Чишћење Вордпрес сајта од malware фајлова није нешто што може да се ради превентивно, већ је то увек операција након што се утврди да је сајт заражен или чак не ради због оштећења фајлова. Записали смо овде детаљно упутство за чишћење Вордпрес сајта од штетних фајлова.

Како malware фајлови доспевају на Вордпрес сајт?

Постоји више начина да се ваш сајт зарази и ево неколико честих:

• инсталирали сте нуловану или крековану тему/плугин на ваш сајт
• инсталирали сте застарелу тему/плугин на ваш сајт
• нисте ажурирали ваш Вордпрес, тему и плугинове
• нисте инсталирали плугин за заштиту од малиционизних напада и активности
• у вашем cPanelu имате неколико сајтова, један сајт се заразио и пренео вирус на остале сајтове
• нисте улазили на ваш хостинг и контролисали да ли на хостингу имате фајлове који не треба ту да буду
• користили сте слабу лозинку за сајт, неко је приступио и поставио malware
• користили сте слабу лозинку за cPanel, неко је приступио и поставио malware

Е сада, ако желите да се ово не деси и вама, потребно је да радите потпуно другачије. Међутим, ако сте се пронашли у неком од наведених ставки и сада имате проблем, читајте даље.

Шта ради malware и зашто баш ваш сајт?

Постоје различите намене штетних фајлова па се најчешће користе за слање SPAM-а са вашег хостинга, затим за нападе на друге сајтове или за насумични напад на ваш сајт. Мета најчешће нисте ви, већ се преко вашег сајта напада неки други сајт искоришћењем ваших ресурса које имате на хостингу. Ваш сајт је само колатерална штета јер сте имали сигурносни пропуст на сајту који је дозволио да се ово деси.

Како да знам да је Вордпрес заражен?

Ако користите наш хостинг, ми ћемо вас обавестити када приметимо активност штетних фајлова тако што ћемо вам послати мејл са примерима локација где се проблем налази. Свакако, немојте чекати да вам ми то јавимо, па обратите пажњу на то који су најчешћи показатељи да је ваш сајт заражен:

• ваш сајт редиректује на неки други сајт
• добијате велики број delivery-failed мејлова а нисте ви слали
• сајт се предуго учитава
• сајт се учита, али недостају делови сајта
• примећујете нове текстове које нисте ви писали
• примећујете нове регистрације корисника на сајт а ви и немате форму за регистрацију корисника на сајту
• приметили сте чудне фајлове и фолдере на хостингу, а нисте их ви поставили

Ево како изгледају “чудни” фолдери и фајлови на хостингу који је заражен, приметићете да називи нису баш смислени и због тога се лако одају:

Чишћење Вордпрес сајта

Уколико сте дошли у неприлику да је ваш сајт заражен, ево свих корака које треба да спроведете да бисте очистили сајт детаљно.

Све кораке можете радити из вашег cPanela и File Manager апликације:

• Овде је упутство како да се улогујете Како да се улогујем у cPanel.
• Овде је упутство за брисање фајлова Брисање фајлова.

корак 1: Можда бекап реши све

Ако се проблем јавио нагло, на пример данас, а ви имате бекап од јуче када malware фајлови нису били на сајту, проблем можете решити тако што ћете вратити ваш сајт сајт из бекапа од јуче.

Ако ви немате свој бекап, проверите са вашим хостинг провајдером да ли они имају бекап из времена за које знате да је сајт радио исправно и замолите да врате сајт из бекапа тог периода.

Имајте у виду да враћање сајта из бекапа не решава проблем трајно. Након што вратите сајт из бекапа мораћете да утврдите шта је изазвало проблем и трајно заштитите сајт.

корак 2: Немате бекап – направите свежи бекап пре чишћења

Чишћење сајта се ради тако што бришете штетне фајлове који нису потребни за рад сајта и евентуално чистите само штетни део код из фајлова који су потребни сајту. При томе можете погрешити и тако обрисати важан фајл. Бекап ће вам бити потребан управо због тога.

Најлакши начин за прављење бекапа је зиповање целог фолдера где се налази сајт. На пример, ако је сајт у /public_html фолдеру, идете корак изнад тог фолдера и кликнете десним кликом на /public_html фолдер, а затим одаберете опцију Compress.

корак 3: Овако изгледа чист хостинг налог

Када приступите први пут вашем хостингу овако изгледа чист распоред. Овде није укључена опција приказа скривених фајлова и фолдера. У Линуксу, сваки фајл или фолдер који има тачку испред свог назива подразумевано се скрива док не укључите опцију за приказ такавих фајлова.

Ако на хостингу имате додатне домене (и сајтове на њима) и креирали сте их изван /public_html директоријума, онда ћете их видети овде такође. Ти директоријуми са вашим додатним сајтовима носиће називе које сте им ви доделили када сте додали те домене на хостинг.

Штетни фолдери и фајлови често имају насумичне називе који не значе ништа (dfas, fdsas, ljk3…). Међутим, некада имају и смислене називе као database, wp-admin, wp-database и слично. Да се ради о штетном фолдеру можете знати због тога што Вордпрес не поставља такве фолдере ван фолдера сајта (осим ако то нисте ви урадили и тако подесити сајт).

Ево примера назива malware фолдера и фајлова:

На слици испод видите како изгледа хостинг када укључите опцију приказа скривених фајлова. Сви ови фајлови и фолдери припадају cPanel-у односно вашем хостингу. Немојте их брисати али можете прегледати да бисте видели да ли ту можда постоји неки сумњиви фајл.

Ако овде видите неке друге фолдере које нисте ви поставили и сигурно знате да их можете обрисати, можете то урадити. Немојте брисати фолдере и фајлове које видите на претходној слици јер они припадају cPanelu.

корак 4: Утврдите где се налазе фајлови сајта

Идите у фолдер где се налази ваш Вордпрес сајт. Ако имате само један сајт и нисте подесили другачије, фолдер који вам треба је /public_html фолдер. Ако имате додатне сајтове (addon domain сајтове) и сајт који чистите је један од тих додатних, онда се фајлови сајта налазе на другој локацији.

Да сазнате на којој локацији се налази тај сајт идите у Addon domains, и погледајте табелу са додатим доменима. У делу Document Root пише тачна локација на којој се налазе фајлови сајта.

Ево примера испод, сајт (његови фајлови) се у овом случају налази изван /public_html директоријума, односно у директоријуму /filmskasecanja.com и то је локација коју треба чистити:

корак 5: Овако изгледа чиста Вордпрес инсталација

Ово је чиста инсталација без наменских измена. На слици је плавом бојом означено оно што припада Вордпресу. Фолдер .well-known је системски и он такође треба да се налази ту.

Уколико сте вршили неку врсту верификације сајта на Google или сличан сервис преко валидационог фајла, могуће је да се овде налазе и додатни фајлови. Наравно, ви ћете први знати ако сте такве фајлове поставили ту да бисте урадили верификацију.

Ако у истом фолдеру имате и додатне сајтове (као addon домене) онда ће и фолдери тих сајтова бити виђени овде, па обратите пажњу.

Корак 6: Преузмите чисту Вордпрес инсталацију

Идите на званичну локацију Вордпреса и преузмите чисте фајлове. То је овде: https://wordpress.org/download/

Пакет који преузмете сачувајте и распакујте на рачунару. Требаће вам у даљим корацима.

корак 7: Обришите све Вордпрес фајлове (не фолдере и не wp-config.php фајл)

Немојте брисати фолдере и немојте обрисати wp-config.php фајл. У том фајлу се налазе подаци који сајт повезују са базом података.

Све фајлове које сте обрисали у овом кораку замените чистим фајловима из чисте Вордпрес инсталације. Једноставно, урадите upload тих фајлова са рачунара на хостинг.

корак 8: wp-config.php фајл и параметри за базу података

Отворите wp-config.php фајл и копирајте следеће редове са именом базе, именом корисника базе и лозинком за базу података:

Обришите након тога wp-config.php фајл.

Онда урадите уплоад wp-config-sample.php фајла из чисте инсталације коју сте малочас преузели.

Измените назив овог фајла из wp-config-sample.php у wp-config.php.

Параметре за базу података које сте копирали из претходног фајла поставите у овај нови тако што ћете заменити следеће редове:

Са фајловима у овом делу смо завршили па идемо даље.

корак 9: Замените wp-admin и wp-includes фолдере чистим фолдерима

Дакле обришите wp-admin и wp-includes фолдере, а затим их замените чистим фолдерима са истим називом из чисте инсталације коју сте малочас преузели са званичне Вордпрес локације.

Немојте брисати wp-content фолдер.

корак 10: Поставите подразумевани .htaccess фајл

Направите нови фајл под називом .htaccess. Стари сте обрисали у 7. кораку. У тај фајл поставите следећи код:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

корак 11: Чистимо wp-content фолдер

Овај фолдер је нешто компликованији за чишћење од онога што смо чистили до сада. Овде се налази тема коју ваш сајт користи и плугинови, али и други фолдери и фајлови у зависности од тога коју тему користите и које плугинове.

Један стандардни wp-content фолдер сајта изгледа као на слици испод. На слици се види и /et-cache фолдер који ви нећете имати ако не користите Elegant Themes тему.

Кренимо од /plugins фолдера

Прегледајте шта је унутра, можете пописати које плугинове имате. Препорука је да све плугинове обришете тако што ћете обрисати њихове фолдере који се налазе унутар фолдера /plugins.

Након брисања, по списку који сте направили, преузмите и распакујте чисте фајлове за сваки плугин који сте обрисали.

Очистите /themes фолдер

Препорука, као и за плугинове, је да обришете све из овог фолдера и ту распакујете само тему коју користите. Тему преузмите са званичне локације или од ауторског сајта где сте тему купили. Фајлове теме распакујете у овај фолдер. Препоручујемо да ту распакујете и подразумевану тему за Вордпрес јер ће вам можда требати да бисте тестирали евентуалне застоје у раду касније.

Очистите /uploads фолдер

Ово је вероватно и најтежи посао ако имате много материјала који сте годинама постављали на сајт. Прегледајте фајлове темељно. Овде би требало да се налазе само слике и документа која сте уплоадовали на сајт. Ако у овом фолдеру видите фајлове који се завршавају са .php (на пример fdafdsfs.php) онда је то вероватно штетни фајл и можете га обрисати.

С обзиром да је /wp-content фолдер једини фолдер којег нисмо брисали потребно је да све детаљно прегледате и обришете штетне фајлове. Уколико би нешто остало овде, проблем би могао да се понови.

корак 12: Проверите пермисије (дозволе) над фајловима и фолдерима

Сви фајлови ваше сајта морају да имају ове пермисије: 644

Сви фолдери вашег сајта морају да имају ове пермисије: 755

Прегледајте све фајлове и фолдере детаљно и побрините се да имају исправне пермисије. Пермисије се налазе скроз десно у File Manager апликацији када прегледате фајлове и фолдере:

У случају да су пермисије другачије, можете их преправити тако што ћете кликнити на сваку пермисију и уписати исправан број или можете мењати пермисије за више фајлова истовремено.

За промену пермисија за више фајлова/фолдера истовремено одаберите више фајлова, кликните десним кликом на одабране фајлове/фолдере и одаберите опцију Change permissions. У прозору који се отвори подесите потребне пермисије и кликните на дугме Change Permissions:

корак 13: Сајт би сада требало ради исправно

Тестирајте сада тест детаљно и проверите да ли све ради. Приступите Вордпрес контролној табли и ту такође све тестирајте.

корак 14: Инсталирајте сигурносни плугин за Вордпрес

Да се овај проблем не би понављао, препоручујемо да инсталирате неки од сигуносних плугинова. Већина ових плугинова скенира и пази на промене у вашем сајту и тако детектује штетну активност.

Текст о таквим плугиновима можете видети овде Вордпрес прикључци за детектовање малициозног кода и заштиту.

Можемо рећи да је WordFence доста добар плугин, па уколико се нисте одлучили за неки други, имате нашу препоруку. Немојте само инсталирати више од једног сигурносног плугина јер ћете изазвати конфликт међу њима.

корак 15: Водите бригу о вашем сајту

Сада када је сајт чист, потребно је да редовно одржавате сајт и водите активну бригу о томе шта имате на хостингу. Ако до сада нисте креирали бекап вашег сајта повремено, почните то да радите. Уколико ви немате времена за то, предлажемо да ангажујете неког ко би се бавио тиме уместо вас.

Шта значи редовно одржавање Вордпрес сајта?

Довољно је да једном недељно уђете на сајт и урадите update Вордпреса, теме и плугинова. Након тога се улогујте на ваш cPanel и погледајте да ли ту видите нешто што не би требало да буде ту. Ако је све у реду и користите сигурносни плугин који сво време мотри на ваш сајт, онда то значи да ви добро и редовно одржавате ваш сајт.