Håndtering av kompromittert WordPress

Begynn med å vurdere om oppryddingen av installasjonen er noe dere eller IT-leverandør kan gjøre selv, eller om en tredjepart med ekspert på jobben bør hyres inn.

Medlemmer av Nasjonalt beksyttelsesprogram kanta kontakt med oss for råd og veildning.

For ekstern hjelp henviser vi til NSMs kvalitetordning.

Nettsidene og databasen bør sikkerhetskopieres før dere begynner å håndtere en kompromittert WordPress.

Med backup kan man prøve å rydde opp på nytt om det første forsøket var mislykket.

• Google Safe Browsing Status
• Sucuri Sitecheck
• VirusTotal
• WPScan

Merk at siden kan være kompromittert selv om ingen av disse gir resultater, men et eller flere av de gir en kjapp måte å starte undersøkelsene på.

Se etter ukjent eller uleselig (obfuskert) JavaScript, særlig på nettsider som oppfører seg uvanlig.

Se også etter skript som hentes fra eksterne nettsider.

Om man har automatisk backup på plass kan man sammenligne tidligere status med backup tatt i steg 2 for å se etter endringer.

Forsøk å finne ut akkurat hvilken skadevare eller kampanje som kan ha kompromittert nettsiden. Dette kan gi verdifull informasjon som gjør det mye enklere både å forstå omfanget og rydde opp igjen.

Søkemotorer med deler av koden/navn fra funn er en god plass å starte her.

Vi gjør dette for å finne ut skadevaren gjør spesielle ting vi trenger å ta høyde for.

Finner man ikke noe går man videre til neste steg.

Å stadfeste omtrent når kompromitteringen skjedde kan også gjøre oppryddingen lettere.

Dette gir også en indikasjon på når gamle backups er trygge å bruke.

Metoder her er å se når endringer skjedde i gamle backups, eller bruke verktøy som wwaybackmachineog urlscan for å se om de har oppføringer med og uten skadevare på siden.

Fjern alle funn.

Optimalt sett bør dere identifisere hvordan angriperen kom seg inn i første omgang (inngangsvektor). Hvis ikke øker sjansen for at dere blir kompromittert på nytt.

Gode logger er den enkleste måten å identifisere inngangsvektor på. Hvis ikke står dere gjerne foran en mer manuell jobb med å lete etter sannsynlige innveier.

Manglende oppdatering er vangliste vei inn

De vanligste inngangsvektorene i WordPress er at selve installasjonen eller utvidelser som plugins og themes er utdatert og har sårbarheter.

Dette gjelder for andre tilsvarende bloggplattformer også, men det er spesielt utbredt for WordPress.

Etterfulgt av dårlig sikret pålogging

En annen vanlig inngang er at brukerkontoer er satt opp med svake, gjettbare passord, eller at passordet er stjålet fra andre datainnbrudd.

Fellesnevneren for brukerkontoer som inngangsvektor er at multifaktorautentisering (MFA) som regel ikke er i bruk.

Sjekk:

• Hvilken versjon WordPress er på
• Sjekk versjon på alle plugins og themes
• Sjekk at alle kontoer krever MFA for innlogging.

WordPress støtter autooppdatering. Skru det på.

Krev flerfaktor for ALLE brukerkontoer.

Om siden er viktig for dere bør den tas backup av jevnlig. Hvor ofte siden endres på styrer hvor lfte backup bør tas (hver time, hver dag, hver uke, hver måned...). Backup gjør gjennoppretting til kjent ilstand mye enklere. Det sikrer også om en infeksjon resulterer i fullt datatap.

Publiser siden og sjekk at den fungerer som forventet.

Om det fortsatt er tegn til infeksjon gå tilbake til pkt1, eller revurder ekstern hjelp.

Er du medlem i Nasjonalt beskyttelsesprogram ønsker vi varsling om du er utsatt for angrep. Også om du fikser helt selv.

Send oss en e-post.