WordPress: Zend Hack ja sen korjaaminen

Jukka Peltoperä
Jukka Peltoperä
Julkaistu:  4.7.2013. Päivitetty:  23.3.2022.

WordPress-sivustot ovat viime aikoina olleet entistä enemmän hakkerien hyökkäyksien kohteena. Olemme viimeisen parin kuukauden aikana saaneet korjata yhden jos toisenkin hakkerin WordPress-sivustoille jättämiä jälkiä.

Yksi kesäkuun aikana paljon hyödynnetty tietoturva-aukko, jota kutsutaan myös nimellä Zend Hack, mahdollistaa haitallisen koodin lisäämisen palvelimella oleviin PHP-tiedostoihin. Hakkerien skripti lisää kaikkien PHP-tiedostojen alkuun koodatun rivin, joka alkaa seuraavilla merkeillä:

<?php $zend_framework="\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e" ... ?>

Jos löydät WordPress-tiedostoista ylläolevan koodin, noudata tässä artikkelissa olevia ohjeita ongelman korjaamiseksi.

Mitä haittaohjelma tekee?

Haittaohjelmakoodi tarkistaa onko kävijä hakurobotti vai ei, hakee dataa ulkoisilta palvelimilta ja näyttää ne kävijöille. Sivusto voi toimia oudosti tai näyttää kävijöille palvelinvirheen. Viimeksi korjaamamme sivuston kohdalla haittaohjelma poisti kaikki lisäosat käytöstä.

Koodi lisää WordPressiin myös uuden pääkäyttäjän, jonka nimi ja sähköpostiosoite ovat tyhjiä. Poista tämä käyttäjä kokonaan.

Miten haittaohjelma pääsee sivuille?

Toistaiseksi on epäselvää miten hakkerit pääsevät sivuille, mutta täällä on tutkittu palvelimen lokeja ja tultu siihen tulokseen, että hakkerit käyttävät brute force -menetelmää murtaakseen pääkäyttäjän salasanan WordPress-ohjauspaneeliin.

Heidän kohdallaan hakkerit ovat iskeneet ensimmäiseksi WordPressissä oletuksena mukana tulevaan Hello Dolly -lisäosaan.

Haittaohjelman poistaminen

  1. Ota kaikista tiedostoista ja tietokannasta täydet varmuuskopiot.
  2. Palauta tai pyydä webhotellipalveluntarjoajaasi palauttamaan sivusto viimeisimmästä varmuuskopiosta.
  3. Ellei varmuuskopiota ole olemassa tai sitä ei jostain syystä voida palauttaa, kokeile tätä skriptiä, joka poistaa haittaohjelmakoodin kaikista tiedostoista. Skripti ottaa samalla varmuuskopion tiedostoista, mutta oma varmuuskopiokaan ei venettä kaada.
  4. Ellei edellinen skripti toimi, tässä on toinen vaihtoehto jos käytössäsi on SSH- tai Shell-yhteys.
  5. Ellei kumpikaan ylläolevista skripteistä toimi palvelimellasi, voit poistaa koodin manuaalisesti kaikista tiedostoista tekstieditorin etsi ja korvaa -toiminnolla. Tämä vaihtoehto on toki työläs.
  6. Viimeinen, mutta varmin vaihtoehto on asentaa WordPress kokonaan uudelleen ja palauttaa tiedot varmuuskopiosta.
  7. Päivitä WordPress ja kaikki lisäosat uusimpiin versioihin.
  8. Poista Hello Dolly -lisäosa ja hakkerien lisäämä nimetön käyttäjä.
  9. Vaihda oma ja muiden käyttäjien salasanat.
  10. Asenna iThemes Security -lisäosa ja konfiguroi se.

Lisää juttuja aiheesta

10.5.2022
Mikä on halvin webhotelli?
Jukka Peltoperä

Web-suunnittelijana sanon aina, että hyvä hosting ei ole paikka säästää silloin, kun yritys aikoo tosissaan löytyä netistä ja tehdä siellä verkkoliiketoimintaa. Vaikka pysyn sanojeni takana, myönnän, että joillakin on joskus […]

Lue juttu
8.4.2022
Näin piilotat PHP-varoitukset ja -ilmoitukset WordPressissä
Jukka Peltoperä

PHP-varoitukset ja -ilmoitukset tarjoavat hyödyllistä tietoa kehittäjille, mutta tavallisten kävijöiden ei ole hyvä nähdä niitä. PHP-varoituksia ja -ilmoituksia voi ilmaantua näkyviin sivuillasi esimerkiksi silloin, kun muutat käytössä olevan PHP-version tai […]

Lue juttu
21.2.2022
WordPress ja puuttuva "Ota automaattiset päivitykset käyttöön" -linkki
Jukka Peltoperä

WordPress-sivustoja ylläpitäneet tietävät, että julkaisujärjestelmä osaa päivittää itse itsensä, kun siihen ilmestyy uusi tietoturvapäivitys. WordPress osaa myös tarkistaa säännöllisesti, onko asennettuihin ulkoasuteemoihin ja lisäosiin tullut uusia päivityksiä ja ilmoittaa niistä […]

Lue juttu
27.1.2022
WordPress ja "Toinen päivitys on jo käynnissä" -ongelma
Jukka Peltoperä

Kuten varmasti tiedät, WordPress-julkaisujärjestelmään, lisäosiin ja ulkoasuteemoihin tulee jatkuvasti uusia päivityksiä, jotka tuovat niihin uusia ominaisuuksia ja parannuksia sekä korjaavat löydettyjä bugeja ja haavoittuvuuksia. Vaikka WordPressin ja lisäosat voi asettaa […]

Lue juttu
8.12.2021
Title-tagi ja parhaat käytännöt
Jukka Peltoperä

Hyvän otsikon kirjoittaminen olennainen taito jokaiselle, joka tekee hakukoneoptimointia. Miksikö? Koska se on ensimmäinen asia, jonka käyttäjät näkevät hakutuloksissa ja yksi tärkeistä tekijöistä, joita Google käyttää arvioidessaan sivun aihetta. Mikä […]

Lue juttu
Jukka Peltoperä
Jukka Peltoperä
FM, tietojenkäsittelytieteet, Oulun yliopisto. Yrittäjä. Yli 20 vuoden kokemus web-suunnittelusta, web-teknologioista, WordPressistä, hakukoneoptimoinnista, sisällöntuotannosta ja digitaalisesta markkinoinnista.