WordPress patří mezi nejoblíbenější platformy pro tvorbu webových stránek a pohání více než 40 % všech webů na světě. Bohužel, jeho popularita z něj dělá lákavý cíl pro hackery a škodlivý software.
V odborné terminologii se škodlivý kód označuje pojmem malware, českým překladem je to škodlivý software (laicky často nazývaný „vírus“). Malware je software navržený k infikaci systému, poškození webu nebo získání neoprávněného přístupu. V kontextu WordPressu se jedná o jakýkoliv škodlivý kód, který se můe dostat na vaše webové stránky, narušit jejich funkci, ohrozit data nebo je zneužít pro další útoky.
V tomto článku si podrobně vysvětíme, co je WordPress malware, jak se na stránku dostane, jaké rizika přináší a jak jej odstranit. Na závěr zmíníme i preventivní opatření pro lepší zabezpečení vašeho WordPress webu.
Co je to malware ve WordPressu? Proč je WordPress častým terčem útoků?
Malware označuje škodlivý kód nebo software, jehož cílem je poškodit web nebo z něj získat prospěch. WordPress jako platforma s otevřeným zdrojovým kódem s obrovskou uživatelskou základnou přirozeně přitahuje útočníky. WordPress pohání více než 40 % webů, takže hackeři vědí, že úspěšným útokem mohou zasáhnout obrovské množství stránek. Malware na webu WordPress může způsobit vážné škody, od narušení stránky přes krádež citlivých dat až po zničení reputace firmy. I když vývojáři pravidelně vydávají aktualizace a jádro WordPressu tak udržují relativně bezpečné, pluginy a témata vytvářejí obrovský ekosystém, ve kterém se kvalita kódu mezi autory výrazně liší. Právě proto často vznikají vektorové body útoků a pokud vývojáři nechají pluginy zastaralé nebo s chybou, útočníci mohou přes ně získat přístup k vaší WordPress stránce přes tzv. zadní vrátka.
Jak se může WordPress stránka infikovat malwarem (WordPress malware)?
Existuje mnoho způsobů, jak se škodlivý kód dostane na web. Nejčastější příčinou napadení WordPress stránky je zneužití známé zranitelnosti, například v neaktualizovaném pluginu nebo tématu. Podle bezpečnostních analýz až 93 % zjištěných zranitelností WordPressu souviselo s pluginy a více než 52 % známých děr způsobují přímo zastaralé (neaktualizované) doplňky. Jinými slovy, neaktuální kód je otevřenou bránou pro hackery, útočníci aktivně skenují weby a hledají známé chyby v konkrétních verzích pluginů nebo témat, aby se přes ně dostali do systému. Kromě toho platí, že čím více pluginů a témat používáte, tím větší je potenciální prostor pro bezpečnostní díry.
Mezi nejčastější způsoby infikování WordPressu malwarem patří:
Zranitelné nebo zastaralé pluginy a témata
Jak jsme již uvedli, jedná se o nejčastější vektor útoku. Vývojáři průběžně opravují chyby v aktualizacích; pokud však uživatel aktualizaci zanedbá, hackeři využijí časový odstup mezi vydáním opravy a jejím nasazením. Příkladem je kritická chyba v pluginu File Manager (2020), kterou útočníci zneužili k spuštění libovolného kódu na více než 600 000 webových stránkách a mnoho správců stránek ji nestihlo včas opravit, a proto hackeři jejich weby infikovali.
Škodlivé (infikované) pluginy nebo témata
Někdy se sami administrátoři nechtěně vystavují riziku instalací nedůvěryhodného softwaru. Pokud si uživatel stáhne pirátskou „nulled“ verzi placené šablony, často si s ní přinese i malware vložený přímo do kódu. V některých případech útočníci pronikli k vývojáři nebo úmyslně vytvořili plugin se skrytým škodlivým kódem.
Slabá hesla a krádež přihlašovacích údajů
Útočníci často zkoušejí metodu brute-force (útok hádáním hesla) na účet administrátora. Pokud používáte jednoduché heslo, je jen otázkou času, kdy ho botnet uhádne. Nejhorší je, že mnoho stránek, které jsme odhalili od wordpress malwaru, mělo právě jednoduché uživatelské jméno „admin“, což umožňovalo ještě jednodušší způsob brute-force útoku. Pokud se útočník dostane k vašim přihlašovacím údajům jiným způsobem (např. únikem z jiné služby, phishingem nebo malwarem ve vašem počítači), může se přímo přihlásit do administrace WordPressu a nahrát škodlivý kód, například přes editor souborů nebo vlastní plugin.
Nevhodná nastavení a konfigurace
Různá opomenutí v konfiguraci mohou hackerům usnadnit práci. Patří sem například ponechaný soubor install.php nebo wp-config.php na veřejném místě, nesprávně nastavená přístupová práva souborů (chmod), která umožňují zapisovat do citlivých adresářů, nebo nezabezpečené rozhraní hostingového účtu.
Zranitelnost serveru nebo jiné aplikace na hostingu
Pokud váš web sdílí server s dalšími stránkami (typické u levného sdíleného hostingu), může vás ohrozit i útok na cizí web na stejném serveru. Útočníci mohou získat přístup k serveru a následně infikovat všechny instalace WordPress, které na něm běží. Stejně tak bezpečnostní díra v jiné webové aplikaci (např. ve fóru, e-shopu nebo ve vlastním skriptu na stejném hostingu) může sloužit jako vstupní bod pro malware, který se pak rozšíří i do adresářů WordPress.
S malwarem jsme se nejčastěji setkávali u sdílených hostingů, kde neexistovala izolace mezi jednotlivými weby, konkrétně u Webglobe nebo Webhouse. Při takovém nastavení stačí, aby byl napaden jeden web na serveru, a malware se může rozšířit i do dalších stránek ve stejném uživatelském účtu. Doporučujeme proto zvolit hosting, který zajišťuje oddělené PHP procesy, složky a databáze pro každý web zvlášť.
Všechny výše uvedené scénáře mají společného jmenovatele a útočník využije i sebemenší mezeru v zabezpečení, aby do webu vložil škodlivý kód. Po počátečním proniknutí často nahraje do systému tzv. backdoor (zadní vrátka), což je soubor nebo účet umožňující trvalý přístup, i když jste původní zranitelnost opravili. Tím si zajistí možnost opakovaného útoku nebo další manipulace s webem.
Příznaky napadené stránky WordPress (jak zjistit, že mám malware)
Mnoho webů může být infikováno poměrně dlouhou dobu, aniž by si toho správce okamžitě všiml. Jak tedy poznat, že váš WordPress obsahuje malware? Zde jsou typické varovné signály, že něco není v pořádku:
Zpomalení nebo podivné chování stránky
Web najednou běží pomalu, často padá nebo se objevují neočekávaná vyskakovací okna. Malware může zatěžovat server (např. těžbou kryptoměn na pozadí) nebo způsobovat chyby a pády systému.
Skripty pro těžbu kryptoměn umožňují hackerům tajně těžit kryptoměny prostřednictvím zařízení návštěvníků. Stránka se zpomalí, zatížení hostingu roste a útočník vydělává, proto se jim to vyplatí.
Na webu se objevily cizí prvky, které jste nezveřejnili a například spamové odkazy, reklamy, nové podezřelé stránky nebo příspěvky s škodlivým obsahem. Může se jednat také o tzv. farmaceutický spam (stránky propagující léky, kasina atd.) nebo o vložené SEO spamové odkazy na cizí weby skryté v zápatí nebo v kódu.
Nevysvětlitelné administrátorské účty
Ve správě WordPressu přibyl nový účet s administrátorskými právy, který jste nevytvořili vy. To téměř jistě znamená, že útočník si vytvořil zadní vrátka pro opakovaný přístup.
Přesměrování návštěvníků
Návštěvníci hlásí, že po příchodu na váš web jsou přesměrováni na cizí stránky (často obsahující malware, reklamy nebo phishing). Jako přihlášený administrátor to možná nevidíte (útočník často přesměrování cílí pouze na neznámé návštěvníky nebo na určité zdroje návštěv). Zaznamenali jsme také, že přesměrovány byly pouze mobilní zařízení a počítačová verze byla v pořádku.
Varování ve vyhledávačích a prohlížečích
Velmi vážným signálem je, pokud Google označí vaši stránku za napadenou nebo prohlížeč zobrazí bezpečnostní varování, že stránka obsahuje malware nebo podvodný obsah. Může se to projevit tak, že ve výsledcích vyhledávání u vašeho webu uvidíte upozornění „This site may be hacked“ (Tato stránka může být napadena) nebo se při pokusu o návštěvu zobrazí červená obrazovka s varováním.
Podivná aktivita ve statistikách
V analytických nástrojích (Google Analytics a pod.) zaznamenáte neobvyklé výkyvy návštěvnosti, například velký pokles organické návštěvnosti (může znamenat penalizaci nebo blokování webu ve vyhledávání kvůli malvéru, nebo naopak podezřelé přístupy z neznámých zemí či podivné požadavky na server. Náhlý pokles legitimní návštěvnosti bývá varovným signálem, že Google mohl web dočasně zablokovat (vyřadit z výsledků pro podezření na infekci).
Uvedené příznaky nemusí být vždy na první pohled zřejmé, proto doporučujeme průběžně monitorovat své stránky. Pomocí mohou být bezpečnostní pluginy, které kontrolují změny souborů a objevování nových škodlivých kódů, nebo externí skenery (např. Google Safe Browsing nebo Sucuri SiteCheck), které dokážou odhalit, zda je váš web veden jako kompromitovaný. Čím dříve infekci objevíte, tím menší škody stačí napáchat.
Jaká rizika a škody hrozí při napadení WordPress malwarem?
Pokud se malwaru podaří infikovat web, následky mohou být velmi závažné, pro váš web, vaše podnikání i pro návštěvníky stránky. Zde je přehled hlavních rizik a škod, které WordPress malware způsobuje:
Krádež dat a únik citlivých informací
Útočník může z webu ukrást data a ať už databázi zákazníků, osobní údaje uživatelů nebo například přístupová hesla. Může se také jednat o odcizení informací z objednávek e-shopu, což vážně naruší důvěru vašich zákazníků.
Zneužití webu k škodlivým aktivitám
Hackeři často zneužívají napadené weby jako nástroje, mohou například vložit do stránky kód, který rozesílá spamové e-maily, nebo ji zapojit do sítě botnetů k provádění DDoS útoků na jiné servery. Běžně se také setkáváme s tím, že malware šíří další infekci návštěvníkům (např. prostřednictvím exploit kitů v prohlížeči) a váš web tak šíří viry všem, kteří jej navštíví.
Poškození SEO a reputace stránky
Malware může na váš web vkládat spamové odkazy, reklamy a škodlivý obsah, čímž trpí důvěryhodnost stránky. Vyhledávače jako Google rychle zareagují, sníží hodnocení vašeho webu ve výsledcích nebo ho úplně vyřadí (blocklist), aby chránily uživatele. Vaše značka tak utrpí, nikdo nechce, aby se u jeho webu zobrazovalo varování „tato stránka může poškodit váš počítač“. Náprava SEO škod (odstranění penalizací, obnovení důvěry) může trvat dlouho i po vyčištění webu.
Finanční ztráty a výpadky provozu
Infikovaná stránka často přestává správně fungovat nebo ji lepší hosting někdy i dočasně odstaví (aby nešířila škodlivý kód). Tím přicházíte o návštěvníky, zákazníky a tržby. Výpadek webu či e-shopu co i jen na pár hodin může znamenat citelnou finanční ztrátu. Kromě toho lze očekávat nákladnou a zdlouhavou obnovu, od bezpečnostního auditu, přes čištění a obnovení dat ze záloh, až po posílení zabezpečení. Nouzové zásahy odborníků mohou stát stovky eur, nemluvě o dlouhodobých ztrátách příjmů.
Právní důsledky
Pokud v důsledku útoku dojde k úniku osobních údajů zákazníků (např. e-maily, adresy, telefony) nebo údajů o platbách, hrozí právní odpovědnost za nedostatečné zabezpečení dat. V rámci nařízení GDPR může úřad udělit pokuty za únik osobních údajů. Stejně tak, pokud váš web šíří malware a infikuje počítače návštěvníků, může vaše firma nést odpovědnost za způsobené škody.
Stručně řečeno, ignorovat bezpečnost WordPressu se nevyplácí. Napadení webu WordPress malwarem může způsobit mnohem větší škody, než by stála přiměřená prevence. V další části článku si proto ukážeme, jak WordPress malware odstranit a jak se v budoucnu vyhnout opakované infekci.
Jak odstranit malware z WordPress stránky (odstranění virů z hacknuté stránky)
Pokud máte podezření, že váš WordPress byl napaden WordPress malwarem, je nutné okamžitě jednat. Čím dříve začnete incident řešit, tím větší šanci máte minimalizovat škody. Odstranění malwaru z webu (tzv. odvíření webové stránky) však může být poměrně náročný proces vyžadující technické znalosti. Pro úplnost nyní přiblížíme základní kroky manuálního postupu, které jsou v jádru stejné u většiny přístupů k odstranění malwaru z WordPressu. Některé specifické postupy si však ponecháme jako interní know-how z důvodu ochrany našeho řešení před konkurencí.
Kroky při čištění napadeného webu WordPress
Odpojte web od návštěvníků (dočasná izolace): Pokud je to možné, okamžitě zamezte přístupu veřejnosti na napadenou stránku, aby se situace nezhoršovala. Můžete například použít režim údržby (maintenance mode) nebo v souboru .htaccess povolit přístup pouze z vaší IP adresy. Tím zabráníte šíření infekce na návštěvníky a můžete v klidu provést čištění.
Lokalizujte škodlivý kód
Proveďte důkladnou kontrolu webu s cílem najít všechny soubory infikované malwarem. Pomocí bezpečnostních pluginů nebo skenerů na webhostingu. Tyto nástroje dokážou identifikovat známé škodlivé soubory nebo kódy. Kromě toho porovnejte jádro WordPressu a pluginy s originálními verzemi a pokud nějaký systémový soubor nemá být změněn a přesto má jiný obsah, je podezřelý. Nezapomeňte ani na adresář wp-content/uploads, útočníci tam rádi ukrývají PHP soubory maskované například jako obrázky.
Odstraňte nebo vyčistěte napadené soubory
Všechny identifikované škodlivé soubory odstraňte (nebo alespoň přesuňte mimo veřejný adresář). Pokud se jedná o součást jádra WordPressu, známého pluginu nebo tématu, je nejlepší přeinstalovat čistou verzi a např. smazat celý adresář napadeného pluginu a nahrát ho znovu z oficiálního zdroje. Malware často infikuje také soubory jádra (např. wp-config.php, wp-load.php nebo soubory témat), kam přidá svůj kód. Tyto soubory buď nahraďte čistými kopiemi, nebo z nich opatrně odstraňte škodlivé vložky (vyžaduje to znalost PHP, abyste nepoškodili funkčnost).
Pokud si nejste jisti, zda jste odstranili veškerý malware, nespoléhejte se na to, útočník mohl vytvořit i backdoor soubor, který na první pohled vypadá neškodně. Hledejte podezřelé soubory (.php soubory na neobvyklých místech, soubory s náhodnými názvy atd.).
Zkontrolujte databázi a obsah
Škodlivý kód se mohl dostat i do databáze a například do obsahu příspěvků (vložené skripty), do nastavení nebo do uživatelských účtů. Projděte databázi (např. přes phpMyAdmin) a hledejte podezřelé hodnoty, které by tam neměly být. Odstraňte nebo opravte vše, co najdete. Zkontrolujte také seznam uživatelů ve WordPressu, zejména administrátory, a smažte všechny, kteří tam nepatří.
Obnovte přístupy a hesla
Jakmile máte systém vyčištěný, okamžitě změňte všechna hesla, přístup správce do WordPressu, hesla databáze (upravte v wp-config.php), FTP/hostingového účtu, případně API klíče a tajemství. Je docela možné, že původní přihlašovací údaje byly kompromitovány a jejich ponechání by útočníkovi umožnilo opětovný vniknutí.
U webhostingu Webhouse jsme se setkali i s tím, že v administraci jsou po přihlášení volně zobrazena hesla do databáze. Tak kritické chyby, že bychom tam sami nikdy neumístili stránku klienta.
Aktualizujte WordPress, pluginy a témy
Ujistěte se, že používáte nejnovější verzi WordPressu a všech pluginů a šablon. Pokud ne, aktualizujte je nyní (po vyčištění). Tím odstraníte známé bezpečnostní chyby, přes které se mohl malware dostat dovnitř. Zvažte také úplné odstranění nepotřebných pluginů, čím méně kódu na webu máte, tím méně potenciálních zranitelností.
Otestujte web a sledujte další chování
Po odstranění malwaru vyzkoušejte základní funkce stránky, zda vše funguje, zda se někde „nerozpadl“ design (mohlo se stát, pokud jste mazali infikované soubory tématu). Sledujte v najbližších dňoch správanie webu, či sa opäť neobjavia podozrivé súbory alebo prejavy infekcie. Ideálne je nasadiť bezpečnostný plugin s aktívnym monitorovaním, ktorý vás upozorní na prípadné nové hrozby.
Požádejte o odstranění z černých listin
Pokud Google Safe Browsing nebo antivirové systémy označily váš web za nebezpečný, po úspěšném vyčištění okamžitě odešlete žádost o kontrolu a odblokování stránky. V Google Search Console najdete sekci Security Issues / Safe Browsing, kde můžete požádat o přehodnocení stránky. Google následně stránku znovu prohledá a pokud neobjeví žádný škodlivý kód, odstraní všechna varování (obvykle do 1–3 dnů). Tento krok rozhodně nevynechávejte, jinak budete odrazovat návštěvníky ještě dlouho po vyčištění webu
Poučte se z incidentu a vylepšete zabezpečení
Každý bezpečnostní incident by měl vést k posílení opatření do budoucna. Na závěr tohoto článku si projdeme klíčové preventivní kroky, které doporučujeme zavést, aby se situace neopakovala.
Odstranění virů z webových stránek WordPress může trvat hodiny až dny, v závislosti na závažnosti útoku. Zejména pokud nemáte zkušenosti nebo čas, obraťte se raději na odborníky, kteří váš web důkladně zkontrolují, vyčistí a zabezpečí před dalšími útoky. Ve společnosti VR Master s.r.o. se této problematice věnujeme dlouhodobě a vyčistili jsme již více než 75 napadených WordPress stránek a pomohli jejich majitelům obnovit důvěru i pozice ve vyhledávání.
Pokud máte podezření na malware nebo jste již byli hacknuti, neváhejte nás kontaktovat, postaráme se o profesionální odstranění hrozby a posílíme zabezpečení vašeho webu.
Prevence: Jak zabezpečit WordPress před malwarem
Po odstranění infekce (nebo ideálně ještě předtím, než k ní vůbec dojde) je nutné zavést preventivní opatření. Zabezpečení WordPressu je nepřetržitý proces a žádné jednorázové nastavení webovou stránku nenapraví navždy, pokud se o ni nebudete starat. Klíčové je minimalizovat možnosti útoku a včas odhalit pokusy o proniknutí. Zde je seznam osvědčených postupů, jak zvýšit bezpečnost WordPressu a zabránit malwaru:
Pravidelně aktualizujte WordPress, pluginy i témata.
Aktualizace často obsahují bezpečnostní záplaty. Nastavte si alespoň týdenní interval kontroly aktualizací nebo využijte automatické aktualizace pro menší updaty. Nenechávejte web běžet na zastaralém kódu.
Používejte pouze důvěryhodné pluginy a témata.
Instalujte rozšíření pouze z oficiálního repozitáře WordPressu nebo od renomovaných vývojářů. Vyhýbejte se pirátským kopiím placených pluginů a mohou obsahovat skryté zadní vrátka. Sledujte hodnocení a poslední aktualizaci, pokud plugin není udržován, raději si najděte náhradu.
Zabezpečte přihlašování silným heslem a 2FA
Zvolte si silné, jedinečné heslo pro administrátora (dlouhé alespoň 12 znaků, kombinace písmen, číslic, symbolů). Nikdy nepoužívejte „admin“ jako uživatelské jméno. Zapněte dvoufaktorovou autentizaci (2FA), aby se útočník nedostal dovnitř ani v případě úniku hesla. Zvažte také omezení počtu pokusů o přihlášení (plugin Limit Login Attempts atd.).
Nainstalujte bezpečnostní plugin s firewallem
Doplňky jako Wordfence, Sucuri Security, iThemes Security nebo All In One WP Security dokážou monitorovat škodlivou aktivitu a blokovat útoky na úrovni webové aplikace (WAF). Mnohé z nich také kontrolují integritu souborů, skenují malware a poskytují upozornění, pokud se na webu děje něco podezřelého.
Pravidelně zálohujte celý web
Nastavte si automatické zálohování databáze i souborů (denně nebo týdně podle frekvence změn). Zálohy uchovávejte mimo server (např. v cloudovém úložišti). Pokud pravidelně vytváříte zálohy, v případě napadení webu budete schopni rychle obnovit jeho čistou verzi a minimalizovat výpadek.
Sledujte změny souborů a práv
Ujistěte se, že jsou nastavena správná přístupová práva souborů (ideálně 644 pro soubory a 755 pro složky, citlivý wp-config.php může mít i 600). Použijte nástroje nebo plugin, který hlásí změny v souborech, pokud se objeví nový soubor .php v /uploads nebo změna v souboru jádra, měli byste o tom vědět. Stejně tak pravidelně kontrolujte, zda se v administraci neobjevily neznámé účty.
Zabezpečte svůj server a počítač
Dbejte na bezpečnost i mimo WordPress: chraňte hosting silným heslem, vypněte nepotřebné služby a používejte aktuální PHP. Na svém počítači mějte aktualizovaný antivirus a aby se nestalo, že útočník získá vaše FTP hesla přes keylogger ve vašem PC. Při připojování k Wi-Fi používejte VPN, aby nebylo možné zachytit přihlašovací údaje.
Buďte ostražití vůči podezřelým aktivitám
Všímejte si varovných drobností, například pokud e-mail od hostingu hlásí neobvykle vysoké využití CPU nebo pokud náhodou v zápatí šablony uvidíte neznámý odkaz. Často se jedná o první náznaky, že se něco děje, a včasným zásahem předejdete většímu problému.
Nepodceňujte bezpečnost WordPressu
WordPress je výkonný a flexibilní systém, ale bezpečnost je třeba brát vážně. V tomto článku jsme vysvětlili, co je WordPress malware a jaké způsoby útoku nejčastěji využívá, ukázali jsme příznaky napadení i následky, které může způsobit. Zároveň jsme nastínili postup odstranění malwaru a nejdůležitější preventivní opatření pro ochranu webu.
Pokud máte podezření, že váš web WordPress byl hacknut nebo napaden malwarem, nečekejte, jednejte. Někdy stačí pár hodin nečinnosti a útočníci způsobí škody, které se budou napravovat celé týdny. Pokud si na vyčištění webu netroufáte sami, neváhejte využít profesionální služby. Naše společnost VR Master s.r.o. se specializuje na odstraňování malwaru z webových stránek WordPress a komplexní zabezpečení webů. Máme bohaté zkušenosti s čištěním hacknutých webů a rádi vám pomůžeme dostat stránku zpět pod kontrolu, vyčistit ji a zabezpečit.
Bezpečnost WordPressu není třeba podceňovat a investice času (a případně prostředků) do prevence zvyšuje důvěryhodnost vašeho podnikání a klidný spánek správce webu. Doufáme, že vám tento průvodce pomohl zorientovat se v problematice malwaru WordPressu. Pokud máte otázky nebo potřebujete pomoc s hacknutou stránkou, ozvěte se. jsme tu pro vás a váš WordPress.
Profesionální odstraňování virů ze stránek
Útoky nejčastěji přicházejí přes zranitelné pluginy, slabé zabezpečení nebo lidskou nepozornost. Důsledky mohou sahat od ztráty dat, přes poškození reputace, až po finanční škody. Klíčové je dbát na prevenci a aktualizace, silná hesla, bezpečnostní pluginy a zálohy. Pokud již k útoku dojde, je nutné jednat rychle: identifikovat a odstranit škodlivý kód, tedy provést čištění webu a ochranu webu prostřednictvím profesionálů a posílit ochranu. V případě potřeby se neváhejte obrátit na profesionály, kteří vám pomohou chránit váš WordPress před malwarem a útoky. Bezpečný WordPress totiž znamená spolehlivý web pro vás i vaše návštěvníky.