WordPress

WordPress: Zend Hack ja sen korjaaminen

Jukka Peltoperä
Jukka Peltoperä
Julkaistu:  4.7.2013. Päivitetty:  23.3.2022.

WordPress-sivustot ovat viime aikoina olleet entistä enemmän hakkerien hyökkäyksien kohteena. Olemme viimeisen parin kuukauden aikana saaneet korjata yhden jos toisenkin hakkerin WordPress-sivustoille jättämiä jälkiä.

Yksi kesäkuun aikana paljon hyödynnetty tietoturva-aukko, jota kutsutaan myös nimellä Zend Hack, mahdollistaa haitallisen koodin lisäämisen palvelimella oleviin PHP-tiedostoihin. Hakkerien skripti lisää kaikkien PHP-tiedostojen alkuun koodatun rivin, joka alkaa seuraavilla merkeillä:

<?php $zend_framework="\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e" ... ?>

Jos löydät WordPress-tiedostoista ylläolevan koodin, noudata tässä artikkelissa olevia ohjeita ongelman korjaamiseksi.

Mitä haittaohjelma tekee?

Haittaohjelmakoodi tarkistaa onko kävijä hakurobotti vai ei, hakee dataa ulkoisilta palvelimilta ja näyttää ne kävijöille. Sivusto voi toimia oudosti tai näyttää kävijöille palvelinvirheen. Viimeksi korjaamamme sivuston kohdalla haittaohjelma poisti kaikki lisäosat käytöstä.

Koodi lisää WordPressiin myös uuden pääkäyttäjän, jonka nimi ja sähköpostiosoite ovat tyhjiä. Poista tämä käyttäjä kokonaan.

Miten haittaohjelma pääsee sivuille?

Toistaiseksi on epäselvää miten hakkerit pääsevät sivuille, mutta täällä on tutkittu palvelimen lokeja ja tultu siihen tulokseen, että hakkerit käyttävät brute force -menetelmää murtaakseen pääkäyttäjän salasanan WordPress-ohjauspaneeliin.

Heidän kohdallaan hakkerit ovat iskeneet ensimmäiseksi WordPressissä oletuksena mukana tulevaan Hello Dolly -lisäosaan.

Haittaohjelman poistaminen

  1. Ota kaikista tiedostoista ja tietokannasta täydet varmuuskopiot.
  2. Palauta tai pyydä webhotellipalveluntarjoajaasi palauttamaan sivusto viimeisimmästä varmuuskopiosta.
  3. Ellei varmuuskopiota ole olemassa tai sitä ei jostain syystä voida palauttaa, kokeile tätä skriptiä, joka poistaa haittaohjelmakoodin kaikista tiedostoista. Skripti ottaa samalla varmuuskopion tiedostoista, mutta oma varmuuskopiokaan ei venettä kaada.
  4. Ellei edellinen skripti toimi, tässä on toinen vaihtoehto jos käytössäsi on SSH- tai Shell-yhteys.
  5. Ellei kumpikaan ylläolevista skripteistä toimi palvelimellasi, voit poistaa koodin manuaalisesti kaikista tiedostoista tekstieditorin etsi ja korvaa -toiminnolla. Tämä vaihtoehto on toki työläs.
  6. Viimeinen, mutta varmin vaihtoehto on asentaa WordPress kokonaan uudelleen ja palauttaa tiedot varmuuskopiosta.
  7. Päivitä WordPress ja kaikki lisäosat uusimpiin versioihin.
  8. Poista Hello Dolly -lisäosa ja hakkerien lisäämä nimetön käyttäjä.
  9. Vaihda oma ja muiden käyttäjien salasanat.
  10. Asenna iThemes Security -lisäosa ja konfiguroi se.

Lisää juttuja aiheesta

19.10.2022
404-virhesivut hakukoneoptimoinnin näkökulmasta
Jukka Peltoperä

Yksi yleisimmistä vastaan tulevista HTTP-tilakoodeista on 404 Not Found, mikä tarkoittaa kaikessa yksinkertaisuudessaan sitä, että asiakkaan pyytämää resurssia ei löytynyt, kun sitä pyydettiin palvelimelta. Jos suunnittelet verkkosivuja, ylläpidät verkkokauppaa tai […]

Lue juttu
18.10.2022
Googlen verkkovastaavan ohjeet on nyt Search Essentials
Jukka Peltoperä

Hyvästi Googlen Verkkovastaavan ohjeet. Tervetuloa Google Search Essentials! Google tiedotti viime viikolla julkaisevansa yksinkertaistetun version Verkkovastaan ohjeista ja nimeävänsä sen uudelleen Google Search Essentialsiksi. Uuden ohjeistuksen suomenkieliseksi nimeksi saattaisi englanninkielisen […]

Lue juttu
12.10.2022
Wordfence-URL:t Google Search Consolessa
Jukka Peltoperä

Wordfence on näppärä tietoturvalisäosa WordPressille, jolla saat lisättyä WP-sivustollesi applikaatiotason palomuurin muun muassa brute force -hyökkäyksien torjumiseksi sekä sivuston skannaamiseen tunnettujen tietoturva-aukkojen, haittaohjelmien, takaovien, roskapostin ja injektioiden varalta. Olen käyttänyt […]

Lue juttu
7.10.2022
Näin poistat syötteet käytöstä WordPressissä
Jukka Peltoperä

Haluatko poistaa RSS-syötteet käytöstä WordPress-sivustollasi? RSS-syötteet ovat hyvä tapa mahdollistaa blogin seuraaminen ja uusien blogijuttujen tilaaminen erilliseen RSS-lukijaan sekä blogin lisääminen erilaisiin aggregaatti- (engl. aggregator) eli kerääjä-, kooste- tai kokoomapalveluihin, […]

Lue juttu
10.5.2022
Mikä on halvin webhotelli?
Jukka Peltoperä

Web-suunnittelijana sanon aina, että hyvä hosting ei ole paikka säästää silloin, kun yritys aikoo tosissaan löytyä netistä ja tehdä siellä verkkoliiketoimintaa. Vaikka pysyn sanojeni takana, myönnän, että joillakin on joskus […]

Lue juttu
Jukka Peltoperä
Jukka Peltoperä
FM, tietojenkäsittelytieteet, Oulun yliopisto. Yrittäjä. Yli 20 vuoden kokemus web-suunnittelusta, web-teknologioista, WordPressistä, hakukoneoptimoinnista, sisällöntuotannosta ja digitaalisesta markkinoinnista.