טיפול בפריצה לאתר וורדפרס

מתוך פוסט שהעלה תומר פוקס בפייסבוק

https://www.facebook.com/groups/wordpress.support/posts/6226321417436869

חברים יקרים יש גל פריצות לאתרי וורדפרס בשבועות האחרונים

קרוב לוודא שזה הגיע מחולשה של אלמנטור פרו (שתוקנה בגרסה 3.11 לדעתי). קולגות אמרו לי שנדבקו בmalware מתוחכם ורשע במיוחד, שמאוד קשה להיפטר ממנו למי שאין לו ניסיון בעניין (הוירוס שותל את עצמו בדאטהבייס, בתוספים, ובהרבה מקומות אחרים). מי שהאתר שלו מתנהג ״מוזר״ (עושה הפניות אוטומטיות, חוסם כניסה, חוסם הרשאות וכו׳) יכול לנסות את הדברים הבאים:

1. למחוק מיד את הindex.php והhtaccess ולהחליף בחדש.
2. להתקין מחדש את קבצי הליבה של וורדפרס.
3. למחוק משתמשים מיותרים ולאפס סיסמאות.
4. לייצר hash (salt) חדש,
5. למחוק סקריפטים מהדאטה בייס (באמצעות פקודה כמו SELECT * FROM wp_post WHERE meta_value LIKE ‘%base64_decode(%’ OR
meta_value LIKE ‘%eval(%’ OR
meta_value LIKE ‘%gzinflate(%’ OR
meta_value LIKE ‘%error_reporting(0)%’ OR
meta_value LIKE ‘%shell_exec(%’
6.למחוק תוספים זדוניים או לא מוכרים
7. למחוק תיקיות וקבצים לא מוכרים מהשרת
8. להתקין תוסף אבטחה (malcare, aios, gotmls, sucuri(
9. לעדכן את כל התוספים והתבניות (יותר רצוי אפילו למחוק אותם קודם ואז להתקין מחדש)
10. לחסום טראפיק חשוד וזר (למשל מחוץ לישראל עבור אתרים ישראלים) או להציג js challenge
כמובן שזו רשימה חלקית ויש עוד פעולות רבות שכדאי לעשות, אבל אלו העיקריות.