WordPress är en av de mest populära plattformarna för webbutveckling och driver mer än 40% av alla webbplatser i världen. Dessvärre gör populariteten WordPress till ett lockande mål för hackare och skadlig kod.
I facktermer kallas skadlig kod för malware, vilket på engelska översätts med malicious software (ofta kallat ”virus” i lekmannatermer). Malware är programvara som är utformad för att infektera ett system, skada en webbplats eller få obehörig åtkomst. I WordPress-sammanhang är det all skadlig kod som kan ta sig in på din webbplats, störa dess funktion, äventyra data eller missbruka den för ytterligare attacker.
I den här artikeln kommer vi att förklara i detalj vad WordPress skadlig kod är, hur den kommer in på webbplatsen, vilka risker den medför och hur du tar bort den. Slutligen kommer vi också att nämna förebyggande åtgärder för att bättre säkra din WordPress sida.
Vad är skadlig kod i WordPress? Varför är WordPress ett vanligt mål för attacker?
Malware är skadlig kod eller programvara som syftar till att skada eller gynna en webbplats. WordPress är en plattform med öppen källkod och en enorm användarbas, vilket naturligtvis lockar till sig angripare. WordPress driver mer än 40% av alla webbplatser, så hackare vet att de kan slå till mot ett stort antal webbplatser med en lyckad attack. Skadlig kod på en WordPress-webbplats kan orsaka allvarliga skador, från intrång på webbplatsen till stöld av känsliga uppgifter och förstörelse av ett företags rykte. Även om utvecklarna regelbundet släpper uppdateringar för att hålla kärnan i WordPress relativt säker, skapar plugins och teman ett enormt ekosystem där kvaliteten på koden varierar kraftigt mellan olika författare. Därför uppstår det ofta attackvektorer, och om utvecklare lämnar plugins föråldrade eller buggiga kan angripare använda dem för att få tillgång till din WordPress-webbplats via en bakdörr.
Hur kan en WordPress-webbplats bli infekterad med skadlig kod (WordPress malware)?
Det finns många sätt för skadlig kod att ta sig in på webben. Den vanligaste orsaken till att en WordPress-webbplats äventyras är att en känd sårbarhet utnyttjas, t.ex. ett ouppdaterat plugin eller tema. Enligt säkerhetsanalyser var upp till 93% av de identifierade sårbarheterna i WordPress relaterade till plugins, och mer än 52% av de kända hålen orsakas direkt av föråldrade (ej uppdaterade) plugins. Med andra ord är föråldrad kod en öppen inkörsport för hackare, som aktivt skannar webbplatser för att hitta kända sårbarheter i specifika versioner av plugins eller teman som de kan utnyttja. Ju fler plugins och teman du använder, desto större blir dessutom det potentiella utrymmet för säkerhetshål.
De vanligaste sätten att infektera WordPress med skadlig kod är följande:
Sårbara eller föråldrade plugins och teman
Som vi redan har nämnt är detta den vanligaste attackvektorn. Utvecklare korrigerar kontinuerligt sårbarheter i uppdateringar, men om en användare försummar att uppdatera kan hackare dra nytta av tidsfördröjningen mellan att korrigeringen släpps och att den används. Ett exempel är den kritiska sårbarheten i plugin-programmet File Manager (2020), som utnyttjades av angripare för att köra godtycklig kod på mer än 600.000 webbplatser, och många webbplatsadministratörer misslyckades med att patcha den i tid, så hackare infekterade deras webbplatser.
Skadliga (infekterade) plugins eller teman
Ibland utsätter sig administratörer omedvetet för risker genom att installera otillförlitlig programvara. Om en användare laddar ner en piratkopierad ”nulled”-version av en betald mall får de ofta med sig skadlig kod som är inbäddad direkt i koden. I vissa fall har angripare infiltrerat utvecklaren eller avsiktligt skapat ett plugin med dold skadlig kod.
Svaga lösenord och stöld av inloggningsuppgifter
Angripare försöker ofta med en brute-force-attack på administratörens konto. Om du använder ett enkelt lösenord är det bara en tidsfråga innan botnätet gissar det. Det värsta är att många av de webbplatser som vi avslöjade från wordpress-skadlig programvara bara hade det enkla användarnamnet ”admin”, vilket möjliggör en ännu enklare brute-force-attackmetod. Om en angripare får tillgång till dina inloggningsuppgifter på annat sätt (t.ex. genom läckage från en annan tjänst, nätfiske eller skadlig kod på din dator) kan de direkt logga in i WordPress-admin och ladda upp skadlig kod, till exempel via en filredigerare eller ett anpassat plugin.
Olämpliga inställningar och konfigurationer
Olika utelämnanden i konfigurationen kan göra hackarnas jobb enklare. Det kan handla om att lämna install.php eller wp-config.php på en offentlig plats, felaktigt inställda filåtkomsträttigheter (chmod) som gör det möjligt att skriva till känsliga kataloger eller ett osäkert gränssnitt för webbhotellskontot.
Sårbarhet hos servern eller en annan applikation på hostingen
Om din webbplats delar server med andra webbplatser (typiskt för billig shared hosting) kan du vara sårbar för en attack mot någon annans webbplats på samma server. Angripare kan få tillgång till servern och därefter infektera alla WordPress-installationer som körs på den. På samma sätt kan ett säkerhetshål i en annan webbapplikation (t.ex. ett forum, en e-handelswebbplats eller ett anpassat skript på samma hosting) fungera som en ingångspunkt för skadlig kod som sedan sprids till WordPress-kataloger.
Vi stötte oftast på skadlig kod med delad hosting där det inte fanns någon isolering mellan webbplatser, särskilt Webglobe eller Webhouse. I ett sådant upplägg räcker det med att en webbplats på servern infekteras för att den skadliga programvaran ska kunna spridas till andra webbplatser på samma användarkonto. Vi rekommenderar därför att du väljer ett webbhotell som tillhandahåller separata PHP-processer, mappar och databaser för varje enskild webbplats.
Alla ovanstående scenarier har en gemensam nämnare, och en angripare kommer att utnyttja även den minsta säkerhetsbristen för att infoga skadlig kod på en webbplats. Efter den första penetrationen laddar de ofta upp en bakdörr, vilket är en fil eller ett konto som ger ihållande åtkomst även om du har täppt till den ursprungliga sårbarheten. Detta säkerställer möjligheten till en upprepad attack eller ytterligare manipulation av webbplatsen.
Symtom på en komprometterad WordPress-webbplats (hur man vet att jag har skadlig kod)
Många webbplatser kan vara infekterade under lång tid utan att administratören märker det direkt. Så hur vet du om din WordPress -sida innehåller skadlig kod? Här är de typiska varningssignalerna för att något är fel:
Långsamhet eller konstigt sidbeteende
Webbplatsen går plötsligt långsamt, kraschar ofta eller oväntade popup-fönster visas. Skadlig programvara kan belasta servern (t.ex. genom att bryta kryptovalutor i bakgrunden) eller orsaka fel och systemkrascher.
Cryptocurrency mining scripts gör det möjligt för hackare att i hemlighet bryta kryptovalutor genom besökarnas enheter. Webbplatsen saktar ner, värdbelastningen ökar och angriparen gör en vinst, så det lönar sig för dem.
Det finns främmande element på webbplatsen som du inte har avslöjat, t.ex. spamlänkar, annonser, nya misstänkta sidor eller inlägg med skadligt innehåll. Det kan också vara så kallad farmaceutisk spam (sidor som marknadsför läkemedel, kasinon etc.) eller inbäddade SEO-spamlänkar till utländska webbplatser som är dolda i sidfoten eller koden.
Oförklarliga administratörskonton
Det finns ett nytt konto med administratörsrättigheter i WordPress -administrationen som du inte har skapat. Detta innebär nästan säkert att angriparen har skapat en bakdörr för upprepad åtkomst.
Omdirigering av besökare
Besökare rapporterar att de omdirigeras till konstiga webbplatser (som ofta innehåller skadlig kod, annonser eller nätfiske) när de kommer till din webbplats. Som inloggad administratör kanske du inte ser detta (ofta riktar sig angriparen bara mot okända besökare eller specifika trafikkällor). Vi noterade också att det bara var mobila enheter som omdirigerades och att desktopversionen var okej.
Varningar i sökmotorer och webbläsare
Det är en mycket allvarlig signal om Google flaggar din webbplats som infekterad eller om webbläsaren visar en säkerhetsvarning om att webbplatsen innehåller skadlig kod eller bedrägligt innehåll. Det kan visa sig genom att du ser varningen ”Den här webbplatsen kan vara hackad” i sökresultaten för din webbplats eller en röd varningsskärm när du försöker besöka den.
Märklig aktivitet inom statistik
I analysverktyg (Google Analytics etc.) kommer du att märka ovanliga fluktuationer i trafiken, till exempel en stor nedgång i organisk trafik (vilket kan innebära att en webbplats straffas eller blockeras i sökningen på grund av skadlig kod, eller tvärtom, misstänkta åtkomster från okända länder eller konstiga förfrågningar till servern. En plötslig nedgång i legitim trafik är vanligtvis ett varningstecken på att Google tillfälligt kan ha blockerat webbplatsen (uteslutit den från resultaten på grund av en misstänkt infektion).
Dessa symptom kanske inte alltid är uppenbara vid första anblicken, så vi rekommenderar att du övervakar din webbplats kontinuerligt. Säkerhetsplugins som kontrollerar filändringar och upptäckten av ny skadlig kod eller externa skannrar (t.ex. Google Safe Browsing eller Sucuri SiteCheck) som kan upptäcka om din webbplats är listad som komprometterad kan hjälpa till. Ju tidigare du upptäcker infektionen, desto mindre skada kan du göra.
Vilka är riskerna och skadorna när WordPress är infekterat med skadlig kod?
Om skadlig kod lyckas infektera en webbplats kan det få mycket allvarliga konsekvenser för din webbplats, ditt företag och dina besökare. Här är en översikt över de största riskerna och skadorna som WordPress skadlig kod orsakar:
Datastöld och läckage av känslig information
En angripare kan stjäla data från en webbplats, oavsett om det handlar om en kunddatabas, personliga användardata eller till exempel åtkomstlösenord. Det kan också handla om att stjäla information från e-handelsorder, vilket allvarligt kommer att undergräva dina kunders förtroende.
Missbruk av webben för skadliga aktiviteter
Hackare använder ofta komprometterade webbplatser som verktyg, t.ex. kan de bädda in kod på en webbplats som skickar skräppost eller koppla in den i ett botnät för att utföra DDoS-attacker på andra servrar. Det är också vanligt att skadlig kod sprider ytterligare infektion till besökare (t.ex. via exploit kits i webbläsaren), så att din webbplats sprider virus till alla som besöker den.
Skada på SEO och webbplatsens rykte
Skadlig kod kan infoga skräppostlänkar, annonser och skadligt innehåll på din webbplats, vilket påverkar webbplatsens trovärdighet. Sökmotorer som Google kommer att reagera snabbt och nedgradera din webbplats i resultaten eller blockera den helt och hållet för att skydda användarna. Ditt varumärke kommer att lida av detta, ingen vill att deras webbplats ska visa en varning om att ”den här webbplatsen kan skada din dator”. Att reparera SEO-skador (ta bort bestraffningar, återställa förtroendet) kan ta lång tid även efter att webbplatsen har städats upp.
Ekonomiska förluster och avbrott
En infekterad webbplats slutar ofta att fungera som den ska eller stängs ibland tillfälligt ner av ett bättre webbhotell (för att förhindra att den sprider skadlig kod). Detta gör att du förlorar besökare, kunder och försäljning. Ett driftstopp på en webbplats eller e-butik, även om det bara är i några timmar, kan innebära en betydande ekonomisk förlust. Dessutom kan du förvänta dig en kostsam och långdragen återhämtning, från en säkerhetsrevision till rengöring och återställning av data från säkerhetskopior och förstärkning av säkerheten. Akuta insatser av experter kan kosta hundratals euro, för att inte tala om den långsiktiga intäktsförlusten.
Rättsliga konsekvenser
Om en attack leder till att kunders personuppgifter (t.ex. e-post, adresser, telefonnummer) eller betalningsuppgifter läcker ut, finns det risk för juridiskt ansvar för bristande datasäkerhet. Enligt GDPR kan myndigheterna utfärda böter för läckage av personuppgifter. På samma sätt kan ditt företag bli skadeståndsskyldigt om din webbplats sprider skadlig kod och infekterar besökarnas datorer.
Kort sagt, det lönar sig inte att strunta i WordPress säkerhet. En malware-attack på en WordPress-webbplats kan orsaka mycket mer skada än vad ett adekvat förebyggande skulle vara värt. I nästa avsnitt av den här artikeln visar vi dig därför hur du tar bort skadlig kod för WordPress och undviker återinfektion i framtiden.
Så här tar du bort skadlig kod från en WordPress-webbplats (ta bort virus från hackade webbplatser)
Om du misstänker att din WordPress har infekterats med WordPress skadlig kod, måste du agera omedelbart. Ju tidigare du börjar ta itu med händelsen, desto bättre chans har du att minimera skadan. Att ta bort skadlig kod från en webbplats (så kallad unwinding) kan dock vara en ganska utmanande process som kräver teknisk expertis. För fullständighetens skull kommer vi nu att beskriva de grundläggande stegen i den manuella processen, som i grunden är desamma för de flesta metoder för att ta bort skadlig kod från WordPress. Vi kommer dock att behålla vissa specifika förfaranden som intern kunskap för att skydda vår lösning från konkurrenterna.
Steg för att rengöra en infekterad WordPress-webbplats
Koppla bort webbplatsen från besökare (tillfällig isolering): Om möjligt ska du omedelbart hindra allmänheten från att få tillgång till den komprometterade webbplatsen för att förhindra att situationen förvärras. Du kan t.ex. använda underhållsläge eller endast tillåta åtkomst från din IP-adress i .htaccess-filen. Detta förhindrar att infektionen sprids till besökare och gör att du kan städa upp i lugn och ro.
Leta reda på skadlig kod
Gör en grundlig genomsökning av webbplatsen för att hitta filer som är infekterade med skadlig kod. Använd säkerhetsplugins eller skannrar på ditt webbhotell. Dessa verktyg kan identifiera kända skadliga filer eller koder. Jämför dessutom WordPress-kärnan och plugins med originalversionerna och om någon systemfil inte ska ändras men ändå har ett annat innehåll är det misstänkt. Glöm inte katalogen wp-content/uploads, där angripare gärna gömmer PHP-filer förklädda till bilder, till exempel.
Ta bort eller rensa infekterade filer
Ta bort (eller flytta åtminstone ut ur den offentliga katalogen) alla identifierade skadliga filer. Om det är en del av WordPress-kärnan, ett känt plugin eller tema, är det bäst att installera om en ren version och till exempel ta bort hela katalogen för det drabbade pluginet och ladda upp det igen från den officiella källan. Malware infekterar ofta också kärnfiler (t.ex. wp-config.php, wp-load.php eller temafiler) där den lägger till sin kod. Ersätt antingen dessa filer med rena kopior eller ta försiktigt bort skadliga instick från dem (detta kräver kunskap om PHP för att undvika skadlig funktionalitet).
Om du inte är säker på att du har tagit bort all skadlig kod, lita inte på det, en angripare kan också skapa en bakdörrsfil som ser ofarlig ut vid första anblicken. Leta efter misstänkta filer (.php-filer på ovanliga platser, filer med slumpmässiga namn etc.).
Kontrollera databas och innehåll
Den skadliga koden kan också ha kommit in i databasen och t.ex. innehållet i inlägg (inbäddade skript), inställningar eller användarkonton. Skanna databasen (t.ex. via phpMyAdmin) och leta efter misstänkta värden som inte borde finnas där. Ta bort eller åtgärda allt du hittar. Kontrollera också listan över användare i WordPress, särskilt administratörer, och ta bort alla som inte hör hemma där.
Återställ åtkomst och lösenord
När du har rensat systemet ska du omedelbart ändra alla lösenord, adminåtkomst till WordPress, databaslösenord (redigera i wp-config.php), FTP/hostingkonto, API-nycklar och hemligheter om tillämpligt. Det är mycket möjligt att de ursprungliga inloggningsuppgifterna har äventyrats och att lämna dem kvar skulle göra det möjligt för en angripare att bryta sig in igen.
Med Webhouse webbhotell har vi också stött på det faktum att lösenord till databasen visas fritt i administrationen efter inloggning. Ett så pass kritiskt fel att vi aldrig skulle placera en kundsida där själva.
Uppdatera WordPress, plugins och teman
Se till att du använder den senaste versionen av WordPress och alla plugins och mallar. Om inte, uppdatera dem nu (efter att du har rensat upp dem). Detta kommer att ta bort kända säkerhetsproblem genom vilka skadlig kod kan ta sig in. Överväg också att ta bort onödiga plugins helt och hållet, ju mindre kod du har på din webbplats, desto färre potentiella sårbarheter.
Testa webbplatsen och övervaka andra beteenden
När du har tagit bort den skadliga programvaran ska du testa webbplatsens grundläggande funktionalitet för att se om allt fungerar, om designen har ”gått sönder” någonstans (detta kan hända om du raderade infekterade temafiler). Övervaka webbplatsens beteende under de närmaste dagarna för att se om misstänkta filer eller tecken på infektion dyker upp igen. Använd helst ett säkerhetsplugin med aktiv övervakning för att varna dig för eventuella nya hot.
Be att få bli borttagen från svarta listor
Om Google Safe Browsing eller antivirussystem har flaggat din webbplats som osäker kommer du efter en lyckad rensning omedelbart att skicka en begäran om att granska och avblockera webbplatsen. I Google Search Console hittar du ett avsnitt Säkerhetsfrågor / Säker surfning där du kan begära en ny utvärdering av webbplatsen. Google gör sedan en ny genomsökning av webbplatsen och om ingen skadlig kod hittas tas alla varningar bort (vanligtvis inom 1-3 dagar). Hoppa absolut inte över det här steget, annars kommer du att avskräcka besökare långt efter att webbplatsen har rensats
Lär dig av händelsen och förbättra säkerheten
Varje säkerhetsincident bör leda till förbättrade åtgärder i framtiden. Som avslutning på den här artikeln går vi igenom de viktigaste förebyggande åtgärderna som vi rekommenderar att du vidtar för att förhindra att situationen inträffar igen.
Att ta bort virus från WordPress-webbplatser kan ta timmar eller dagar, beroende på hur allvarlig attacken är. Särskilt om du inte har erfarenhet eller tid är det bättre att kontakta experter för att noggrant inspektera, rengöra och säkra din webbplats från ytterligare attacker. På VR Master Ltd har vi arbetat med denna fråga under lång tid och har rensat upp mer än 75 komprometterade WordPress-webbplatser och hjälpt deras ägare att återställa sitt förtroende och sina sökrankningar.
Om du misstänker skadlig kod eller redan har blivit hackad, tveka inte att kontakta oss, så tar vi hand om hotet på ett professionellt sätt och stärker säkerheten på din webbplats.
Förebyggande åtgärder: Så skyddar du WordPress mot skadlig kod
När infektionen har avlägsnats (eller helst innan den ens har inträffat) är det nödvändigt att vidta förebyggande åtgärder. Att säkra WordPress är en pågående process, och ingen engångsjustering kommer att fixa en webbplats för alltid om du inte tar hand om den. Nyckeln är att minimera risken för en attack och upptäcka intrångsförsök tidigt. Här är en lista över bästa praxis för att öka WordPress-säkerheten och förhindra skadlig kod:
Uppdatera WordPress, plugins och teman regelbundet.
Uppdateringar innehåller ofta säkerhetsfixar. Ställ in ett intervall för uppdateringskontroll på minst en vecka eller använd automatiska uppdateringar för mindre uppdateringar. Låt inte din webbplats köras med föråldrad kod.
Använd endast betrodda plugins och teman.
Installera endast tillägg från det officiella WordPress-arkivet eller från välrenommerade utvecklare. Undvik piratkopior av betalda plugins eftersom de kan innehålla dolda bakdörrar. Håll ett öga på recensionerna och den senaste uppdateringen, om pluginet inte underhålls är det bättre att hitta en ersättare.
Säker inloggning med ett starkt lösenord och 2FA
Välj ett starkt och unikt lösenord för administratören (minst 12 tecken långt, en kombination av bokstäver, siffror och symboler). Använd aldrig ”admin” som användarnamn. Aktivera tvåfaktorsautentisering (2FA) för att förhindra att en angripare kommer in även om lösenordet läcker ut. Överväg också att begränsa antalet inloggningsförsök (plugin Limit Login Attempts, etc.).
Installera ett säkerhetsplugin med en brandvägg
Tillägg som Wordfence, Sucuri Security, iThemes Security eller All In One WP Security kan övervaka skadlig aktivitet och blockera attacker på webbapplikationsnivå (WAF). Många av dem kontrollerar också filintegritet, söker efter skadlig kod och ger varningar om något misstänkt händer på webben.
Regelbunden säkerhetskopiering av hela webbplatsen
Ställ in automatiska säkerhetskopior av din databas och dina filer (dagligen eller veckovis beroende på hur ofta ändringar görs). Förvara säkerhetskopiorna utanför servern (t.ex. i molnlagring). Om du skapar regelbundna säkerhetskopior kan du snabbt återställa en ren version av din webbplats i händelse av en attack och minimera stilleståndstiden.
Spåra ändringar i filer och rättigheter
Se till att rätt filbehörighet är inställd (helst 644 för filer och 755 för mappar, känslig wp-config.php kan ha 600). Använd ett verktyg eller plugin som rapporterar ändringar i filer, om det finns en ny .php-fil i /uploads eller en ändring i en kärnfil bör du veta om det. På samma sätt bör du regelbundet kontrollera om det finns okända konton i administrationen.
Säkra din server och dator
Håll säkerheten utanför WordPress: skydda din hosting med starka lösenord, inaktivera onödiga tjänster och använd uppdaterad PHP. Ha ett uppdaterat antivirusprogram på din dator och se till att en angripare inte får tag på dina FTP-lösenord via en keylogger på din dator. Använd ett VPN när du ansluter till Wi-Fi så att inloggningsuppgifterna inte kan fångas upp.
Var uppmärksam på misstänkt aktivitet
Håll utkik efter varningsdetaljer, t.ex. om e-postmeddelandet från webbhotellet rapporterar ovanligt hög CPU-användning eller om du råkar se en okänd länk i sidfoten på mallen. Det här är ofta de första tecknen på att något är fel, och ett tidigt ingripande kan förhindra ett större problem.
Underskatta inte WordPress säkerhet
WordPress är ett kraftfullt och flexibelt system, men säkerheten måste tas på allvar. I den här artikeln förklarar vi vad skadlig kod för WordPress är och vilka attackmetoder som oftast används, vilka symptom en attack kan ge och vilka konsekvenser den kan få. Vi beskriver också hur du tar bort skadlig programvara och vilka försiktighetsåtgärder som är viktigast för att skydda din webbplats.
Om du misstänker att din WordPress-webbplats har hackats eller infekterats med skadlig kod ska du inte vänta, utan agera. Ibland räcker det med några timmars passivitet för att angriparna ska orsaka skador som det tar veckor att reparera. Om du inte vågar städa upp din webbplats själv, tveka inte att använda professionella tjänster. Vårt företag VR Master Ltd är specialiserat på att ta bort skadlig kod från WordPress-webbplatser och omfattande webbplatssäkerhet. Vi har stor erfarenhet av att rensa hackade webbplatser och hjälper dig gärna att få kontroll över din webbplats igen, rensa upp den och säkra den.
WordPress-säkerhet ska inte underskattas, och att investera tid (och eventuellt resurser) i förebyggande åtgärder ger trovärdighet till ditt företag och sinnesfrid till din webbansvarige. Vi hoppas att den här guiden har hjälpt dig att navigera i frågan om skadlig kod i WordPress. Om du har frågor eller behöver hjälp med en hackad webbplats, hör av dig till oss. Vi finns här för dig och din WordPress.
Professionell borttagning av virus från webbplatser
Angrepp sker oftast genom sårbara plugins, svag säkerhet eller mänsklig ouppmärksamhet. Konsekvenserna kan vara allt från dataförlust till skadat anseende och ekonomiska förluster. Det viktigaste är att vidta förebyggande åtgärder och uppdateringar, starka lösenord, säkerhetsplugins och säkerhetskopior. Om en attack redan har inträffat är det viktigt att agera snabbt: identifiera och ta bort skadlig kod, dvs. utföra en sanering av webbplatsen och skydd av webbplatsen av professionella, och stärka skyddet. Om det behövs, tveka inte att ta hjälp av en expert som kan hjälpa dig att skydda din WordPress mot skadlig kod och attacker. När allt kommer omkring innebär en säker WordPress en tillförlitlig webbplats för dig och dina besökare.