WordPress

Ako sa môže dostať vírus (malware) na WordPress stránku

Riešil som už viac-krát čistenie webovej stránky, ktorá bola na WordPresse napadnutá malware. Webhosting to nerieši, nakoľko je to problém samotnej webovej stránky. Web je na starosti majiteľa, alebo správcu webovej stránky. Nakoľko je to dosť častý problém, v článku vysvetlím, ako sa tomu vyhnúť.

WordPress je open-source, to nesie výhody aj nevýhody

WordPress má licenciu open source, rovnako ako operačný systém Android, prehliadač Mozilla Firefox alebo prehrávač VLC media player. To znamená, že sú voľne stiahnuteľné, môžete ich upravovať a zdieľať. Výhoda je, že zdrojový kód vie programátor prečítať a upraviť si ho. Nevýhodou ale je, že sa dá jednoduchšie prelomiť, nájsť chybu, a tým ohroziť bezpečnosť. Chyby sa pravidelne nahlasujú na stránku a vedia o nich v podstate všetci.

To znamená, že ak sa nahlási chyba verejne, vedia o nej programátori a v najbližšej verzii túto chybu opravia. Každou jednou verziou sa opravujú tieto chyby. Problém nastáva v momente, keď WordPress neaktualizujete. Pravidelné aktualizácie by sa mali robiť aspoň raz za mesiac, postačí aj raz za 3 mesiace. WordPress neaktualizovaný viac ako rok dozadu je risk a dlhšie ako 3 roky už očakáva, že bude napadnutý každú chvíľu.


Aktualizovať, jednoznačne aktualizovať

Pravidelnými aktualizáciami dosiahnete to, že Váš web bude zabezpečený a pravdepodobne aj rýchlejší. Vývojári totiž nerobia iba zabezpečenia, ale taktiež aj zrýchlenie vďaka použitiu nových funkcií v PHP. Nezabudnite si totiž meniť na webstránke aj hodnotu PHP. PHP je programovací jazyk, na ktorom beží aj WordPress. Preto je dôležité, aby Váš webhosting podporoval aktuálnu verziu 7.3.

Stáva sa aj to, že môžete mať tému, ktorá ešte nie je kompatibilná s novým WordPressom a po aktualizácií môže nastať chybová hláška. Pokiaľ ale máte webový hosting, akým je WebSupport, tak si viete za pár minút stránku obnoviť a vrátiť do pôvodného stavu. Aktualizáciu stránky tak môžete zveriť expertovi na WordPress.

Pluginy sú riziko, čím menej tým lepšie

Každým jedným pluginom rastie riziko zraniteľnosti stránky. Snažte sa aktualizovať pluginy, pokiaľ sa dajú. Pluginy, pri ktorých ukazuje, že už dlho neboli aktualizované, majú určite nejakú zraniteľnosť. Existuje množstvo podobných pluginov.

Ako sa teda vie dostať malware na stránku

Najväčší podiel na napadnutí stránky, majú následovné veci, na ktoré treba dbať.

  1. Neaktualizovaný WordPress – riziko možnosti exploitu
  2. Neaktualizovaný plugin – riziko možnosti exploitu
  3. Používanie pluginu bez licencií – možnosť zadných dvierok, nakoľko nemajú aktualizáciu aj exploit
  4. Nedostatočne chránené heslo – ľahké použitie word attacku
  5. Administrátor má názov Admin – chyba, ktorá uľahčuje útočníkovi, že web nemusí byť ťažké prekonať
  6. Nevymazané nepoužívané staré témy – treba ich vymazať (najmä pred-nainštalované WP témy)
  7. Žiadny firewall – žiadna ochrana proti pokusom o využitie exploitu

Nainštalujte si aspoň WordFence

Na Vašom webe by určite nemal chýbať plugin WordFence. Jeho úlohou je pravidelne skenovať súbory a upozorňuje na neaktualizované pluginy, kontroluje každý súbor, ak je v ňom malware, tak Vám to oznámi. Jeho verzia zdarma má aj niekoľko ďalších výhod :

  • Upozorňuje na prihlásenie administrátorov stránky
  • Limituje počet zadaní chybných hesiel
  • Blokuje spamové a adresy zo zahraničia, ktoré sa snažia prihlásiť na Váš web
  • Blokuje zadávanie zraniteľných parametrov, vďaka ktorým by sa vedeli útočníci dostať na web

Čo už s napadnutou stránkou

Pokiaľ máte „zavirenú stránku“, tak správne, máte teda malware na stránke. S veľkou pravdepodobnosťou pozmenil pôvodné súbory WordPressu, rozšíril sa aj do subdomeny a v priečinku wp-content/uploads/, ktorý slúži na obrázky, nahrávanie obrázkov z rôznych dátumov ukryl viacero služieb. V najlepšom prípade Vám web funguje, ale dostali ste hlásenie od webhostingu, že sa tam nachádza.

V horšom prípade, napadol aj wp-config, ktorý nebol správne chmodnuty, a tak sa dostal aj do nastavení a mohol Váš web presmerovať, ukradnúť dáta z databázy, či infikovať ďalšie stránky na zdieľanom webhostingu. V takom prípade je najideálnejšie, aby Vám s vyčistením stránky niekto pomohol. Za svoju prax čo tvorím webové stránky som vyčistil cez 30 webových stránok a zabezpečil web tak, aby sa to nikdy neopakovalo. Je ale dôležité aktualizovať, pretože bez aktualizácií.

O mne

Michael Šubák

Na blogu píšem už od roku 2012. Píšem o IT, Androide, Android aplikáciach a hrách, Xboxe, PC návodoch a pod. Taktiež píšem o virtuálnej realite v mojom web magazíne o VR. Som taktiež programátorom a freelancerom. Tvorím web stránky, Android aplikácie a pracujem s WordPressom.

Sponzor

Ocenenia


Moje služby

WordPress developer, Web developer, Práca s WordPress, programovanie, tvorba web stránok, preklady, úpravy

Reklama


www.martinus.sk

Smartfony, ktoré odporúčam

Samsung Galaxy Note 8
Samsung Galaxy S10+
Xiaomi Redmi Note 7

Čo odporúčam a používam

Značka a séria smartfónu
Používam a odporúčam Galaxy Note sériu

Webhosting
Websupport logo

E-shop s teniskami
Footshop logo

Operačný systém
Som fanúšikom OS Android
Herná konzola
Som fanúšikom hernej konzoly Xbox 360 a Xbox One
Serial
Family Guy je najlepší animovaný serial

VR Headset
Oculus Rift je pre mňa najlepší VR headset