WordPress-sikkerhedsbrud: Spamindhold

Vi har registreret et sikkerhedsbrud, der berører nogle WordPress-sites. Dette sikkerhedsbrud indebærer, at den angribende part kan skaffe sig adgang til et administrativt WordPress-login og uploade filer til hostingkontoen. Disse filer anvendes derefter til at lægge spamindhold i WordPress-temaet og/eller -databasen og dermed oprette skjulte links til svindelsider.

Du kan få yderligere oplysninger om sikkerhedsbrud, og om hvordan du håndterer dem, i Hvad gør jeg, hvis mit website er blevet hacket?.

Tegn på, at dit site har være udsat for et sikkerhedsbrud

Da dette sikkerhedsbrud opretter skjulte links, vil det ikke være synligt på dit site. Den bedste måde at finde ud af, om dit site er inficeret, er ved at undersøge din hjemmesides kildekode. Vi anbefaler, at du undgår din inficerede hjemmeside, og i stedet går til view-source:http://[dit domænenavn] via Google® Chrome eller Firefox®.

I dette vindue kan du undersøge din kildekode for almindelig online svindel, såsom medicinalreklamer og kviklån. Prøv at søge efter følgende almindelige termer:

  • kviklån
  • medicinal
  • viagra
  • cialis

Afhjælpning

Den nemmeste måde at fjerne dette indhold på er ved at gendanne dit websites indhold og database fra en gendannelsesversion, du ved, ikke er inficeret.

Hvis du er i tvivl, om du har en sikkerhedskopi, der ikke er inficeret, kan du fjerne indholdet manuelt. Dette indhold ligger typisk på et af disse to steder: dit WordPress-temas header eller din WordPress-database.

Redigering af dit tema

Du kan få adgang til og redigere dit WordPress-tema direkte via dit administrative WordPress-kontrolpanel. Hvis du har en sikkerhedskopi af dit tema, kan du ganske enkelt geninstallere temaet via WordPress-menuen Udseende.

Alternativt kan du se dine filers koder direkte. Hvis du ønsker oplysninger om, hvordan du redigerer dine filer via WordPress, kan du gennemgå WordPress.org's dokumentation her.

Herfra kan du fjerne de links, du har fundet.

Rensning af din database

Hvis angribende parter placerer skadelige links i din database, indtastes de typisk i omvendt rækkefølge i et forsøg på ikke at blive opdaget (f.eks. "knil" i stedet for "link"). Du kan søge efter dette i din database.

Før du foretager ændringer i din database, anbefaler vi, at du opretter en sikkerhedskopi (flere oplysninger).

Du kan søge manuelt i dine databasetabeller ved at bruge søgefanen i din phpMyAdmin-grænseflade (flere oplysninger).

Du kan også køre følgende databaseforespørgsel fra SQL-fanen i phpMyAdmin:

SELECT *
FROM 'wp_options'
WHERE indstilling_værdi LIKE '%>vid/<%'

Denne søgeforespørgsel vælger alt fra din tabel med wp_options, som indeholder en omvendt div-HTML-markør. Du vil få resultater, der minder om følgende:

query results

Du kan gennemgå indholdet nærmere ved at klikke på blyantikonet. Dette giver en større visning af rækkernes indhold. Herfra kan du redigere indholdet direkte med henblik på at fjerne skadeligt tekstindhold. Når du har foretaget dine ændringer, skal du klikke på Gå tilbage til forrige side for at gemme. Hvis det lader til, at alt indhold er skadeligt, skal du klikke på Gå tilbage til forrige side og derefter klikke på det røde X-ikon for at fjerne posten.

result details

Yderligere filer, der har været udsat for sikkerhedsbrud

Når du har renset dit tema og/eller din database, bør du gennemgå filerne på din hostingkonto for at sikre, at de er rigtige. Dette sikkerhedsbrud har typisk flere filer tilknyttet:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Selvom disse navne kan se rigtige ud, er filerne ikke nødvendigvis legitime. Du kan afgøre, om en fil er legitim, ved at undersøge dens kode eller sammenligne datoen for sidste ændring med filer i samme mappe.

Vi anbefaler, at du fjerner eller omdøber (og dermed deaktiverer) filer, der lader til at være skadelige.

Tekniske oplysninger

Code Sample

MD5Sums of Known Malicious Files

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Hjalp denne artikel?
Tak for din feedback. Benyt telefonnummeret til support eller chat-funktionen ovenfor, hvis du vil tale med en kundeservicerepræsentant.
Det glæder os, at vi kunne hjælpe! Er der andet, vi kan gøre for dig?
Beklager. Fortæl os, hvad du fandt forvirrende, eller hvorfor løsningen ikke løste dit problem.