V následujícím článku se zaměříme na opravu napadeného/zavirovaného webu. Tento problém lze řešit více způsoby, my si však ukážeme způsob, kdy obnovíme data do nové, čisté instalace. Opravu webu doporučujeme pouze zákazníkům, kteří umějí pracovat s FTP a databází (PMA).
Tento postup předpokládá, že máte na hostingu pouze jeden web. Využíváte-li multihosting a máte na hostingu více webů, je potřeba tomu celý zásah přizpůsobit. Je samozřejmě možné, že pokud je napaden jeden web, snadno se útočník dostane k dalším na stejném hostingu.
Jak poznám, že mám napadený web?
Pokud máte na webu nějaký script, který pouze v tichosti krade vaše údaje případně údaje vašich návštěvníků, nemusíte to vůbec poznat. Ve většině případů to ale poznat lze. Například pokud se najednou na vašem webu zobrazují nežádoucí reklamy nebo obrázky, obvykle s informací o tom, že návštěvník vyhrál tisíce korun nebo nový mobil.
Dále se může jednat o nemožnost přístupu do administrace, nezobrazování obrázků, chybové hlášky, přesměrovávání webu nebo zobrazování bílé stránky. Ověřit zda se jedná o napadení lze přímo na FTP, kde projdete adresáře a soubory webu.
Velmi častý jev je spousty souborů .htaccess ve všech adresářích webu, kdy obsahují kód pro zákaz přístupu k dalším souborům. Kód může vypadat například takto
1. krok – záloha
Před jakýmkoliv zásahem si web vždy zálohujte. Obzvláště u této opravy bude záloha potřeba, jelikož se pokusíme obnovit data webu. Stáhněte si tedy soubory z FTP a databázi. ideálně dle návodu zde.
2. krok – čištění
Máte-li obsah webu z FTP zálohovaný, můžete veškeré soubory z FTP smazat. Ideálně úplně všechny adresáře a následně vytvořit novou adresářovou strukturu. Dále potřebujeme ošetřit adresáře s daty, které následně znovu nahrajeme na hosting.
Ze zálohy FTP, kterou jsme provedli, si zkopírujeme adresář /uploads, který se nachází ve /wp-content. Musí se jednat opravdu o kopii adresáře abychom stále měli zálohu tohoto adresáře. Tento adresář obsahuje veškeré mediální soubory (obrázky, videa), které používáme na webu. Kopii adresáře tedy otevřeme a podíváme se, zda se zde nenachází soubory .htaccess případně podezřelé .php nebo .js soubory, pokud ano smažeme je.
Po této tzv. ruční kontrole doporučuji ještě celý adresář nechat prověřit antivirovým programem. Pokud máte lepší antivirový program, měl by škodlivé soubory zachytit již při stahování zálohy z FTP.
3. krok – nová instalace
Nyní potřebujeme nainstalovat celý WordPress znovu. Nejsnazší způsob je instalace pomocí našeho instalátoru. Po dokončení instalace, zbývá připojit původní databázi a nahrát adresář s mediálními soubory.
Máme dvě možnosti, jak k webu připojit původní databázi. Pokud jste původní databázi nesmazali, můžete ji k webu připojit pomocí souboru wp-config.php. Musíte tedy získat přístupové údaje k původní databázi. Nejsnazší způsob je opsání údajů z původního souboru wp-config.php, který nalezneme v záloze FTP souborů.
Konkrétní se jedná o tyto údaje
Druhá možnost, je import původní databáze do nově vytvořené. Stačí se tedy přes PMA přihlásit do nově zřízené databáze. Přístupové údaje opět nalezneme v konfiguračním souboru nově nainstalovaného webu. Jakmile se přihlásíte, smažte veškeré tabulky nového webu. Po smazání již stačí pouze importovat zálohu původní databáze (.sql soubor).
Po připojení původní databáze se můžete připojit do administrace webu pomocí přístupových údajů, které byli platné před napadením webu.
Jedním z posledních kroků obnovy, je nahrání obsahu původního adresáře /uploads. Ten nahrajte na FTP do adresáře /wp-content.
V tuto chvíli máte nejdůležitější data obnovena. Zbývá nastavení šablony a pluginů. Šablonu a pluginy bychom mohli též nahrát jako adresář s obrázky, avšak se jedná o adresáře, které mají spousty dalších podsložek a může se v nich ukrývat škodlivý script. Proto je nejsnazší nainstalovat šablonu a pluginy přímo z administrace webu znovu.
4. krok – zabezpečení a prevence
Podařilo se vám obnovit web a odstranit škodlivé soubory. Nelze však zaručit, že v nahraných datech stále nezůstali zadní vrátka mohl útočník web napadnout znovu. Po obnově je tedy potřeba bezprostředně změnit přístupy na FTP, DB a všem uživatelům s přístupem do administrace webu a nainstalovat bezpečnostní plugin – například WordFence.
Další možnosti prevence naleznete v článku 12 tipů pro lepší zabezpečení WordPress
Často kladené dotazy
Dotaz: Lze web opravit pouze tím že projdu adresáře a smažu soubory aniž bych prováděl novou instalaci a obnovu dat?
Odpověď: Ano lze. Nicméně se Vám může stát že se na webu nachází script, který nežádoucí soubory generuje, případně je script mimo Váš hosting ale využívá cesty na FTP přes odhalené údaje. Pokud se Vám tedy podaří web opravit smazáním souborů, je stále potřeba provést změnu hesel a instalaci bezpečnostního pluginu.