Falešně pozitivní zpráva o napadení vašeho WordPress webu

Minulý rok jsem řešil problém s údajně napadeným webem běžícím na WordPress. Byl jsem z hostingu upozorněn, že můj web rozesílá nevyžádanou poštu, protože se na něm nachází nezabezpečený formulář. Součástí tohoto upozornění bylo i preventivní zablokování funkce mail().

Jediné formuláře (mimo pluginů) ve WordPress jsou komentáře a přihlašování. Ty mají ošetřené vstupy, takže jsem počítal rovnou s napadením webu.

 

Nejdříve mě to vyděsilo, protože čistit WordPress je dlouhá práce s nejistým výsledkem. Efektivnější je prostě přehrát vše poslední dobrou zálohou. Vzhledem k tomu, že u každého WordPress dnes už používám plugin na automatické zálohování (UpdraftPlus anebo Backup Scheduler), šel bych určitě touto cestou (nová instalace WP, a nahrání dat ze zálohy). Nejdříve jsem však chtěl zjistit, co se stalo a kde byla chyba.

Hodil jsem do .htaccess zákaz přístupu ze všech IP adress mimo té mé. Tohle byste měli udělat co nejdříve, protože u napadeného webu hrozí, že bude šířit nákazu dál. Navíc je odříznutý od venkovní komunikace, takže případný útočník mu nemůže posílat instrukce, stahovat data atd. Také roboti vyhledávačů nemohou detekovat malware.

Nainstaloval jsem na WordPress bezpečnostní plugin WordFence, který umí porovnat jádro, pluginy a šablony s originálem na WordPress.org a tak najít podezřelé změny v souborech. Překvapivě scan neukázal žádný problém. Říkám si, že to je nějaké divné. Připojím se přes FTP a hledám nové soubory anebo datum změn u posledních. Kromě cache nic nového.

Napíšu na webhosting jestli by mi mohli poslat nějaký log anebo příklad spamu, co se rozesílá. Jsem pak velmi překvapený, když zjistím, že problémový email je vlastně informační email od antispam pluginu, který poslal mě upozornění, že ve frontě komentářů našel nový spam.

Dám vědět že můj WordPress není napaden, ale pouze mi jen poslal emailem upozornění na spam komentář včetně jeho obsahu. Podpora mi odpoví, že to je ovšem problém, protože obsah tohoto emailu je typický spam a musí se blokovat, jinak mohou být jejich mailservery zařazeny na blacklist.

V podstatě mají pravdu. Ať už se jedná o „nevinné“ upozornění na spam anebo spam samotný, tak automatické filtry v tom prostě vidí spam a musí s tím něco udělat. Takže pozor na to. Spam prostě nepatří do emailové komunikace. Pokud si podobná upozornění necháte posílat mezi hostingy, klidně vaše IP adresa anebo doména může skončit na nějakém společném blacklistu. Já měl tu výhodu, že to podpora podchytila a začala se mnou řešit.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *