เมื่อเร็วๆ นี้ เราค้นพบไซต์ที่แฮ็กเกอร์ซ่อนไฟล์ที่เป็นอันตรายซึ่งมีชื่อไฟล์และเนื้อหาคล้ายกับที่สร้างโดยปลั๊กอิน WordPress ยอดนิยม เช่น WP Super Cache, Akismet หรือ Elementor รหัสนี้ในไฟล์เหล่านี้อาจทำให้เกิดการแฮ็กการเปลี่ยนเส้นทาง การสร้างไฟล์ที่ไม่รู้จักบนเซิร์ฟเวอร์ สแปมหน้าติดต่อหรือจดหมายข่าวของคุณ หรือแม้แต่ทำให้ไซต์ของคุณถูกระงับโดยผู้ให้บริการโฮสติ้งของคุณ หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับมัลแวร์ที่ซ่อนอยู่ในปลั๊กอินและวิธีลบมัลแวร์ ให้อ่านต่อ
มัลแวร์ที่ซ่อนอยู่ในปลั๊กอิน WP Super Cache คืออะไร
WP Super Cache เป็นปลั๊กอินแคชฟรีที่ใช้กันอย่างแพร่หลายสำหรับผู้ใช้ WordPress ที่มีการติดตั้งมากกว่า 2 ล้านครั้ง โดยปกติปลั๊กอินนี้จะสร้างไฟล์ที่ตำแหน่ง wp-content/advanced-cache.php
. คุณสามารถหาโค้ดของไฟล์นี้ได้ที่นี่
อย่างไรก็ตาม ในไซต์ที่วิศวกรของเราเพิ่งทำความสะอาด ซึ่งใช้ปลั๊กอินเวอร์ชัน 1.2 พวกเขาพบไฟล์ชื่อ wp-includes/ms-advanced-cache.php
ซึ่งมีลักษณะดังนี้:
รหัสในไฟล์นั้นคล้ายกับไฟล์ปลั๊กอินของแท้มาก wp-content/advanced-cache.php
. นี่คือการเปรียบเทียบของทั้งสองไฟล์:
แฮ็กเกอร์พยายามสร้างความสับสนให้ผู้ที่สแกนและแก้ไขไซต์นี้โดยเจตนา! โค้ดที่เป็นอันตรายถูกปลอมแปลงเป็นไฟล์ที่ถูกต้อง รหัสนี้ยังไม่ได้รับการติดธงโดยเครื่องสแกนมัลแวร์ฟรีส่วนใหญ่ เนื่องจากมีความคล้ายคลึงกับรหัสปลั๊กอินของแท้มาก อย่างไรก็ตาม แฮ็กเกอร์ได้แสดงความคิดเห็นเกี่ยวกับรหัสของแท้ส่วนใหญ่ รหัสเดียวที่ไม่มีความคิดเห็นและใช้งานอยู่ในนี้เป็นอันตราย
มัลแวร์ที่ซ่อนอยู่นี้ทำอะไรได้บ้าง
มัลแวร์ที่ซ่อนอยู่ในปลั๊กอินนี้ช่วยให้แฮ็กเกอร์สามารถเขียนโค้ดที่เป็นอันตรายลงในไฟล์บนเซิร์ฟเวอร์ไซต์ที่ถูกแฮ็กซึ่งจะถูกดำเนินการ ด้วยวิธีนี้ แฮ็กเกอร์สามารถเรียกใช้สคริปต์ PHP ที่เป็นอันตรายบนเซิร์ฟเวอร์ที่คล้ายกับช่องโหว่ Remote Code Execution (RCE)
ต่อไปนี้คือสัญญาณบางอย่างที่บ่งบอกว่าไซต์ของคุณอาจได้รับผลกระทบจากมัลแวร์นี้:
- ผู้เยี่ยมชมเว็บไซต์ของคุณกำลังถูกเปลี่ยนเส้นทางไปยังไซต์สแปม (แฮ็คการเปลี่ยนเส้นทาง WordPress)
- แบบฟอร์มติดต่อและจดหมายข่าวบนเว็บไซต์ของคุณถูกสแปม
- คุณพบไฟล์ที่ไม่รู้จักบนเซิร์ฟเวอร์
- ผู้ให้บริการโฮสต์ได้ระงับเว็บไซต์ของคุณ
- เว็บไซต์ของคุณช้ามาก
หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดดูบทความเกี่ยวกับ PHP Code Execution ใน WordPress ยิ่งไปกว่านั้น โค้ดที่เป็นอันตรายจะถูกลบออกทันทีหลังจากดำเนินการ ซึ่งหมายความว่าไม่มีร่องรอยของมัน!
หากคุณพบมัลแวร์ที่ซ่อนอยู่ในไซต์ของคุณ มีความเป็นไปได้สูงที่จะมีไฟล์ที่ติดไวรัสซึ่งสามารถเปิดไซต์ของคุณเพื่อโจมตีได้ ดังนั้นแนวทางปฏิบัติที่ดีที่สุดคือลบมัลแวร์โดยเร็วที่สุดและพยายามป้องกันการติดไวรัสดังกล่าวอีกครั้ง
คุณจะลบมัลแวร์ที่ซ่อนอยู่ออกจาก WordPress ได้อย่างไร
1. สำรองข้อมูล
ก่อนที่จะเริ่มกระบวนการล้างมัลแวร์ คุณควรสำรองข้อมูลไซต์ปัจจุบันของคุณพร้อมกับฐานข้อมูล ในกรณีที่เกิดข้อผิดพลาด คุณสามารถกู้คืนเวอร์ชันนี้ได้ อย่าลืมสำรองข้อมูลในรูปแบบบีบอัด เช่น ไฟล์ .zip
2. ลบไฟล์ที่ได้รับผลกระทบ
เนื่องจากเป็นมัลแวร์ประเภทหนึ่งที่ซ่อนอยู่ในปลั๊กอิน จุดเริ่มต้นที่ดีคือการดูปลั๊กอินเวอร์ชันดั้งเดิมจากที่เก็บปลั๊กอิน WordPress และเปรียบเทียบทั้งสอง หากคุณพบไฟล์ที่น่าสงสัย ให้ลบออก คุณยังแทนที่ไฟล์ปลั๊กอินได้ด้วยการดาวน์โหลดเวอร์ชันใหม่และที่อัปเดตแล้วลบไฟล์เก่าออก
คู่มือที่เกี่ยวข้อง – การลบมัลแวร์ WordPress
3. สแกนเว็บเซิร์ฟเวอร์ของคุณเพื่อหามัลแวร์และไฟล์ที่เป็นอันตราย
ขั้นตอนนี้เพื่อให้แน่ใจว่าคุณจะไม่พลาดอะไร คุณสามารถใช้เครื่องมือ "เครื่องสแกนไวรัส" ใน cPanel ที่โฮสต์เว็บของคุณ สแกนเนอร์มัลแวร์ หรือรับการรับประกันการล้างมัลแวร์ด้วยการล้างข้อมูลเว็บไซต์ WordPress ของ Astra เราช่วยคุณค้นหาและต่อสู้กับภัยคุกคามด้านความปลอดภัยที่คุณอาจเผชิญ รวมถึงการฉีด SQL, มัลแวร์ขโมยบัตรเครดิต, การโจมตีแบบฟิชชิ่ง, การแฮ็กรหัสผ่าน และช่องโหว่ของปลั๊กอิน - แม้แต่มัลแวร์ที่ซ่อนอยู่!
คุณจะป้องกันการโจมตีเพิ่มเติมได้อย่างไร
1. อัพเดทบ่อยๆ
เป็นที่ทราบกันดีว่าแฮกเกอร์ปรับตัวและเปลี่ยนวิธีการบ่อยครั้ง ดังนั้น การทำความสะอาดไซต์ของคุณเพียงครั้งเดียวจึงไม่ได้ผลเท่ากับการทำเป็นประจำ เพื่อบรรเทาปัญหานี้ นักพัฒนาซอฟต์แวร์มักจะเผยแพร่การอัปเดตที่มีการแก้ไขช่องโหว่ดังกล่าว ดังนั้น วิธีที่รวดเร็วที่สุดในการป้องกันการโจมตีเหล่านี้คือการอัปเดตปลั๊กอินของคุณเป็นประจำ
2. สแกนหามัลแวร์เป็นประจำ
อีกวิธีหนึ่งในการป้องกันไซต์ของคุณจากการติดมัลแวร์คือการกำหนดเวลาการสแกนมัลแวร์เป็นประจำ และรับการตรวจสอบความปลอดภัยสำหรับไซต์ของคุณเป็นครั้งคราว
3. ใช้ไฟร์วอลล์
ตัวเลือกที่ดีที่สุดในการป้องกันการติดเชื้อดังกล่าวคือการใช้ไฟร์วอลล์ เมื่อติดตั้ง Web Application Firewall (WAF) เช่น Astra จะค้นหาไฟล์ใหม่/ลบ/แก้ไขใดๆ ที่สร้างขึ้นบนเซิร์ฟเวอร์และยังสแกนหามัลแวร์เป็นประจำ Security Suite ของเราช่วยรักษาความปลอดภัยให้กับเว็บไซต์ของคุณโดยอัตโนมัติและซอฟต์แวร์แพตช์เสมือนโดยป้องกันไม่ให้คำขอที่เป็นอันตรายเข้าถึงเว็บไซต์ของคุณ ซึ่งหมายความว่าคุณไม่ต้องกังวลกับมัลแวร์หรือถูกแฮ็กอีก!
เกี่ยวกับ Astra Security Suite
Astra คือชุดความปลอดภัยบนเว็บที่ต้องมีเพื่อต่อสู้กับแฮกเกอร์ ภัยคุกคามทางอินเทอร์เน็ต และบอทสำหรับคุณ เราให้การรักษาความปลอดภัยเชิงรุกสำหรับเว็บไซต์ของคุณที่ใช้งาน CMS ยอดนิยม เช่น WordPress, OpenCart, Magento เป็นต้น ทีมรักษาความปลอดภัยของเราพร้อมให้บริการตลอด 24 ชั่วโมงทุกวันเพื่อช่วยคุณตอบทุกคำถาม