home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

แก้ไขเว็บไซต์ Drupal ที่ถูกแฮ็ก – การกำจัดมัลแวร์ Drupal

เว็บไซต์ Drupal ที่ถูกแฮ็กอาจสร้างความเจ็บปวดอย่างมาก ตอนนี้อาจมีสาเหตุหลายประการสำหรับการแฮ็ก แต่ที่พบบ่อยที่สุดคือมัลแวร์ การแทรกโค้ด สแปม ฯลฯ หากคุณกำลังมองหาเทคนิคการกำจัดมัลแวร์ Drupal คุณมาถูกที่แล้ว คู่มือนี้มีคำแนะนำทีละขั้นตอนในการทำความสะอาดไฟล์ Drupal และฐานข้อมูลของเว็บไซต์ที่ถูกแฮ็ก มีการกล่าวถึงมัลแวร์และการตรวจจับแบ็คดอร์ด้วย บทความนี้ออกแบบมาเพื่อให้ผู้ใช้ทั่วไปใช้งานได้ง่าย

Drupal เป็นหนึ่งใน CMS ที่เก่าแก่และปลอดภัยที่สุดในบรรดา CMS ที่ได้รับความนิยมมากที่สุดในปัจจุบัน รองรับเว็บไซต์มากกว่าหนึ่งล้านเว็บไซต์ อย่างไรก็ตาม มีการค้นพบช่องโหว่หลายจุดใน Drupal ในปีนี้ เช่นเดียวกับช่องโหว่ RCE ที่ขนานนามว่า Drupalgeddon ส่งผลให้มีการติดตั้ง Drupal ที่ถูกแฮ็กหลายครั้งภายในเวลาไม่กี่เดือน ซึ่งส่วนใหญ่ใช้เพื่อขุดคริปโตเคอเรนซี อย่างไรก็ตาม ทีมรักษาความปลอดภัยของ Drupal ก็เร็วพอที่จะเผยแพร่การอัปเดตที่จำเป็น

Drupal ถูกแฮ็ก:ผลลัพธ์ของการแฮ็ก Drupal ที่เป็นไปได้

  • หน้าฟิชชิงที่ออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อนจะปรากฏบนเว็บไซต์
  • ลูกค้าบ่นเกี่ยวกับการเปลี่ยนเส้นทางที่เป็นอันตราย
  • ข้อมูลที่ละเอียดอ่อน เช่น การเข้าสู่ระบบ รายละเอียดธนาคาร ฯลฯ สำหรับขายในดาร์กเน็ต
  • เนื้อหาแปลก ๆ ปรากฏบนเว็บไซต์เนื่องจากการแฮ็กคำสำคัญภาษาญี่ปุ่นหรือ Pharma Hack เป็นต้น
  • 'บัญชีของคุณถูกระงับ!' ข้อความปรากฏขึ้นเมื่อเข้าสู่ระบบ
  • ไซต์ Drupal ถูกขึ้นบัญชีดำโดยเครื่องมือค้นหา
  • เว็บไซต์ Drupal ทำงานช้ามากและแสดงข้อความแสดงข้อผิดพลาด
  • โฆษณาและป๊อปอัปที่เป็นอันตรายหลายรายการปรากฏบนเว็บไซต์
  • ผู้ใช้ละเว้นจากการเยี่ยมชมไซต์เนื่องจากขาดความเชื่อถือ
  • การเข้าชมและรายได้ของผู้ใช้ลดลง
  • ผู้ดูแลระบบที่ไม่ได้รับอนุญาตใหม่จะปรากฏในฐานข้อมูลการเข้าสู่ระบบ

Drupal Hacked:ตัวอย่างของ Drupal Hack

เมื่อไซต์ Drupal ถูกแฮ็ก ผู้ใช้ที่ได้รับผลกระทบจะพบความช่วยเหลือจากฟอรัมชุมชน ตัวอย่างหนึ่งของ Drupal ที่ถูกแฮ็กอยู่ในภาพด้านล่าง

กังวลเกี่ยวกับไซต์ที่ถูกแฮ็กของ Drupal หรือไม่ ส่งข้อความถึงเราบนวิดเจ็ตการแชท และเรายินดีที่จะช่วยคุณแก้ปัญหา ปกป้องเว็บไซต์ Drupal ของฉันทันที

สาเหตุที่เป็นไปได้ของการแฮ็ก Drupal

Drupal ถูกแฮ็ก:Drupal SQL Injection

ช่องโหว่ของ Drupal SQLi มักพบได้ในโมดูลที่มีการเข้ารหัสไม่ดี อย่างไรก็ตาม SQLi ในเคอร์เนลนั้นค่อนข้างหายากและอันตราย พบข้อบกพร่องที่เป็นอันตรายดังกล่าวในแกนกลางของ Drupal และถูกเรียกว่า 'Drupalgeddon' แม้ว่า Drupal จะใช้ AOP (PHP Data Object) เพื่อแยกระหว่างแบบสอบถาม SQL แบบคงที่และค่าไดนามิก

$ query = $ db-> prepare ("SELECT * FROM utilisateurs WHERE utilisateur =: utilisateur ET mot de passe =: mot de passe");
$ account = $ query-> execute (array (':utilisateur' => $ _POST ['utilisateur'], ':mot de passe' => $ _POST ['mot de passe']));

ทุกอย่างดูดีเพราะอินพุตได้รับการฆ่าเชื้ออย่างถูกต้องก่อนเข้าถึงฐานข้อมูล อย่างไรก็ตาม กระดูกแห่งความขัดแย้งคือตารางตัวยึดตำแหน่งของ Drupal สิ่งเหล่านี้มีจุดมุ่งหมายเพื่อให้ความยืดหยุ่นแก่นักพัฒนาโมดูล เนื่องจากอนุญาตให้เปลี่ยนโครงสร้างของการสืบค้นฐานข้อมูลแบบไดนามิกได้

db_query ("SELECT * FROM {node} WHERE nid IN (: nids)", tableau (': nids' => tableau (13, 42, 144)));

ต่อจากนั้น :nests placeholder จะตรงกับจำนวนของอาร์กิวเมนต์ที่ให้ไว้ ชอบสิ่งนี้:

SELECT * FROM {node} WHERE nid IN (: nids_0, : nids_1, : nids_2)

ฟังก์ชันนี้รวมกับอาร์เรย์ดัชนี PHP สามารถใช้เพื่อส่งผ่านพารามิเตอร์ต่างๆ เช่น (GET, POST และคุกกี้) อาร์เรย์ตัวแทนของ Drupal จะถือว่าพารามิเตอร์ $_POST['user'] เริ่มต้นเป็นอาร์เรย์ หลังจากนั้น จะใช้ดัชนีสตริงอาร์เรย์ดิบเพื่อสร้างชื่อตัวยึดตำแหน่งใหม่ เป็นผลให้ผู้โจมตีสามารถให้ค่าที่เป็นอันตรายเช่น Parameter:user[0#], value:foo แบบสอบถามที่ได้จะเป็น:

เลือก * จาก {ผู้ใช้} โดยที่ผู้ใช้=:user_0#

ดังนั้นผู้โจมตีจึงข้ามการตรวจสอบการเข้าสู่ระบบได้สำเร็จ นอกจากนี้ ผู้โจมตียังสามารถสร้างผู้ใช้ใหม่โดยแก้ไขพารามิเตอร์เป็นผู้ใช้[0; INSERT INTO ผู้ใช้ VALUES 'MalUser', 'Passw0rd!', 'Administrators'; #]. นี่เป็นข้อบกพร่องที่สำคัญมากเนื่องจากส่งผลกระทบต่อแกนกลางของ Drupal ที่น่าตกใจไปกว่านั้นคือ Metasploit Module ได้รับการเผยแพร่เพื่อใช้ประโยชน์จากสิ่งนี้เช่นกัน!

Drupal ถูกแฮ็ก:Drupal Access Bypass

บายพาสการเข้าถึงของ Drupal อาจทำให้ผู้ใช้เข้าถึงทรัพยากรที่ไม่ได้มีไว้สำหรับพวกเขา ช่องโหว่ล่าสุดของประเภทนี้ได้รับการขนานนามว่า SA-CONTRIB-2018-081 สาเหตุคือโมดูล Drupal ชื่อ JSON:โมดูล API 8.x-1.x สำหรับ Drupal 8.x ส่วนใหญ่จะใช้สำหรับ:

  • เข้าถึงเนื้อหาและการกำหนดค่าของ Drupal
  • การจัดการเนื้อหา Drupal และเอนทิตีการกำหนดค่า

ในกรณีนี้ จะไม่ตรวจสอบการอนุญาตอย่างรอบคอบในขณะที่ตอบสนองต่อคำขอบางรายการ การทำเช่นนี้อาจทำให้ผู้มุ่งร้ายที่ไม่ได้รับสิทธิ์ไม่เพียงพอในการรับข้อมูลที่ละเอียดอ่อน ดังนั้น จึงใช้ได้เฉพาะคำขอ GET สำหรับการโจมตีประเภทนี้

Drupal ถูกแฮ็ก:การเขียนสคริปต์ข้ามไซต์ของ Drupal

ช่องโหว่เช่น XSS และ SQLi นั้นพบได้บ่อยในโมดูล Drupal ล่าสุดในชุดนี้คือ SA-CONTRIB-2018-080 พบว่าโมดูล E-Sign มีความเสี่ยงต่อ XSS โมดูล E-Sign ช่วยให้สามารถรวม Signature Pad เข้ากับ Drupal ได้ ในขณะที่เขียนบทความนี้ มีไซต์ประมาณ 875 แห่งกำลังใช้โมดูลนี้ ช่องโหว่นี้เกิดจากการขาดการฆ่าเชื้ออินพุตเมื่อมีการแสดงลายเซ็น ดังนั้นผู้โจมตีสามารถทดสอบ XSS โดยใช้รหัส <script> alert ('XSS Found!') </script> . ฟิลด์ลายเซ็นที่มีช่องโหว่จะแสดงข้อความว่า "XSS Found!" ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อ:

  • ขโมยคุกกี้ของผู้ใช้
  • เปลี่ยนเส้นทางผู้ใช้
  • ดาวน์โหลดมัลแวร์ไปยังอุปกรณ์ของผู้ใช้ปลายทางเมื่อไปที่ไซต์ Drupal

Drupal ที่ถูกแฮ็ก:การดำเนินการโค้ดจากระยะไกลของ Drupal

ความปลอดภัยของ Drupal ถูกหลอกหลอนโดยบั๊ก Drupalgeddon หลายชุด Drupalgeddon 3 ถูกค้นพบล่าสุดในปีนี้ สิ่งนี้ทำให้ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดบนไซต์ Drupal ได้ แม้ว่า Drupalgeddon 2 จะอนุญาต RCE ด้วยเช่นกัน อย่างไรก็ตาม เพื่อใช้ประโยชน์จากสิ่งนี้ ผู้โจมตีจำเป็นต้องสามารถลบโหนดได้ URL แบบเต็มมีลักษณะดังนี้:

POST /? Q = node / 99 / delete & destination = node? Q [% 2523] [] = passthru% 26q [% 2523type] = markup% 26q [% 2523markup] = whoami HTTP / 1.1 [...] form_id = node_delete_confirm & _triggering_element_name = form_id & form_token = [CSRF-TOKEN]

ที่นี่ ภายใต้หน้ากากของการลบโหนด ผู้โจมตีได้ส่งคำสั่ง whoami รหัสบรรทัดที่สองคือการตรวจสอบโทเค็น CSRF โดยทั่วไปแล้วโทเค็น CSRF จะตรวจสอบว่าคำขอถูกสร้างขึ้นบนเซิร์ฟเวอร์เดียวกันหรือไม่ จากนั้นผู้โจมตีจะดึง form_build_id จากการตอบกลับดังแสดงในโค้ดด้านล่าง:

PUBLIER / drupal /? q = fichier/ ajax / actions / annuler /%23options/chemin/[FORM_BUILD_ID] HTTP /1.1 [...] form_build_id = [FORM_BUILD_ID]

ในที่สุดสิ่งนี้จะทริกเกอร์การหาช่องโหว่และผลลัพธ์ของคำสั่ง Whoami จะปรากฏขึ้น ดังนั้นผู้โจมตีสามารถรันคำสั่งทุกประเภทเพื่อจัดการกับเซิร์ฟเวอร์ สิ่งที่ทำให้บั๊ก RCE นี้ร้ายแรงกว่านั้นก็คือการเอารัดเอาเปรียบเมื่อมันถูกปล่อยออกมาแล้ว!

ต้องการความช่วยเหลือจากผู้เชี่ยวชาญในการทำความสะอาดไซต์ที่ถูกแฮ็กของ Drupal หรือไม่ ส่งข้อความถึงเราบนวิดเจ็ตการแชท เรายินดีที่จะช่วยเหลือ แก้ไขเว็บไซต์ Drupal ของฉันทันที

การทำความสะอาดเว็บไซต์ Drupal ที่ถูกแฮ็ก:ขั้นตอนในการกำจัดมัลแวร์ Drupal

ตรวจพบการติดเชื้อ

ใช้ Google Diagnostics

เมื่อไซต์ Drupal ของคุณถูกแฮ็ก เครื่องมือค้นหาเช่น Google มักจะขึ้นบัญชีดำ ดังนั้น เครื่องมือวินิจฉัยของ Google จึงสามารถระบุประเภทและสาเหตุของการติดไวรัสได้ รายงานเพื่อความโปร่งใสของ Google มีประโยชน์ในกรณีดังกล่าว วิธีตรวจสอบสิ่งนี้:

  1. ไปที่เว็บไซต์สถานะไซต์ Safe Browsing จากลิงก์ต่อไปนี้
  2. ในหน้านี้ ให้มองหาตัวเลือก “ตรวจสอบสถานะเว็บไซต์”
  3. สุดท้าย ป้อน URL เว็บไซต์ของคุณด้านล่างแล้วคลิกปุ่ม "ค้นหา"
  4. สิ่งนี้จะให้ข้อมูลเกี่ยวกับการเปลี่ยนเส้นทางสแปม ฯลฯ ในกรณีที่ไซต์ของคุณติดไวรัส ระบุสาเหตุของการติดเชื้อ Drupal และดำเนินการเพื่อกำจัด

วิเคราะห์เว็บไซต์ของคุณ

เพื่อตรวจหาหน้าที่ติดไวรัส ให้สแกนไซต์ของคุณ มีตัวเลือกฟรีมากมาย เช่น VirusTotal หรือคุณสามารถบีบอัดไฟล์ทั้งหมดเป็นไฟล์ .zip แล้วอัปโหลดเพื่อการวิเคราะห์ อย่างไรก็ตาม โซลูชันความปลอดภัยฟรีอาจไม่ให้ผลลัพธ์ที่คาดหวัง ดังนั้นจึงแนะนำให้ติดต่อผู้เชี่ยวชาญเพื่อนำมัลแวร์ออก .

ตรวจสอบไฟล์ที่แก้ไข

บ่อยครั้ง แบ็คดอร์ที่แพร่ระบาดในไซต์ Drupal ของคุณสามารถแก้ไขไฟล์หลักของ Drupal ได้ การแก้ไขไฟล์ไซต์ Drupal สามารถตรวจสอบได้โดยขั้นตอนต่อไปนี้:

  1. เชื่อมต่อกับไซต์ Drupal ของคุณผ่าน SSH
  2. สร้างไดเร็กทอรีใหม่โดยใช้คำสั่งนี้:mkdir drupal-yx แทนที่ 'y' ด้วย Drupal ie 7,8,9 series ของคุณ และแทนที่ 'x' ด้วยเวอร์ชัน Drupal ของคุณ เช่น 4.7.1, 2.1.3 เป็นต้น
  3. เข้าถึงไดเร็กทอรีนี้โดยใช้คำสั่ง:
    cd drupal-yx
  4. ดาวน์โหลดสำเนาใหม่ของเวอร์ชัน Drupal ของคุณด้วยคำสั่ง:
    wget https://github.com/drupal/core/archive/yxtar.gz
  5. ตอนนี้แตกไฟล์ tar.gz โดยใช้คำสั่ง:
    tar-zxvf core-yxtar.gz
  6. สุดท้าย เปรียบเทียบความแตกต่างระหว่างไฟล์หลักโดยใช้คำสั่ง:
    diff -r core-yx ./public_html
    คุณสามารถทำได้โดยลงชื่อเข้าใช้ไซต์ผ่าน SSH และเรียกใช้คำสั่งต่อไปนี้:
    find ./ -type f -mtime -20

คำสั่งนี้จะแสดงรายการไฟล์ทั้งหมดที่แก้ไขในช่วง 20 วันที่ผ่านมา ตรวจสอบวันที่แก้ไขไฟล์ และหากมีสิ่งใดน่าสงสัย ให้สแกนไฟล์นั้นเพื่อหามัลแวร์

ตรวจสอบบันทึกของผู้ใช้

บันทึกของผู้ใช้สามารถช่วยคุณระบุการเข้าสู่ระบบที่น่าสงสัยในไซต์ของคุณโดยแฮกเกอร์ ทำสิ่งนี้:

  1. ลงชื่อเข้าใช้หน้าการดูแลระบบของไซต์ Drupal ของคุณ
  2. ในเมนู ให้คลิกที่ตัวเลือก "ผู้คน"
  3. ตรวจสอบผู้ใช้ที่อยู่ในรายการนี้และดู "เวลาเข้าถึงล่าสุด" ของผู้ใช้แต่ละคนด้วย หากคุณพบการเชื่อมต่อที่น่าสงสัย ให้ตรวจสอบช่องโหว่ของไซต์ของคุณ

ล้างไฟล์ที่ติดไวรัสและลบโค้ดที่ซ่อนอยู่

เมื่อระบุหน้าที่ติดไวรัสแล้ว การติดไวรัสอาจเป็นบางส่วน (โค้ดในไฟล์หลัก) หรือทั้งไฟล์ หากไฟล์มีอักขระที่ไม่มีความหมาย อาจเป็นเพราะผู้โจมตีส่วนใหญ่มักจะทำให้โค้ดสับสนในรูปแบบที่มนุษย์ไม่สามารถอ่านได้ รูปแบบ Base64 เป็นที่นิยมมากในหมู่ผู้โจมตี วิธีลบรหัสนี้:

  1. เชื่อมต่อกับไซต์ของคุณผ่าน SSH
  2. จากนั้นตรวจสอบรหัส base64 โดยใช้คำสั่ง:
    การค้นหา . -name “*.php” -exec grep “base64” '{}'; - พิมพ์ &> hiddencode.txt
    รหัสนี้จะค้นหารหัสที่เข้ารหัส base64 และบันทึกลงใน hiddencode.txt
  3. อัปโหลดข้อความของ hiddencode.txt ไปยังบริการออนไลน์ เช่น ลิงก์นี้เพื่อการวิเคราะห์เพิ่มเติม
  4. คลิกที่ตัวเลือก “ถอดรหัส” บนเว็บไซต์นี้ ซึ่งจะแสดงรหัสเดิม
  5. ความสับสนอื่นๆ เช่น FOPO สามารถถอดรหัสได้โดยใช้บริการออนไลน์
  6. ในกรณีที่การติดไวรัสอยู่ในไฟล์ทั้งไฟล์ที่ไม่ได้เป็นส่วนหนึ่งของแพ็คเกจหลัก ลบไฟล์
  7. ในกรณีที่มีการติดไวรัสบางส่วนในไฟล์หลัก หากคุณสามารถระบุโค้ดที่เป็นอันตรายได้ ให้ลบออก ถ้าไม่แสดงความคิดเห็นและรับความช่วยเหลือ

ปิดการใช้งานแบ็คดอร์ของ Drupal

แบ็คดอร์ของ Drupal ซ่อนอยู่ในโฟลเดอร์ต่างๆ เช่น /modules, /themes, /sites/all/modules และ /sites/all/themes การตรวจจับไม่ใช่เรื่องง่ายเนื่องจากโค้ดมักจะทำให้งง หากต้องการค้นหารหัสนี้ ให้ทำตามขั้นตอนที่กล่าวถึงข้างต้นใน “ล้างไฟล์ที่ติดไวรัสและลบรหัสที่ซ่อนอยู่” นอกจากนี้ แบ็คดอร์เหล่านี้ยังใช้ฟังก์ชัน PHP บางอย่างอีกด้วย

หากต้องการปิดใช้งานคุณลักษณะเหล่านี้ ให้ทำดังนี้:

  1. ลงชื่อเข้าใช้ไซต์ของคุณและเปิดตัวจัดการไฟล์
  2. เรียกดูและเปิดไฟล์ php.ini
  3. เพิ่มโค้ดต่อไปนี้ในไฟล์นี้:
    disable_functions =“show_source, ระบบ, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, eval”

ล้างฐานข้อมูล Drupal

ฐานข้อมูล Drupal มักตกเป็นเป้าหมายของมัลแวร์ หากต้องการล้างฐานข้อมูลของไซต์ Drupal ที่ติดไวรัส ให้ทำตามขั้นตอนเหล่านี้:

  1. เชื่อมต่อกับไซต์ Drupal ของคุณผ่านแผงการดูแลระบบ
  2. ไปที่การเข้าถึงข้อมูล> ฐานข้อมูล Drupal
  3. ที่นี่ในแถบค้นหา ให้มองหาลิงก์ที่น่าสงสัยหรือเนื้อหาที่ปรากฏระหว่างการสแกนมัลแวร์
  4. เปิดกระดานที่มีเนื้อหาและลิงก์ที่เป็นสแปมนี้ จากนั้นลบเนื้อหาด้วยตนเอง
  5. เมื่อเสร็จแล้ว ให้ตรวจสอบว่าไซต์ยังคงทำงานอยู่หรือไม่ และนำเครื่องมือการจัดการฐานข้อมูลอื่นๆ ออกทั้งหมด

Drupal Security:บล็อกผู้โจมตี

ตรวจสอบให้แน่ใจว่าไม่มีข้อมูลรับรองการเข้าสู่ระบบที่ถูกบุกรุก รีเซ็ตรหัสผ่านไซต์ Drupal ของคุณหลังจากการล้างมัลแวร์เสร็จสิ้น หากต้องการเปลี่ยนรหัสผ่าน ให้เข้าสู่ระบบเว็บไซต์ Drupal ของคุณ

การใช้ phpMyAdmin

  1. หากคุณติดตั้ง phpMyAdmin ไว้ ให้ไปที่ cPanel> กล่องฐานข้อมูล> phpMyAdmin
  2. จากนั้นเลือกฐานข้อมูล Drupal และคลิกที่แท็บ SQL
  3. ตอนนี้ในฟิลด์ข้อความให้ป้อนคำสั่งต่อไปนี้:
    อัปเดตผู้ใช้ set pass=md5('YOURPASS') โดยที่ uid=1;
  4. แทนที่ “YOURPASS” ด้วยรหัสผ่านที่คุณต้องการตั้ง แล้วคลิก Go!

ใช้ดรัช

  1. ในการจัดการไซต์ของคุณผ่าน Drush ตรวจสอบให้แน่ใจว่าได้ติดตั้งโมดูล Drush แล้ว
  2. หากต้องการใช้ Drush ให้เชื่อมต่อกับไซต์ของคุณผ่าน SSH
  3. ตอนนี้สำหรับผู้ใช้ Drupal-8 ให้รันคำสั่งต่อไปนี้:
    drush user-password ชื่อผู้ใช้ –password =“your-new-password”.
  4. สำหรับ Drupal-9 ให้รันคำสั่งต่อไปนี้:
    ผู้ใช้ drush:รหัสผ่าน ชื่อผู้ใช้ “รหัสผ่านใหม่ของคุณ”
    ที่นี่ แทนที่ 'ชื่อผู้ใช้' ด้วยผู้ใช้ไซต์ Drupal ของคุณและ 'รหัสผ่านใหม่ของคุณ' ด้วยรหัสผ่านที่คุณต้องการตั้ง ตรวจสอบให้แน่ใจว่ารหัสผ่านมีความปลอดภัยและประกอบด้วยตัวอักษร ตัวเลข และอักขระที่ดี

Drupal Security:กู้คืนไฟล์

กู้คืนหน้าที่ติดไวรัสจากข้อมูลสำรอง หากไม่มีข้อมูลสำรอง ให้ใช้สำเนาใหม่ เมื่อล้างไฟล์แล้ว ให้ล้างแคชด้วยวิธีต่อไปนี้:

  1. เชื่อมต่อกับไซต์ Drupal ของคุณผ่าน SSH
  2. จากเทอร์มินัล ให้รันคำสั่งต่อไปนี้:
    สร้างแคช drush ใหม่ (สำหรับ Drupal 8) หรือ
    ล้างแคชทั้งหมด (สำหรับ Drupal 7)

หากเว็บไซต์ Drupal ของคุณถูกขึ้นบัญชีดำโดย Google หรือผู้ให้บริการโฮสติ้งของคุณ ให้ส่งเว็บไซต์เข้ารับการตรวจสอบ

การบรรเทาทุกข์ถูกแฮ็กโดย Drupal

ปกป้องโฟลเดอร์ที่ละเอียดอ่อน

สิ่งสำคัญคือต้องบล็อกการเข้าถึงไฟล์ที่ละเอียดอ่อน สามารถทำได้โดยทำตามขั้นตอนเหล่านี้:

  1. ลงชื่อเข้าใช้ไซต์ของคุณและเปิดตัวจัดการไฟล์
  2. สร้างไฟล์ใหม่ชื่อ .htaccess ในโฟลเดอร์ที่คุณต้องการป้องกัน
  3. ในไฟล์นี้ ให้ใส่โค้ดต่อไปนี้:
    คำสั่ง ปฏิเสธ อนุญาต
    ปฏิเสธจากทั้งหมด
    อนุญาตตั้งแต่ 22.33.44.55
    ตัวอย่างนี้จะปฏิเสธไม่ให้ผู้เยี่ยมชมเข้าถึงโฟลเดอร์เฉพาะเหล่านั้น ในที่นี้ รหัสบรรทัดสุดท้ายระบุที่อยู่ IP ที่จะอนุญาต ดูภายในไฟล์ .htaccess ที่แก้ไขด้วย ในกรณีที่พบไฟล์ดังกล่าว ให้ทำความสะอาดไฟล์ก่อน

อัปเดตและสำรองข้อมูล

ตรวจสอบให้แน่ใจว่าคุณใช้ Drupal เวอร์ชันล่าสุด ทีม Drupal Security อัปเดตข้อบกพร่องที่สำคัญด้วยการอัปเดตใหม่แต่ละรายการ ซึ่งสามารถตรวจสอบได้โดยใช้บันทึกการเปลี่ยนแปลง นอกจากนี้ ให้หลีกเลี่ยงการใช้ปลั๊กอินที่ไม่น่าเชื่อถือ เนื่องจากอาจมีโค้ดบั๊กกี้ อย่าลืมสร้างสำเนาของเว็บไซต์ ซึ่งอาจเป็นประโยชน์ในการกู้คืนไซต์หลังการโจมตี การอัปเดตและการสำรองข้อมูลเป็นวิธีที่ถูกและมีประสิทธิภาพมากที่สุดในการรักษาความปลอดภัยให้กับไซต์ Drupal

การตรวจสอบความปลอดภัย

การตรวจสอบความปลอดภัยสามารถเปิดเผยข้อบกพร่องที่สำคัญภายในไซต์ Drupal ไม่ใช่ผู้ดูแลเว็บทุกคนที่สามารถเป็นผู้เชี่ยวชาญด้านความปลอดภัยได้ ดังนั้นบริการต่างๆ เช่น Astra สามารถเข้าควบคุมความปลอดภัยของผู้ดูแลเว็บได้ การตรวจสอบความปลอดภัยของ Astra และการทดสอบปากกาสามารถเปิดเผยภัยคุกคามที่ร้ายแรงบนเว็บไซต์ได้อย่างมีความรับผิดชอบ

ซึ่งจะช่วยให้ผู้ดูแลระบบเว็บใช้มาตรการป้องกันเพื่อป้องกันไม่ให้ไซต์ Drupal ถูกแฮ็กได้ Astra Security Audit จำลองการโจมตีแบบเรียลไทม์ในสภาพแวดล้อมที่ปลอดภัย เพื่อไม่ให้เกิดความเสียหายกับไซต์และในขณะเดียวกันก็สามารถพบช่องโหว่ที่สำคัญได้ การตรวจสอบความปลอดภัยอย่าง Astra จะพบช่องโหว่ทั่วไป เช่น OWASP Top 10 บนเว็บไซต์ Drupal

Drupal Malware Scanner และไฟร์วอลล์

มีการค้นพบช่องโหว่ใหม่ใน Drupal ทุกเดือน อย่างไรก็ตาม นี่ไม่ได้หมายความว่าไซต์ Drupal จะไม่ปลอดภัย ไฟร์วอลล์สามารถป้องกันผู้โจมตีจากการใช้ประโยชน์จากช่องโหว่เหล่านี้ แม้ว่าไซต์ Drupal จะมีความเสี่ยงก็ตาม อย่างไรก็ตาม สิ่งสำคัญคือต้องเลือกไฟร์วอลล์ที่เหมาะสมจากที่มีอยู่มากมายในตลาด Astra Firewall เป็นไฟร์วอลล์ที่โดดเด่นในทุกพารามิเตอร์ มีความแข็งแกร่งและสามารถปรับขนาดได้สูง ซึ่งหมายความว่าไม่ว่าจะเป็นบล็อกขนาดเล็กหรือไซต์อีคอมเมิร์ซขนาดใหญ่ Astra สามารถรักษาความปลอดภัยได้ทั้งหมด นอกจากนี้ Astra ยังสามารถดักจับผู้โจมตีและบล็อกการโจมตีทั่วไปได้

การทำความสะอาดและซ่อมแซมไซต์ที่ถูกแฮ็กของ Drupal เป็นงานที่ลำบาก อย่างไรก็ตาม ระบบอัตโนมัติสามารถช่วยได้ Astra Drupal Malware Scanner สามารถตรวจจับมัลแวร์จากไซต์ที่ถูกแฮ็กได้ในเวลาไม่กี่นาที นอกจากนี้ยังจะกู้คืนความแตกต่างของไฟล์ให้คุณ ซึ่งคุณสามารถลบได้ด้วยการคลิกปุ่มเพียงครั้งเดียวหากไฟล์นั้นเป็นอันตราย