כך תטפלו בתוכנה זדונית בוורדפרס

כך תטפלו בתוכנה זדונית בוורדפרס

מאת: אביטל דפנא, מנהלת פרויקטים
זאפ גרופ, 22.07.2012

וורדפרס היא אחת המערכות הפופולריות ביותר כיום לבניית בלוגים ואתרי אינטרנט, וזאת מכיוון שמדובר במערכת קוד פתוח, חינמית, פשוטה להתקנה ונוחה מאוד לשימוש.


יתרונה הגדול של המערכת הוא בכך שמדובר בקוד פתוח, מה שאומר שהקוד חשוף למשתמש והוא יכול לבצע בו שינויים. אך בכך גם טמונה חולשתה של המערכת, המאפשרת כניסה של וירוסים ותוכנות שונות, שפוגעים בקוד האתר ומשנים אותו.

מהי תוכנה זדונית

Malware הוא קיצור של Malicious Software, ובעברית תוכנה זדונית. זוהי תוכנה שנוצרה על ידי האקרים במטרה לפגוע בפעילות המחשב, לאסוף מידע ולחדור למערכות פרטיות במחשב או ברשת. ייתכן שתוכנה כזו תותקן במחשבך האישי בלי שתדע, על ידי לחיצה על קישורים או הורדת קבצים נגועים. מרגע שהותקנה תוכנה זדונית במחשבך, ניתן לעקוב אחר פעילות המחשב שלך, לקבל גישה למידע אישי ולגנוב סיסמאות.

יש מספר דרכים בהן תוכנה זדונית יכולה להגיע למחשב:

אי-שימוש באנטי וירוס או שימוש בגרסה לא מעודכנת – אם אינכם משתמשים בתוכנות Antivirus ו- Anti Spywaree, ייתכן שיש לכם וירוסים ותוכנות זדוניות במחשב בלי שאתם מודעים לכך. לא מספיק להשתמש באנטי וירוס; חשוב גם לעדכן את התוכנה על מנת שתפעל בצורה המיטבית.

הורדת תוכנה מהאינטרנט – משחקים, כלים חינמיים ועוד יישומים שונים שמוצעים להורדה ברשת; כל אלה עלולים לגרום להדבקה של המחשב.

לחיצה על Pop-Ups או באנרים – במקרים רבים לאחר התקנת תוכנה זדונית במחשב, מתווספים לדפדפן סרגלי כלים או שנראה חלונות קופצים (Pop-Upss). לחיצה עליהם עלולה לבצע הזרקת קוד למערכת ההפעלה.

פעמים רבות מופיע Pop Up עם אזהרה שמחשבכם נפגע, ומבקש מכם ללחוץ על קישור להורדת תוכנה שתטפל בבעיה. יכול מאוד להיות שהפופ-אפ עצמו הוא תוכנה מזיקה שתוחדר למחשבכם ברגע שתלחצו על הקישור. תוספי-דפדפנים יכולים גם הם להכיל תוכנה זדונית.

קיימים סוגים רבים של תוכנות שעלולות לפגוע באתרכם. כל אחת מהן נכנסת לאתר, פועלת בתוכו ובסופו של דבר גם ניתנת להסרה בדרך כזו או אחרת. תוכנה זדונית יכולה לפגוע באתרכם בעיקר בצורות הבאות:

1. סקריפטים זדוניים
2. הפניית redirect מ- htaccess
3. קוד iframe מוסתר
4. גילוי סיסמאות ופריצה למערכת ניהול תוכן
5. מחיקת מסד נתונים

תוכנות זדוניות וקידום אתרים

Inline Frame, או בקיצור iframe, היא דרך לטעון דף אינטרנט אחד בתוך אחר. סוג קוד זה משמש להכנסת תוכן מאתר או משרת אחר ושימושי בבניית אפליקציות.

מהו האינטרס של מישהו לפרוץ לאתרכם, ולשתול בו תוכנה זדונית או קוד iframe? יכולות להיות סיבות שונות לפריצה לאתרים, בהן סיבות פוליטיות, פריצה לצורך גניבת כספים או איסוף מידע, ויש האקרים שעושים זאת סתם להנאתם.

סיבה נוספת יכולה להיות קשורה לקידום אתרים - שתילת קוד באתר מאפשרת להכניס בו קישורים. ההאקר מכניס קישור לאתרו, כזה שלא ניתן לראות במהלך גלישה באתר, וכך האתר שלכם מחזק את האתר שלו בלי שאתם מודעים לכך.

במקרה בו אתרכם נפרץ והושתל בו קוד iframe נסתר, האתר יכול להיפגע בצורה קשה במיקומים, ואפילו לעוף מהאינדקס לחלוטין ולהיכנס ל"רשימה השחורה" של גוגל.

שימו לב שלא כל קוד iframe הוא זדוני.
יש לזכור ש-iframe הוא קוד שאתרים רבים משתמשים בו (פייסבוק לדוגמה).

דרך הפעולה במקרה של שימוש בקוד iframe, גורמת להזרקת תגיות iframe לתוך קוד האתר. את הקוד ניתן להזריק לקובצי asp, php ו-html. הווירוס יחפש קבצים כגון index.php, index.html או default.html, ויזריק להם את קוד ה- iframe.

דרך נוספת לפרוץ לאתר היא באמצעות תבניות (Templates) או תוספים (Plugins) של מערכות CMS. במקרים כאלו ניתן יהיה לשנות את קובץ htaccess, או ליצור קובצי image.php בתיקיית images.

קוד ה- iframe יופיע ברוב המקרים בראשיתו של כל עמוד באתר, עם קישור לאתר אחר. לרוב אלו יהיו קישורים מאתרים שלא ממש חביבים על גוגל, ובהם אתרים בעלי תוכן למבוגרים או אתרי הימורים. כל מי שמתעסק בתחום ה-SEO מבין איזה נזק הדבר יכול לגרום.

מה שקורה הוא שההאקר משנה את דפי האתר על ידי קוד נסתר, שגודלו 1px על 1px, שמנהל האתר והגולשים אינם יכולים לראות. גוגלבוט, לעומת זאת, בהחלט רואה ומאנדקס את המידע הזה. אותם סקריפטים (קטעי קוד) יכולים ליצור טקסט וקישורים שנסרקים על ידי מנועי החיפוש, דבר שעלול להוביל לתוצאות שגויות עבור האתר שלכם. בנוסף: ברגע שאתרכם מוציא את הקישור הראשון (והחזק) מכל דף, אל אתר תוכן בנושא מבוגרים/הימורים, גוגל עלול להעניש אתכם.

אם אתם חושדים שקוד כזה הוכנס לאתרכם, שימו לב שאין באפשרותכם לראות את הקוד ב-source של העמוד כשאתם מחוברים כאדמין למערכת ה-CMS. לשם כך עליכם להתנתק ולבדוק שוב בקוד הדף.

איך תזהו תוכנה זדונית באתרכם?

ושדים שאתרכם נפגע מווירוס או מתוכנה זדונית?
יש מספר דרכים בהן תוכלו לבדוק זאת.

ראשית אתם יכולים להעיף מבט בקוד האתר, ולחפש בו קישורים שתולים או קטעי קוד לא מובנים. בנוסף ישנם מספר כלים שיעזרו לכם לזהות תוכנות זדוניות:

1. Google Diagnostics Page – הקלידו את כתובת האתר שלכם במקום example.com, בכתובת הבאה: www.google.com/safebrowsing/diagnostic?site=examp...

כך תוכלו למצוא מידע אודות תוכנה זדונית הנמצאת באתרכם.

2. Sucuri SiteCheck – סורק חינמי של וירוסים ותוכנות זדוניות. הכניסו את כתובת האתר שלכם לסורק, וקבלו ממצאים לגבי הימצאות תוכנה זדונית בדפי האתר. במידה שאתרכם נקי, תראו סימון ירוק עם הסטטוס "Verified Clean". במידה שהאתר נגוע, תקבלו רשימה בצבע אדום של העמודים הנגועים.

3. Google Webmaster Tools – בדקו תחת הנושא "בריאות", בקטגוריית "תוכנה זדונית". במידה שהאתר נקי, תקבלו את השורה הבאה: "Googlee לא זיהתה תוכנה זדונית כלשהי באתר זה."

במידה שזוהתה תוכנה כזו, תוצג בפניכם רשימת כתובות מאתרכם שזוהו כמכילות קוד זדוני, כולל דוגמאות לקוד בעייתי. חשוב לשים לב כי הרשימה אינה מכילה את כל עמודי האתר הנגועים בתוכנה, ועליכם למצוא את כל העמודים ולנקותם.

איך לטפל באתר וורדפרס שנפגע


הניסיון לאתר ולהסיר וירוסים מאתר הוורדפרס שלך, עלול להיות מסובך. אתם יכולים לנקות מקום נגוע אחד ואז למצוא עוד שלושה אחרים. נסו לחפש מקרי וירוס דומים באתר של וורדפרס, ואולי תוכלו למצוא פתרון לאתרכם.

כפי שצוין בתחילת המאמר, ישנם סוגים רבים של וירוסים, תולעים ותוכנות זדוניות, והטיפול בכל אחד מהם הוא שונה. עבור המשתמש הממוצע, שאינו בקיא בקוד, ייתכן שהדרך המהירה ביותר לפתור את הבעיה, היא פשוט להתחיל מחדש עם התקנת מערכת וורדפרס נקייה. בנוסף, יש חברות שמתמחות בתחום, ותמורת תשלום יכולות לנקות את אתרכם ולנטר אותו דרך-קבע כדי למנוע הישנות.

הנה מספר צעדים שיכולים לעזור לכם לנקות את אתר הוורדפרס מהתוכנה הזדונית, ולמנוע הישנות:

1. אם גרסת הוורדפרס שלכם אינה מעודכנת, הדבר הראשון שעליכם לעשות הוא לשדרג אותה.
דאגו תמיד כי הגרסה איתה אתם עובדים היא הגרסה האחרונה.

2. התקינו במערכת הוורדפרס שלכם פלאגין של אנטי וירוס.

3. ודאו שהקוד הזדוני אינו נמצא בנושא האתר (Theme).
תוכלו לעשות זאת על ידי התוסף הבא: TAC - Theme Authenticity Checker.

4. סרקו את המחשב שלכם: ודאו כי האנטי וירוס במחשב מעודכן ופועל,
ונקו אותו מווירוסים או מתוכנות זדוניות בהן נדבק.

5. החליפו את הקבצים הנגועים בקבצים המקוריים.
וירוס iframe פוגע בדרך כלל בתיקיות הבאות:

• index.php in wp-admin folder
• index-extra.php in wp-admin folder
• index.php in wp-contents / yourtheme / folder
• home.php in wp-contents / yourtheme / folder
• default-filters.php in wp-includes folder


6. הורידו את קובצי ה- Plugins בהם אתם משתמשים, ובדקו האם יש בהם קוד iframe.
במידה שכן - הסירו את שורות הקוד.

7. שנו סיסמאות: שנו את סיסמת ה-FTP שלכם. בחרו סיסמה חזקה שקשה לנחש.
שנו את סיסמת ה- CPANEL שלכם וכן את סיסמאות ה- DB.
שנו את סיסמת האדמין ב- CMS, בדקו את היוזרים האחרים בחשבון
ובמידת הצורך שנו גם להם סיסמאות או הסירו אותם.

8. לאחר שניקיתם את האתר סרקו אותו שוב לוודא שהוא נקי, ורק אז בקשו מגוגל
שיבדוק שוב את האתר (דרך כלי מנהל האתרים).

בהצלחה!
Share on Facebook
Share On LinkedIn
Share by Email