Miten korjata hakkeroitu WordPress sivusto

Miten korjata hakkeroitu WordPress-sivusto?

Hakkeroitu WordPress-sivusto voi näkyä monella tavalla. Sivusto voi ohjata kävijöitä oudolle sivulle, hakutuloksiin voi ilmestyä roskapostia, sivulle voi tulla tuntemattomia käyttäjätilejä tai WordPressin hallinta voi lukittua kokonaan. Joskus ongelma näkyy vain tietyille kävijöille tai hakukoneille, joten sivusto voi näyttää omalla koneellasi täysin normaalilta.

Tilanne voi tuntua vakavalta, mutta tärkeintä on toimia rauhallisesti ja oikeassa järjestyksessä. Pelkkä haitallisen koodinpätkän poistaminen ei aina riitä, sillä sivustolle on voitu jättää myös piilotettuja takaovia tai uusia ylläpitäjätunnuksia.

Tässä oppaassa käydään läpi, miten hakkeroitu WordPress-sivusto kannattaa korjata ja miten pienennät riskiä, että sama tapahtuu uudelleen.

1. Varmista ensin, että sivusto on todella hakkeroitu

Kaikki sivuston ongelmat eivät johdu murrosta. Esimerkiksi epäonnistunut päivitys, rikkoutunut lisäosa tai palvelimen häiriö voi aiheuttaa virheilmoituksia ja outoa toimintaa. Hakkeroitumiseen viittaavat kuitenkin erityisesti seuraavat merkit:

  • sivusto ohjaa kävijän toiselle sivulle
  • hakukoneen tuloksissa näkyy roskapostisivuja tai vieraskielisiä otsikoita
  • WordPressin hallinnassa näkyy tuntemattomia käyttäjiä
  • sivustolle ilmestyy outoja artikkeleita, sivuja tai linkkejä
  • virustorjunta tai selain varoittaa sivustosta
  • sivusto lähettää roskapostia tai palvelin ilmoittaa haitallisista tiedostoista
  • et pääse kirjautumaan WordPressiin omilla tunnuksillasi

Tarkista sivusto usealla tavalla. Avaa se selaimen yksityisessä ikkunassa, kokeile toisella laitteella ja tarkista, näkyykö ongelma myös mobiilissa. Jos mahdollista, pyydä myös jotakuta toista henkilöä katsomaan sivusto omalla yhteydellään.

2. Tee varmuuskopio nykyisestä tilanteesta

Vaikka sivusto olisi hakkeroitu, tee siitä ensin varmuuskopio ennen suuria muutoksia. Tämä voi kuulostaa oudolta, mutta nykyisestä tilanteesta voi olla hyötyä myöhemmin esimerkiksi silloin, kun selvitetään mitä sivustolle on tehty tai palautuksessa tapahtuu virhe.

Ota talteen ainakin seuraavat asiat:

  • WordPress-tiedostot palvelimelta
  • WordPress-tietokanta
  • lista käytössä olevista lisäosista ja teemasta
  • kuvakaappaukset virheilmoituksista, epäilyttävistä käyttäjistä ja oudoista sivuista

Älä kuitenkaan korvaa vanhoja, puhtaita varmuuskopioita tällä uudella kopioilla. Säilytä ne erillään, jotta sinulla on edelleen mahdollisuus palauttaa sivusto aikaan ennen murtoa.

3. Estä lisävahingot mahdollisimman nopeasti

Kun epäilet sivuston olevan murrettu, pyri rajoittamaan vahinkoa heti. Jos sivusto ohjaa kävijöitä huijaussivuille tai levittää haitallista sisältöä, voi olla järkevää ottaa se väliaikaisesti pois näkyvistä huoltotilaan.

Jos et pääse WordPressin hallintaan, voit tehdä tämän usein webhotellin hallintapaneelin kautta. Tarvittaessa webhotellin tuki voi auttaa sulkemaan sivuston väliaikaisesti tai vaihtamaan palvelimen tunnuksia.

Vaihda mahdollisimman pian kaikki tärkeät salasanat:

  • WordPressin ylläpitäjätunnusten salasanat
  • webhotellin hallintapaneelin salasana
  • FTP-, SFTP- ja SSH-tunnusten salasanat
  • tietokannan salasana
  • palveluun liitettyjen sähköpostitilien salasanat

Käytä jokaisessa palvelussa omaa, pitkää ja yksilöllistä salasanaa. Jos sama salasana on ollut käytössä muuallakin, vaihda se myös siellä.

4. Tarkista WordPressin käyttäjätunnukset

Yksi ensimmäisistä tarkistettavista asioista on WordPressin käyttäjälista. Mene hallinnassa kohtaan Käyttäjät ja tarkista erityisesti ylläpitäjätunnukset.

Poista heti kaikki sellaiset ylläpitäjätilit, joita et ole itse luonut tai joita et tunnista. Kiinnitä huomiota myös tileihin, joiden käyttäjänimi muistuttaa tavallista WordPress-käyttäjää, mutta näyttää hieman oudolta.

Tarkista samalla, että oikeilla käyttäjillä on vain tarvittavat oikeudet. Kaikille kirjoittajille, avustajille tai asiakkaille ei tarvitse antaa ylläpitäjän oikeuksia. Mitä vähemmän ylläpitäjätunnuksia sivustolla on, sitä pienempi on myös riski.

5. Palauta puhdas varmuuskopio, jos sellainen on saatavilla

Turvallisin ja usein nopein tapa korjata hakkeroitu sivusto on palauttaa varmuuskopio ajalta ennen murtoa. Tämä toimii erityisen hyvin silloin, kun tiedät suunnilleen, milloin ongelma alkoi.

Palauta sekä WordPressin tiedostot että tietokanta. Pelkkä tiedostojen palauttaminen ei välttämättä riitä, koska haitallista sisältöä tai uusia käyttäjätunnuksia voi olla myös tietokannassa.

Kun palautus on tehty, älä oleta sivuston olevan automaattisesti täysin turvallinen. Murtoon johtanut haavoittuvuus voi olla edelleen olemassa esimerkiksi vanhentuneessa lisäosassa, teemassa tai palvelintunnuksessa.

Palautuksen jälkeen vaihda salasanat, tarkista käyttäjätunnukset ja päivitä sivusto ennen kuin avaat sen normaalisti kävijöille.

6. Päivitä WordPress, teema ja lisäosat

Vanhentuneet lisäosat, teemat ja WordPressin vanhat versiot ovat yleisiä turvallisuusriskejä. Päivitä kaikki käytössä olevat osat heti, kun sivusto on palautettu tai puhdistettu.

Tarkista ainakin seuraavat:

  • WordPressin ydinversio
  • aktiivinen teema
  • käytössä olevat lisäosat
  • käyttämättömät lisäosat ja teemat
  • palvelimen PHP-versio

Poista kokonaan lisäosat ja teemat, joita et käytä. Pelkkä käytöstä poistaminen ei aina riitä, koska vanhentunut tiedosto voi silti sisältää haavoittuvuuden.

Pidä vain yksi oletusteema varalla. Kaikki muut tarpeettomat teemat kannattaa poistaa.

7. Tarkista epäilyttävät tiedostot ja haitallinen koodi

Jos puhdasta varmuuskopiota ei ole, sivuston korjaaminen vaatii enemmän työtä. Haitallinen koodi voi löytyä WordPressin ydintiedostoista, lisäosista, teemoista, palvelimen väliaikaishakemistoista tai tietokannasta.

Tyypillisiä merkkejä epäilyttävistä tiedostoista ovat:

  • oudot PHP-tiedostot wp-content/uploads-kansiossa
  • tuntemattomat tiedostot lisäosien tai teeman kansioissa
  • satunnaisen näköiset tiedostonimet
  • tiedostot, joiden muokkauspäivä osuu ongelman alkamisen aikaan
  • koodi, jossa käytetään voimakkaasti piilotettuja tai koodattuja merkkijonoja

Älä poista tiedostoja summittaisesti, sillä voit rikkoa sivuston toiminnan. Turvallisempi tapa on korvata WordPressin ydintiedostot puhtailla tiedostoilla virallisesta WordPress-asennuspaketista. Samalla voidaan asentaa teema ja lisäosat uudelleen luotettavista lähteistä.

Erityisen tärkeää on, että lisäosia tai teemoja ei ladata epävirallisilta sivustoilta. Maksullisten lisäosien tai teemojen niin sanotut ilmaiset versiot sisältävät usein haitallista koodia.

8. Tarkista wp-config.php ja .htaccess-tiedosto

Haitallinen koodi voi piiloutua myös WordPressin tärkeisiin asetustiedostoihin. Tarkista erityisesti sivuston juurikansiossa sijaitsevat wp-config.php– ja .htaccess-tiedostot.

.htaccess-tiedostoa voidaan käyttää esimerkiksi kävijöiden ohjaamiseen toiselle sivulle. Jos tiedostossa näkyy outoja uudelleenohjaussääntöjä tai koodia, jota et tunnista, se kannattaa tutkia tarkemmin.

wp-config.php-tiedostossa tulee olla WordPressin tietokantayhteyden tiedot ja turvallisuusavaimet. Jos tiedostossa näkyy selvästi epäilyttävää lisäkoodia, se voi olla merkki murrosta.

Jos et ole tottunut käsittelemään PHP- tai palvelintiedostoja, tässä vaiheessa kannattaa pyytää apua ammattilaiselta tai webhotellin tuelta. Väärä muutos voi kaataa koko sivuston.

9. Tarkista tietokanta ja sivuston sisältö

Kaikki haitallinen sisältö ei näy tiedostoissa. Hakkeroija voi lisätä tietokantaan esimerkiksi roskapostilinkkejä, piilotettuja sivuja, epäilyttäviä käyttäjätilejä tai JavaScript-koodia.

Tarkista ainakin seuraavat asiat:

  • WordPressin käyttäjätilit ja niiden roolit
  • artikkelit, sivut ja roskakori
  • kommentit ja lomakkeiden kautta tullut sisältö
  • widgetit ja teeman asetukset
  • SEO-lisäosan otsikot, kuvaukset ja uudelleenohjaukset
  • tietokannassa olevat epäilyttävät linkit tai JavaScript-koodit

Jos hakukoneessa näkyy sivuja, joita et löydä WordPressin hallinnasta, ne voivat olla tietokannassa, välimuistissa tai palvelimelle luoduissa erillisissä tiedostoissa.

10. Tarkista sivusto haittaohjelmaskannerilla

Turvallisuuslisäosa voi auttaa löytämään muuttuneita tiedostoja, epäilyttävää koodia ja tunnettuja haavoittuvuuksia. Skanneri on hyödyllinen apuväline, mutta sen tuloksiin ei kannata luottaa täysin sokeasti.

Skanneri voi jättää osan haitallisesta koodista löytämättä, ja toisaalta se voi merkitä normaalin tiedoston epäilyttäväksi. Tarkista löydökset huolellisesti ennen poistamista.

Jos sivusto on yrityksen tärkeä verkkosivusto, verkkokauppa tai kerää asiakkaiden tietoja, ammattimainen haittaohjelmien puhdistuspalvelu voi olla järkevä vaihtoehto. Tällöin sivusto tutkitaan yleensä tiedostojen, tietokannan, palvelinlokien ja haavoittuvuuksien tasolla.

11. Ota käyttöön kaksivaiheinen tunnistautuminen

Kaksivaiheinen tunnistautuminen tuo WordPress-kirjautumiseen lisäsuojan. Pelkkä salasana ei tällöin riitä kirjautumiseen, vaan käyttäjä tarvitsee lisäksi esimerkiksi puhelimessa näkyvän kertakäyttökoodin.

Tämä on erityisen tärkeää kaikille ylläpitäjätunnuksille. Vaikka salasana päätyisi vääriin käsiin, kirjautuminen voi silti estyä ilman toista tunnistautumistekijää.

12. Suojaa kirjautumissivu ja vähennä kirjautumisyrityksiä

WordPressin kirjautumissivulle kohdistuu usein automaattisia salasanan arvausyrityksiä. Riskiä voi pienentää rajoittamalla epäonnistuneita kirjautumiskertoja ja käyttämällä vahvoja salasanoja.

Hyödyllisiä suojaustoimia ovat esimerkiksi:

  • epäonnistuneiden kirjautumisyritysten rajoittaminen
  • kaksivaiheinen tunnistautuminen
  • vahvat ja yksilölliset salasanat
  • ylläpitäjätunnusten määrän pitäminen pienenä
  • tarpeettomien käyttäjätilien poistaminen

Älä myöskään käytä ylläpitäjätunnuksena helposti arvattavaa nimeä, kuten admin, ylläpitäjä tai sivuston omaa nimeä.

13. Tarkista palvelimen ja sähköpostin turvallisuus

WordPress ei ole aina ainoa murrettu osa. Jos palvelimen hallintatunnus, FTP-tunnus tai sähköpostitili on joutunut vääriin käsiin, hyökkääjä voi päästä takaisin sivustolle vaikka WordPress olisi puhdistettu.

Vaihda kaikki palvelimeen liittyvät salasanat ja tarkista webhotellin hallintapaneelista:

  • onko palvelimella tuntemattomia FTP- tai SFTP-tunnuksia
  • onko ajastetuissa tehtävissä outoja komentoja
  • onko sähköpostitileissä tuntemattomia edelleenlähetyksiä
  • näkyykö lokitiedoissa epäilyttäviä kirjautumisia
  • onko palvelimella vanhoja tai tarpeettomia asennuksia

Myös omalla tietokoneella voi olla haittaohjelma, joka varastaa FTP- tai selainistuntojen tunnuksia. Siksi kannattaa tarkistaa tietokoneen virustorjunta ja välttää kirjautumista sivustolle epäluotettavilta laitteilta.

14. Tarkista sivusto korjauksen jälkeen

Kun sivusto on puhdistettu, testaa sen toiminta huolellisesti. Tarkista tärkeimmät sivut, lomakkeet, kirjautuminen, verkkokauppa, maksutavat ja yhteydenottolomakkeet.

Katso myös, ettei sivusto ohjaa kävijöitä muualle tai näytä outoja mainoksia. Testaa sivusto selaimen yksityisessä ikkunassa ja eri laitteilla.

Jos Google on merkinnyt sivuston vaaralliseksi, tarkista sivuston tila Google Search Consolesta. Kun sivusto on varmasti puhdas, voit pyytää uudelleentarkistusta.

Miten estää WordPress-sivuston hakkerointi jatkossa?

Täyttä varmuutta ei voi luvata, mutta useimmat WordPress-sivustojen murrot voidaan estää hyvillä perustoimilla. Tärkeintä on pitää sivusto ajan tasalla ja huolehtia siitä, että palautuminen onnistuu tarvittaessa nopeasti.

Hyvä peruslista on tämä:

  • päivitä WordPress, teemat ja lisäosat säännöllisesti
  • poista käyttämättömät teemat ja lisäosat
  • käytä vahvoja, yksilöllisiä salasanoja
  • ota käyttöön kaksivaiheinen tunnistautuminen ylläpitäjille
  • pidä säännölliset varmuuskopiot erillisessä tallennuspaikassa
  • testaa välillä, että varmuuskopio voidaan oikeasti palauttaa
  • pidä palvelimen PHP-versio tuettuna ja ajan tasalla
  • lataa lisäosat ja teemat vain luotettavista lähteistä
  • rajoita ylläpitäjätunnukset vain niitä tarvitseville
  • seuraa sivuston toimintaa ja reagoi poikkeamiin nopeasti

Kuvituskuva artikkeliin: Miten korjata hakkeroitu WordPress sivusto

Yhteenveto

Hakkeroituneen WordPress-sivuston korjaaminen ei tarkoita vain yhden haitallisen tiedoston poistamista. Sivusto täytyy puhdistaa järjestelmällisesti, salasanat vaihtaa, käyttäjät tarkistaa ja murtoon johtanut haavoittuvuus korjata.

Jos käytettävissä on puhdas varmuuskopio, palautus on usein nopein ja turvallisin ratkaisu. Sen jälkeen sivusto pitää päivittää, suojata ja tarkistaa huolellisesti.

Jos et ole varma, mistä murto on alkanut tai haitallista koodia löytyy useista paikoista, ammattilaisen apu voi säästää paljon aikaa ja ehkäistä uuden murtautumisen. Erityisen tärkeää tämä on silloin, kun sivustolla käsitellään asiakkaiden tietoja, vastaanotetaan maksuja tai sivusto on yrityksen tärkein myyntikanava.