A WordPress feltörés után mit tegyek kérdésre a válasz: távolítsd el a fertőzött fájlokat, ellenőrizd az adatbázist, cseréld le az összes jelszót, frissíts mindent, és keresd meg a belépési pontot. Ha ezt kihagyod, a vírus visszatér, mert a backdoor bent marad a rendszerben.
Kitakarítottad az oldalt… és pár nap múlva újra fertőzött lett?
Ha igen, nem vagy egyedül. Ez az egyik leggyakoribb helyzet, amit WordPress oldalak esetén látni: a tulajdonos észreveszi a fertőzést, valahogy „megoldja”, aztán két héten belül ugyanaz a probléma jelentkezik újra. Esetleg más formában, de ugyanúgy ott van.
A WordPress feltörés után mit tegyek kérdés első látásra egyszerűnek tűnik. A valóság azonban az, hogy a legtöbb ember csak az első lépést csinálja meg, a többit kihagyja, és pontosan ezért jön vissza a vírus újra meg újra.
Ebben a cikkben végigmegyünk a teljes folyamaton. Megmutatom, mit kell pontosan megtenned, milyen lépéseket szoktak kihagyni, és miért marad bent a fertőzés még akkor is, ha úgy érzed, már tiszta az oldal. Ha most állsz neki a helyreállításnak, ez a cikk megspórolhat neked egy újabb kört.
A legnagyobb hiba: csak eltávolítod a vírust
Amikor valaki rájön, hogy feltörték az oldalát, az első ösztön az, hogy törli a gyanús fájlokat, esetleg visszaállít egy mentést, és azt gondolja, kész. Ez érthető, de sajnos nem elég.
A fertőzés oka szinte mindig bent marad. A vírus bejutott valahol, és az a „valahol” a legtöbb esetben egy sérülékeny plugin, egy elavult sablon, egy gyenge jelszó, vagy egy úgynevezett backdoor, vagyis egy rejtett hátsó ajtó, amelyet a támadó hagyott maga után. Ha ezt nem találod meg és nem zárod be, a rendszer újra és újra megfertőzhető.
Ezt a hibát látom a legtöbbnél. Nem azért, mert nem elég ügyesek, hanem mert senki nem mondta el nekik, hogy a takarítás csak az első lépés.
Mit tegyél lépésről lépésre – a teljes folyamat
1. Vírus eltávolítása és fájlok tisztítása
Az első lépés valóban a fertőzött fájlok azonosítása és törlése. Ehhez használhatsz olyan pluginokat, mint a Wordfence vagy a MalCare, amelyek átvizsgálják a fájlrendszert és jelzik a gyanús elemeket. Fontos, hogy ne csak töröld a fájlokat, hanem ellenőrizd, mi volt bennük, mert sokszor a fertőzés kód formájában jelenik meg egy egyébként legitim fájlban.
A WordPress core fájljait (wp-admin, wp-includes mappák) érdemes friss, tiszta verzióval felülírni. Ez nem érinti a tartalmaidat, de eltávolítja az esetleg módosított rendszerfájlokat.
2. Adatbázis ellenőrzése
Sokan megfeledkeznek arról, hogy a fertőzés az adatbázisban is megjelenhet. Spam linkek, átirányítások, kártékony JavaScript kódok kerülhetnek bele a posztokba, widgetekbe, beállításokba. Az adatbázist is meg kell vizsgálni, és ki kell tisztítani a gyanús bejegyzéseket.
3. Mentések ellenőrzése
Ha van mentésed, ne állítsd vissza automatikusan. Ellenőrizd, mikor keletkezett a fertőzés, és csak akkor állíts vissza korábbi mentést, ha biztosan tudod, hogy az még tiszta volt. Különben a régi sérülékenységet is visszahozod.
WordPress feltörés után mit tegyek –
A kritikus lépések, amiket szinte mindenki elfelejt
Ez a rész a legfontosabb. Az előző három lépést sokan elvégzik. Az alábbiak azok, amelyeket kihagynak, és amelyek miatt a vírus visszatér.
Jelszavak cseréje mindenhol. Nem csak a WordPress admin jelszavát kell megváltoztatni. A tárhelyes FTP jelszó, az adatbázis jelszó, a hosting fiók belépési adatai, és minden más hozzáférési adat cseréje szükséges. Ha a támadó megszerzi valamelyiket, az összes többi lépés hiábavaló.
Titkos kulcsok (secret keys) frissítése. A wp-config.php fájlban található titkos kulcsokat le kell cserélni. Ezek az aktív munkamenetek (session-ök) érvényességét szabályozzák. Frissítés után mindenki kijelentkezik, és az esetleg aktív rosszindulatú munkamenetek is megszűnnek.
A belépési pont megkeresése. Ez a legfontosabb és egyben a legbonyolultabb lépés. Melyik plugin volt sérülékeny? Melyik fájlon keresztül jutottak be? Ha ezt nem találod meg, akkor nem tudod lezárni a kiskaput. A szerver naplók (access log, error log) vizsgálata segíthet, de ehhez már komolyabb technikai tudás kell.
A sérülékenység javítása. Ha megtaláltad a belépési pontot, a sérülékeny plugint frissíteni vagy törölni kell. Ha a sablon volt a probléma, ugyanez vonatkozik rá. Elavult, már nem karbantartott bővítmény esetén a legjobb megoldás egy megbízható alternatíva keresése.
Backdoor eltávolítása. A backdoor egy rejtett bejárót jelent, amelyet a támadó helyez el az oldalon, hogy később visszatérhessen. Ezek sokszor ártalmatlannak tűnő PHP fájlokban bújnak meg, és még profi szemmel is nehéz megtalálni őket. Ha ezt bent hagyod, az oldal bármikor újra feltörhető, akár automatikusan is. Erről részletesen olvashatsz a Backdoor a WordPress oldalon – mi ez és hogyan találd meg? cikkünkben.
Miért tér vissza a vírus?
Ez az a kérdés, ami a legtöbb feltört oldal tulajdonosát foglalkoztatja. „Megcsináltam mindent, mégis visszajött.” A válasz szinte mindig valamelyik alábbi ok:
A backdoor bent maradt. Ez a leggyakoribb ok. Egy vagy több rejtett hátsó ajtó megmaradt a fájlrendszerben, és a támadó (vagy egy automatizált bot) ezen keresztül visszatért. Ha szeretnéd pontosan megérteni, mi is az a backdoor és hogyan működik, részletesen írtam róla ebben a cikkben: Backdoor a WordPress oldalon – mi ez és miért veszélyes?
A sérülékeny plugin vagy sablon megmaradt. Ha nem frissítettél, vagy nem távolítottad el a problémás bővítményt, a belépési pont nyitva van. Egy automatizált szkript naponta többször is megpróbálhat belépni ugyanazon a résen.
A jelszavak nem változtak. Ha a támadó korábban megszerzte az admin jelszót, FTP adatokat vagy hosting hozzáférést, és te nem cserélted le azokat, újra be tud jutni.
Az adatbázis nem volt teljesen tiszta. Egyes fertőzések az adatbázisban tárolnak kódot, amely bizonyos feltételek teljesülésekor aktiválódik és újrafertőzi a fájlrendszert.
Ha ezeket a lehetőségeket nem zárоd le szisztematikusan, a takarítás csak ideiglenes megoldás. A HelloWP Vírus és feltörésmentesítés szolgáltatás pont ezért tartalmaz komplex vizsgálatot: nem csak eltávolítják a fertőzést, hanem megkeresik és megszüntetik az okot is, garanciával, átlagosan 1–3 órán belül.
Miért nem látod ezeket a problémákat?
A fájlrendszerben százával lehetnek fájlok. A backdoorok sokszor valódi WordPress fájlokra hasonlítanak, vagy jól elrejtett helyeken találhatók. Az adatbázisban lévő kártékony kódok ránézésre akár normálisnak is tűnhetnek.
Ez nem egy egyszerű „törlöm és kész” típusú feladat. Sok tapasztalat kell ahhoz, hogy valaki biztonsággal el tudja dönteni, melyik fájl legitim és melyik nem. Tapasztalataim szerint még az sem garantálja a sikert, ha valaki ért a WordPresshez, de még sosem foglalkozott fertőzött oldalakkal.
A HelloShield Webshop és weboldal karbantartás szolgáltatás ebből a szempontból is értékes: folyamatos víruskeresés, jelszóvédelem, napi mentés és szakértői hibajavítás egyben, úgy, hogy nem kell foglalkoznod a technikai részletekkel.
Meg tudod csinálni egyedül?
Igen, meg lehet csinálni. De legyünk őszinték: komplex folyamatról van szó, amely egyszerre érinti a fájlrendszert, az adatbázist, a szerverkonfigurációt és a WordPress beállításait. Ha valamelyiket kihagyod, a munka egy részét elvégezted, de a probléma megmarad.
Ha magad vágnál bele, a WordPress vírusirtás: megcsinálhatom magam? cikkünkben összeszedtük, mire számíthatsz és mikor éri meg szakemberhez fordulni.
WordPress feltörés után mit tegyek
A valódi megoldás: nem csak tisztítás, hanem lezárás
A helyes megközelítés nem az, hogy eltávolítod a vírust és reméled, hogy nem jön vissza. A valódi megoldás egy teljes folyamat: fertőzés eltávolítása, belépési pont azonosítása, sérülékenység javítása, backdoorok keresése és törlése, jelszócsere, és végül a rendszer megerősítése, hogy a jövőben ne ismétlődhessen meg.
Ha ezt a folyamatot szeretnéd egyszer, rendesen elvégezni, a HelloWP Vírus és feltörésmentesítés erre a célra lett kialakítva. A munka garanciával zajlik, és tartalmaz egy CleanTalk PRO AntiSpam előfizetést is ajándékba. Azaz nem csak megoldják a problémát, hanem fel is készítik az oldalt, hogy ilyen ne történhessen újra.
WordPress feltörés után mit tegyek – Összefoglalás
A WordPress feltörés után mit tegyek kérdésre nincs egyszerű, egyetlen lépéses válasz. A vírus eltávolítása csak az első fázis. A backdoorok keresése, a belépési pont lezárása, a jelszócsere és a rendszer megerősítése nélkül a fertőzés szinte biztosan visszatér.
Nem az a kérdés, hogy eltűnt-e a vírus. A valódi kérdés az: visszajöhet-e? Ha nem vagy benne biztos, érdemes szakemberhez fordulni. Egy rosszul elvégzett tisztítás sokkal többe kerülhet hosszú távon, mint egy egyszeri, profi megoldás.
Ha most vágsz bele, először olvasd el a Feltörték a WordPress oldalamat – mit tegyek? bevezető cikkünket is, hogy a teljes képet lásd.
Gyakran ismételt kérdések – WordPress feltörés után mit tegyek
1. Mi az első lépés, ha feltörték a WordPress oldalamat?
Az első lépés az oldal ideiglenesen offline állapotba helyezése, hogy a látogatók ne találkozzanak kártékony tartalommal. Ezután kezdd el a fájlrendszer átvizsgálását egy biztonsági pluginnal, és értesítsd a tárhelyszolgáltatódat.
2. Miért tér vissza a vírus a WordPress oldalon?
A vírus leggyakrabban azért tér vissza, mert a backdoor, vagyis a rejtett hátsó ajtó bent marad a fájlrendszerben. Emellett a sérülékeny plugin megmaradása vagy a jelszavak lecserélésének elmulasztása is újrafertőzéshez vezethet.
3. Elég, ha visszaállítom a mentést?
Önmagában nem. Ha a mentés már a fertőzés előtt keletkezett, és a sérülékenységet is javítod utána, akkor segíthet. De ha a belépési pontot nem zárоd le, a visszaállított oldal hamarosan újra fertőzött lesz.
4. Hogyan találom meg a backdoort a WordPress oldalon?
A backdoorok keresése technikai feladat: fájlrendszer átvizsgálást, gyanús PHP kódok azonosítását és szerver naplók elemzését igényli. Automatizált eszközök segítenek, de a megbízható eredményhez tapasztalat is kell.
5. Mennyi idő alatt oldható meg a WordPress feltörés?
Egy profi szakember átlagosan 1–3 óra alatt képes helyreállítani egy feltört WordPress oldalt, ha a fertőzés nem rendkívül komplex. Az önálló megoldás általában több időt vesz igénybe, és nem mindig teljes.
6. Kell-e jelszót cserélni a WordPress admin jelszaván kívül is?
Igen, feltétlenül. Az FTP hozzáférés, az adatbázis jelszó és a tárhely fiók jelszava egyaránt cserébe szorul. Ha ezek egyike kompromittálódott, az admin jelszó cseréje önmagában nem elegendő.
7. Hogyan védhető meg az oldal a jövőben?
Rendszeres frissítések, erős jelszavak, kétlépéses hitelesítés, napi mentés és folyamatos biztonsági felügyelet segítségével jelentősen csökkenthető a kockázat. A HelloShield Webshop és weboldal karbantartás szolgáltatás mindezeket egybecsomagolja, 14 900 Ft/hó áron.
