Kompromittering av WordPress: Søppelinnhold

Vi har oppdaget en kompromittering som rammer enkelte WordPress-nettsteder. Dette gjør at angripere kan få tilgang til en administrativ WordPress-pålogging og laste opp filer til hostingkontoen. Disse filene blir så brukt til å injisere søppelinnhold i WordPress-temaet og/eller -databasen, og oppretter skjulte koblinger til svindelnettsteder.

Du finner mer informasjon om kompromitteringer og hvordan du skal håndtere dem i Hva om nettstedet mitt blir hacket?.

Tegn på at du har blitt kompromittert

Siden denne kompromitteringen skaper skjulte koblinger, vil den ikke være synlig på nettstedet ditt. Den beste måten å finne ut om nettstedet ditt har blitt rammet på, er å vise kildekoden til startsiden din. For å unngå å gå inn på den potensielt infiserte startsiden din anbefaler vi deg å bruke Google® Chrome eller Firefox® for å gå til view-source:http://[ditt domenenavn].

I dette vinduet kan du søke etter vanlige nettsvindler i kildekoden din, for eksempel reklame for medikamenter eller mikrolån. Prøv å søke etter følgende vanlige ord:

  • payday
  • pharma
  • viagra
  • cialis

Løsninger

Den letteste måten å fjerne dette innholdet på, er ved å gjenopprette nettstedets innhold og database fra en sikkerhetskopi som du vet at ikke er rammet.

Hvis du ikke har en sikkerhetskopi som du vet er ren, kan du fjerne innholdet manuelt. Innholdet befinner seg vanligvis enten i WordPress-temaoverskriften din eller i WordPress-databasen.

Redigere temaet ditt

Du kan få direkte tilgang til og redigere WordPress-temaet ditt via WordPress-kontrollpanelet for administrasjon. Hvis du har en sikkerhetskopi av temaet, kan du ganske enkelt installere temaet på nytt via Utseende-menyen i WordPress.

Du kan også få direkte tilgang til koden for filene dine. Hvis du ønsker informasjon om hvordan du redigerer filene dine via WordPress, kan du se dokumentasjonen for WordPress.org her.

Herfra kan du fjerne alle koblingene du har funnet.

Rense databasen din

Hvis angripere plasserer skadelige koblinger i databasen din, blir de vanligvis skrevet inn baklengs for å unngå påvisning (f.eks. «knil» i stedet for «link»). Du kan søke etter dette i databasen din.

Før du foretar endringer i databasen, anbefaler vi deg å opprette en sikkerhetskopi (mer informasjon).

Du kan søke manuelt i databasetabellene via Søk-fanen i phpMyAdmin-grensesnittet (mer informasjon).

Du kan også kjøre følgende databasespørring fra SQL-fanen i phpMyAdmin:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Denne spørringen velger alt i wp_options-tabellen som inneholder HTML-markøren «div» skrevet baklengs. Resultatene vil se omtrent slik ut:

query results

Du kan gå gjennom innholdet i detalj ved å klikke på blyantikonet. Radinnholdet vil da bli forstørret. Herfra kan du redigere innholdet direkte for å fjerne skadelig tekst. Når du har foretatt endringene, klikker du på Gå tilbake til forrige side for å lagre. Hvis alt innholdet ser ut til å være skadelig, kan du klikk på Gå tilbake til forrige side, og deretter klikke på det røde krysset for å fjerne oppføringen.

result details

Ytterligere kompromitterte filer

Når du har renset temaet og/eller databasen, må du gå gjennom filene på hostingkontoen din for å påse at de er gyldige. Denne kompromitteringen har vanligvis flere tilknyttede filer:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Selv om disse navnene kan se gyldige ut, er det ikke sikkert at filene er legitime. Du kan se hvilke filer som er legitime, ved å sjekke filens kode eller sammenligne den endrede datoen med andre filer i samme katalog.

Vi anbefaler deg å fjerne eller endre navnet på (og derfor deaktivere) filer som ser ut til å være skadelige.

Teknisk informasjon

Kodeeksempel

MD5Sums for kjente skadelige filer

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Var denne artikkelen nyttig?
Takk for din tilbakemelding. For å snakke med en representant fra kundeservice, bruker du telefonnummeret til støtte eller chatte-alternativet ovenfor.
Vi er glade for å kunne hjelpe deg! Er det noe annet vi kan gjøre for deg?
Vi beklager det. Fortell oss hva som var forvirrende eller hvorfor løsningen ikke løste ditt problem.