A WordPress backdoor egy rejtett hozzáférési pont, amelyet a támadó szándékosan hagy bent a weboldalban. Ez teszi lehetővé, hogy a vírus kitakarítás után is visszatérjen. A backdoor elrejtőzhet fájlokban, adatbázisban vagy bővítményekben, és manuálisan nagyon nehéz megtalálni.
Backdoor a WordPress oldalon – mi ez és miért veszélyes?
Kitakarítottad a weboldalad, úgy tűnt, minden rendben van, majd néhány hét múlva ugyanaz a probléma jelentkezett újra. Ismerős a helyzet? Ha igen, akkor szinte biztosan találkoztál már egy wordpress backdoor-ral anélkül, hogy tudtad volna. Ez az egyik leggyakrabban félreértett fogalom a WordPress biztonság témakörében, ezért most érthetően, lépésről lépésre elmagyarázom, mi is ez valójában és miért olyan veszélyes.
Mi az a WordPress backdoor?
A backdoor szó szerint hátsó ajtót jelent, és pontosan erről van szó a weboldaladon is. A támadó, miután bejutott az oldaladba, nem csak megfertőzi azt, hanem egy rejtett hozzáférési pontot is elhelyez. Ez olyan, mintha betörtek volna a lakásodba, elvitték a holmidat, de közben egy pótkulcsot is bent hagytak, amit nem vettél észre.
Így bármikor visszatérhetnek. Nem kell újra feltörni az oldalt, nem kell újabb sérülékenységet keresni. Elég, ha egyszer használják azt a rejtett bejáratot, és máris bent vannak. A wordpress backdoor tehát nem maga a vírus, hanem az a kapu, amelyen keresztül a vírus újra és újra visszatér.
Hogyan kerül be a backdoor az oldaladba?
Sok ügyfélnél látom, hogy a backdoor bejutásának módja szinte mindig ugyanaz. A leggyakoribb forrás egy nem frissített bővítmény vagy sablon, amelyben ismert biztonsági rés van. A robotok folyamatosan pásztázzák az internetet ilyen sérülékenységek után, és automatikusan kihasználják őket.
A backdoor bekerülhet feltört admin jelszón keresztül is. Ha valaki hozzáfért az admin felülethez, bármit feltölthet vagy módosíthat. Ugyanígy előfordulhat, hogy egy rosszindulatú fájlt közvetlenül az FTP-n vagy a tárhelyen keresztül helyeznek el, ha azok hozzáférési adatai is kiszivárogtak.
Fontos megérteni, hogy a legtöbb esetben nem egy célzott, személyes támadásról van szó. Az esetek túlnyomó többségében automatizált robotok találják meg a sérülékenységet, nem pedig valaki, aki kifejezetten a te oldaladat akarta feltörni.
Hol bújik meg a backdoor?
Ez az a pont, ahol a dolog igazán bonyolulttá válik. A wordpress backdoor nem egy egyszerű fájl, amit könnyű megtalálni. Elrejtőzhet a wp-content mappában, a téma fájljai között, egy bővítmény könyvtárában, de akár az adatbázisban is. A támadók előszeretettel helyezik el kódrészletként, amelyek teljesen ártatlannak látszó PHP fájlokba vannak beágyazva.
Van, ahol a backdoor kódja obfuszkált, vagyis szándékosan olvashatatlanná tett formában jelenik meg. Első ránézésre úgy néz ki, mint egy összefüggéstelen karakterhalmaz, miközben valójában egy működő belépési pont. Előfordul az is, hogy cron job-ba, vagyis egy ütemezett feladatba rejtik el, amely rendszeres időközönként lefut a szerver háttérben, és újratelepíti a vírust.
Szóval nem egyetlen fájlról, hanem potenciálisan több helyről van szó egyszerre.
Miért olyan veszélyes?
A wordpress backdoor veszélyessége nem abban rejlik, amit azonnal látni lehet. A veszélyes rész az, ami láthatatlan marad. Amíg a backdoor bent van az oldalban, addig a támadónak állandó, visszatérő hozzáférése van. Ez azt jelenti, hogy újra fertőzhet, újra spammelhet a szerveredről, más oldalakat terhelhet túl a te erőforrásaiddal, vagy éppen a látogatóidnak megpróbál rosszindulatú tartalmat kiszolgálni.
A helyzet tovább rosszabbodik, ha a Google is észleli a fertőzést. Ilyenkor megjelenhet a találati listában a „This site may be hacked” figyelmeztetés az oldalad neve mellett, ami azonnal rontja a forgalmadat és a hitelességedet. Ha ezzel találkozol, érdemes elolvasnod ezt a cikket is: this site may be hacked wordpress – mit jelent és hogyan oldd meg? – mert a két probléma szorosan összefügg.
A legrosszabb forgatókönyv az, amikor az oldal gazdája hetekig vagy hónapokig nem veszi észre a backdoor jelenlétét. Közben az oldal adatokat szivárogtat, spameket küld, vagy feketelistára kerül a böngészőknél és a Google-nél.
Miért nem tűnik el az egyszerű takarítással?
Ez a leggyakoribb kérdés, ami elhangzik. Az tulajdonos kitakarítja az oldalt, esetleg biztonsági bővítményt telepít, majd néhány hét múlva ugyanaz a helyzet. Ennek pontosan a backdoor az oka.
Ha csak a látható fertőzést távolítod el, de a rejtett hozzáférési pont bent marad, akkor csupán a tüneteket kezeled, nem a problémát. A támadó rendszer a backdooron keresztül visszajön, és újra elvégzi a „munkáját”. Ez egy végtelen ciklus, amelyből csak úgy lehet kilépni, ha a backdoor-t is megtalálod és eltávolítod.
A probléma az, hogy ezt manuálisan megtenni rendkívül nehéz. Ehhez PHP kód olvasási tudás kell, ismerned kell a WordPress fájlstruktúráját, és tudnod kell, mire keresel pontosan. Sok esetben még egy tapasztalt fejlesztő is órákat tölt ezzel, és nincs garancia arra, hogy mindent megtalál. Ha visszatérő fertőzéssel küzdesz, erről bővebben olvashatsz itt: Miért tér vissza a vírus a WordPress oldalamon?
Ha azt érzed, hogy a helyzet meghaladja a saját lehetőségeidet, a HelloWP Vírus és feltörésmentesítés egy pontosan erre a helyzetre specializálódott szolgáltatás: megkeresik a rejtett hozzáférési pontokat is, nem csak a látható fertőzést.
Megoldhatom egyedül?
Igen, megpróbálhatod, és bizonyos esetekben sikerülhet is. Az ismert vírusirtó bővítmények, mint a Wordfence vagy a MalCare, segíthetnek megtalálni a gyanús fájlokat. Az alap biztonsági lépések elvégzése mindenképpen hasznos: frissítsd az összes bővítményt és sablont, cseréld le az összes jelszót, ellenőrizd az admin felhasználókat.
Azonban ha visszatérő fertőzéssel küzdesz, az szinte mindig azt jelenti, hogy egy backdoor még mindig bent van. Ilyenkor a manuális keresés és eltávolítás az egyetlen megoldás, ami valóban tartós eredményt hoz. Ha nem vagy biztos a dolgodban, és nem szeretnél az ördög körforgásában ragadni, érdemes szakemberre bízni. A WordPress vírusirtás: megcsinálhatom magam? cikkben részletesen leírtam, mikor elegendő az önerős megoldás és mikor nem.
Hogyan lehet végleg megszüntetni?
A tartós megoldás nem csupán a fájlok törlése. A teljes folyamat négy részből áll. Először meg kell találni és eltávolítani az összes backdoor-t, beleértve az adatbázisban és a cron job-okban elrejtetteket is. Másodszor be kell zárni azt a belépési pontot, amelyen keresztül a támadó eredetileg bejutott. Harmadszor le kell cserélni az összes hozzáférési adatot: admin jelszó, FTP, adatbázis. Negyedszer pedig folyamatos védelmet kell kiépíteni, hogy a helyzet ne ismétlődhessen meg.
Ez utóbbiban sokat segíthet egy kiszervezett karbantartás. A HelloShield webshop és weboldal karbantartás folyamatos felügyeletet, rendszeres frissítést és víruskeresést biztosít, így a backdoor-ok kockázata drasztikusan csökken.
Összefoglalva
A wordpress backdoor az egyik legveszélyesebb és legnehezebben észlelhető biztonsági probléma, amellyel egy WordPress oldal tulajdonosa találkozhat. Nem a vírus maga a legfontosabb, hanem az a rejtett kapu, amelyen keresztül újra és újra visszatér. Ha az oldalad már fertőzött volt, vagy most is visszatérő problémával küzdesz, nagy valószínűséggel egy backdoor is jelen van a rendszerben.
A legjobb döntés ilyenkor egy alapos, szakértői tisztítás, amelynek keretében nemcsak a látható fertőzést távolítják el, hanem az összes rejtett hozzáférési pontot is. Utána érdemes gondoskodni a rendszeres karbantartásról is, hogy többé ne kerülhess hasonló helyzetbe.
Bővebb útmutatót találsz itt: WordPress feltörés után: mit tegyél? és Feltörték a WordPress oldalamat – mit tegyek?
Gyakran ismételt kérdések – WordPress backdoor
1. Mi az a WordPress backdoor?
A WordPress backdoor egy rejtett hozzáférési pont, amelyet a támadó szándékosan hagy bent a fertőzött weboldalban. Segítségével bármikor visszatérhet az oldalhoz anélkül, hogy újra fel kellene törnie azt.
2. Miért tér vissza a vírus a WordPress oldalamon a kitakarítás után?
A legtöbb esetben azért, mert a takarítás során a backdoor bennmaradt az oldalban. A vírus eltávolítása önmagában nem elég, ha a rejtett hozzáférési pont megmarad, a fertőzés újraindul.
3. Hol lehet a backdoor a WordPress oldalamon?
Elrejtőzhet a téma fájljaiban, bővítményekben, a wp-content mappában, az adatbázisban vagy ütemezett feladatokban (cron job). Egy helyen vagy egyszerre több helyen is megjelenhet.
4. Megtalálhatom a backdoor-t egyedül?
Lehetséges, de nehéz. Biztonsági bővítmények segíthetnek, de a tapasztaltan elrejtett kódokat nem minden eszköz veszi észre. Visszatérő fertőzésnél mindenképpen szakember bevonása ajánlott.
5. Mennyi idő alatt lehet eltávolítani a backdoor-t?
Egy alapos tisztítás az oldal méretétől függően 1–3 órát vesz igénybe. A HelloWP Vírus és feltörésmentesítés átlagosan 1–3 órán belül helyreállítja a fertőzött oldalt, és garanciát vállal a munkára.
6. Hogyan előzhetem meg, hogy backdoor kerüljön az oldalamba?
Rendszeres frissítésekkel, erős jelszavakkal, megbízható bővítményekkel és folyamatos biztonsági felügyelettel. A kiszervezett karbantartás ebben a leghatékonyabb megoldás.
7. Mit tegyek, ha a Google is figyelmeztet a fertőzésre?
Ha a találati listában megjelenik a „This site may be hacked” üzenet az oldalad mellett, az azt jelenti, hogy a Google már észlelte a fertőzést. Ebben az esetben azonnali cselekvés szükséges, a backdoor eltávolítása és a Search Console-ban való manuális felülvizsgálat kérése.
