Web stranica se normalno otvori, a zatim nestane. Posjetiteljima se pojavi sumnjiva “Cloudflare provjera”, čudan prozor koji traži klik ili kopiranje naredbe, stranica preusmjerava na nepoznatu adresu, šalje spam ili je Google počne označavati kao nesigurnu.
To nisu bezazleni kvarovi. U velikom broju slučajeva riječ je o hakiranoj web stranici i aktivnom malwareu koji može ugroziti poslovanje, reputaciju tvrtke i sigurnost vaših posjetitelja.
Kako prepoznati da je web stranica zaražena?
Neke zaraze su očite, ali mnoge rade tiho i prikazuju se samo određenim posjetiteljima. Administrator zato može otvoriti web i vidjeti da sve djeluje normalno, dok obični korisnici dobivaju sasvim drugi sadržaj.
Najčešći znakovi upozorenja su:
- stranica se prikaže na trenutak, a zatim postane bijela ili prazna
- pojavljuje se lažna Cloudflare, CAPTCHA ili “security check” provjera
- web preusmjerava na nepoznate stranice, oglase, kladionice, lažne nagradne igre ili phishing sadržaj
- preglednik ili Google prikazuje upozorenje da je stranica opasna
- u WordPressu se pojavljuju nepoznati korisnici, pluginovi, datoteke ili direktoriji
- web šalje veliku količinu spama s vaše domene
- hosting javlja malware, sumnjive PHP datoteke ili neuobičajenu potrošnju resursa
- stranica radi sporije, povremeno ruši prikaz ili javlja neobične greške
- kupci javljaju da ne mogu otvoriti stranicu, prijaviti se ili završiti kupnju
Posebno opasne su novije ClickFix zaraze. One koriste lažne Cloudflare ili CAPTCHA provjere kako bi posjetitelja navele da kopira i pokrene zlonamjernu naredbu na vlastitom računalu. Drugim riječima, više nije ugrožen samo web nego i korisnik koji ga pokušava otvoriti.
Zašto nije dovoljno obrisati jedan sumnjivi fajl?
Kod ozbiljnije infekcije problem gotovo nikada nije samo jedan JavaScript isječak ili jedan sumnjivi PHP fajl.
Napadači često ostavljaju više načina za ponovni pristup webu: skrivene administratore, izmijenjene datoteke teme, zlonamjerne pluginove, kod u bazi podataka, cron zadatke, lažne sistemske direktorije ili skripte skrivene u uploads mapi. Ako se ukloni samo vidljivi simptom, zaraza se može vratiti čim se aktivira drugi skriveni loader.
Zato ručno “brisanje onog što izgleda čudno” često završi s puno potrošenog vremena i bez sigurnosti da je stranica zaista čista.
Što napraviti odmah?
Ako sumnjate da je web zaražen, preporučujemo sljedeće korake:
- Nemojte ignorirati problem. Nemojte čekati da se “sam od sebe popravi”, jer posjetitelji u međuvremenu mogu biti izloženi prijevarama ili zlonamjernom sadržaju.
- Ne unosite lozinke kroz javnu stranicu. Dok se ne utvrdi stanje, izbjegavajte prijave u WordPress, webshop i druge servise preko kompromitirane domene.
- Napravite kopiju trenutnog stanja. Ona može biti korisna za utvrđivanje uzroka, ali ne treba je smatrati sigurnim backupom za kasnije vraćanje.
- Provjerite postoji li stariji, čisti backup. Ako je infekcija opsežna, povratak na zadnju provjereno ispravnu sigurnosnu kopiju često je sigurniji i brži od pokušaja parcijalnog čišćenja.
- Resetirajte pristupe. Treba promijeniti lozinke za hosting, WordPress, FTP/SFTP, bazu podataka i Cloudflare ili drugi DNS servis.
- Napravite detaljan pregled instalacije. To uključuje datoteke, bazu, korisnike, pluginove, temu, cron zadatke, cache i sve vanjske skripte.
Kako najčešće dolazi do zaraze?
Najčešći uzrok nije “probijen server”, nego zastarjela i loše održavana WordPress instalacija.
Rizik raste kada web ima staru temu, mnogo nepotrebnih dodataka, pluginove koji nisu godinama ažurirani, piratske teme ili dodatke, slabe lozinke, više nepoznatih administratora i nikakav plan redovitog održavanja.
Poseban problem su starije premium teme koje godinama vuku vlastite dodatke, page buildere i funkcionalnosti koje webu zapravo ne trebaju. Takve instalacije s vremenom postanu tehnički dug: izvana mogu djelovati normalno, ali iznutra su prepune zastarjelog koda, preklapanja pluginova i potencijalnih sigurnosnih rupa.
Nakon čišćenja: treba zatvoriti uzrok, ne samo posljedicu
Vraćanje weba iz backupa ili uklanjanje malwarea je hitna intervencija. No stvarni posao počinje nakon toga.
Potrebno je ažurirati WordPress, temu i dodatke, ukloniti sve što nije nužno, provjeriti administratore, uvesti sigurnosne kopije izvan primarnog hostinga i osigurati redovito održavanje. Kod nekih starijih webova najisplativije rješenje nije beskonačno krpanje, nego postupno sređivanje ili izrada jednostavnije, modernije i sigurnije verzije stranice.
Redovito održavanje nije samo instaliranje novih verzija plugina. To je kontinuirana briga o sigurnosti, funkcionalnosti, backupima, kompatibilnosti i tome da vaš web ne postane problem tek onda kada ga posjetitelji više ne mogu otvoriti.
Trebate pomoć sa zaraženom ili zastarjelom stranicom?
Ako vam se web preusmjerava, prikazuje lažnu provjeru, šalje spam, javlja sigurnosna upozorenja ili se ponaša neobično, javite nam se što prije.
U sklopu usluge čišćenja zaraženih web stranica možemo pregledati stanje instalacije, procijeniti postoji li siguran backup, pomoći pri oporavku te predložiti korake za uklanjanje nepotrebnih dodataka, ažuriranje sustava i dugoročnu zaštitu.
Nemojte čekati da web potpuno nestane iz rezultata pretraživanja ili da problem prijave vaši kupci. Što se ranije reagira, veća je šansa za brži i sigurniji oporavak.