fertőzött WordPress weboldal helyreállítása során amiatt is szólni kell a tárhely szolgáltatónak, mert másik weboldal is megfertőződhetett főleg, ha nem dedikált (külön) szerveren van a honlapunk. A hoszting cég sok jó tanáccsal is elláthatnak.
Vírus- és feltörésmentesítés amiatt is fontos, mert a látogatókat is megfertőzheted mikor fellépnek a honlapodra. Olyan ez, mint egy kert. Karban kell tartani. Folyamatosan.
Összefoglalva, pénzt, időt és bosszankodást spórolhatunk meg azáltal, hogy biztos kezekben van karbantartva a WordPress oldalunk és fél tudással csak nagyobb bonyodalmakat okozhatunk, mert ez egy külön szakma. A vírus az ügyfél honlapjára is átkerülhet, az ő adatival is visszaélhetnek, mely azzal jár, hogy jelentenünk kell a hatóságoknak és bírságra is számíthatunk. A cégünk megítélése is romlani fog, ha ez tartósan bekövetkezik.
