Перевірка WordPress на віруси

1. Загальні рекомендації щодо захисту Вордпресс
2. 1. Встановіть надійний антивірус
3. 2. Скануйте сайт за допомогою онлайн-сервісів
4. 3. Використовуйте Яндекс.Вебмайстер
5. 4. Звіряйтеся зі звітами Google
6. Як почистити сайт Водпресс від вірусних посилань?
7. 1. Редірект на сторонні ресурси
8. 2. Перевірка вихідних посилань
9. 3. Знайти і знищити
10. Використання PHP-антивірусів для Вордпресс
11. 1. Ai-Bolit
12. 2. Manul
13. 3. Санті
14. Спеціалізовані автівіруси для Вордпресс
15. 1. AntiVirus
16. 2. TAC
17. 3. Quttera
18. 4. Sucuri Security
19. Підсумуємо

Наша взаимовыгодная связь https://banwar.org/

Опубліковано: 15-07-2016 | Рубрика: WordPress | Автор: tekseo

Перш, ніж розбиратися, як очистити сайт WordPress, необхідно зрозуміти, а з чим, власне, ми будемо мати справу. У широкому розумінні поняття "вірус" позначає шкідливе програмне забезпечення, здатне завдати той чи інший збиток власникові веб-ресурсу. Таким чином, в цю категорію можна віднести практично будь-який код, вбудований зловмисниками в скрипти движка. Це можуть бути приховані посилання, що призводять до пессимізації в пошуковій видачі, бекдори забезпечують хакеру адмінських доступ, або складні конструкції, здатні перетворювати майданчик в вузол зомбі-мережі, і навіть майнер біткойнов. Про те, як виявляти і усувати віруси різного калібру, а також захищатися від них, ми і поговоримо.

Загальні рекомендації щодо захисту Вордпресс

Багато рад, згадувані в попередніх статтях, здатні уберегти сайт від інфікування. Наприклад, «заразу» можна зустріти в піратських шаблонах і плагінах, повна відмова від подібного роду компонентів - важливий крок з точки зору безпеки. Однак існує і ряд більш специфічних нюансів.

1. Встановіть надійний антивірус

Шкідлива програма може бути впроваджена не тільки ззовні - джерелом зараження цілком здатний виявитися комп'ютер, з якого здійснюється адміністрування проекту. Сучасні трояни можуть не тільки викрасти пароль від FTP, а й самостійно завантажити виконуваний код, або модифікувати файли CMS, а значить, від захищеності вашої робочої машини безпосередньо залежить збереження веб-ресурсу.

IT-ринок пропонує безліч антивірусів. Проте, найбільш розумний вибір - продукти великих компаній:
● Серед вітчизняних лідируючі позиції займають пропозиції лабораторії Касперського і Dr. Web.
● У числі зарубіжних комерційних рішень можна виділити лінійку Norton від корпорації Symantek і популярний ESET NOD;
● Якщо ж говорити про безкоштовні варіантах, то тут беззастережно лідирують Avast і Comodo.

2. Скануйте сайт за допомогою онлайн-сервісів

При виявленні підозрілої активності (помилки движка, гальма, поява спливаючих вікон і сторонніх банерів), найпростіше, що можна придумати - прогнати ресурс через онлайн-сканер, здатний визначити факт зараження. Безперечним лідером тут є VirusTotal, розташований за адресою virustotal.com. Щоб ним скористатися, досить перейти на вкладку "URL-адресу", вбити цікавить посилання і натиснути на кнопку "Перевірити!"

Через деякий час система видасть звіт такого змісту:

Слід уточнити: VirusTotal - не незалежні проект, а своєрідний агрегатор антивірусних сканерів. У зв'язку з цим з'являється можливість перевірити WordPress на віруси одночасно в 67 системах. Безперечною перевагою є докладний звіт, в якому наводяться дані по всім підтримуваним сервісів. Адже антивіруси дуже люблять бити помилкову тривогу, так що навіть якщо показник виявлення відрізняється від ідеального (наприклад, 3/64), це ще не означає, що ресурс заражений. Орієнтуйтеся, перш за все, на великих гравців (Kaspersky, McAfee, Symantec NOD32 і інші), невеликі контори часто визначають ті чи інші ділянки коду, як небезпечні - не варто приймати це всерйоз!

3. Використовуйте Яндекс.Вебмайстер

Ви напевно звертали увагу, що деякі посилання в пошуковій видачі забезпечуються попереджає повідомленням: "Сайт може загрожувати вашому комп'ютеру або мобільному пристрою". Справа в тому, що пошуковик має власні алгоритми виявлення шкідливого коду, сповіщаючи користувачів про потенційний ризик. Щоб бути в курсі того, що відбувається і отримувати повідомлення першим, досить зареєструватися в сервісі Веб-майстер. Переглянути всю необхідну інформацію можна на вкладці "Безпека":

У разі виявлення загрози, тут будуть виводитися відомості про заражених сторінках. На жаль, виборча перевірка WordPress на віруси неможлива - Яндекс здійснює сканування самостійно, до того ж, у вибірку потрапляють аж ніяк не всі завантажені веб-документи, а лише їх частину, яка визначається випадковим чином.

4. Звіряйтеся зі звітами Google

Найпопулярніша пошукова система в світі пропонує ще більш простий спосіб моніторингу - досить перейти по посиланню google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru, і вбити адресу цікавить сайту у відповідне поле. Ви отримаєте вичерпні дані по ресурсу, і побачите, чи є у Гугла будь-які претензії з точки зору виявлення шкідливих скриптів:

Як почистити сайт Водпресс від вірусних посилань?

Від загальних рекомендацій перейдемо до приватних. Почнемо ж з поширених варіантів шкідливого коду - впровадження сторонніх URL і редиректів на цільової веб-ресурс. На жаль, чорне СЕО все ще популярно, а значить і хакери не сидять склавши руки, благо це завдання - одна з найпростіших. Давайте розбиратися по порядку.

1. Редірект на сторонні ресурси

Уявіть ситуацію: ви заходите на власний сайт, проте вас тут же перекидає на черговий каталог "дозвілля", або Лендінг, що пропонує заробити на Форекс. Майже напевно це означає, що веб-ресурс був зламаний, а в .htaccess з'явилося кілька нових рядків. Лікування елементарно: відкриваєте файл, знаходите директиви, що містять адресу, на який йде перенаправлення, а потім видаляєте їх. Так, для умовного malwaresite.com потрібні конструкції можуть бути такі:

<IfModule mod_alias .c> Redirect 301 http: //tekseo.su/ http://malwaresite.com/ </ IfModule>

<IfModule mod_alias.c> Redirect 301 http://tekseo.su/ http://malwaresite.com/ </ IfModule>

або

<IfModule mod_rewrite .c> RewriteEngine On RewriteBase / RewriteCond% {HTTP_HOST}! ^ Tekseo \ .su [NC] RewriteRule ^ (. *) Http: //malwaresite.com/$1 [L, R = 301] </ IfModule>

<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond% {HTTP_HOST}! ^ Tekseo \ .su [NC] RewriteRule ^ (. *) Http://malwaresite.com/$1 [L, R = 301] </ IfModule>

Більш витончений варіант - постійний редирект, написаний на PHP. Якщо ви перевірили файл htaccess , Але не знайшли нічого підозрілого, швидше за все заковика криється в файлі index.php. Перенаправлення тут здійснюється шляхом відправки відвідувачеві потрібних заголовків:

<? Php header ( "HTTP / 1.1 301 Moved Permanently"); header ( "Location: http://malwaresite.com"); exit (); ?>

<? Php header ( "HTTP / 1.1 301 Moved Permanently"); header ( "Location: http://malwaresite.com"); exit (); ?>

Якщо нічого подібного немає, можливо хакер вирішив вас запитати, створивши окремий скрипт і підключивши його через include:

include ( "redirect.php"); exit ();

include ( "redirect.php"); exit ();

Запам'ятайте - в оригінальному index.php таких фрагментів не зустрічається, так що можете сміливо видаляти їх все. Також знайдіть і ліквідуйте підключається файл (в нашому прикладі це буде redirect.php, розташований в кореневій папці).

Більш хитрий хід - редирект для мобільних гаджетів. Заходячи на свій ресурс з персонального комп'ютера, ви ніколи не виявите факт зараження, проте користувачі смартфонів і планшетів будуть неприємно здивовані, потрапивши на іншу сторінку. Таке перенаправлення можна реалізувати:

1. .htaccess
Найбільш простий спосіб, який без праці обчислюється. Пристрій визначається по висунутій User Agent. Виглядати може так:

<IfModule mod_rewrite .c> RewriteEngine on RewriteBase / RewriteCond% {HTTP_USER_AGENT} ^. * (Ipod | iphone | android). * [NC] RewriteRule ^ (. *) $ Http: //malwaresite.com/ [R = 301, L] </ IfModule>

<IfModule mod_rewrite.c> RewriteEngine on RewriteBase / RewriteCond% {HTTP_USER_AGENT} ^. * (Ipod | iphone | android). * [NC] RewriteRule ^ (. *) $ Http://malwaresite.com/ [R = 301, L] </ IfModule>

2. PHP
Схожим чином редирект реалізується і на PHP. Конструкцію, зазначену нижче, можна знайти в індексному файлі. Знову ж таки не забуваємо про всюдисущих include:

<? Php $ uagent = $ _SERVER [ 'HTTP_USER_AGENT']; if (preg_match ( '/(android|bb\d+|meego).+mobile|ip(hone|od)|blackberry|zte\-/i', substr ($ uagent, 0, 4))) header ( 'location : http://malwaresite.com/ '); ?>

<? Php $ uagent = $ _ SERVER [ 'HTTP_USER_AGENT']; if (preg_match ( '/ (android | bb \ d + | meego). + mobile | ip (hone | od) | blackberry | zte \ - / i', substr ($ uagent, 0,4))) header ( 'location : http://malwaresite.com/ '); ?>

3. JavaScript
Тут йде перевірка дозволу екрану, якщо ширина становить 480 пікселів, або менш, відвідувача перекидають на шкідливий сайт. Якщо на вашому проекті використовується аналогічний метод, обов'язково перевірте цей блок на предмет зміни адреси.

<Script type = "text / javascript"> if (screen .width <= 480) {window .location = "http://malwaresite.com"; } </ Script>

<Script type = "text / javascript"> if (screen.width <= 480) {window.location = "http://malwaresite.com"; } </ Script>

2. Перевірка вихідних посилань

Втім, редирект - це занадто грубий і явний спосіб. Куди частіше можна зустріти впровадження URL, прихованих засобами CSS і іншими методами. З тим, чого не бачиш, боротися практично марно. Однак, скориставшись чудовою утилітою Xenu Link Sleuth, ви зможете оцінити контрольний профіль WordPress. Остання версія програми вийшла в 2010 році, проте вона актуальна і донині, і навіть чудово працює під Windows 10.

Встановивши і запустивши Xenu, клацніть по File - Check URL. Ви побачите вікно:

Тут досить ввести домен проекту, і натиснути OK. Також є можливість додати фільтри по масці:
● Consider URLs beginning with this as 'internal' - вважати адреси, що містять заданий фрагмент, внутрішніми;
● Do not check any URLs beginning with this - дозволяє виключити з перевірки певні посилання (наприклад, якщо ви хочете побачити тільки вихідні лінки, сюди варто вписати домен сайту).

По завершенні процедури, утиліта запропонує перевірити Вордпресс на наявність так званих файлів-сиріт - веб-документів, на які немає жодного URL.

Якщо відповісти ствердно, з'явиться вікно введення даних для FTP авторизації:

Ця функція може виявитися корисною в тому випадку, якщо сайт старий, і перетерпів за час свого існування чимало змін: за допомогою неї можна очистити директорії від "сміття". Втім, нас більше цікавлять результати сканування:

Тут можна знайти абсолютно всі посилання, які є на ресурсі. Клацнувши правою кнопкою миші по будь-, і вибравши URL Properties, ви отримаєте вичерпні дані по сторінці, на яку веде лінк:

Таким чином, якщо на WordPress є віруси, що є причиною появи прихованих урлов, Xenu допоможе виявити факт їх наявності. Питання лише в тому, як діяти далі.

3. Знайти і знищити

Уявімо, що Xenu відшукав активні посилання на умовний malwaresite.com. Як їх знайти і видалити? Іноді завдання виявляється гранично простий. Непрофесіонали діють грубо, обмежуючись лише тим, щоб приховати URL від сторонніх очей, проте сам адреса може бути прописаний в коді явно. Можливі наступні варіанти:
1. Розміщення урла в футере замість копірайту;
2. Використання описаних вище файлів-сиріт (наприклад, html-документ завантажується в директорію з зображеннями - пошукові системи теж можуть його проіндексувати);
3. Маніпуляції c каскадних таблицями стилів:
● text-indent: -9999999999px / position: absolute; left: -9999999999px - зміщують посилання за межі дисплея;
● display: none / visibility: hidden - роблять текст невидимим;
● font-size: 1px; - однопіксельні URL, які неможливо розгледіти.

Щоб знайти і видалити вірус з сайту WordPress, досить просканувати весь движок на предмет наявності рядки, що містить "malware.com". У Windows це можна зробити за допомогою безкоштовного файлового менеджера Unreal Commander:

1. Вивантажуйте всі файли проекту в локальну папку на вашому комп'ютері, використовуючи FileZilla, як описано в попередньому матеріалі;
2. Запуск Unreal Commander і клацніть по іконці у вигляді підзорної труби, щоб перейти в інтерфейс пошуку;

3. Виберіть потрібну папку, поставте галочку в поле "З текстом", введіть "malwaresite.com", вкажіть всі кодування і натисніть "Почати пошук".

Результатом стане список файлів, в яких знайдено фраза. Тепер залишилося їх відредагувати, видаливши рядки коду, що відповідають за виведення посилання.

Використання PHP-антивірусів для Вордпресс

Випадки, описані вище - лише вершина айсберга. Професійний хакер може знайти нестандартний підхід навіть до такої простої задачі, як розміщення прихованого беклінк. Як правило, ви нічого не зможете відшукати самостійно, без допомоги відповідного програмного забезпечення. На щастя, подібні рішення існують, багато хто з них, до того ж, безкоштовні. Давайте розберемо найбільш ефективні.

1. Ai-Bolit

Напевно, самий популярний антивірусний продукт від компанії Revisium. Доступний у двох варіантах: для роботи безпосередньо на хостингу, і локальній машині під управлінням Windows (сумісна з 10, не вимагає установки). На жаль, * nix-версія не має веб-інтерфейсу і придатна тільки для VDS або Dedicated-сервера, тому ми розберемо, як працювати з інструментом на ПК.

1. Скачайте утиліту за посиланням revisium.com/kb/scan_site_windows.html і розпакуйте в будь-який зручний місце на комп'ютері. Зверніть увагу: в дорозі до директорії не повинно бути російських букв, тому найпростіше розмістити її в корені диска;
2. Усередині архіву ви побачите наступне: папку з самим антивірусом "aibolit", "site" (сюди необхідно скопіювати перевіряються веб-документи, всі вони будуть просканувати, незалежно від рівня вкладеності), а також три bat-файлу:
● start - для швидкої перевірки;
● start_paranoic - глибоке сканування з виявленням будь-яких підозрілих фрагментів коду;
● scan_and_quarantine - скрипт помістить всі небезпечні файли в архів.
3. Для початку роботи виконайте подвійне клацання по будь-якому з представлених bat-файлів в залежності від того, який результат хочете отримати. Розпочнеться сканування, за результатами якого буде сформований звіт AI-BOLIT-REPORT.html (може бути переглянутий в будь-якому браузері). У режимі карантину він буде перебувати в архіві з підозрілим скриптами

Незважаючи на високий авторитет AI-BOLIT, помилкові спрацьовування характерні і для цієї програми. Нижче наведено звіт про перевірку чистого WordPress:

Тут було знайдено дві рекламні закладки. Параноїдальний режим демонструє куди більш цікаві результати:

Зрозуміло, ніякого malware насправді немає і в помині. І, як видно на скріншоті, про ймовірність помилок попереджають і самі розробники.

2. Manul

Крім моніторингу, Яндекс пропонує всім бажаючим скористатися безкоштовним антивірусом власної розробки. Утиліта Manul, написана на PHP, може бути запущена практично на будь-якому веб-сервері і сумісна з більшістю популярних CMS. Крім того, скрипт вміє не тільки виявляти, але і видаляти небезпечний код. Нижче наведена покрокова інструкція з виявлення та лікування вірусів.

1. Скачайте програму на https://download.cdn.yandex.net/manul/manul.zip;
2. Розпакуйте архів в кореневу директорію вашої майданчики;
3. Перейдіть по посиланню імя_сайта / manul / index.php (наприклад, для блогу TekSEO адреса буде виглядати так - http://tekseo.su/manul/index.php);
4. Придумайте пароль. Скрипт пред'являє серйозні вимоги до безпеки: кодова фраза повинна бути довжиною не менше 8 символів, містити заголовні букви, цифри і спеціальні знаки.
5. Тепер можна починати сканування, клацнувши по однойменній кнопці. Також скрипт можна налаштувати, задавши інтервал запитів. Чим більше це значення (в секундах), тим більше піде часу на перевірку. Коефіцієнт можна виставити в нуль, однак на малопотужних хостингах це здатне привести до значного збільшення часу відгуку, аж до недоступності ресурсу.
6. Після цього запуститься перевірка - не закривайте його вкладку до її закінчення!
7. По завершенні сканування з'явиться вікно з кнопкою завантаження звіту. Натисніть на неї, щоб завантажити scan_log.xml.zip.

8. В іншій вкладці браузера відкрийте аналізатор, розташований на https://antimalware.github.io/manul/. Клацніть по кнопці "Завантажити файл" і відправте отриманий архів на перевірку.

9. На цьому етапі ми приступаємо безпосередньо до видалення вірусів з сайту WordPress. Перед вами відкриється вікно, в якому можна вибрати операції над небезпечними файлами (в залежності від ступеня загрози, вони позначені червоним, жовтим, або зеленим прапором). Кнопка "Карантин" дозволяє заархівувати підозрілі файли, а "Видалити" - позбутися від них назавжди.

10. Зробивши бажані дії, перейдіть вниз і скопіюйте код, що з'явився в полі "Припис"

11. Тепер поверніться на вкладку Manul, перейдіть в розділ "Лікування", вставте отриманий код в з'явилося поле і натисніть "Виконати".

13. По завершенні всіх процедур на екрані з'явиться вікно з журналом. Також можна завантажити файли, поміщені в карантин, якщо такі є в наявності

3. Санті

Cравнительно молодий проект, призначений для виявлення і ліквідації вірусів на сайті WordPress. В даний час продукт знаходиться в стадії бета-тестування і є безкоштовним, єдина платна послуга - СМС-сповіщення власника про виявлені загрози. Крім власне модуля моніторингу, скрипт пропонує споживачам безліч інструментів для усунення наслідків діяльності зловмисників. Але про них - пізніше, спершу розберемося з установкою.

1. Скачайте дистрибутив з офіційного сайту santivi.com. Вміст архіву розпакуйте в попередньо створену на хостингу папку в кореневій директорії, наприклад: /var/www/tekseo.su/public_html/santi_av

Вище наведено просту назву, однак найкраще використовувати випадкову послідовність рядкових латинських букв і цифр.

2. Перейдіть на сторінку антивіруса. У нашому прикладі адреса буде виглядати так: http://tekseo.su/public_html/santi_av

3. На екрані з'явиться авторизації. Логін за замовчуванням: admin, пароль: 12345

4. При першому запуску необхідно налаштувати скрипт, перевіривши встановлені автоматично параметри, і внісши корективи, якщо такі потрібні. Також обов'язково поміняйте дані для авторизації:

5. Пройдіть реєстрацію на сайті продукту, потім заповніть розділ "Особиста інформація", ввівши отриманий SANTI ID, адреса E-mail і мобільний телефон (опціонально - потрібен для SMS-розсилки). Згодом включити бажані способи оповіщення можна на вкладці "Інформування".

6. На вкладці "Файли і БД" слід вказати інформацію для підключення до MySQL, а також вибрати спосіб резервного копіювання файлів веб-ресурсу. Підтримуються наступні варіанти:

● створення локальної копії;
● Використання FTP-сервера;
● Ягдекс.Діск;
● Google.Drive;
● Dropbox.

7. Після закінчення зазначених вище маніпуляцій, натисніть на кнопку "Готово". Якщо все пройшло вдало, на екрані з'явиться наступне:

Поміняти настройки можна в однойменному розділі програми.

"Санті" володіє інтуїтивно-зрозумілим інтерфейсом і містить все необхідне для ефективного видалення вірусів з сайту WordPress. Інструменти розподілені за тематичними секціями. Розглянемо шкірних з них:

1. Головна.

Тут зібрані найнеобхідніші відомості про стан захисту. З розділу повідомлень можна віддавати команди про дії з виявленими погрозами.

2. Автопілот

Дозволяє налаштовувати дії, здійснювані скриптом в автоматичному режимі. Серед них:
● Моніторинг файлів - сканує цілісність веб-документів, за винятком динамічних (логи доступу, помилок і т.д.). Перевіряє дату зміни, хеш-суму, поява нових директорій і файлів.
● Моніторинг бази даних - фіксує підозрілу активність в MySQL.
● Бекапінг - повністю архівує сайт через певні проміжки часу, зберігаючи копію на сервері, або в хмарному сховищі. Налаштувати параметри можна через відповідний інструмент в розділі "Програми" (мається можливість селективного вибору директорій і файлів). На виході ви отримаєте архів в специфічному форматі .sabu - обробляти його може тільки сам "Санті", а також фірмова програма для ПК на базі Windows.
● Перевірка сайту очима пошукових систем - використовує відомості Яндекс і Google про виявлені на ресурсі загрози.
● Перевірка сайту очима десктопних антивірусів - сканування на основі сигнатур, що надаються найбільшими компаніями-розробниками рішень в області кібербезпеки для ПК.

3. Програми.

Тут представлений набір допоміжних інструментів, покликаних допомогти в обслуговуванні сайту і забезпеченні його безпеки. Розглянемо найцікавіші:
● Date-пошук. Стане в нагоді в тому випадку, якщо приблизно відомий період зараження. За допомогою фільтрів можна задати часовий діапазон, а також перерахувати розширення файлів і вказати, яким чином їх обробляти (виключити з пошуку або перевіряти).
● Конфігуратор .ftpaccess. Наспіл для настройки FTP-серверів на основі ProFTPD і Pure-FTP.
● Видалення шкідливих вставок. Буде корисний, якщо сайт WordPress постраждав від вірусу, і вам точно відомий його код. Ви можете вказати початок і кінець небезпечного фрагмента, перерахувати через кому типи файлів, які необхідно обробити / виключити і вибрати дію "шукаємо", або "шукаємо і лікуємо". В останньому випадку задана послідовність буде автоматично видалена при виявленні.
● Редактор файлів. Підтримується робота в декількох кодуваннях, нумерація рядків, елементарна підсвічування синтаксису.

Спеціалізовані автівіруси для Вордпресс

Крім перерахованих, існують і більш цілеспрямовані рішення, виконані у вигляді плагінів для CMS. Розберемо найбільш ефективні.

1. AntiVirus

Як перевіряти шаблони WordPress на наявність вірусів? Відповідь криється в невеликому модулі з гранично простою назвою і вельми аскетичним інтерфейсом. Вікно налаштувань пропонує нам запустити перевірку вручну (Manual malware scan), або включити автоматичний моніторинг проекту (Check the theme templates for malware). Друга галочка дозволяє підключити бази даних Google Safe Browsing. Також є можливість ввести адресу електронної пошти - в цьому випадку звіти будуть відправлятися на ваш E-mail.

Якщо ж натиснути кнопку "Scan the theme templates now", всі встановлені в системі шаблони будуть негайно просканувати. З'явиться сторінка

Підозрілі фрагменти утиліта підсвічує червоною рамкою. Зрозуміло, можливі й помилкові спрацьовування - в даному случає AntiVirus виділив блок коду, який відповідає за заборону виведення повідомлень про помилкову авторизації. У подібних випадках досить натиснути на кнопку "There is no virus".

2. TAC

Ще один вузькоспрямований модуль - Theme Authenticity Checker. Після установки він з'явиться в розділі "Зовнішній вигляд" адмінки. Тут взагалі не треба нічого налаштовувати і запускати - плагін проводить повністю автоматичне сканування і видає висновок без каки-небудь подробиць:

3. Quttera

Більш просунутий модуль, який здійснює сканування всього движка. Доступно два види перевірки: зовнішній - за допомогою онлайн-сервісу:

і внутрішній - з використанням скрипта самого плагіна. Для їх запуску достатньо натиснути на кнопку "Scan Now".

Результатом перевірки стане наступний звіт:

Як ви можете бачити, антивірус розділяє всі знайдені файли розділені на потенційно небезпечні, підозрілі і шкідливі. Така класифікація багато в чому умовна - як і аналоги, Quttera схильна піднімати помилкову тривогу. Найкраще поставити плагін на свідомо чистий сайт і запустити первинний моніторинг, за результатами якого додати всі "забраковані" файли в білий список. Для цього достатньо перейти на вкладку "Detected Threats" і натиснути "WhiteList File" під кожним попередженням.

4. Sucuri Security

Цей плагін - найбільш просунутий з спеціалізованих. До недоліків можна віднести обов'язкову реєстрацію на офіційному ресурсі розробників і отримання API-ключа, в іншому випадку функціонал буде обмежений. Відповідне попередження з'явиться відразу після активації.

Натиснувши на кнопку, ви побачите наступне вікно:

Доменне ім'я та пошта адміністратора визначаються автоматично, проте останню можна змінити. Галочку в Галочка DNS Lookups слід ставити тільки якщо ви використовуєте CloudProxy.

Перш, ніж розбиратися, як захистити WordPress від вірусів, необхідно правильно налаштувати розширення в розділі Settings. Тут ви побачите відразу кілька вкладок. У General можна встановити основні параметри:
● Plugin API Key - дозволяє ввести ключ API;
● Data Storage Path - вказує шлях до директорії, в якій Sucuri Security зберігає логи, список перевірених файлів та іншу службову інформацію (за замовчуванням - / uploads / sucuri;
● Reverse Proxy and IP Address і IP Adress Discoverer - активуйте, якщо підключені зовнішні проксі-сервіси, або фаєрвол;
● Failed Login Password Collector - включає відстеження невдалих спроб авторизації на сайті;
● User Comment Monitor - перевірка вмісту коментарів, що додаються користувачами. Допомагає захиститися як від спаму, так і від шкідливих вставок;
● XML HTTP Request Monitor - фільтрує запити Ajax, може негативно позначитися на часі відгуку сайту;
● Audit Log Statistics - відображення статистики подій, тут можна задати кількість аналізованих записів (за замовчуванням - 500);
● Date & Time - дозволяє змінити час і дату, якщо вони визначені невірно;
● Reset Options - скидання налаштувань за замовчуванням (корисно, якщо ви стали відчувати проблеми з продуктивністю сайту, або роботою скриптів після встановлення плагіну, але не можете зрозуміти, в чому справа).

Вкладка "Scanner" дозволяє:
● Запускати примусову перевірку кнопкою "Fast Scan";
● Вибрати один з трьох алгоритмів (SPL - найбільш швидкий, Global - найповільніший і ретельний, або OpenDir - золота середина);
● Встановити частоту перевірки (за замовчуванням - 2 рази на день);
● Включити і управляти сканером файлової системи (FS Scanner);
● Встановити аналізатор звітів, а також очистити логи.

На вкладці "Alerts" можна вказати електронну адресу для відправки повідомлень, а також задати шаблон повідомлень, вибравши із запропонованих, або ввівши свій власний в поле "Custom".

Також тут можна задати частоту відправки листів і параметри для визначення брутфорс-атак.

Нижче є можливість тонкої настройки сповіщень. Крім галочок, проставлених за замовчуванням, варто активувати всі чекбокси, пов'язані з діями користувачів - це допоможе успішно відловлювати спамерів і брутфоресов.

Також варто включити всі пункти, пов'язані зі статусом плагінів (позначені вилкою) і шаблонів (позначені пензликом). Це не буде навантажувати систему, проте допоможе виявити дії зловмисника, який отримав доступ до проекту і яка внесла зміни в його конфігурування.

Розділ "Ignore Scanning" дозволяє вказати директорії, які не потребують перевірки (необхідно поставити абсолютний шлях до папки). Сюди варто внести місця розташування відео- і аудіо файлів: їх перевірка безглузда, при цьому буде від'їдатися безліч ресурсів сервера, що негативно позначиться на продуктивності.

"Ignore Alerts" дозволяє виключити з сповіщень зміни контенту певного типу (post-types).

Вкладка "Trust IP" дозволяє задати діапазони IP-адрес, дії з яких не будуть реєструватися системою. Зручно, якщо робота з проектом здійснюється групою людей з однієї підмережі.

"Hearbeat" допомагає налаштувати однойменний API, який використовується для двостороннього зв'язку сервер-браузер. В основному він використовується в робочих групах, і якщо ви є одноосібним власником сайту, його краще зовсім відключити. Це дозволить прибрати додаткову уразливість, а також підвищить продуктивність движка.

Після внесення всіх правок, можна запускати сканування в розділі Malware Scan відповідної кнопкою:

Крім власне сканера, Sucury Securyti має в своєму складі ряд корисних інструментів, що дозволяють захистити WordPress від вірусів ще до того, як сайт буде зламаний. Всі вони зібрані в розділі Hardening. Перерахую можливості:
● Verify WordPress version - стежить за актуальністю ядра движка і дозволяє запустити примусове оновлення;
● Website Firewall protection - підключення CloudProxy (повинен бути попередньо налаштований WAF на відповідній вкладці);
● Remove WordPress version - видаляє відображення версії CMS;
● Block PHP files - блокує доступ до службових файлів через .htaccess (для Apache), або пропонує рекомендації по налаштуванню Nginx;
● Verify PHP version - перевіряє актуальність версії встановленого інтерпретатора;
● Security key - дасть знати, якщо ви забули оновити ключі безпеки в wp-config.php;
● Information leakage (readme.html) - видаляє файл Readme, що містить інформацію, потенційно корисну для хакера;
● Default admin account - перевіряє, чи не використовується логін admin для облікового запису суперадміністратора;
● Plugin & Theme editor - блокує вбудований редактор шаблонів в один клік;
● Database table prefix - нагадує про необхідність заміни префікса таблиць MySQL на унікальний, замість дефолтного wp_.

Розділ Post-Hack знадобиться після того, як ви очистили сайт WordPress від вірусів. Тут представлені три інструменти:
● Security keys - дозволяє створити новий комплект ключів безпеки і замінити скомпрометовані;
● Reset User's Password - допоможе здійснити масове скидання паролів зареєстрованих користувачів за вашим вибором;
● Reset Plugins - відкочується все встановлені плагіни до явно безпечним версіями, за винятком преміальних доповнень.

Підсумуємо

Прочитавши статтю, ви переконалися, що боротьба з шкідливим ПО зовсім не є чимось з ряду геть. Завдяки наявності спеціалізованих рішень, такі операції, як перевірка шаблону WordPress на віруси, моніторинг ядра CMS і чистка сайту в разі зараження може виконати навіть непрофесіонал. Але як і в медицині, в сфері IT ключ до успіху - не лікування, а профілактика. Пам'ятайте - хакери становлять загрозу не тільки для вас і вашого дітища, але і для відвідувачів веб-ресурсу. Часто саме вони виявляються під ударом, відвідуючи заражені сторінки. Це загрожує втратою найголовнішого - довіри з боку користувачів, що неминуче виллється у втрату постійних читачів, і навіть клієнтів. Тому дуже важливо потурбуватися питаннями безпеки якомога раніше, звівши до мінімуму ймовірність злому.