Пару дней назад я сделал то, чего обычно стараюсь избегать: я вышел в социальные сети, чтобы поразглагольствовать. Это произошло после того, как я получил разочаровывающее сообщение по электронной почте, что побудило меня связаться с моим веб-хостом, но техподдержка сделала все, что угодно, но только не помогла, поэтому мне пришлось вытирать грязное белье в Twitter. Будучи тем, кто я есть, я бы предпочел оставить этот вопрос без внимания, но та поддержка, которую я получил от своего хостера, когда мне больше всего нужна была помощь, меня сильно подкосила. Это был шок и одновременно открытие глаз. Теперь я недовольный клиент, который ищет нового хостера. Чего они ожидали после такой плохой поддержки клиентов? Один из представителей имел наглость попросить меня перенести мой сайт в другое место, если я недоволен. Наглость. Но помимо плохого обслуживания клиентов, в чем причина моих проблем? Вот история, стоящая за этим разочаровывающим письмом:
Недавно я стал жертвой очень решительного хакера, который получил доступ к моему сайту WordPress, в итоге захватив весь каталог public_html. Или наоборот – я действительно не знаю, как меня взломали, поскольку мой веб-хост не предоставил эту информацию даже после того, как я несколько раз поинтересовался. На этом аккаунте у меня было шесть сайтов WordPress. В результате взлома все они были отключены в качестве меры безопасности, что совершенно понятно. Но поскольку ситуация полностью вышла из-под контроля, трафик уменьшился, и я не получил ни одного запроса за те 72 с лишним часа, в течение которых я был заблокирован. Поэтому я обратился в Twitter и поднял шум, после чего мне на помощь пришел приятный на вид человек по имени Мэтью (спасибо, если вы читаете). После вмешательства Мэтью я смог восстановить свой главный сайт, хотя он и пострадал в плане основной функциональности. Остальным пяти сайтам не так повезло, они были вынуждены рассыпаться в прах, оставив у меня неприятный привкус во рту. Это был разочаровывающий и напрягающий опыт, особенно с учетом того, что я получал мало помощи от представителей службы поддержки Bluehost. Да, я только что настучал на вас Bluehost. Достаточно сказать, что это уже второй раз, когда меня взломали на их пакете виртуального хостинга. Мне следует начать учиться.
Отказ от ответственности: Мой опыт не отменяет того факта, что вы могли прекрасно провести время с хозяином – это просто мой единичный опыт.
Что Мэтт сделал по-другому? Он сделал мне файл malware.txt, содержащий подробную информацию о поврежденных файлах. Очистить большинство этих файлов было легко, но это означало удаление важных плагинов и замену основных файлов, что оставило мой основной сайт с серьезными проблемами. Тем не менее, он был восстановлен в кратчайшие сроки, что лучше, чем ничего. Остальные пять я удалил полностью, потому что они были повреждены, и резервные копии – по словам представителей службы поддержки – тоже были повреждены. Знаете, как бы не подлежат восстановлению. Очень жаль. Теперь мне придется начать работу над пятью разными сайтами, что очень огорчительно для такой крупной компании, как Bluehost. В любом случае, я дал Мэтту отличный отзыв, но другим представителям не так повезло. Но я все еще беспокоюсь, что меня могут снова взломать, а это не тот образ мышления, который нужен при ведении бизнеса. Размышления в сторону, взлом – это не то, что вы должны желать кому-либо, даже своему злейшему врагу. Даже если вы в итоге восстановите свой сайт, это вызовет у вас ненужный стресс и будет стоить вам драгоценного времени и денег. Если ваш хостинг такой же отстойный, как у меня, вы рискуете быть взломанным во второй раз. Вы потеряете трафик и продажи, а горькие воспоминания будут долго не проходить. Ваш авторитет тоже стоит на кону, так что да, быть взломанным – это невесело.
Что же делать, когда какой-то придурок где-то похищает ваш сайт WordPress и уничтожает все усилия, время, деньги и амбиции, которые вы вложили в свой проект? Есть ли номер, по которому вы можете позвонить? Может быть, в интернет-полицию? Есть ли кнопка быстрого исправления, которую можно нажать, и восстановить сайт за несколько минут, а не дней? Должны ли вы пройти через такой томительный опыт, как я, или ваш хостер поймет, что вы и так находитесь в состоянии стресса из-за потери цифровых активов? Что делать пользователю WordPress? Стоит ли опасаться хакеров или вы можете защитить себя сами? Вот несколько советов, которые вы можете использовать, чтобы надеяться, что у вас никогда не будет такого опыта, как у меня.
Безопасность WordPress
Говорят, что профилактика лучше лечения, и я с этим согласен. Безопасность WordPress имеет ключевое значение. В то же время, как бы вы ни старались, плохие парни всегда знают, куда именно нужно ударить и взломать ваш укрепленный сайт. Я говорю так, потому что на своих сайтах я использовал первоклассные плагины безопасности, но меня все равно взломали. Будь вы неофит WordPress или опытный веб-мастер, вам всегда следует обратить внимание на укрепление безопасности WordPress, а не пытаться восстановить свой сайт, когда он уже лежит кусками. Прежде чем мы обсудим способы восстановления взломанного сайта WordPress, давайте посмотрим, какие существуют превентивные меры. Как вы можете повысить свои шансы остаться непоколебимыми, даже если хакеры бросят все силы на ваш WP-бизнес? Вот сок.
Инвестируйте в отличный веб-хостинг
Что делает хостинг WordPress отличным? Мы уже обсуждали, как выбрать лучшего хостера WordPress, поэтому я не буду вдаваться в тонкости. Однако давайте упомянем несколько важных моментов, которые следует иметь в виду при выборе идеального хостера.
Цена против ценности
Прежде всего, не стоит стремиться “ужать копейки” при выборе хостинга. Низкая стоимость хостинга – это главная причина, по которой я выбрал и остановился на Bluehost. Я и представить себе не мог, что это обернется и укусит меня за задницу. У меня к тебе простой вопрос, mi amigo. Что бы вы предпочли: платить $4 в месяц и рисковать быть взломанным (+ плохое обслуживание), или $29 в месяц и получать звездное и индивидуальное обслуживание, специально разработанное для вашего бизнеса? Сколько стоит ваше душевное спокойствие? В недавнем прошлом я был уверен, что экономлю деньги, платя $4 в месяц за хостинг. Теперь я знаю лучше, и я подумываю о переходе на управляемый WordPress-хостинг. Если, конечно, Bluehost не захочет помассировать мое эго огромным праздничным тортом или чем-то подобным. Я, конечно, шучу, но им стоит обратить внимание на свою службу поддержки. Вам тоже стоит подумать об управляемом WordPress-хостинге, если вы не хотите впоследствии потерять свой бизнес.
Проблема с планами виртуального хостинга за $4 в месяц заключается в том, что ваш сайт живет с миллионом других сайтов на одном сервере, а это значит, что если один из других сайтов будет взломан, вам повезет, если вы избежите нападения. Если вы собираете/храните данные о клиентах на своем сайте, вы не хотите, чтобы такая информация попала в чужие руки. Если вы вложили время и деньги в создание отличного контента, вам не нужно, чтобы какой-то хакер свел все это к домашней странице с виагрой или, что еще хуже, к пустоте. Нам нужно переехать на управляемый WordPress хостинг. Многие из более доступных хостеров уже предлагают планы управляемого хостинга, и если мы увеличим спрос, возможно, цены в результате снизятся. Звучит как план, верно? Двигаемся дальше…
Поддержка качества
Нужно ли вообще говорить о том, почему ваш веб-хост должен обеспечивать отличную поддержку? Быть доступным в любой момент – это здорово, но мне приходилось ждать более 20 минут, чтобы пообщаться в чате с представителем службы поддержки Bluehost. А когда они все-таки появляются, они метко сообщают вам, что находятся в нескольких чатах одновременно, как будто вы должны компенсировать их нехватку персонала. Не круто, ребята, не круто. В итоге вы тратите еще больше времени на пустяки, поскольку они переносят проблемы из других чатов. Может ли это быть причиной того, что у них порой ужасное отношение? Но вместо того, чтобы указывать пальцем, может быть, я ожидаю слишком многого от 4 долларов в месяц? Возможно, да. Выбирайте хостера тщательно, иначе вы можете поплатиться потерей трафика (или, возможно, вашего бизнеса).
Кроме того, есть ли у них защищенные серверы? Какие еще меры безопасности они применяют? Сможете ли вы восстановить свой сайт WordPress в случае взлома, или вам скажут, что ваши резервные копии тоже повреждены? Заметят ли они вторжение задолго до того, как злоумышленник нанесет серьезный ущерб, или они отключат ваш сайт и сообщат вам, когда будет уже слишком поздно? Действительно ли вам нужно оставаться на этом пакете виртуального хостинга? Надежен ли ваш хостинг, или он делает вас уязвимым для всевозможных атак? Единственный способ найти ответы на эти и другие вопросы – прочитать отзывы (и этот пост считается одним из них) и провести необходимые исследования. Я серьезно, просто сделайте это, и вы будете удивлены, как много вы можете узнать о компании в большом WWW.
Получить чистые темы WordPress + плагины
Любимое игровое поле хакеров, темы и плагины (особенно плохо закодированные) обеспечивают легкий доступ к админке вашего сайта. Прямо в эту минуту какой-то хакер, вероятно, пытается получить доступ к вашему сайту/блогу WordPress, используя плохо закодированную тему или плагин. Если хакер использует бэкдор (скрытый в теме или плагине) для доступа к админке, вы – жареный гусь. Они могут сеять хаос, как им заблагорассудится. Поэтому важно скачивать темы и плагины с надежных сайтов. Вы ищете чистую тему? Мы рекомендуем профессиональные темы WPExplorer, Elegant Themes, Genesis и Themeforest. Нужны чистые плагины? Посмотрите WordPress Repo и CodeCanyon. Знаете другие надежные сайты, где можно приобрести темы и плагины? Пожалуйста, поделитесь в комментариях.
Обновление тем + плагинов + WordPress
Иногда отличная тема или плагин могут иметь недостатки в системе безопасности. Обычно разработчики выпускают обновления для устранения этих брешей. Однако если вы не обновляете свою тему или плагин, вы становитесь легкой мишенью для хакеров, которые – в большинстве случаев – знают о недостатке безопасности. В конце концов, информация об изъяне безопасности находится в открытом доступе, так что да, нажимайте кнопку обновления. Поддерживайте темы и плагины в актуальном состоянии. Не забудьте также обновить свою установку WordPress, иначе вы будете плакать, когда ад вырвется на свободу.
Резервное копирование сайта WordPress
Не будьте тем, кому придется восстанавливать сайт(ы) WordPress с нуля, как вам. С помощью полного и регулярного резервного копирования вы сможете легко восстановить свой сайт WordPress, даже если хакер сорвал его с петель и бросил через Атлантический океан. И, пожалуйста, не совершайте ошибку, полагая, что ваш хостер хранит надежные резервные копии вашего сайта, даже если они гордо заявляют об этом в своих маркетинговых брошюрах. Единственный (и лучший) способ защитить себя – это инвестировать в профессиональное и авторитетное решение для резервного копирования, такое как VaultPress. Другие варианты включают BackWPup, blogVault, Sucuri.net, а многие управляемые хостинги, такие как WPEngine, даже предлагают свои собственные варианты резервного копирования в различных тарифных планах.
Если вы хорошо разбираетесь в своем веб-сервере, вы можете даже создавать резервные копии вручную через регулярные промежутки времени (для дополнительной безопасности мы рекомендуем создавать резервные копии вручную в дополнение к одному из вышеупомянутых плагинов). Два раза в неделю – отличный график для начала. Просто сожмите ваш сайт WordPress и загрузите его на локальную машину. Скачайте также базу данных WordPress и сохраните обе в защищенной папке на вашем компьютере. Убедитесь, что ваш компьютер чист. Существует множество плагинов для резервного копирования WordPress, так что не волнуйтесь, если вы не можете разобраться в веб-сервере. Вы можете прочитать больше о защите вашего сайта WordPress, а также поделиться своими советами. Давайте двигаться дальше и посмотрим, как можно восстановить ваш взломанный сайт WordPress. Хотите узнать больше о том, как повысить безопасность WordPress? Ознакомьтесь с руководством по безопасности Sucuri WordPress, в котором описаны основные шаги, которые необходимо предпринять для обеспечения безопасности вашего сайта.
Как восстановить взломанный сайт WordPress
Вы только что проснулись, а вашего сайта нет. Пуф, вот так просто унесло ветром. Возможно, вы только что получили электронное письмо или текстовое сообщение с уведомлением the proverbial rainy day is here о том, что вы потеряли бразды правления над сайтом в руках какой-то дворняги в маске. Что делать? Вашей первой реакцией будет паника, что вполне нормально, поскольку это означает, что вы все еще живы и можете что-то сделать со взломом – или, если вам очень повезет, с хакером. Но не стоит доводить себя до психического срыва, вы все еще нужны нам. В конце концов, ущерб часто можно восстановить в кратчайшие сроки.
Вы все еще можете войти в систему
При некоторых взломах у вас все еще может быть доступ к области администратора WordPress. В этом случае вы можете легко восстановить свой сайт, удалив поврежденные файлы и закрыв место проникновения. Обычно Google и ваш веб-хост сообщают вам, когда вас взломали. Они даже могут показать вам взломанные файлы и URL-адреса. Все, что вам нужно сделать, это войти на свой сайт WordPress, удалить пораженные файлы или изменить данные для входа и обновить всю установку WordPress. Просто переустановите WordPress из области администратора. Возможно, вам также потребуется заменить зараженные темы и плагины на новые свежие копии.
О-о, вы заблокированы.
В других случаях хакер может полностью заблокировать вас или заблокировать доступ к вашему сайту (сайтам) WordPress. Так произошло в моем случае – я не мог войти ни на один из своих сайтов. Как я восстановил свой сайт? Я бы с удовольствием сказал вам, что это просто, но я бы солгал сквозь зубы. Во-первых, свяжитесь с вашим хостером, и даже если они не готовы предоставить информацию, надавите на них, чтобы они предоставили подробности взлома, включая список зараженных файлов. Если сотрудники службы поддержки не дают вам покоя, позвоните им, а если этого окажется недостаточно, просто примите бой в социальных сетях. Многие компании, не только хостинговые, дважды подумают о том, чтобы запятнать репутацию своего бренда в социальных сетях из-за одного недовольного клиента. Однако будьте вежливы, не бросайтесь непечатными выражениями. Именно так я и поступил, и, конечно, Мэтью сохранил файл malware.txt на моем сервере.
При наличии такого файла очистка и восстановление сайта WordPress сводится к устранению и замене поврежденных файлов. Тем не менее, это может быть долгим процессом, особенно если повреждения обширны, поскольку вам придется искать каждый пораженный файл по очереди. Однако, имея файл, показывающий, где находятся зараженные файлы, все, что вам нужно сделать, это войти в cPanel -> File Manager и удалить/заменить пострадавшие файлы. Обратите внимание, это может заставить вас удалить все плагины и даже темы. Если вы не используете дочернюю тему, а ваша родительская тема окажется зараженной, вы потеряете свой собственный дизайн, но, по крайней мере, ваш сайт будет работать! Вы всегда можете заменить плагины, так что это не должно быть проблемой. Удаление основных файлов WordPress выведет ваш сайт из строя, чего вы точно не хотите. В этом случае лучше всего заменить поврежденные файлы новыми. Только убедитесь, что заменяемые файлы относятся к той же версии WordPress, которую вы используете. В противном случае вы сломаете свой сайт. Понимаете, почему важно постоянно обновлять свою установку WordPress?
Если у вас есть надежное решение для резервного копирования, ваши шансы на восстановление взломанного сайта WordPress возрастают в десятки раз. Все, что вам нужно сделать, – это откатиться к предыдущей версии сайта и расслабиться. Обратите внимание, что после восстановления сайта может потребоваться его перестройка. После восстановления сайта WordPress (это означает, что вы можете войти в административную область), проверьте, работают ли все основные функции. Обратите внимание на виджеты, контактные формы, плагины социальных сетей и все остальное, что связано с каким-либо затронутым плагином или темой. Например, после восстановления моего сайта ни одна из моих форм не работала, поскольку мне пришлось удалить Contact Form 7, плагин, который управляет всеми моими формами. Мне также пришлось удалить Jetpack, поэтому я потерял социальный обмен, комментарии и RSS-каналы среди прочих функций. Я также удалил All in One Favicon и потерял свой пользовательский favicon. Я восстановил все эти функции, просто переустановив соответствующие плагины.
Обратите внимание, плагины сами по себе не были проблемой, но поскольку у хакера был доступ к моему серверу и администраторский доступ к моим сайтам WordPress, он мог добавлять вредоносный код куда захочет. Я также удалил WordPress SEO by Yoast, что означает, что мои усилия по SEO пошли прахом. Я принял удар, как и положено мужчине, и до сих пор восстанавливаюсь. К счастью, хакер, похоже, не беспокоился о моем контенте. Они/она/он/он не добавили пуха и ссылок на фальшивые сайты, как это случалось в прошлом. Я все еще восстанавливаю свой сайт и рассматриваю возможность редизайна сайта/содержания. Видите? В конце концов, взлом оказался не так уж плох. Это открыло мне глаза на то, что я делал неправильно, и дало мне импульс, необходимый для принятия мер к лучшему. На самом деле, если бы представители службы поддержки Bluehost не тратили так много моего времени, я бы быстро восстановил свой сайт и избавил их от этого подробного обзора. Возвращаясь к теме взлома, как только вы очистите свой сайт, свяжитесь со своим хостером, чтобы он удалил вас из черного списка. В то же время, восстановление взломанного сайта WordPress не будет иметь никакого значения, если вас взломают во второй раз. Если дыры в безопасности останутся незаделанными, все ваши усилия по восстановлению окажутся напрасными. Обратитесь к своему хостеру, и пусть он посоветует вам, как заделать брешь. Иногда проблема может заключаться в другом сайте на вашем виртуальном хостинге. Хотя это может дать вам некоторое успокоение, вам следует перейти на более безопасный тарифный план или инвестировать в вышеупомянутые средства защиты.
Самое главное, что необходимо сделать после восстановления сайта, – это изменить все учетные данные, включая электронную почту администратора. Это гарантирует, что хакер не сможет восстановить доступ к вашему сайту или даже к другим вашим учетным записям в Интернете. Несколько слов предостережения: Даже если вы измените данные для входа в систему, хакер все равно может войти на ваш сайт, что сводит на нет всю цель получения новых данных для входа. Что делать? Во-первых, если у вас на сайте несколько пользователей, убедитесь, что ни один из них не был точкой входа. Вы можете создать новые для различных пользователей: писателей, веб-дизайнеров, редактора и т.д. Во-вторых, вам необходимо изменить ключи безопасности в файле wp-config.php для автоматического выхода из системы всех неавторизованных пользователей, включая хакера. Генерация новых ключей безопасности – это простая и легкая работа. Просто перейдите в раздел “Создание новых ключей безопасности”, сгенерируйте новые ключи, войдите на свой сервер и обновите wp-config.php с новыми данными. Процесс довольно прост, и мы не ожидаем, что вы столкнетесь с какими-либо проблемами.
Пересмотр
Что еще я забыл? Вкратце о том, как защитить себя и восстановить свой сайт WordPress, если случится немыслимое:
- Во-первых, найдите лучшего веб-хостера, предпочтительно управляемый WordPress хостинг, например, WPEngine
- Инвестируйте в решения по безопасности WordPress – брандмауэры, резервное копирование – все, что нужно. Мы рекомендуем Sucuri.net, VaultPress, blogVault и т.д.
- Создавайте надежные данные для входа и сохраняйте их конфиденциальность
- Очистите свой компьютер и обновляйте программное обеспечение на нем
- Обновление WordPress, тем и плагинов
- Приобретайте темы и плагины из надежных источников
И если случится худшее:
- Не теряйте голову, решение всегда найдется. Перестройка с нуля – это тоже возможность совершенствования
- Свяжитесь с вашим веб-хостом и сведите его с ума.
- Устраните проблему или наймите профессионала (они легко доступны)
- Восстаньте из пепла и снова взмывайте в небо.
- Будьте великолепны и, возможно, документируйте свой опыт, чтобы помочь другим.
Ресурсы
Возможно, я нечаянно упустил некоторые области, или вы просто не смогли восстановить свой сайт с помощью советов, которые здесь представлены. Возможно, вы просто хотите узнать больше. Кто я такой, чтобы стоять у вас на пути? В конце концов, мы действительно хотим, чтобы вы восстановили свой взломанный сайт WordPress.
В конце концов…
Взлом никогда не бывает приятным, и мир был бы лучше без неэтичных хакеров, получающих удовольствие от злонамеренности. У меня нет проблем с этичными хакерами, которые делают свою работу, чтобы защитить нас. Тем не менее, не стоит впадать в панический режим или страдать от приступов тревоги, когда какой-то неблагодарный хмырь водит железным прутом по сердцу вашего сайта WordPress. При правильной подготовке и принятии правильных мер вы сможете восстановить взломанный сайт WordPress в кратчайшие сроки.
