WordPress-kompromettering: Skräppostinnehåll

Vi har upptäckt en kompromettering som påverkar vissa WordPress-webbplatser. Komprometteringen innebär att angripare kan få åtkomst till administrativa WordPress-inloggningsuppgifter och ladda upp filer till värdtjänstkontot. De här filerna används sedan för att infoga skräppostinnehåll i WordPress-temat och/eller -databasen, och skapa dolda länkar till bedrägliga webbplatser.

Mer information om intrång och hur de kan hanteras finns i Vad händer om min webbplats hackas?.

Tecken på att webbplatsen har komprometterats

Eftersom komprometteringen skapar dolda länkar kan du inte upptäcka den på webbplatsen. Det bästa sättet att avgöra om din webbplats har påverkats är att granska hemsidans källkod. Vi rekommenderar att du inte besöker den infekterade hemsidan utan istället använder Google® Chrome eller Firefox® och går till view-source:http://[ditt domännamn].

I det här fönstret kan du söka efter vanliga onlinebedrägerier i din källkod, till exempel reklam för läkemedel eller SMS-lån. Prova att söka efter följande vanliga termer:

  • payday
  • pharma
  • viagra
  • cialis

Åtgärder

Det enklaste sättet att ta bort det här innehållet är att återställa webbplatsens innehåll och databas från en återställningskopia som du vet inte har påverkats.

Om du inte har en säkerhetskopia som du säkert vet inte har påverkats, kan du ta bort innehållet manuellt. Det finns två vanliga platser för den här typen av innehåll: rubriken för WordPress-temat eller WordPress-databasen.

Redigera ditt tema

Du kan komma åt och redigera ditt WordPress-tema direkt via kontrollpanelen för WordPress-administration. Om du har en säkerhetskopia av ditt tema kan du helt enkelt installera om temat från menyn Appearance (Utseende) i WordPress.

Annars kan du visa koden direkt i dina filer. Mer information om att redigera filer via WordPress finns i dokumentationen från WordPress.org som finns här.

Härifrån kan du ta bort alla länkar du har hittat.

Rensa din databas

Om angripare placerar skadliga länkar i din databas, anges de ofta omvänt för att undvika upptäckt (t.ex. ”knäl” istället för ”länk”). Du kan söka efter det i databasen.

Innan du gör några ändringar i din databas rekommenderar vi att du skapar en säkerhetskopia (mer information).

Du kan söka manuellt i databastabellerna genom att använda sökfliken i phpMyAdmin-gränssnittet (mer information).

Du kan även köra följande databasfråga från SQL-fliken i phpMyAdmin:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Den här frågan väljer allt i wp_options-tabellen som innehåller en omvänd div HTML-markör. Resultaten ser ungefär ut så här:

query results

Du kan granska innehållet i detalj om du klickar på pennikonen. Då öppnas en större vy över radinnehållet. Härifrån kan du redigera innehållet direkt för att ta bort all skadlig text. När du har gjort dina ändringar klickar du på Go back to the previous page (Gå tillbaka till föregående sida) för att spara. Om allt innehåll verkar skadligt klickar du på Go back to the previous page (Gå tillbaka till föregående sida), och klickar sedan på den röda kryssikonen för att ta bort posten.

result details

Ytterligare komprometterade filer

När du har rensat temat och/eller databasen ska du granska filerna i ditt värdtjänstkonto för att kontrollera om de är giltiga. Den här komprometteringen har vanligtvis flera associerade filer:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Även om de här namnen kan verka giltiga är filerna eventuellt inte legitima. Du kan ta reda på vilka filer som är legitima genom att granska filens kod, eller genom att jämföra datum för ändring med andra filer i samma katalog.

Vi rekommenderar att du tar bort eller byter namn på (och därigenom inaktiverar) alla filer som verkar skadliga.

Teknisk information

Kodexempel

MD5Sums för kända skadliga filer

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Var den här artikeln till hjälp?
Tack för din feedback. Ring vårt supportnummer eller starta chattalternativet ovan om du vill prata med en medarbetare på kundtjänst.
Vi är glada att vi kunde hjälpa till! Finns det något mer vi kan göra för dig?
Det var tråkigt att höra. Berätta vad som var krångligt eller varför lösningen inte hjälpte dig med problemet.