Oto został załatany dziurawy portal społecznościowy oparty na WordPress

Portal społecznościowy zainfekowany malware

Tym razem na warsztat trafił zainfekowany portal skupiający kilkusetosobową społeczność. Zgłoszenie brzmiało następująco:

"Od kilkunastu dni, użytkownicy portalu zgłaszają mi, że serwis internetowy który prowadzę jest zainfekowany. Najczęściej jest to zauważalne na telefonach z androidem, rzadziej podczas korzystania ze strony na komputerze. Problem polega na tym, że wchodząc na stronę, użytkownikom pokazuje się niechciana reklama np. jakieś zdjęcia porno. Podobno takie niedogodności mają tylko na mojej stronie, na innych jest ok. Nie jestem w stanie podać więcej szczegółów, ponieważ na moim komputerze nie wyświetlają się te niechciane reklamy - ani na komputerze, ani na komórce. Proszę o pomoc w zlokalizowaniu i usunięciu wirusa."

Na starcie okazało się, że ta potencjalnie zawirusowana witryna, zbudowana jest na bazie WordPress z przeogromną ilością dodatkowych wtyczek (około 40), co już na wstępie mocno zwiększało prawdopodobieństwo tego, że strona najprawdopodobniej jest dziurawa. Na szczęście zarówno sam CMS jak i wszystkie pracujące z nim plugin'y, były zaktualizowane do najnowszych wersji. Nie wykluczało to jednak możliwości, że aktualizacje nie były wykonywane na bieżąco, a zostały przeprowadzone dopiero w momencie kiedy na stronie zaczęło dziać się coś niepokojącego.

Na pierwszy ogień w ruch poszły zewnętrzne skanery antywirusowe. Tylko jeden z nich wykrył, że strona jest zainfekowana malware. Złośliwy kod został zagnieżdżony w bliżej nie określonych plikach javascript. Wynik takiego pobieżnego skanowania jest dla nas sygnałem, że niezwłoczna interwencja jest konieczna i należy zabrać się do pracy.

W kolejnym kroku kopia strony została uruchomiona w odseparowanym, specjalnie przygotowanym środowisku. Baza danych oraz pliki strony zostały poddane dogłębnej, programowej i ręcznej analizie, pod kątem wykrycia wirusów.

Baza danych okazała się nienaruszona. We wtyczkach nie zostały zaobserwowane żadne anomalia, jednak wynik skanowania wykazał, że zainfekowanych jest m.in. wiele plików rdzenia WP, a najwięcej niepokojących objawów dotyczyło motywu z którego korzystał ten serwis.

Pliki WordPress'a zostały zastąpione na 100% wolne od infekcji - pochodzące z oryginalnej paczki z najnowszym wydaniem WP. Przy tej okazji usunięte zostały również wszystkie szkodliwe pliki, jakie zostały zamieszczone na serwerze w efekcie działań wirusa.

Motyw wykorzystywany przez stronę był płatny. Była to jego wersja 1.1. W panelu zarządzania motywami, nie było komunikatu o nieaktualnym motywie, pomimo tego, że dostępne jest jego wydanie sygnowane numerem 1.8.
Przyczyną takiego stanu, było wykorzystanie przez twórców tego serwisu, celowo zmodyfikowanej wersji motywu, pochodzącego z nielegalnego źródła. Najczęściej motywy pochodzące z tego typu lokalizacji, są umyślnie infekowane - zagnieżdżony złośliwy kod może uaktywnić się z dużym opóźnieniem lub stanowi furtkę, którą hakerzy wykorzystają w przyszłości, co początkowo daje nam złudne poczucie bezpieczeństwa.

Po rozmowie z właścicielem serwisu, dokonał on zakupu szablonu z oficjalnego źródła, co pozwoliło na wyeliminowanie reszty zainfekowanych plików, a dzięki aktualnej wersji plików motywu, które pozbawione są wszelkich ujawnionych luk, właściciel zyskał też gwarancję spokoju na przyszłość.

Problem ze stroną www?

Odwirusowanie

Robak, wirus na celowniku, na stronie internetowej
Usuwanie szkodliwego oprogramowania ze strony internetowej opartej na CMS WordPress, Joomla!, Drupal i innych.

Migracja

Zielona strzałka (symbol przemieszczenia) na stronie internetowej
Przeniesienie strony internetowej na korzystniejszy tj. wydajniejszy i tańszy hosting. Przejście witryny pod inną domenę.

Aktualizacja

Ruchomy trybik mechanizmu na stronie internetowej
Aktualizacja rdzeni, modułów, rozszerzeń systemów zarządzania treścią Drupal, Wordpress, Joomla i innych CMS.

Upgrade Drupal 7 do 9

Logo CMS Drupal
Uaktualnienie CMS Drupal z wersji 7 na 9. Koniec wsparcia dla Drupal 7 nastąpi 11.2023.

Backup

Dyskietka (symbol zapisu) na stronie internetowej
Wykonanie kopii bezpieczeństwa strony internetowej (pełna struktura plików, katalogów oraz bazy danych) oraz jej archiwizacja.

Zabezpieczenie

Klucz do zamka (symbol zabezpieczenia) na stronie internetowej
Działania mające na celu zapewnienie ochrony strony internetowej przed wirusami i atakami hakerskimi.

Tryb responsywny

Strona internetowa wyświetlona na ekranie monitora i smartfona
Dostosowanie strony internetowej do poprawnego wyświetlania na różnych urządzeniach.

Modyfikacje i naprawy

Skrzyżowane narzędzia (klucz oczkowy i ołówek) na stronie internetowej
Wykonanie napraw stron internetowych opartych na CMS oraz poprawek poprawiających jej estetykę lub funkcjonalność.

Helpdesk

Koło ratunkowe (symbol pomocy) na stronie internetowej
Szkolenia i pomoc w obsłudze systemów zarządzania treścią Joomla, Wordpress, Drupal i innych.

Optymalizacja

Strona internetowa szybka jak rakieta!
Przyspieszenie działania strony internetowej opartej na CMS Drupal, WordPress oraz Joomla, w celu zwiększenia liczby odwiedzin.

Odzyskiwanie haseł

Hasło zagwiazdkowane
Przywracanie / resetowanie haseł dostępu, niezbędnych do pełnej kontroli stron internetowych opartych na CMS.

Projekt logo

Projekt logo dla strony internetowej
Projektowanie logo dla stron internetowych, wizytówek, folderów, banerów itp.