Det snakkes mye om virus og hacking av nettsider, men hvordan vet du om det har skjedd, og ikke minst hva kan du gjøre dersom nettstedet ditt faktisk er virusinfisert?

Det sies at det finnes to typer nettstedeiere, de som har blitt hacket, og de ​​som ikke vet at de har blitt hacket. Dette er forhåpentligvis en smule overdrevet, men faktum er at det er veldig mange som har opplevd dette i ulike varianter. I min artikkel om sikkerhet skrev jeg en god del om hvordan du unngår å bli et lett bytte for hackere. Men hva om du allerede har blitt hacket og nettstedet ditt er virusinfisert? Hva gjør du?

Følg med videre, og jeg skal her vise deg noen tegn på at nettstedet har blitt virusinfisert, hvordan det skjer, og hvilke skritt du kan ta for å få nettstedet ditt opp å gå igjen.

Hvordan vet du om du har blitt hacket?

Det er mange måter å finne ut at nettstedet ditt har blitt virusinfisert på. Den mest åpenbare er når hackeren rett og slett har ødelagt nettstedet ditt. Du våkner opp en morgen, åpner nettleseren din, og til din store forskrekkelse er ikke nettstedet ditt der lenger. Det har istedet blitt erstattet av en ny side, med et stort skilt som sier “hacket av ______ (fyll inn blank).” Eller enda verre, du blir omdirigert til, hmmm, la oss kalle det et “usmakelig” nettsted. Vel, i slike tilfeller er det åpenbart at du har blitt hacket.

Men hackere vil som oftest forsøke å dekke sine spor, slik at det ikke er opplagt at et nettsted har blitt infisert. Istedet ønsker de at du ikke vet om aktiviteten deres i det hele tatt. De ønsker nemlig å ha tilgang til nettstedet ditt så lenge de overhodet kan for å kunne fortsette sine lumske aktiviteter.

Her er noen tegn på at nettstedet har blitt infisert:

  • Nettstedet ditt er ikke tilgjengelig i det hele tatt.
  • Nettstedet ditt omdirigerer til en “usmakelig” side istedet, eksempelvis nettsteder med porno eller illegale legemidler.
  • Google eller Bing varsler deg om at nettstedet ditt har blitt kompromittert, og det kan i verste fall føre til svartelisting av serveren din.
  • Nettlesere som Firefox eller Chrome indikerer at området kan ha bli kompromittert.
  • Du legger merke til merkelig trafikk i nettloggene dine, så som uforklarlig store topper i trafikken til siden din, og kanskje også mye trafikk fra andre land enn det/de du retter innholdet ditt mot.

Hvordan skjer det?

I en undersøkelse gjennomført av StopBadware og Commtouch i 2014, signaliserte 63% av nettstedeiere at de ikke visste hvordan de ble hacket. Dersom nettstedet ditt har blitt hacket, er det avgjørende å forstå hvordan det skjedde for å forhindre at det samme skjer igjen. De har også utarbeidet en veldig fin grafisk fremstilling av dette som du kan sjekke ut fra menyen Compromised websites under Gratis ressurser til høyre på denne siden.  

Det er veldig mange måter et nettsted kan bli hacket på. Her er noen vanlige måter hackere kan ta kontroll over nettsiden din:

  • De gjetter administrator passordet ditt.
  • De laster ned malware på din lokale maskin for å få tilgang til påloggings-informasjonen din.
  • De finner et sikkerhetshull i et spesifikt programtillegg du bruker (Dette gjelder spesielt ut-datert programvare).
  • De hacker andre nettsteder som ligger på samme server som du bruker for nettstedet.

OBS!: Å bli hacket via andre sitt nettsted på samme server er en god grunn til å unngå billig hosting-leverandører. De har ikke alltid de beste sikkerhetsrutiner på plass, og du må ofte godta”dårlige naboer” på samme server.

Så, du har blitt hacket? Hva nå?

Forbli rolig – du kan gjenopprette nettstedet.

Siden vi allerede vet at nettsteder kan bli hacket, bør vi ha gjort noen forberedelser i tilfelle situasjonen skulle oppstå.

Slike forberedelser kan inkludere følgende:

  • Vi må regelmessig sikkerhetskopiere nettstedet vårt, både databasen og filene, å ikke minst ha dette lett tilgjengelig til enhver tid. (Det er også lurt å teste at oppsettet for den backupen du har faktisk fungerer, dette gjøres enkelt ved å legge tilbake den første backupen du tar)
  • Vi bør ha mer enn en måte å få tilgang til web-serveren på. (FTP, SSH, kontakt med hosting selskapet, osv)
  • En fullstendig kopi av nettstedet (staging area) et annet sted, eksempelvis på en lokal webserver. Hvordan du setter opp en slik kan du lese i min tidligere artikkel om dette.

Hvis du ikke har minst 2 av de 3 tingene over på plass, anbefaler jeg at du først lager en fullstendig sikkerhetskopi av nettstedet ditt, og deretter lærer deg de ulike måtene å få kontakt med serveren din på.

Men det aller viktigste er å forholde seg rolig i den situasjonen du har havnet i. Stress fører ofte til at vi tar tar gale valg og basert på disse valgene kan vi faktisk gjøre ting verre enn det er. Det finnes mange historier om folk som har mistet totalt oversikten og slettet alt på serveren, bare å innse at de også slettet alle sine sikkerhetskopier. Eller den personen som bygget opp nettstedet sitt på nytt bare for å finne ut at den samme feilen fortsatt var der. Årsaken var nemlig en feil i koden.

Ta kontakt med hosting selskapet ditt

En av de beste tingene du kan gjøre når du opplever unormal aktivitet på webområdet ditt, er å kontakte web hosting selskapet ditt. Det er trolig en god sjanse de allerede er klar over situasjonen. Hvis de er uvitende når du kontakter dem, og det viser seg å være en ondsinnet hack, vil de garantert være takknemlig for at du var i stand til å peke dem i riktig retning så tidlig som mulig. 

De vil også mest sannsynlig ha sterk teknisk kompetanse på dette, samt at de er kjent med stedet og konfigurasjonen. Det er jo også i høyeste grad i deres interesse å holde sine servere i best mulig stand. Ingenting spres fortere enn et dårlig rykte.

Dersom dette ikke fører frem innenfor det tidsperspektivet du har på akseptabel nedetid, kan du vurdere å kontakte en sikkerhetsekspert. Det finnes mengder av slike eksperter, men vil garantert koste mye penger.

Samle sammen all nødvendig informasjon

Du må også samle sammen og formidle all nødvendig informasjon til den/de som skal hjelpe deg.

  • Påloggingsinformasjon: til nettstedet ditt med administrator rettigheter
  • Påloggingsinformasjon: til kontrollpanelet for å få tilgang til databasen og nettloggene
  • Web-loggene: både tilgangslogger og feillogger. Forsikre deg også om at din hosting-selskapet ditt tilbyr web-logger. De fleste gjør det, men noen hosting selskaper tilbyr ikke dette som standard eller de gir deg ikke tilgang til dem.
  • FTP / SFTP påloggingsinformasjon: Dette bør omfatte vertsnavn, brukernavn og passord
  • Sikkerhetskopier: Eventuelle sikkerhetskopier du måtte ha tilgjengelig.

Du bør vurdere å holde denne informasjonen samlet på et trygt sted, slik at du kan få tilgang til dette raskt i tilfelle behovet skulle oppstå.

Gå off-line (Ta ned siden)

Du bør midlertidig stenge ned hele nettstedet ditt mens ryddejobben pågår. Kontrollpanel ditt kan ha muligheten til å midlertidig slå av nettstedet ditt. Eller du kan passordbeskytte hovedkatalogen der nettstedet ligger, for å blokkere tilgang til nettstedet mens jobben med å fikse dette pågår.

Skann lokale datamaskiner for virus og malware

Du bør også skanne eventuelle lokale datamaskiner du benytter/har benyttet for å forsikre deg om at disse ikke er infisert med malware, spyware, trojanere, etc. Pass på anti-virus programvaren din er up-to-date før du bruker det å skanne datamaskinene.

 

Ryddeprosessen

Nå mens nettstedet ditt er nede må du sette igang jobben med å få det opp å gå igjen, i denne prosessen vil du og hosting-selskapet jobbe sammen, og forhåpentligvis finne årsaken til problemene.

Det er alltid en god idé å endre passordene dine når noe utenom det vanlige eller uforklarlig skjer. Endring av passord er ikke bare å endre ditt WordPress brukerkontopassord, det innebærer også å gå gjennom og endre alle følgende passord:           

  • endre passordet til kontrollpanelet hos hosting-selskapet
  • endre passordet til den WordPress brukerkonto
  • endre FTP konto passordet
  • endre SSH konto passordet
  • endre domeneregistratorens passord som styrer domenenavnet knyttet til nettstedet ditt.
  • endre passord til e-postadressen(e) som er koblet til nettstedet ditt
  • vurdere å endre MySQL passordet ditt (PHPMyadmin)

Last ned en sikkerhetskopi av nettstedet ditt og benytt denne til de nødvendige inspeksjoner og aktiviteter.

Undersøk loggfiler og andre data for å finne ut hvordan og når nettsiden ble hacket

Undersøk programvaretillegg som brukes på området og sikre de er up-to-date, og ikke har noen kjente sårbarheter.

Gjennomgå all tilpasset programvare kode (eventuelt) for åpenbare sikkerhetshull

Rengjøring av området og sette den tilbake på nettet.

Det er veldig viktig, om det er mulig å forstå hvordan området ble hacket, slik at det kan være skikkelig rengjort. Om man ikke finner “the root cause” kan jeg garantere at hackeren er tilbake iløpet av kort tid.

Endre SALT nøklene i wp-config.php fil

Det er en blokk med kode i din WordPress wp-config.php fil som bør endres etter at du har endret alle passordene dine. Dette er blokken med autentiseringsnøkler og salter. Jeg legger selvsagt ikke ut nøklene mine i all offentlighet, så i bildet under ser dere et eksempel uten angitte nøkler.

salter

Når du endrer disse vil alle automatisk logges ut, og det vil kreves at de logger inn på nytt. 

Dersom det er noen inne i admin område ditt som ikke skal være der, vil de nå måtte logge inn på nytt, og siden passordene er endret, vil ikke denne brukeren være i stand til å bruke det gamle passordet.

 

Gjenopprett Side fra sikkerhetskopi

Det neste steget er å gjenopprette siden med en ikke-hacket backup. Dette er muligens ikke din siste backup, og kanskje heller ikke din neste siste. Ikke glem at så snart du har gjenopprettet siden med en ikke-hacket backup, må du sørge for å oppdatere alle programvaretillegg, temaer og evt. WordPress kjernen før du fortsetter. Du ønsker ikke å gjenopprette en sikkerhetskopi bare for å bli hacket 15 minutter senere fordi du ikke oppdaterte et sårbart programvaretillegg (plugin).

 

Sjekk AT Alle filer / mapper, Åpne porter og Brukere på nettstedet er satt opp riktig.

Siden jeg benytter Ithemes Security gir dette meg en rask oversikt i Dashboardet om status på min side. Dersom noe ikke er etter boka vil dette programvaretillegget også gi forslag til endringer hvis det er behov. Som dere ser på bildet under fikk jeg tre warnings som jeg nå fikk muligheten til å rettet opp.

Wordpress file permissions

 

De fleste WordPress nettsider har bare har noen få brukerkontoer på området, så det neste er ganske enkelt. Husk å besøke Brukere i ditt WordPress Admin Dashboard og sørg for at det ikke er noen brukerkontoer (spesielt Administrator kontoer) på din side som ikke bør være der. Fjern eventuelle gamle kontoer som ikke trenger å bli brukt på området lenger.

Så nå er du forhåpentligvis opp og gå igjen, og da bør du endre passordene dine en gang til, endre salt nøklene i wp-config.php igjen, og ikke minst ta en ny fullstendig backup.