Čišćenje WordPress sajta od malware fajlova nije nešto što može da se radi preventivno, već je to uvek operacija nakon što se utvrdi da je sajt zaražen ili čak ne radi zbog oštećenja fajlova. Zapisali smo ovde detaljno uputstvo za čišćenje WordPress sajta od štetnih fajlova.

Kako malware fajlovi dospevaju na WordPress sajt?

Postoji više načina da se vaš sajt zarazi i evo nekoliko čestih:

• instalirali ste nulovanu ili krekovanu temu/plugin na vaš sajt
• instalirali ste zastarelu temu/plugin na vaš sajt
• niste ažurirali vaš WordPress, temu i pluginove
• niste instalirali plugin za zaštitu od malicioniznih napada i aktivnosti
• u vašem cPanelu imate nekoliko sajtova, jedan sajt se zarazio i preneo virus na ostale sajtove
• niste ulazili na vaš hosting i kontrolisali da li na hostingu imate fajlove koji ne treba tu da budu
• koristili ste slabu lozinku za sajt, neko je pristupio i postavio malware
• koristili ste slabu lozinku za cPanel, neko je pristupio i postavio malware

E sada, ako želite da se ovo ne desi i vama, potrebno je da radite potpuno drugačije. Međutim, ako ste se pronašli u nekom od navedenih stavki i sada imate problem, čitajte dalje.

Šta radi malware i zašto baš vaš sajt?

Postoje različite namene štetnih fajlova pa se najčešće koriste za slanje SPAM-a sa vašeg hostinga, zatim za napade na druge sajtove ili za nasumični napad na vaš sajt. Meta najčešće niste vi, već se preko vašeg sajta napada neki drugi sajt iskorišćenjem vaših resursa koje imate na hostingu. Vaš sajt je samo kolateralna šteta jer ste imali sigurnosni propust na sajtu koji je dozvolio da se ovo desi.

Kako da znam da je WordPress zaražen?

Ako koristite naš hosting, mi ćemo vas obavestiti kada primetimo aktivnost štetnih fajlova tako što ćemo vam poslati mejl sa primerima lokacija gde se problem nalazi. Svakako, nemojte čekati da vam mi to javimo, pa obratite pažnju na to koji su najčešći pokazatelji da je vaš sajt zaražen:

• vaš sajt redirektuje na neki drugi sajt
• dobijate veliki broj delivery-failed mejlova a niste vi slali
• sajt se predugo učitava
• sajt se učita, ali nedostaju delovi sajta
• primećujete nove tekstove koje niste vi pisali
• primećujete nove registracije korisnika na sajt a vi i nemate formu za registraciju korisnika na sajtu
• primetili ste čudne fajlove i foldere na hostingu, a niste ih vi postavili

Evo kako izgledaju “čudni” folderi i fajlovi na hostingu koji je zaražen, primetićete da nazivi nisu baš smisleni i zbog toga se lako odaju:

Čišćenje WordPress sajta

Ukoliko ste došli u nepriliku da je vaš sajt zaražen, evo svih koraka koje treba da sprovedete da biste očistili sajt detaljno.

Sve korake možete raditi iz vašeg cPanela i File Manager aplikacije:

• Ovde je uputstvo kako da se ulogujete Kako da se ulogujem u cPanel.
• Ovde je uputstvo za brisanje fajlova Brisanje fajlova.

korak 1: Možda bekap reši sve

Ako se problem javio naglo, na primer danas, a vi imate bekap od juče kada malware fajlovi nisu bili na sajtu, problem možete rešiti tako što ćete vratiti vaš sajt sajt iz bekapa od juče.

Ako vi nemate svoj bekap, proverite sa vašim hosting provajderom da li oni imaju bekap iz vremena za koje znate da je sajt radio ispravno i zamolite da vrate sajt iz bekapa tog perioda.

Imajte u vidu da vraćanje sajta iz bekapa ne rešava problem trajno. Nakon što vratite sajt iz bekapa moraćete da utvrdite šta je izazvalo problem i trajno zaštitite sajt.

korak 2: Nemate bekap – napravite sveži bekap pre čišćenja

Čišćenje sajta se radi tako što brišete štetne fajlove koji nisu potrebni za rad sajta i eventualno čistite samo štetni deo kod iz fajlova koji su potrebni sajtu. Pri tome možete pogrešiti i tako obrisati važan fajl. Bekap će vam biti potreban upravo zbog toga.

Najlakši način za pravljenje bekapa je zipovanje celog foldera gde se nalazi sajt. Na primer, ako je sajt u /public_html folderu, idete korak iznad tog foldera i kliknete desnim klikom na /public_html folder, a zatim odaberete opciju Compress.

korak 3: Ovako izgleda čist hosting nalog

Kada pristupite prvi put vašem hostingu ovako izgleda čist raspored. Ovde nije uključena opcija prikaza skrivenih fajlova i foldera. U Linuksu, svaki fajl ili folder koji ima tačku ispred svog naziva podrazumevano se skriva dok ne uključite opciju za prikaza takavih fajlova.

Ako na hostingu imate dodatne domene (i sajtove na njima) i kreirali ste ih izvan /public_html direktorijuma, onda ćete ih videti ovde takođe. Ti direktorijumi sa vašim dodatnim sajtovima nosiće nazive koje ste im vi dodelili kada ste dodali te domene na hosting.

Štetni folderi i fajlovi često imaju nasumične nazive koji ne znače ništa (dfas, dbda, sljahw…). Međutim, nekada imaju i smislene nazive kao database, wp-admin, wp-database i slično. Da se radi o štetnom folderu možete znati zbog toga što WordPress ne postavlja takve foldere van foldera sajta (osim ako to niste vi uradili i tako podesiti sajt).

Evo primera naziva malware foldera i fajlova:

Na slici ispod vidite kako izgleda hosting kada uključite opciju prikaza skrivenih fajlova. Svi ovi fajlovi i folderi pripadaju cPanelu odnosno vašem hostingu. Nemojte ih brisati ali možete pregledati da biste videli da li tu možda postoji neki sumnjivi fajl.

Ako ovde vidite neke druge foldere koje niste vi postavili i sigurno znate da ih možete obrisati, možete to uraditi. Nemojte brisati foldere i fajlove koje vidite na prethodnoj slici jer oni pripadaju cPanelu.

korak 4: Utvrdite gde se nalaze fajlovi sajta

Idite u folder gde se nalazi vaš WordPress sajt. Ako imate samo jedan sajt i niste podesili drugačije, folder koji vam treba je /public_html folder. Ako imate dodatne sajtove (addon domain sajtove) i sajt koji čistite je jedan od tih dodatnih, onda se fajlovi sajta nalaze na drugoj lokaciji.

Da saznate na kojoj lokaciji se nalazi taj sajt idite u Addon domains, i pogledajte tabelu sa dodatim domenima. U delu Document Root piše tačna lokacija na kojoj se nalaze fajlovi sajta.

Evo primera ispod, sajt (njegovi fajlovi) se u ovom slučaju nalazi izvan /public_html direktorijuma, odnosno u direktorijumu /filmskasecanja.com i to je lokacija koju treba čistiti:

korak 5: Ovako izgleda čista WordPress instalacija

Ovo je čista instalacija bez namenskih izmena. Na slici je plavom bojom označeno ono što pripada WordPressu. Folder .well-known je sistemski i on takođe treba da se nalazi tu.

Ukoliko ste vršili neku vrstu verifikacije sajta na Google ili sličan servis preko validacionog fajla, moguće je da se ovde nalaze i dodatni fajlovi. Naravno, vi ćete prvi znati ako ste takve fajlove postavili tu da biste uradili verifikaciju.

Ako u istom folderu imate i dodatne sajtove (kao addon domene) onda će i folderi tih sajtova biti viđeni ovde, pa obratite pažnju.

Korak 6: Preuzmite čistu WordPress instalaciju

Idite na zvaničnu lokaciju WordPressa i preuzmite čiste fajlove. To je ovde: https://wordpress.org/download/

Paket koji preuzmete sačuvajte i raspakujte na računaru. Trebaće vam u daljim koracima.

korak 7: Obrišite sve WordPress fajlove (ne foldere i ne wp-config.php fajl)

Nemojte brisati foldere i nemojte obrisati wp-config.php fajl. U tom fajlu se nalaze podaci koji sajt povezuju sa bazom podataka.

Sve fajlove koje ste obrisali u ovom koraku zamenite čistim fajlovima iz čiste WordPress instalacije. Jednostavno, uradite upload tih fajlova sa računara na hosting.

korak 8: wp-config.php fajl i parametri za bazu podataka

Otvorite wp-config.php fajl i kopirajte sledeće redove sa imenom baze, imenom korisnika baze i lozinkom za bazu podataka:

Obrišite nakon toga wp-config.php fajl.

Onda uradite upload wp-config-sample.php fajla iz čiste instalacije koju ste maločas preuzeli.

Izmenite naziv ovog fajla iz wp-config-sample.php u wp-config.php.

Parametre za bazu podataka koje ste kopirali iz prethodnog fajla postavite u ovaj novi tako što ćete zameniti sledeće redove:

Sa fajlovima u ovom delu smo završili pa idemo dalje.

korak 9: Zamenite wp-admin i wp-includes foldere čistim folderima

Dakle obrišite wp-admin i wp-includes foldere, a zatim ih zamenite čistim folderima sa istim nazivom iz čiste instalacije koju ste maločas preuzeli sa zvanične WordPress lokacije.

Nemojte brisati wp-content folder.

korak 10: Postavite podrazumevani .htaccess fajl

Napravite novi fajl pod nazivom .htaccess. Stari ste obrisali u 7. koraku. U taj fajl postavite sledeći kod:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

korak 11: Čistimo wp-content folder

Ovaj folder je nešto komplikovaniji za čišćenje od onoga što smo čistili do sada. Ovde se nalazi tema koju vaš sajt koristi i pluginovi, ali i drugi folderi i fajlovi u zavisnosti od toga koju temu koristite i koje pluginove.

Jedan standardni wp-content folder sajta izgleda kao na slici ispod. Na slici se vidi i /et-cache folder koji vi nećete imati ako ne koristite Elegant Themes temu.

Krenimo od /plugins foldera

Pregledajte šta je unutra, možete popisati koje pluginove imate. Preporuka je da sve pluginove obrišete tako što ćete obrisati njihove foldere koji se nalaze unutar foldera /plugins.

Nakon brisanja, po spisku koji ste napravili, preuzmite i raspakujte čiste fajlove za svaki plugin koji ste obrisali.

Očistite /themes folder

Preporuka, kao i za pluginove, je da obrišete sve iz ovog foldera i tu raspakujete samo temu koju koristite. Temu preuzmite sa zvanične lokacije ili od autorskog sajta gde ste temu kupili. Fajlove teme raspakujete u ovaj folder. Preporučujemo da tu raspakujete i podrazumevanu temu za WordPress jer će vam možda trebati da biste testirali eventualne zastoje u radu kasnije.

Očistite /uploads folder

Ovo je verovatno i najteži posao ako imate mnogo materijala koji ste godinama postavljali na sajt. Pregledajte fajlove temeljno. Ovde bi trebalo da se nalaze samo slike i dokumenta koja ste uploadovali na sajt. Ako u ovom folderu vidite fajlove koji se završavaju sa .php (na primer fdfasd.php) onda je to verovatno štetni fajl i možete ga obrisati.

S obzirom da je /wp-content folder jedini folder kojeg nismo brisali potrebno je da sve detaljno pregledate i obrišete štetne fajlove. Ukoliko bi nešto ostalo ovde, problem bi mogao da se ponovi.

korak 12: Proverite permisije (dozvole) nad fajlovima i folderima

Svi fajlovi vaše sajta moraju da imaju ove permisije: 644

Svi folderi vašeg sajta moraju da imaju ove permisije: 755

Pregledajte sve fajlove i foldere detaljno i pobrinite se da imaju ispravne permisije. Permisije se nalaze skroz desno u File Manager aplikaciji kada pregledate fajlove i foldere:

U slučaju da su permisije drugačije, možete ih prepraviti tako što ćete klikniti na svaku permisiju i upisati ispravan broj ili možete menjati permisije za više fajlova istovremeno.

Za promenu permisija za više fajlova/foldera istovremeno odaberite više fajlova, kliknite desnim klikom na odabrane fajlove/foldere i odaberite opciju Change permissions. U prozoru koji se otvori podesite potrebne permisije i kliknite na dugme Change Permissions:

korak 13: Sajt bi sada trebalo radi ispravno

Testirajte sada test detaljno i proverite da li sve radi. Pristupite WordPress Dashboard-u i tu takođe sve testirajte.

korak 14: Instalirajte sigurnosni plugin za WordPress

Da se ovaj problem ne bi ponavljao, preporučujemo da instalirate neki od sigunosnih pluginova. Većina ovih pluginova skenira i pazi na promene u vašem sajtu i tako detektuje štetnu aktivnost.

Tekst o takvim pluginovima možete videti ovde WordPress pluginovi za detektovanje malicioznog koda i zaštitu.

Možemo reći da je WordFence dosta dobar plugin, pa ukoliko se niste odlučili za neki drugi, imate našu preporuku. Nemojte samo instalirati više od jednog sigurnosnog plugina jer ćete izazvati konflikt među njima.

korak 15: Vodite brigu o vašem sajtu

Sada kada je sajt čist, potrebno je da redovno održavate sajt i vodite aktivnu brigu o tome šta imate na hostingu. Ako do sada niste kreirali bekap vašeg sajta povremeno, počnite to da radite. Ukoliko vi nemate vremena za to, predlažemo da angažujete nekog ko bi se bavio time umesto vas.

Šta znači redovno održavanje WordPress sajta?

Dovoljno je da jednom nedeljno uđete na sajt i uradite update WordPressa, teme i pluginova. Nakon toga se ulogujte na vaš cPanel i pogledajte da li tu vidite nešto što ne bi trebalo da bude tu. Ako je sve u redu i koristite sigurnosni plugin koji svo vreme motri na vaš sajt, onda to znači da vi dobro i redovno održavate vaš sajt.