Что такое WordPress Pharma Hack?

Опубликовано: 2022-06-24

Один из наиболее распространенных методов взлома веб-сайта включает в себя манипулирование поисковыми индексами для включения недостойного контента в высокие позиции поиска. Это тип хака Black Hat SEO, также известный как фарма-взлом WordPress или SEO-спам.

Для миллионов владельцев веб-сайтов по всему миру WordPress является лучшим решением для создания интернет-магазинов и любых других веб-сайтов. А из-за популярности WordPress CMS она часто становится целью вредоносных атак и взломов. Но что такое фармацевтический взлом WordPress?

В этом руководстве мы подробно обсудим, что такое фарма-взлом WordPress, несколько ярких примеров того, как выглядит этот тип атаки, и как их предотвратить. Давайте взглянем.

Что такое WordPress Pharma Hack?

В двух словах, взлом WordPress Pharma — это метод взлома, который использует вредоносное ПО для заражения законного сайта WordPress для перенаправления на веб-страницы со спамом, которые демонстрируют рекламу, продающую поддельные версии фирменных фармацевтических препаратов, таких как Сиалис и Виагра.

Иногда эти взломы будут направлены на другие типы фармацевтических продуктов. Но Сиалис и Виагра, безусловно, наиболее распространены.

Фарма-взлом — это разновидность SEO-хака Black Hat или SEO-спама.

Получите бонусный контент: Руководство по безопасности WordPress
Кликните сюда

Почему хакеры используют сайты WordPress с помощью Pharma Hacks?

Есть простой ответ на вопрос, почему хакеры нацелены на сайты WordPress с помощью фармакологических взломов: поисковые запросы в Интернете являются огромным источником трафика. SEO-взлом — это самый простой способ привлечь гораздо больше реферального трафика, не прибегая к органической генерации трафика.

Фарма-взломы WordPress гарантируют, что хакер займет видное место в поисковой выдаче (странице результатов поисковой системы), взламывая сайты с высоким авторитетом поиска, а затем заражая их хаками перенаправления спама.

что такое фарма-хак

Как выглядит взлом WordPress Pharma?

В недавнем взломе фармы WordPress мы стали свидетелями очень сложной версии того, как выглядит взлом. В этой фармацевтической атаке хакер адаптировал результаты поиска Google непосредственно к названию веб-сайта в заголовке.

Делая это, люди искренне верят, что они нажимают на законный веб-сайт, который продает легальные фармацевтические препараты.

что такое фармацевтический взлом WordPress

Как вы можете видеть, взлом создает впечатление, что вы собираетесь нажать на законную фармацевтическую рекламу, хотя на самом деле вы нажимаете на спам.

Как узнать, заражен ли ваш сайт WordPress взломом Pharma

Не зная, что вы ищете, трудно обнаружить SEO-спам, потому что он не виден сразу, если вы являетесь администратором WordPress или менеджером веб-сайта. Хорошие хакеры знают, как скрыть то, что они делают, используя такие приемы, как маскировка.

Тем не менее, есть несколько простых приемов и инструментов, которые вы можете использовать, чтобы выяснить, был ли ваш сайт заражен хакерской атакой.

1. Используйте плагин безопасности WordPress

Как ответственный владелец сайта WordPress, важно понимать, что безопасность вашего сайта имеет первостепенное значение. Если вы используете сайт, который не полностью защищен мощным набором плагинов безопасности WordPress, вы подвергаете весь свой сайт и своих пользователей риску потенциальной кибератаки.

Хороший плагин безопасности WordPress должен быть мощным, полностью обновленным и простым в использовании для владельцев веб-сайтов.

И плагин iThemes Security Pro — отличное решение. iThemes Security имеет мощную функцию сканирования сайта, которая интегрируется с безопасным просмотром Google, чтобы показать, есть ли ваш сайт в черном списке Google, что обычно указывает на наличие на вашем сайте какого-либо вредоносного ПО.

iThemes Security также предлагает обнаружение изменений файлов, что является мощным способом отслеживания любых изменений файлов на вашем сайте. Хакеры обычно модифицируют или изменяют файлы на вашем сайте, поэтому ведение журнала этих изменений (и получение предупреждений об изменении файлов) может помочь определить, что произошло что-то подозрительное, что было изменено и когда это произошло.

2. Проверьте поиск Google

Чтобы найти зараженные веб-сайты, выполните поиск по ключевым словам, таким как виагра wp-page . Имейте в виду, что из-за политики Google для веб-мастеров зараженные сайты не будут отображаться на первой странице результатов. Вам нужно будет прокрутить как минимум до третьей и четвертой страниц.

Если вы видите свой веб-сайт в поиске, это означает, что ваш сайт стал жертвой хакерской атаки на WordPress или другого SEO-спама.

Вы заметите, что в список входят как зараженные сайты, так и поддельные страницы. Если вы нажмете на эти страницы, вы, вероятно, будете перенаправлены на другие страницы. Или спам-контент может загружаться на страницу законного веб-сайта в результате заражения.

Чтобы узнать, заражены ли какие-либо страницы вашего сайта SEO-спамом для Viagra, просто добавьте слово «виагра» к вашему доменному имени в поиске Google ( viagra site:yourdomain.com ).

Часто заражению подвергается только пара страниц вашего сайта. И эти страницы не видны вам на панели инструментов WordPress. Выполнив этот поиск, вы обнаружите, что представляют собой эти зараженные страницы/URL-адреса.

3. Проверяйте результаты как бот Google

Как уже говорилось, эти фармацевтические спам-страницы не отображаются в стандартной поисковой системе. Но пользовательский агент, такой как Googlebot, может их увидеть и обнаружить.

Чтобы просмотреть то, что видит Googlebot, просто используйте User-Agent Switcher браузера, который можно установить в Firefox или Chrome.

Вот как:

  • Установите надстройку User-Agent Switcher
  • Перейдите на зараженную веб-страницу
  • Измените строку User-Agent на любую из приведенных ниже:
    • Mozilla/5.0 (совместимый; Googlebot/2.1; +http://www.google.com/bot.html)
    • Googlebot/2.1 (+http://www.google.com/bot.html)
  • Щелкните правой кнопкой мыши страницу и просмотрите исходный код страницы. Это позволит вам увидеть перенаправление

Имейте в виду, что если у вас слишком долго активен User-Agent Switcher, вы можете попасть в черный список или заблокироваться на сайтах, которые поддерживают хорошие протоколы безопасности. Это потому, что для них вы будете выглядеть как Googlebot.

Анатомия взлома WordPress Pharma

Теперь давайте разберем реальную анатомию того, что происходит во время взлома WordPress.

1. Ваша уязвимость для взлома Pharma

Чтобы осуществить этот тип взлома, хакер должен сначала использовать известную уязвимость или эксплойт нулевого дня.

Некоторые из наиболее распространенных уязвимостей включают в себя:

  • SQL-инъекции XSS. Это происходит из-за плохих стандартов кодирования программного обеспечения в теме или плагинах, которые вы запускаете. Иногда эти проблемы возникают даже в основном программном обеспечении WordPress. Всегда обновляйте программное обеспечение, которое вы запускаете на WordPress, включая ваши плагины и темы.
  • Слабые пароли FTP и учетных записей. Надежные пароли абсолютно необходимы, если вы являетесь владельцем сайта WordPress. И это относится к сайтам любого размера. Даже репозиторий Linux Gen на GitHub недавно был взломан из-за слабых учетных данных для входа.
  • Отображение ошибок и список содержимого включены. В результате критически важные файлы вашего сайта доступны для чтения всем пользователям Интернета.

2. Настойчивость фарма-хака

Фармацевтический взлом WordPress удается изменить содержимое вашего корневого каталога. И большинство спам-атак будет происходить через ваши папки /includes или /misc .

Спамер получит постоянный или продолжительный доступ, используя такие методы, как:

  • Добавление новых страниц, таких как leftpanelsin.php , cache.php и т. д.
  • Изменение файлов PHP, таких как index.php , wp-page.php , nav.php и т. д.
  • Скрытие спам-файлов внутри папки /images . Поисковые роботы не ожидают увидеть здесь файлы, что предотвращает их обнаружение.
  • Обфускация кода с использованием кодировки base64
  • Редактирование xmlrpc.php во избежание обнаружения веб-мастерами
  • Использование заданий cron для повторного заражения
  • Маскировка: Различие между поисковыми роботами на основе пользовательского агента. В результате содержимое, которое видит робот Googlebot, отличается от содержимого, которое видит пользователь Mozilla.
  • Добавление точки перед расширением файла. Поэтому переименовав страницу в .otherfile , чтобы быть невидимой.

3. Результаты взлома фармы

Что происходит с вами, как с владельцем сайта WordPress, когда хакеру удается взломать ваш сайт?

  • Ваш сайт потеряет свою хорошую репутацию, так как теперь будет показывать рекламу Сиалиса и Виагры.
  • Скорее всего, вы попадете в черный список Google, а это значит, что восстановить репутацию вашего сайта будет очень сложно.
  • Пользователи больше не будут доверять вашему сайту и не вернутся.
  • Рейтинг в поисковых системах резко упадет.
  • Ваш сайт будет генерировать клики на другие сайты. Те самые клики, над получением которых вы так усердно работали, будут потрачены в другом месте.

Очевидно, что все эти результаты наносят ущерб вашему веб-сайту и вашему бизнесу.

Исправление взлома WordPress Pharma

Фарма взломы скрыты. Таким образом, поиск и удаление взлома WordPress может быть долгим и утомительным процессом.

Вот что нужно сделать:

1. Сделайте резервную копию вашего сайта

Чтобы не потерять всю работу, которую вы вложили в свой сайт, загрузите подключаемый модуль BackupBuddy и сделайте полную резервную копию ваших основных файлов, базы данных, файлов темы и подключаемых модулей. Да хоть вредоносное ПО. Поверьте нам, вы будете рады, если что-то пойдет не так в процессе очистки.

Очевидно, что это помогает, если у вас есть резервная копия «чистой» версии вашего сайта до взлома фармы, поэтому обязательно используйте резервные копии в качестве превентивной меры безопасности.

2. Сканирование на наличие уязвимостей, известных вредоносных программ и ваш статус в черном списке Google

Используйте подключаемый модуль iThemes Security Pro, о котором говорилось ранее, чтобы выполнить полное сканирование вашего сайта. Функция сканирования сайта сканирует вашу основную версию WordPress, плагины и темы на наличие любых известных уязвимостей, которые могли открыть лазейку для атаки. Кроме того, Site Scan интегрируется с безопасным просмотром Google, который указывает, обнаружил ли Google какие-либо известные вредоносные программы на вашем сайте. В этом случае ваш сайт будет добавлен в черный список Google. iThemes Security покажет ваш статус в черном списке Google.

3. Удалить зараженные файлы

Используйте FTP-клиент для подключения к серверу хостинга. Кроме того, вы можете использовать файловый менеджер.

Перейдите в папку /wp-content/ и найдите взломанные плагины и файлы. Взломанные файлы будут содержать такие слова, как .cache , .class или .old , которые используются для маскировки их как законных файлов плагинов.

Помните, что точка в начале имени файла делает их скрытыми. Поэтому убедитесь, что при этом у вас выбрана опция «показывать скрытые файлы».

Когда вы храните эти файлы, удалите их.

Ознакомьтесь с нашим полным постом, загружаемым контрольным списком и видео о том, как очистить взломанный сайт WordPress.

4. Очистите файл .htaccess

Файл .htaccess — это файл конфигурации высокого уровня для сервера, который определяет, как обрабатываются запросы сервера.

Хакер может использовать этот файл для создания бэкдоров на веб-сайтах. В файле .htaccess найдите код, который выглядит примерно так:

 RewriteEngine включен
RewriteCond %{ENV:REDIRECT_STATUS} 200
Правило перезаписи ^ - [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [ИЛИ] #checks для поискового робота Google, Yahoo, msn, aol и bing
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ somehackfile.php?$1 [L] #перенаправляет на хак-файл

Переименуйте текущий файл .htaccess. Затем, чтобы полностью восстановить файл .htaccess, просто перейдите на панель инструментов WordPress, перейдите в «Настройки», затем выберите «Постоянная ссылка» и нажмите «Сохранить».

5. Удалить вредоносный код в базе данных

Это шаг, который вы не должны выполнять, пока у вас не будет полной резервной копии сайта с помощью плагина BackupBuddy.

После этого вы можете вручную очистить базу данных, выполнив следующие действия:

  • Заходим в phpmyadmin
  • Выберите базу данных
  • Нажмите на таблицу wp_options
  • Используйте вкладку «Поиск» для поиска вредоносных записей.

Примеры возможных вредоносных записей для поиска:

  • фвп
  • wp_check_hash
  • class_generic_support
  • widget_generic_support
  • ftp_credentials

Не забудьте быть предельно осторожным, чтобы не удалить ничего важного из вашей таблицы wp_options . Это может привести к серьезным сбоям в работе вашего сайта или полному сбою.

Конечно, если вам неудобно так глубоко копаться в своем сайте, лучше всего обратиться за помощью к эксперту.

6. Найдите и удалите подозрительный код

Подозрительный код является основной причиной взломов веб-сайтов WordPress. Подозрительный код будет выглядеть примерно так:

 <ул>
<li><a href="hackerdomain.com">Что-то2</a></li>

Подобный код перенаправит ваш сайт на домен, контролируемый злоумышленником. Важно проверить наличие доменов в коде вашего сайта, которых там быть не должно.

Чаще всего хакер прячет свой код в base64. Это помогает им избежать обнаружения. Это означает, что вместо URL-адреса их веб-сайта (hackerdomain.com) он будет выглядеть примерно так: YXR0YWNrZXJkb21haW4uY29t .

Или, конечно, это затрудняет обнаружение подозрительного кода. Для поиска этих кодировок base64 в ваших файлах полезно использовать команду grep:

 найти . -name "*.php" -exec grep "base64"'{}'\; -print &> b64-обнаружения.txt

Этот код ищет в выбранных вами файлах .php кодировки base64. После этого результаты сохраняются в файле b64-detections.txt.

Когда у вас есть этот файл, найдите онлайн-ресурс, который расшифрует их, чтобы вы могли узнать, что происходит на вашем сайте за кулисами.

7. Сканирование на наличие различий в содержимом

Плагин iThemes Security Pro можно использовать для отслеживания любых изменений файлов на вашем сайте, он будет сравнивать ваши основные файлы WordPress и сторонние файлы в репозитории WordPress на наличие необычных или подозрительных записей и имен файлов.

Определив, какие из ваших файлов были взломаны, вы можете либо удалить зараженный код, либо восстановить файлы плагинов. Очень важно полностью очистить код вашего сайта. Оставшийся вредоносный код может быстро привести к повторному заражению вашего сайта.

8. Восстановите репутацию вашего сайта

Теперь, когда вы очистили свой сайт, вам нужно провести сортировку его репутации в Google.

Простая очистка и восстановление вашего взломанного сайта WordPress не восстановит репутацию сайта автоматически. На самом деле, вам нужно сделать несколько вещей, чтобы Google и другие поисковые системы не продолжали наказывать ваш сайт после того, как он был взломан и очищен.

Часто первым признаком того, что ваш сайт был взломан, является уведомление Google о ситуации. Чтобы узнать, как Google в настоящее время просматривает ваш сайт, перейдите в Google Search Console.

Если вы обнаружите какие-либо посторонние файлы Sitemap в Search Console, которых там быть не должно, или которые, по-видимому, содержат спам-ссылки, вам следует немедленно удалить их. После этого вы захотите взглянуть на любые проблемы безопасности, которые существуют в Search Console. Если в настоящее время отображается большой красный экран гибели и мрака от Google, вы увидите несколько больших флажков в консоли поиска в разделе «Проблемы безопасности».

Здесь вы попросите Google проверить ваш веб-сайт после его очистки.

Предотвращение взлома WordPress Pharma

Если вы когда-нибудь обнаружите области своего сайта, на которые повлиял такой тип взлома, выполните шаги, которые мы подробно описали в этом руководстве, чтобы решить проблему как можно быстрее. Теперь, когда вы знаете, что такое фармацевтический взлом WordPress и как убедиться, что ваш сайт не будет затронут, пришло время приступить к работе, чтобы защитить ваш сайт от любых будущих атак.

1. Установите и активируйте плагин iThemes Security Pro.

Начните с загрузки и установки плагина iThemes Security Pro, чтобы определить, заражен ли ваш сайт. Плагин добавляет несколько уровней безопасности веб-сайта, отслеживая изменения файлов, повышая безопасность пользователей, сканируя ваши плагины и темы на наличие уязвимостей (и затем автоматически обновляя их для вас) и предоставляя онлайн-сравнения файлов, которые могут указывать на взлом.

Как минимум, включите следующие настройки в плагине iThemes Security:

  • Включите двухфакторную аутентификацию для всех пользователей с правами администратора.
  • Включите iThemes Site Scan, чтобы два раза в день сканировать ваш сайт на наличие уязвимых плагинов, тем и основных версий WordPress.
  • Включите управление версиями с автоматическим исправлением уязвимостей.
  • Включить обнаружение изменения файла

2. Установите и активируйте плагин BackupBuddy.

Наличие стратегии резервного копирования для вашего веб-сайта является важной частью предотвращения будущих взломов. Резервная копия означает, что у вас есть копия вашего веб-сайта в определенный момент времени, например, до взлома. Наличие этой резервной копии означает, что вы можете легко восстановить свой сайт до предыдущей версии. (Просто обязательно устраните любые уязвимости или бэкдоры веб-сайта), которые существуют в этой версии вашего сайта, иначе взлом может произойти снова.

3. Используйте передовые методы обеспечения безопасности веб-сайтов

Как менеджер веб-сайта, администратор или владелец, ваша онлайн-безопасность повлияет на безопасность вашего веб-сайта.

Например:

  • Никогда не используйте повторно пароли для нескольких учетных записей.
  • Никогда не сообщайте свои пароли другим.
  • Используйте двухфакторную аутентификацию для входа в систему администратора WordPress.
  • Никогда не устанавливайте обнуленные плагины или темы WordPress.
  • Обновляйте основную версию WordPress, плагины и темы до последних версий.
  • Используйте авторитетный веб-хостинг с надежной защитой сервера.
  • Используйте плагин безопасности WordPress и плагин резервного копирования.

4. Будьте бдительны в отношении безопасности вашего сайта

Исследования показывают, что среднее время, необходимое для обнаружения нарушения безопасности или взлома, составляет 200 дней! Забытые сайты часто являются наиболее уязвимыми для таких типов взлома, поэтому обязательно проверьте безопасность и производительность вашего сайта, даже если у вас есть сайты, на которые вы не часто заходите.

Простая проверка того, как выглядит ваш сайт, просмотр журналов безопасности и обеспечение актуальности всех ваших тем, плагинов и основных версий WordPress, будет иметь большое значение для предотвращения взлома WordPress pharma. Вооружившись знаниями о том, как защитить свой сайт, и несколькими инструментами, помогающими выполнить эту работу, ваш сайт с большей вероятностью останется в безопасности .

Защитите и защитите свой сайт от взломов и нарушений безопасности

В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злыми намерениями. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, упрощая защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.

Получите iThemes Security Pro