Site WordPress spart: pași pentru recuperare și curățare

Recuperarea unui site WordPress spart este o situație de urgență care necesită acțiune imediată și metodică. Panica și acțiunile neplanificate pot înrăutăți situația. Un plan clar de răspuns la incident face diferența dintre o recuperare rapidă și o pierdere de date sau trafic pe termen lung.

Site-urile WordPress compromise sunt folosite pentru distribuirea de malware, spam, redirecționare a vizitatorilor spre site-uri malițioase sau ca noduri în rețele de atac. Google detectează aceste activități și poate sancționa site-ul cu avertismente în căutări sau excludere din index.

Ghidul acesta vă prezintă pașii concreți pentru recuperarea unui site WordPress compromis. Prevenția este mai eficientă decât remedierea, completați cu ghidul de securitate cibernetică pentru a evita această situație.

Site WordPress spart: pași pentru recuperare și curățare

Primul semn că un site WordPress a fost compromis poate fi subtil: conținut neașteptat adăugat, redirecționări spre site-uri necunoscute, mesaje de avertizare în Google sau alerte de la hosting. Recunoașterea rapidă a compromiterii limitează daunele.

Când suspectați că site-ul a fost spart, prima acțiune este să puneți site-ul offline sau în modul de mentenanță, dacă este posibil. Aceasta previne răspândirea în continuare a malware-ului spre vizitatori și limitează daunele de reputație cu Google.

Nu ștergeți nimic înainte de investigare. Fișierele malițioase conțin indicii despre vectorul de atac (ce vulnerabilitate a fost exploatată). Înțelegerea vectorului de atac este necesară pentru a sigila brea de securitate și a preveni reinfectarea.

Identificarea și diagnosticarea compromiterii

Instrumentele gratuite de scanare a malware-ului pentru site-uri web includ Sucuri SiteCheck, VirusTotal (pentru URL) și Google Safe Browsing Transparency Report. Acestea scanează site-ul extern și identifică malware cunoscut, pagini suspecte sau linkuri spre site-uri blacklisted.

Wordfence Security include un scanner complet de malware care verifică fișierele WordPress față de versiunile originale din repository. Orice fișier modificat față de versiunea originală este marcat ca suspect. Rulați un scan complet Wordfence ca prim pas de diagnosticare internă.

Verificați fișierele recent modificate via FTP sau SSH. Malware-ul se inserează de obicei în fișierele .php din tema, plugin-uri sau directorul de upload. Fișiere PHP în directorul uploads sunt un semn clar de compromitere, deoarece uploads nu ar trebui să conțină fișiere executabile PHP. Un firewall activ poate detecta și bloca tentativele de upload malițios.

Curățarea malware-ului

Pasul 1: Restaurați din backup dacă aveți un backup curat anterior compromiterii. Aceasta este metoda cea mai sigură și mai rapidă. Restaurați backup-ul, schimbați toate parolele și identificați vulnerabilitatea care a permis atacul. Un sistem de backup regulat este esențial tocmai pentru aceste situații.

Pasul 2: Dacă nu aveți backup utilizabil, reinstalați nucleul WordPress cu o versiune curată. Descărcați WordPress de pe wordpress.org, înlocuiți fișierele de bază (excluzând wp-config.php și wp-content). Această operație curăță fișierele de bază, dar nu wp-content.

Pasul 3: Reinstalați plugin-urile și tema din surse oficiale (repository WordPress sau site-uri originale ale dezvoltatorilor). Nu reactivați plugin-urile din fișierele existente pe server, deoarece pot conține cod malițios. Ștergeți toate plugin-urile dezactivate și temele nefolosite.

Pasul 4: Verificați wp-content/uploads pentru fișiere PHP sau alte fișiere executabile. Ștergeți orice fișier suspect care nu este o imagine sau un document media legitim. Puteți bloca accesul direct la fișiere PHP din uploads prin .htaccess sau reguli Nginx.

Curățarea bazei de date

Malware-ul se poate ascunde și în baza de date: în conținutul articolelor, opțiunile WordPress sau metadatele utilizatorilor. Căutați în baza de date (via phpMyAdmin sau WP-CLI) fragmente suspecte: eval(, base64_decode(, <iframe cu surse externe sau linkuri spre domenii necunoscute.

Verificați utilizatorii WordPress cu drepturi de administrator. Atacatorii creează adesea conturi de administrator backdoor. Ștergeți orice cont necunoscut sau suspect. Schimbați parolele tuturor conturilor de administrator existente.

Modificați cheile de securitate (Security Keys și Salts) din wp-config.php. Acestea invalidează toate sesiunile active, forțând deconectarea oricărui utilizator autentificat, inclusiv atacatorii cu sesiuni active.

Prevenirea reinfectării

Identificați și reparați vulnerabilitatea care a permis atacul: plugin sau temă vulnerabilă, parolă slabă, permisiuni de fișiere incorecte sau versiune WordPress depășită. Fără sigilarea vectorului de atac, site-ul va fi reinfectat rapid.

Activați monitorizarea continuă: Wordfence pentru scanning regulat, notificări pentru modificări de fișiere și autentificare în doi pași pentru conturile de administrator. Autentificarea în doi pași previne accesul neautorizat chiar dacă parola este compromisă.

Echipa DomRO intervine urgent pentru recuperarea site-urilor WordPress compromise. Contactați-ne imediat dacă suspectați că site-ul dvs. a fost spart.