WordPress incidenskezelés

A weboldalamat feltörték - mit tegyek az első 30 percben?

A weboldalamat feltörték - mit tegyek az első 30 percben?

Ha a weboldaladat feltörték, az első 30 percben nem az a cél, hogy mindent tökéletesen megoldj. A cél az, hogy csökkentsd a kárt, megőrizd a bizonyítékokat, megakadályozd a további hozzáférést, és eldöntsd, hogy saját erőből biztonságosan kezelhető-e az incidens.

A kapkodás ilyenkor sokszor többet árt, mint használ. Ha vakon törölsz fájlokat, elveszhet a nyom, ami megmutatná, hogyan jutott be a támadó. Ha csak visszaállítasz egy régi mentést, de a belépési pontot nem zárod le, a fertőzés visszajöhet.

Ha biztos tisztítást szeretnél, a WebShield SOS helyreállításnál gyorsan átvizsgáljuk az oldalt, eltávolítjuk a rosszindulatú kódot, és beállítjuk a védelmi lépéseket. Üzletileg kritikus oldalnál ez gyakran olcsóbb, mint órákig találgatni.

0-5 perc: állapítsd meg, mi történik

Először gyűjts néhány konkrét tünetet:

Ne csak azt írd fel, hogy "feltörték". Ments képernyőképet, URL-t, időpontot és hibaszöveget. Ezek később segítenek eldönteni, hogy SEO spamről, átirányításról, admin fiók kompromittálásáról vagy szerveroldali backdoorról van szó.

5-10 perc: őrizd meg a bizonyítékokat

Mielőtt törölsz vagy frissítesz, próbáld megmenteni:

Ez nem azért kell, mert vissza akarod állítani a fertőzött állapotot. Azért kell, mert a belépési pont és a backdoor sokszor csak ezekből rekonstruálható.

10-15 perc: korlátozd a további kárt

Ha az oldal aktívan látogatókat irányít át vagy kártékony tartalmat szolgál ki, érdemes karbantartási módot vagy ideiglenes korlátozást használni. Webshopnál óvatosabban kell dönteni, mert a teljes leállás üzleti kárt okozhat, de a kompromittált fizetési vagy ügyféladat-kezelés még nagyobb kockázat.

Azonnali lépések:

Ha átirányítás a tünet, olvasd el a WordPress átirányításos fertőzésről szóló útmutatót is.

15-20 perc: cseréld a kritikus hozzáféréseket

A WordPress admin jelszó cseréje fontos, de nem elég. A támadó sokszor nem csak az admin felületen keresztül jutott be.

Cserélendő hozzáférések:

Frissítsd a WordPress salts értékeket is, hogy a régi bejelentkezési sütik érvényüket veszítsék.

20-30 perc: döntsd el, ki tisztítja

Ha nincs rutinod WordPress incidenskezelésben, ne itt tanuld meg élesben. Egy látszólag egyszerű fertőzés mögött lehet backdoor, kamu bővítmény, cron feladat, rejtett admin vagy adatbázisba injektált kód.

Szakértői segítséget kérj, ha:

A WebShield SOS tisztításnál nem csak "ráengedünk egy scannert" az oldalra. Fájlokat, adatbázist, adminokat, cron eseményeket, HTTP kéréseket és naplókat is nézünk. Ha tiszta, működő oldalt szeretnél gyorsan, az SOS segítség erre való.

Mit ne csinálj az első 30 percben?

Ne töröld a logokat. Ne állíts vissza vakon régi mentést. Ne bízz abban, hogy egy plugin zöld jelzése lezárja az ügyet. Ne hagyd meg a régi jelszavakat. Ne indíts újra fizetett hirdetést addig, amíg nem tesztelted több környezetből az oldalt.

Ha a Wordfence vagy más scanner tisztának látja az oldalt, de a tünet marad, olvasd el, miért lehet fertőzött egy látszólag tiszta oldal.

Összefoglalás

Az első 30 percben a legfontosabb a kár csökkentése, a bizonyítékok mentése és a hozzáférések korlátozása. A teljes tisztítás nem csak fájltörlés: meg kell találni a belépési pontot és a perzisztenciát is. Ha biztosra akarsz menni, a WebShield gyorsan elvégzi a tisztítást, és utána olyan védelmi rendszert állít be, amely csökkenti az újrafertőződés esélyét.

Nem szeretnél legközelebb is fertőzést takarítani?

A WebShield folyamatos védelemmel, mentéssel és naplózással segít megelőzni az újrafertőződést.