Jak poradzić sobie z Japan hacked wirus na WordPress

Jeszcze niedawno mój blog został zaatakowany przez wirus, który powoduje „spustoszenie” naszego bloga. Spustoszenie w takim sensie, że nasze wyniki w google spadają w inną galaktykę.Gdy wpiszemy site: adres strony  ukazują nam się japońskie krzaczki. Nasz wordpress został zawirusowany.

Myślisz sobie, już po blogu, nie da rady go uratować, a jedyna pomoc sporo kosztuje. Mało brakowało a sam bym się na to naciął. Jest sporo naciągaczy na usunięcie takiego wirusa. Powiem wam, że możecie usunąć go sami. Google sam opisuje jak to zrobić: https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

Niestety ten rodzaj ataku jest spowodowany najczęściej brakiem aktualizacji wtyczek, motywów czy samego silnika strony. Hackerzy to wykorzystują, zwłaszcza luki w motywach, dlatego bardzo ważne jest aby zawsze aktualizować wszystko.

Co sprawdzić na początku

Po pierwsze sprawdź czy ktoś nie podmienił sitemap Twojej strony. U mnie to tak właśnie wyglądało.

Następnie wejdź w Search Console i sprawdź czy ktoś nie dodał siebie jako administratora Twojej strony. Dzięki temu mógł podmienić sitemap.

Jak usunąć na dobre wirusa

Resztę kroków podaje link wyżej dlatego nie będę się rozpisywał. Zależy mi na tym aby przekazać Ci jedną ważną kwestię. Jeżeli posiadasz kopię zapasową wordpress to jesteś uratowany, bo po prostu wgrasz stare pliki i po sprawie. Jeżeli zaś nie posiadasz kopii strony to zrób to jak najszybciej łącznie z bazą danych. Gdy już wykonasz kopie zapasową plików, bazy danych i prześlesz je na dysk, usuń całą stronę z serwera, ściągnij najnowszą wersję wordpress z oficjalnej strony i wgraj od nowa łącznie z nową bazą danych(tak samo jakbyś stawiał stronę od początku).

Po wgraniu i zainstalowaniu wordpressa nie musisz się martwić, że trzeba zaczynać wszystko od początku. Wystarczy wgrać starą bazę danych oraz folder uploads. 

Przed wgraniem folderu uploads sprawdź czy nie posiada on plików .js .php. Folder ten zazwyczaj wypełniony jest tylko zdjęciami, muzyką czy filmikami, które wrzuciłeś na serwer przy publikacji wpisu.

Potem zainstalować stary styl i mamy swojego dawnego bloga bez wirusa. Oczywiście jest opcja przeszukania plików i znalezienie wirusa ale uwierz, mało komu się to udaje a jeśli masz małe pojęcie o php to już w ogóle daj sobie z tym spokój.

Następnym krokiem jest dodanie do  naszego sitemap i zmiana wszystkich haseł związanych ze stroną i .

Wgraj sobie wtyczkę Sucuri, pomaga chronić naszego bloga.

To wszystko 🙂 Polecam samemu poradzić sobie z tym problemem, bo ceny „ekspertów” zwalają z nóg a pewnie wcale inaczej by zrobili. Podmianka plików, gotowe i płać Pan! 🙂

 

 

10 Komentarze

    • Dobrze mieć wsparcie, ja niestety takiego nie posiadam w kwestiach technicznych. Jak sobie sam nie pomogę to nikt mi nie pomoże.

  1. Ciekawy artykuł, osobiście polecam ithemes security. lub jego wersję pro… W której możemy wyłączyć zmiany w plikach php wywoływane przez skrypty. Czyli wszystkie zmiany będziemy musieli wprowadzać ręcznie. Ponadto możemy włączyć dwuetapowe logowanie do bloga… Ps. Fajny artykuł – a wiesz może jak ten ktoś dostał się na twojego bloga?

    • Wiem, przez motyw, którego nie zaktualizowałem, wykorzystał lukę i wszył kod w szablon tworzący na moim serwerze skrypt dający mu dostęp do tworzenia plików php ,których znalezienie graniczyło z cudem. Na swoim blogu stosuje dwuetapowe logowanie. Ponad to do kokpotu również stosuję dwuetapowe logowanie. Każdemu to polecam.

  2. Gratuluję oczyszczenia bloga 🙂

    Niestety we wpisie pojawiło się trochę błędów. W kolejności:
    – jeżeli została wygenerowana/podmieniona mapa witryny (częściej to mapy), to nie powinno się jej usuwać: posłuży do przyspieszenia wyindeksowania linków ze spamem (po wcześniejszym przygotowaniu .htaccess)
    – od momentu wystąpienia incydentu (od chwili „włamania”) do momentu wystąpienia publicznie widocznych objawów (japoński SEO spam w SERP/site) może minąć dowolny okres czasu, więc przywrócenie archiwum może być nieskuteczne
    – wgrywanie bazy danych wyeksportowanej w jednej wersji WP (i wtyczek) do instalacji w nowej wersji to błąd (może się udać, może się nie udać ale błędy ujawnią się po jakimś czasie lub może się nie udać w ogóle)
    – nie jestem pewien co rozumiesz przez „instalację starego stylu”? świeża instalacja to utrata modyfikacji, wgranie z kopii wykonanej przed reinstalacją to ryzyko przeniesienia infekcji

    Poza tym:
    – pozostaje problem wtyczek – rozumiem że po reinstalacji WP wszystkie wtyczki do instalacji i konfiguracji?
    – warto doprecyzować że zmiana dotyczy wszystkich haseł, w szczególności hasła dla użytkownika bazy danych
    – istotne dla powrotu na wcześniejsze pozycje jest wysłanie w poziomu Google Search Console raportów o ponowne sprawdzenie witryny (dla wersji z www i bez www)
    – w przypadku tej infekcji po oczyszczeniu należy zadbać aby linki ze spamem zwracały 404 lub, lepiej, statyczną stronę z kodem 410
    – zdarzają się sytuacje kiedy występuje jednocześnie kilka rodzajów infekcji – w ogóle nie wspomniałeś o sprawdzeniu i oczyszczeniu bazy danych
    – last, but not least: na kontach współdzielonych bez separacji infekcja z definicji dotyczy całego konta, a nie wybranej domeny (czyli de facto folderu)
    – itd.

    To fakty, teraz moja opinia: to prawda że wszystko można próbować zrobić samemu (ew. z niewielką pomocą YouTube 🙂 – oczyścić konto z infekcji, zamontować bojler czy wymienić klocki hamulcowe. To prawda że zlecając każdą z tych rzeczy można trafić na naciągacza, oszusta lub dyletanta. Myślę jednak że w wielu przypadkach wynajęcie fachowca mimo wszystko będzie tańsze i skuteczniejsze 🙂

    • Podałem link od google, który krok po kroku wyjaśnia co należy wykonać dlatego się nie rozpisywałem. Odnośnie sitemap, należy ją usunąć bezzwłocznie gdyż nasza strona jest pod nadzorem googla i niestety ale dla gości, którzy nas odwiedzają widnieje komunikat o zawirusowaniu. Ne wiem czy miałeś takiego wirusa ale wiedziałbyś, że oni nie tylko podmieniają sitemap ale również zgłaszają ją do szybkiego indeksowania co powoduje, że w ciągu 2-3 dni twoje linki to same japońskie krzaczki.

      Bazę danych wyeksportowałem po aktualizacji silnika a więc wgrałem ją na tą samą wersję WP.
      Nie wiem czy wiesz, ale najczęściej po ataku masz na swoim serwerze kilka nowych plików łącznie z plikiem weryfikacyjnym google. Obstawiam, że znajdziesz hmm…3 pliki a 6 pozostałych nie(tak, miałem 9, bo aktualnie na dysku weryfikowałem pliki.).

      Odpowiadając na Twoją opinię: Fachowców należy wynajmować, ja tego nie neguję, po to są aby pomagać. Ale warto samemu pochylić się nad problemem, to nas rozwija.

  3. Daniel, niestety nie masz racji z sitemapą: jeżeli chcesz przyspieszyć usunięcie spamu z indeksu Google, to równocześnie powinny być spełnione trzy warunki:
    1. sitemapa ze spamem powinna zostać na serwerze,
    2. sitemapa ze spamem powinna zostać wysłana do Google Search Console,
    3. adresy z tej sitemapy powinny zwracać kod 410

    Komunikat o zawirusowaniu („Ta witryna mogła paść ofiarą ataku hakerów”) nie ma nic wspólnego z samą sitemapą i nie zniknie po jej usunięciu. Tak, jak napisałem: należy w GSC sprawdzić „Ręczne działania” i „Problemy z bezpieczeństwem” dla wszystkich wersji domeny i po oczyszczeniu przesłać raport o ponowne rozpatrzenie (w niektórych przypadkach to nawet 8 raportów).

    • Jeżeli nie ma nic wspólnego to dlaczego moje rozpatrzenie przeszło jedynie po usunięciu podmienionej sitemapy?
      – sitemapa pozostająca na serwerze do niczego Ci się nie przyda kiedy podepniesz już swoją prawidłową.
      – nie musi zwracać mi kodu 410, wystarczy w zupełności 404.
      – nie muszę wysyłać sitemapy ze spamem do GSC bo zrobił to za mnie haker. Stąd tak szybkie zaindeksowanie jego podstron(Pobierz jako Google ).

Dodaj komentarz

Twój adres email nie zostanie opublikowany.


*