ทำความสะอาดและดูแลรักษาไซต์

หากต้องการรักษาเว็บไซต์ให้สะอาดและป้องกันการแฮ็กในอนาคต คุณจะต้องมีสิ่งต่อไปนี้

  • สิทธิ์เข้าถึงเซิร์ฟเวอร์ของไซต์ ไม่ว่าจะเป็นเว็บ ฐานข้อมูล ไฟล์
  • ความรู้เกี่ยวกับคำสั่ง Shell หรือเทอร์มินัล
  • ความเข้าใจเกี่ยวกับโค้ด (เช่น PHP หรือ JavaScript)
  • พื้นที่เก็บข้อมูลเพื่อสร้างข้อมูลสำรองของเว็บไซต์ รวมถึงไฟล์ ฐานข้อมูล และรูปภาพ

การดำเนินการถัดไป

เราจะดำเนินการหลายอย่างด้วยกันในขั้นตอนนี้ ดังนี้

  • ค้นหาแหล่งข้อมูลเพิ่มเติมในกรณีที่คุณเชื่อว่าแฮกเกอร์ตั้งใจจะ รับข้อมูลของผู้ใช้ ข้อมูลส่วนบุคคล (เช่น หน้าเว็บฟิชชิง)
  • ตัวเลือกในการใช้นำ URL ออก ใน Search Console เพื่อเร่งการนำออกใหม่ทั้งหมดที่ไม่ต้องการ URL ที่ผู้ใช้มองเห็นได้ซึ่งแฮ็กเกอร์สร้างขึ้น ซึ่งคุณไม่ต้องการให้ปรากฏ ผลการค้นหาของ Google
  • ตัวเลือกในการ ขอให้ Google ทำการ Crawl URL อีกครั้ง ใน Search Console เพื่อเร่งให้ Google ดำเนินการกับหน้าเว็บที่สะอาด ซึ่งหมายถึงหน้าเว็บใหม่หรือที่เพิ่งอัปเดต ซึ่งคุณต้องการให้มี ปรากฏในผลการค้นหาของ Google
  • ติดตั้งซอฟต์แวร์เวอร์ชันล่าสุดที่มีความปลอดภัยมากที่สุด
  • นำแอปพลิเคชันที่ไม่จำเป็นหรือไม่ได้ใช้ หรือปลั๊กอินที่อาจทำให้ เว็บไซต์ของคุณมีความเสี่ยงมากขึ้นในอนาคต
  • กู้คืนเนื้อหาที่ดีและลบเนื้อหาของแฮ็กเกอร์
  • แก้ไขปัญหาที่เป็นต้นเหตุที่ทำให้เกิดช่องโหว่ที่แฮ็กเกอร์ใช้ประโยชน์
  • กำลังเปลี่ยนรหัสผ่านทั้งหมด
  • วางแผนที่จะรักษาเว็บไซต์ของคุณให้ปลอดภัย

1. ค้นหาแหล่งข้อมูลการสนับสนุน

หากมีข้อมูลที่เป็นความลับของผู้ใช้จากเว็บไซต์ (ตัวอย่างเช่น เนื่องจากเป็นส่วนหนึ่งของการโจมตีแบบ ฟิชชิ่ง) คุณอาจต้องพิจารณา ความรับผิดชอบทางธุรกิจ กฎข้อบังคับ หรือกฎหมายก่อนที่จะเริ่มทำความสะอาด เว็บไซต์ของคุณหรือลบไฟล์ใดก็ได้ ในกรณีของฟิชชิง antiphishing.org มีทรัพยากรที่เป็นประโยชน์ เช่น เอกสารของพวกเขา สิ่งที่ต้องทำหากเว็บไซต์ของคุณถูกแฮ็กโดย นักฟิชชิง

2. เร่งให้มีการนำ URL ใหม่ที่แฮ็กเกอร์สร้างขึ้นออก

หากแฮกเกอร์สร้าง URL ใหม่ที่ปรากฏต่อผู้ใช้ขึ้นทั้งหมด คุณสามารถ หน้าเว็บถูกนำออกจากผลการค้นหาของ Google ได้เร็วขึ้นโดยใช้ นำ URL ออก ใน Search Console โดยคุณจะทำตามขั้นตอนนี้หรือไม่ก็ได้ หากคุณเพิ่งลบหน้า แล้วกำหนดค่าเซิร์ฟเวอร์เพื่อให้แสดงผลสถานะ 404 รหัส หน้าเว็บจะหลุดออกจากดัชนีของ Google เมื่อเวลาผ่านไป

  • การตัดสินใจว่าจะนำ URL ออกหรือไม่ อาจขึ้นอยู่กับจำนวน URL ใหม่ หน้าเว็บที่ไม่ต้องการที่สร้างขึ้น (การใส่หน้าเว็บจำนวนมากเกินไปอาจทำให้เกิดความยุ่งยาก นำ URL ออก) รวมถึงความเสียหายที่หน้าเว็บเหล่านี้อาจเกิดขึ้นกับผู้ใช้ เพื่อไม่ให้หน้าเว็บที่ส่งผ่านการนำ URL ออกปรากฏใน ผลการค้นหา โปรดตรวจสอบว่าหน้าเว็บได้รับการกำหนดค่าให้แสดง 404 การตอบสนอง "ไม่พบไฟล์" สำหรับ URL ที่ไม่พึงประสงค์และถูกนำออก
  • อย่าใช้เครื่องมือนี้เพื่อขอให้ลบหน้าเว็บที่ดีก่อนหน้านี้ซึ่ง ได้รับความเสียหายจากแฮกเกอร์เท่านั้น คุณจะต้องให้หน้าเหล่านี้ปรากฏใน ในผลการค้นหาหลังจากทำความสะอาดแล้ว การนำ URL ออกจะใช้กับหน้าเว็บเท่านั้น คุณจะไม่มีวันปรากฏในผลการค้นหา

3. เร่งให้ Google แสดงหน้าเว็บปกติได้รวดเร็วขึ้น

หากคุณมีหน้าเว็บใหม่หรือที่อัปเดตใหม่ซึ่งเป็นปกติ คุณสามารถ ขอให้ Google ทำการ Crawl URL อีกครั้ง ใน Search Console เพื่อส่งหน้าเว็บเหล่านี้ไปยังดัชนีของ Google นี่คือ ไม่บังคับ หากคุณข้ามขั้นตอนนี้ หน้าเว็บใหม่หรือที่แก้ไขจะ ทำการ Crawl และประมวลผลตามเวลา

4. เริ่มทำความสะอาดเซิร์ฟเวอร์ของคุณ

ถึงเวลาที่จะเริ่มทำความสะอาดเว็บไซต์ตามข้อมูลที่คุณจดไว้ ในระหว่างประเมินความเสียหาย และ ระบุช่องโหว่ เส้นทางที่คุณจะดำเนินการในขั้นตอนนี้จะขึ้นอยู่กับประเภทของการสำรองข้อมูลที่คุณมี ดังนี้

  • ข้อมูลสำรองที่เป็นข้อมูลปกติและปัจจุบัน
  • ข้อมูลสำรองที่เป็นข้อมูลปกติแต่ล้าสมัย
  • ไม่มีข้อมูลสำรอง

ขั้นแรก ให้ตรวจสอบว่าข้อมูลสำรองของคุณสร้างขึ้นก่อนที่ไซต์จะถูกแฮ็ก

ข้อมูลสำรองที่เป็นข้อมูลปกติและปัจจุบัน

  1. คืนค่าจากข้อมูลสำรองของคุณ
  2. ติดตั้งการอัปเกรด อัปเดต หรือแพตช์ของซอฟต์แวร์ทั้งหมดที่มีอยู่ ซึ่งรวมถึง ซอฟต์แวร์สำหรับระบบปฏิบัติการหากคุณเป็นผู้ควบคุมเซิร์ฟเวอร์ และแอปพลิเคชันทั้งหมด เช่น ระบบจัดการเนื้อหา แพลตฟอร์มอีคอมเมิร์ซ ปลั๊กอิน หรือเทมเพลต
  3. พิจารณานำซอฟต์แวร์ที่ไซต์ไม่ได้ใช้งานแล้วออกจากเซิร์ฟเวอร์ของคุณ (เช่น วิดเจ็ต ปลั๊กอิน หรือแอปพลิเคชัน)
  4. แก้ไขช่องโหว่
  5. ตรวจสอบว่าปัญหาทั้งหมดที่พบในระหว่างประเมินความเสียหาย มีการใช้กัน
  6. เปลี่ยนรหัสผ่านของบัญชีทั้งหมดที่เกี่ยวข้องกับเว็บไซต์นี้อีกครั้ง (เช่น การเข้าสู่ระบบเพื่อเข้าถึง FTP, การเข้าถึงฐานข้อมูล, ผู้ดูแลระบบ และ บัญชี CMS) ในระบบ Unix ให้ใช้คำสั่งต่อไปนี้
passwd admin1

ข้อมูลสำรองที่เป็นข้อมูลปกติแต่ล้าสมัย

  1. สร้างดิสก์อิมเมจของเว็บไซต์ปัจจุบันแม้ว่าจะยังคงมีปัญหาหลงเหลืออยู่ สำเนานี้จะใช้เป็นข้อมูลสำรองเท่านั้น ทำเครื่องหมายสำเนาว่าติดเชื้อเพื่อแยกความแตกต่าง จากคนอื่นๆ ในระบบ Unix คุณสามารถสร้างดิสก์อิมเมจได้ดังนี้
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. สร้างสำเนาระบบไฟล์ของเซิร์ฟเวอร์ รวมถึงรูปภาพและสื่อเป็นข้อมูลสำรอง หากคุณมีฐานข้อมูล ให้สำรองข้อมูลฐานข้อมูลไว้ด้วย
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. คืนค่าจากข้อมูลสำรองที่เป็นข้อมูลปกติแต่ล้าสมัยในเซิร์ฟเวอร์
  2. พิจารณาว่าคุณสามารถลบซอฟต์แวร์ในเซิร์ฟเวอร์ของคุณได้หรือไม่ (เช่น วิดเจ็ต ปลั๊กอิน หรือแอปพลิเคชัน) ที่ไซต์ไม่ได้ใช้งานอีกต่อไป
  3. อัปเกรดซอฟต์แวร์ทั้งหมด รวมถึงระบบปฏิบัติการหากคุณเป็นผู้ควบคุมเซิร์ฟเวอร์ และแอปพลิเคชันซอฟต์แวร์ทั้งหมด เช่น ระบบจัดการเนื้อหา แพลตฟอร์ม ปลั๊กอิน และเทมเพลตอีคอมเมิร์ซ อย่าลืมตรวจสอบและติดตั้ง และแพตช์ด้านความปลอดภัยที่มีให้ใช้งาน
  4. แก้ไขช่องโหว่
  5. ดำเนินการ diff ด้วยตนเองหรือแบบอัตโนมัติ -- ระหว่างข้อมูลสำรองที่เป็นข้อมูลปกติและสำเนาปัจจุบันที่ยังคงมีปัญหาหลงเหลืออยู่
diff -qr www/ backups/full-backup-20120124/
  1. อัปโหลดเนื้อหาใหม่ที่เป็นข้อมูลปกติที่คุณต้องการเก็บรักษาจาก สำเนาที่ติดไวรัสในเซิร์ฟเวอร์ที่อัปเกรดแล้ว
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. ตรวจสอบว่าแต่ละ URL ที่แสดงอยู่ในส่วนประเมินความเสียหาย ได้รับการแก้ไขแล้ว
  2. เปลี่ยนรหัสผ่านของบัญชีทั้งหมดที่เกี่ยวข้องกับเว็บไซต์นี้อีกครั้ง (ตัวอย่างเช่น ข้อมูลเข้าสู่ระบบสำหรับการเข้าถึง FTP, การเข้าถึงฐานข้อมูล, ระบบ ผู้ดูแลระบบและบัญชี CMS) ในระบบ Unix ให้ใช้คำสั่งต่อไปนี้
$passwd admin1

ไม่มีข้อมูลสำรอง

สร้างข้อมูลสำรองของไซต์ไว้ 2 สำเนาแม้ว่าจะยังคงมีปัญหาหลงเหลืออยู่ มีสิทธิประโยชน์เพิ่มเติม การสำรองข้อมูลจะช่วยกู้คืนเนื้อหาที่ลบไปโดยไม่ได้ตั้งใจ หรือให้คุณเปลี่ยนกลับและพยายาม อีกครั้งหากเกิดข้อผิดพลาด ติดป้ายกำกับข้อมูลสำรองแต่ละชุดว่า “ถูกแฮ็ก” เพื่อใช้อ้างอิงในอนาคต

สำเนาหนึ่งของข้อมูลสำรองจะเป็นดิสก์อิมเมจหรือไซต์ "เวอร์ชันโคลน" ช่วงเวลานี้ ทำให้การคืนค่าเนื้อหาทำได้ง่ายขึ้น คุณสามารถเก็บดิสก์อิมเมจนี้ไว้ ในกรณีฉุกเฉิน ในระบบ Unix ให้ใช้โค้ดต่อไปนี้เพื่อสร้างดิสก์ รูปภาพ:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

ข้อมูลสำรองอีกรายการหนึ่งจะเป็นสำเนาระบบไฟล์จากเซิร์ฟเวอร์ของคุณ ซึ่งรวมถึงรูปภาพด้วย และไฟล์สื่อต่างๆ หากคุณมีฐานข้อมูล ให้สำรองข้อมูลฐานข้อมูลไว้ด้วย

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

หากคุณไม่มีดิสก์อิมเมจ ให้สร้างข้อมูลสำรองสำหรับฐานข้อมูล 2 สำเนา และข้อมูลสำรองอีก 2 สำเนา ของระบบไฟล์

เพื่อล้างเนื้อหาของเว็บไซต์ในสำเนาระบบไฟล์ข้อมูลสำรองใหม่ (ไม่ใช่ในเซิร์ฟเวอร์ เอง) ให้ดำเนินการดังนี้

  1. หากคุณพบว่ามีการให้สิทธิ์เข้าถึงไฟล์อย่างผ่อนปรนมากเกินไปในการตรวจสอบก่อนหน้า ให้ดำเนินการต่อ และแก้ไข โปรดตรวจสอบว่าคุณดำเนินการนี้ในสำเนาสำรอง ไม่ใช่ในเซิร์ฟเวอร์ โดยตรง
  2. นอกจากนี้ ในสำเนาที่เป็นข้อมูลสำรอง ให้ทำความสะอาดไฟล์ทั้งหมดที่ตรงกับ URL ที่ค้นพบ ว่าถูกบุกรุกจากการประเมินความเสียหาย เหล่านี้ อาจเป็นไฟล์การกำหนดค่าเซิร์ฟเวอร์, JavaScript, HTML หรือ PHP
  3. ตรวจสอบว่าได้ลบ (แสดงการตอบกลับ 404) สำหรับไฟล์ใหม่ที่สร้างโดย แฮ็กเกอร์ที่คุณอาจส่งหรือไม่ได้ส่งโดยใช้เครื่องมือนำ URL ออก ใน Search Console
  4. แก้ไขช่องโหว่ในกรณีที่มีอยู่ในโค้ด หรือรหัสผ่านที่ถูกแคร็ก ไลบรารีการตรวจสอบข้อมูลที่ป้อนหรือการตรวจสอบด้านความปลอดภัยอาจช่วยเหลือคุณได้
  5. หากเว็บไซต์ของคุณมีฐานข้อมูล ให้เริ่มทำความสะอาดเรคคอร์ดที่แฮ็กเกอร์แก้ไขใน ข้อมูลสำรองของคุณ ก่อนที่จะคิดว่าได้ทุกอย่างเรียบร้อยแล้ว ให้ตรวจสอบ ระเบียนเพื่อให้แน่ใจว่าฐานข้อมูลดูสะอาดตา
  6. เปลี่ยนรหัสผ่านของบัญชีทั้งหมดที่เกี่ยวข้องกับไซต์อีกครั้ง (สำหรับ เช่น การเข้าสู่ระบบสำหรับการเข้าถึง FTP, การเข้าถึงฐานข้อมูล, ผู้ดูแลระบบ และ บัญชี CMS) ในระบบ Unix ให้ใช้โค้ดต่อไปนี้
$passwd admin1

ในขั้นตอนนี้ สำเนาข้อมูลสำรองของไซต์ที่ติดมัลแวร์ควรจะมีเฉพาะ ข้อมูลที่ไม่เป็นระเบียบ ให้เก็บสำเนาข้อมูลปกตินี้ไว้และดำเนินการต่อในข้อ 5

5. นำซอฟต์แวร์ที่ไม่จำเป็นออก

พิจารณาว่าคุณสามารถนำซอฟต์แวร์ออกจากเซิร์ฟเวอร์ เช่น วิดเจ็ต ปลั๊กอิน หรือแอปพลิเคชันใดๆ ที่ไซต์ไม่ได้ใช้งานอีกต่อไป ซึ่งอาจเพิ่ม ความปลอดภัยและทำให้การบำรุงรักษาในอนาคตง่ายขึ้น

6. ทำความสะอาดเซิร์ฟเวอร์ทั้งหมด

  1. ทำการติดตั้งใหม่ตั้งแต่ต้น ไม่ใช่เพียงแค่อัปเกรด การอัปเกรดอาจทำให้ทิ้งไฟล์ไว้ได้ จากเวอร์ชันก่อนหน้า หากมีไฟล์ที่ติดเชื้อหลงเหลืออยู่ในเซิร์ฟเวอร์ เว็บไซต์ของคุณ จึงมีแนวโน้มที่จะถูกแฮ็กซ้ำ
    • การติดตั้งใหม่ควรรวมระบบปฏิบัติการด้วยหากคุณเป็นผู้ควบคุม เซิร์ฟเวอร์ และแอปพลิเคชันซอฟต์แวร์ทั้งหมด เช่น เนื้อหา ระบบการจัดการ แพลตฟอร์มอีคอมเมิร์ซ ปลั๊กอิน และเทมเพลต ตรวจสอบให้แน่ใจว่า เพื่อตรวจหาการอัปเดตและแพตช์ด้านความปลอดภัย
  2. โอนเนื้อหาที่ดีจากสำเนาระบบไฟล์ที่เป็นข้อมูลสำรองที่มีข้อมูลปกติไปยัง เซิร์ฟเวอร์ที่ติดตั้งใหม่ อัปโหลดและคืนค่าเฉพาะการล้างข้อมูลที่รู้จัก ไฟล์หรือฐานข้อมูล ตรวจสอบว่าได้รักษาสิทธิ์การเข้าถึงไฟล์ที่เหมาะสม และ ไม่เขียนทับไฟล์ระบบที่ติดตั้งใหม่
  3. เปลี่ยนรหัสผ่านเป็นครั้งสุดท้ายสำหรับทุกบัญชีที่เกี่ยวข้องกับ (เช่น ข้อมูลเข้าสู่ระบบสำหรับการเข้าถึง FTP, การเข้าถึงฐานข้อมูล, ผู้ดูแลระบบ และบัญชี CMS) ในระบบ Unix ให้ใช้โค้ดต่อไปนี้
passwd admin1

7. สร้างแผนการบำรุงรักษาในระยะยาว

เราขอแนะนำให้คุณดำเนินการดังต่อไปนี้

  • สำรองข้อมูลไซต์แบบอัตโนมัติอย่างสม่ำเสมอ
  • คอยอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอ
  • ทำความเข้าใจแนวทางปฏิบัติด้านความปลอดภัยของแอปพลิเคชัน ปลั๊กอิน และอื่น ๆ ทั้งหมด ของบุคคลที่สามก่อนที่คุณจะติดตั้งลงในเซิร์ฟเวอร์ หลักทรัพย์ ในแอปพลิเคชันซอฟต์แวร์หนึ่งอาจส่งผลต่อความปลอดภัยของ ทั่วทั้งเว็บไซต์
  • บังคับใช้การสร้างรหัสผ่านที่รัดกุม
  • ดูแลอุปกรณ์ทั้งหมดที่ใช้ลงชื่อเข้าใช้เครื่องให้ปลอดภัย (การดำเนินการที่อัปเดตใหม่) ระบบและเบราว์เซอร์)

8. ตรวจสอบอีกครั้งว่าการทำความสะอาดเสร็จสมบูรณ์แล้ว

ตรวจดูว่าคุณตอบว่า "ใช่" สำหรับคำถามดังต่อไปนี้

  • ฉันได้ดำเนินการอย่างเหมาะสมแล้วหรือไม่ หากแฮกเกอร์ได้รับผู้ใช้ ส่วนตัว ได้อย่างไร
  • ไซต์ของฉันใช้ซอฟต์แวร์เวอร์ชันล่าสุดที่มีความปลอดภัยมากที่สุดใช่ไหม
  • ฉันได้นำแอปพลิเคชันหรือปลั๊กอินทั้งหมดที่ไม่จำเป็นหรือไม่ได้ใช้ ซึ่งอาจ จะทำให้เว็บไซต์ของฉันมีความเสี่ยงมากขึ้นในอนาคตหรือไม่
  • ฉันได้คืนค่าเนื้อหาและลบเนื้อหาของแฮ็กเกอร์แล้วใช่ไหม
  • ฉันได้แก้ไขปัญหาที่เป็นต้นเหตุที่ทำให้เกิดช่องโหว่ซึ่งทำให้เว็บไซต์ของฉันถูกแฮ็กไหม
  • ฉันมีแผนที่จะช่วยดูแลเว็บไซต์ของฉันให้ปลอดภัยไหม

ตอนนี้คุณนำเว็บไซต์กลับมาออนไลน์ได้แล้ว