In ultimii ani am observat un numar tot mai mare de atacuri asupra site-urilor gazduite. De cele mai multe ori sa tintesc site-uri care folosesc scripturi open source si bine cunoscute deoarece la acestea sunt bine cunoscute si potentialele slabiciuni care permit incarcarea unor scripturi raufacatoare. Verificati acest articol despre securizare platforma wordpress.
Identificare conturi infectate.
- In cele mai multe cazuri o infectie se detecteaza in continutul site-ului: pot aparea mesaje, poze, pagini noi cu informatii sau descarcari de fisiere de pe site.
- Daca se verifica sursa site-ului, pot aparea fisiere noi sau pot fi modificate fisiere existente.
- Se poate ordona fisierele dupa data ultimei modificari si se vede cu usurinta ce fisiere au fost alterate.
Pasi de luat in cazul unei infectii:
1) Securizare calculatoare personale:
Pentru a elimina accesul ilegal la cont de gazduire trebuie verificat ca parola si numele de utilizator nu au fost furate de virusi sau alte metode. Trebuie scanate toate calculatoarele personale. Recomandam Microsoft Security Essentials care poate fi descarcat si instalat gratuit. In acelasi timp, pot fi utilizate si Kaspersky Antivirus care poate fi instalat pentru o luna (suficient pentru a devirusa calculatoarele) sau alte programe de antivirus. Nu recomandam NOD antivirus.
2) Schimb de parola:
Dupa ce ne-am asigurat ca nu exista infectie pe calculatorul propriu, trebuie schimbate toate parolele de CPanel, FTP, email.
3) Identificare si securizare fisiere infectate:
- In primul pas se face un backup al fisierelor site-ului (acestea pot fi arhivate cu File Manager online din CPanel)
- Se identifica orice fisier nou sau care nu face parte a site-ului si se sterg
- Se inspecteaza orice fisier alterat (dupa data modificarii) si restaureaza fisierul original sau se curata manual (necesita cunostinte avansate)
- Din fisierele modificate si nou aparute se identifica tipul infectiei si se documenteaza pe internet pentru a identifica tipul atacului si gaura de securitate cat si ce fisiere sunt utilizate pentru acel tip de atac.
- De obicei se constata ca exista un fisier timthumb.php sau alt fisier care manipuleaza poze sau atasamente care permite incarcarea unor fisiere, acestea trebuie actualizate la ultimele versiuni.
- In functie de tipul site-ului se actualizeaza scriptul la ultima versiune.
- Cele mai multe cazuri de infectii sunt din cauza unor teme sau plugin-uri instalate aditional si acestea trebuie verificate.
- Recomandam sa se dezinstaleze orice plugin sau tema care nu e folosit.
- Trebuie verificate si fisierele care trimit mailuri ca acestea sa nu permita oricui sa trimita un email fara identificare.
- In cazul in care nu s-a gasit sursa infectiei, trebuie cautat pana cand se poate asigura ca a fost inchisa gaura de securitate, in caz contrar contul de gazduire va fi sters conform termeni si conditii.
- Se pot utiliza si fisierele de loguri pentru a detecta care fisiere si scripturi au fost apelate si utilizate pentru atac si astfel se poate corecta problema.
- In functie de site, trebuie setate drepturi minime la foldere si fisiere astfel incat sa nu se poata scrie sau rula scripturi care nu trebuie sa fie rulate.
4) Actualizare site:
- In ultima perioada au aparut facilitati de autobackup si autoupdate in wordpress. Daca nu este posibila actualizarea manuala, recomandam sa configurati autoupdate la instalatiile de wordpress. Pluginurile si sabloanele va trebui actualizate periodic. Versiuni vechi ale scrpturilor instalate sunt principala sursa de infectie.
- Daca scripturile instalate nu au autoupdate atunci va trebui sa fie actualizate manual. Accesul neautorizat este o problema foarte serioasa si clientul este responsabil pentru a-si tine site-ul si scripturile instalate securizate pentru a minimaliza riscul unei infectii.
Repercusiuni
Real Host asigura un mediu securizat pentru fiecare site. Efectuam scanari zilnice si in timp real pentru virusi si malware si in cazul unei infectii suspendam contul si trimitem o notificare la utilizatori pentru a lua masuri. Daca nu se remediaza problema sau se pune site-ul inapoi fara a gasi problema si sursa infectiei, vom proceda la suspendarea si apoi stergerea permanenta a contului deoarece aceste infectii si fisiere incarcate de multe ori reprezinta o activitate ilegala, faciliteaza furtul de identitate, mesaje rasiste sau alte activitati neetice.
Pentru orice asistenta se poate contacta departamentul de surport la support (.at.) real-host (punct) eu