WordPress malware guide

WordPress malware guide

Er din WordPress blevet inficeret af malware?

Du logger på din hjemmeside, og møder en deprimerende meddelelse. Den er rød, og Google har markeret den som farlig! Hvad gør du? De fleste ved ikke, hvad de skal gøre, og derfor har jeg skrevet dette indlæg som en guide. Det er en guide til at hjælpe dig af med malwaren og i første omgang forhindre malwaren i at overtage din WordPress installation.

Man skænker ikke malwaren en tanke i hverdagen, bl.a. fordi der er mange andre ting, som tager fokus. Man bliver derfor altid overrasket, når ens side er lukket ned af udbyderen, fordi den er inficeret med malware.
Du har måske heller ikke styr på, hvad malware egentligt er, hvordan det overtager din hjemmeside, eller hvordan du kommer af med den igen.

Malware kan ‘snige’ sig ind, når du mindst venter det, og derfor bør man tage sine forholdsregler allerede fra start! I indlægget her gennemgår jeg, hvad malware er og hvordan du på bedst muligt vis undgår, at blive inficeret af malware. Læser du det her mens din WordPress allerede er inficeret, bør guiden hjælpe dig af med den igen.

Min webhost skal fjerne malwaren for mig
Jeg vil fjerne malwaren selv
Kan du hjælpe mig?

Hvad er malware egentligt?

Malware er en sammentrækning af ’malicious software’ som på godt dansk betyder ondsindet programkode. Det er en fællesbetegnelse for en række kategorier af computerprogrammer, som udfører uønskede eller skadelige ting på inficerede computere eller servere. Din WordPress installation kan være et eksempel på et system, som kan inficeres. Malwaren går ind og overtager installationen, og kan være med til, f.eks. at videresende dine besøgende til en anden hjemmeside, som indeholder adware eller andet skadeligt indhold. Malwaren laver selv filer og scripts rundt omkring i WordPress egne mapper som en slags backup af sig selv, og formerer sig igen og igen. Det gør det også vanskeligt at slippe af med den igen. Det er et større teknisk arbejde at få fjernet det helt, og kan være uoverskueligt for en der ikke har været udsat for et malware angreb, eller ikke er teknisk anlagt.

Jeg har prøvet at gøre denne guide til en step-by-step håndbog, som gerne skulle kunne hjælpe dig.

Min WordPress er malware inficeret, hvad gør jeg?

Først og fremmest, kan du besvare disse spørgsmål:

  • Tager du eller din webhost automatisk backup?
  • Har du en fornemmelse af, hvornår din hjemmeside ikke var inficeret?
  • Mister du for meget indhold eller data, på at genskabe din side til din forrige uinficeret backup?

Det nemmest for dig, er at få en tidligere version af din hjemmeside fra en backup. Muligvis kan din webhost gøre det for dig mod betaling. Typisk laves der automatisk backups, og ved kontakt kan disse udleveres. Opgaven for din webhost er enkel, og vil ikke tage langtid, når de først går i gang.

Ved at genskabe dit indhold fra en ældre backup, skal du have dét i mente, at dit indhold ikke følger med. Indlæg, kommentarer, og hvad der nu ellers er skrevet og uploadet i tiden mellem din forrige backup, og til malware infektionen vil ikke være tilgængeligt efter genskabelsen af databasen og filer. Hvis det ikke er noget besynderligt du har at miste, er det nemt at komme af med malwaren gennem en genskabelse fra tidligere backup.

  • Genskabelse af filerne på din FTP vil ikke fjerne dine indlæg.
  • Genskabelse af filer og database vil sætte din hjemmeside tilbage, som den var, da der blev taget backup.

Hjælp min webhost tilbyder ikke at fjerne malwaren

Står du i den situation, at din udbyder ikke vil fjerne malwaren, eller at du selv vil begive dig i kast med opgaven, bør du følge disse steps:

Step 1: Backup

Før du går i gang med ‘slet-knappen’ bør du tage en backup af hele din WordPress installation. Også selvom du ved, at den er inficeret. Det er nemlig altid en god idé at kunne rekonstruere ens side, hvis der nu skulle gå noget galt.

Hvis du har meget indhold, på din hjemmeside kan denne del godt tage tid. Det kommer an på din download hastighed, og hvordan dine indstillinger er sat i dit FTP program.

Sådan tager du back-up af din hjemmeside

Step 2: Opdater WordPress version

Efter du har taget backup, skal du til at ‘muge ud’ i det skidt og møg som malwaren har medbragt. For at indsnævre de mapper du skal til at rode rundt i, anbefaler jeg at du henter den nyeste version af WordPress fra deres egen officielle side og opdaterer versionen manuelt gennem FTP.

Officielle WordPress side

Download den seneste version, gem og udpak. Jeg bruger WinRAR til at udpakke.

WordPress udpakning

Du har garanteret en del plugins og et tema installeret. Download dem alle manuelt, fra WordPress officielle side, gem og udpak dem i sine respektive mapper: “wp-content/themes” eller “wp-content/plugins”. Så har du det hele klar til vi skal uploade.

Efter du har udpakket, skal du til at slette mapper og filer på din server.

Naviger til roden/root af din FTP og fjern følgende mapper og filer:

  • /wp-admin/
  • /wp-includes/

Alle filer i roden som ender på ”.php” slettes, med undtagelse af wp-config.php, .htaccess og andre filer du vil gemme (Som du ved, ikke indeholder malware).
Wp-config indeholder f.eks. vigtige informationer og indstillinger som ikke skal slettes. Det kan dog forkomme at malwaren har ændret indhold i wp-config, så du også er nød til at kigge efter uregelmæssigheder i denne fil.

[Gif af at slette filer og mapper]

Når din FTP client er færdig med at slette, er det tid til at uploade den nye version af WordPress. Upload derfor alle filer og mapper, som du har gjort klar fra forrige step.

[Gif af at uploade alle filerne til FTP]

Du har nu opdateret din WordPress manuelt, og ikke mindst indsnævret filerne malwaren har sat sig i.

På nuværende tidspunkt kan den kun være følgende steder: Wp-config.php og i mappen “wp-content” og de filer som ligger herunder.

I step 2 beskrev jeg, at du også skulle hente dine plugins og tema manuelt. Du kan nu begynde at erstatte dine plugins i FTP’en med dem du har hentet manuelt. – Fedt, endnu mindre du skal tjekke for malware!

Step 3: Skift adgangskode på dine logins

Step 3 handler, om at sikre dine brugere, som har administrator privilegier. Ændre derfor adgangskoderne på de brugere, som har admin. Det kan gøres gennem databasen eller i dit dashboard i WordPress.

Brugere -> Alle brugere -> [Brugernavn] -> Scroll ned -> Generer adgangskode

[GIF – aendre-adgangskode.gif]

Du kan også være ude for, at der er oprettet nye brugere med administrator rettigheder, som du intet kender til. Dem bør du selvfølgelig fjerne.

Step 4: Opdater WordPress Keys i wp-config.php

Efter du har fjernet eller bekræftet brugere med administrator rettigheder, bør du gennemgå din wp-config.php fil.

Her kan nemlig være gemt malware, så kontroller at den er normal.

Malwaren kan gemme sig således:

[Billede af en korrupt malware wp-config.php]

Step 5: Installer sikkerheds plugin

Jeg vil anbefale at hente Wordfence eller Sucuri, som er to sikkerhedsplugins til WordPress. De kan hjælpe til med at holde din WordPress installation fri for malware.

Wordfence
Wordfence skanner dine WordPress filer og holder dem op i mod WordPress standard filer. Den notificerer dig hvis en fil afviger fra originalt indhold , og kan vise dig hvad der er ændret ved filen. Du kan fra Wordfence’ dashboard slette filerne.

Sucuri
Sucuri minder lidt om Wordfence på den måde, at Sucuri også kan skanne for malware. Jeg bruger Sucuri til at hjælpe med ‘Hardening’. Hardening er en ‘checkliste-proces’ som hjælper med at reducere din WordPress installations sårbarheder. Du får en oversigt over udpegede punkter, som kan gøres bedre, f.eks.:

  • Fjern WordPress version
    • Det er en god idé at gemme WordPress versionen for andre end dig selv.
  • Beskytter upload biblioteket
    • Kontrollere om siden tillader direkte upload af PHP filer. Det er et no-go, hvis dette er tilfældet.
  • Begræns adgang til wp-content
    • Bloker direkte adgang til, hvilken som helst PHP fil i wp-content folderen.
  • Begrænse adgang til wp-include
    • Bloker direkte adgang til filer inde i wp-include
  • Sikkerhedsnøgler
    • Kontrollerer om WordPress installationen har ordenlige nøgler.
  • HTML information leakage
    • Kontrollerer om der er adgang til readme.html
  • Default admin konto
    • Kontrollerer om du har en standard admin konto aktiveret. Det anbefales at brugernavnet ændres.
  • Plugin & Tema editor
    • Deaktivere plugin og tema editoren for at undgå uventede brugere får adgang og kan ændre i sidens filer.
  • Database table prefix
    • Kontrollerer om din database prefix er ændret fra standarden ”wp_”. Det anbefales at andet prefix bruges.

Sucuri kan hjælpe dig med ovenstående ved bare få klik.

Step 6: Opdater robots.txt

Inkluder dette i din robots.txt:

#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$

Den tillader alle user-agents (Google, Bing osv), bare ikke i de følgende mapper, som starter med disallow. Det forhindre eventuelle skadelige user-agents at crawle mapperne for indhold.

Mærkelige filer

Rundt i wp-content kan der være oprettet filer med mærkelige navne som:

  • asd
  • asd
  • asd

Disse skal selvfølgelig slettes, fordi de sandsynligvis er oprettet som backdoors til malwaren. Wordfence kan bl.a. være behjælpelig her, men er ikke en 100% løsning. Derfor anbefaler jeg den slaviske metode, at gennemgå alle ens mapper i /wp-content/ for filer der ikke hører til.

Hold plugins opdateret

Opdater alt regelmæssigt gerne så ofte som du kan. Det hænder, at der findes sikkerhedshuller, som rettes i opdateringerne. Derfor er det en god idé at holde sine plugins, themes og WordPress version up-to-date.

Installer kun plugins og themes du stoler på

Har du plugins du ikke bruger? Slet dem, lad dem ikke bare stå og samle støv og malware.

Plugins du ikke bruger, opdaterer du sikkert heller ikke, for hvorfor dog gøre det, når du ikke bruger dem? Selvom WordPress ikke bruger pluginnet direkte, kan malwaren alligevel inficere filer fra pluginnet/themet. Du bør derfor slette unødvendige plugins og themes.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

WordPress Security