קיבלתם מייל מחברת האחסון שהאתר הושעה (suspended) בגלל זיהוי קוד זדוני, ובמקום האתר מופיע דף שגיאה או הודעת השעיה. זה לא אסון, אבל זו כן בעיה שדורשת טיפול מסודר ולא ניחושים. במאמר הזה נעבור על הסדר הנכון: למה זה קרה, איך מחזירים גישה, איך מנקים באמת, ואיך מוכיחים לחברת האחסון שהאתר נקי כדי שתחזיר אותו לאוויר.

למה חברת האחסון משביתה אתר?

חברות אחסון לא משביתות אתר כדי להציק. הן עושות זאת מהסיבות הבאות, ולרוב משילוב שלהן:

  • האתר מפיץ malware או דפי פישינג שמסכנים מבקרים ומשתמשים אחרים על אותו שרת.
  • האתר שולח ספאם מהשרת (סקריפט זדוני ששולח אלפי מיילים), מה שמסכן את מוניטין כתובות ה-IP של החברה ומכניס אותן לרשימות שחורות.
  • עומס חריג שצורך משאבים על חשבון לקוחות אחרים, לרוב כתוצאה מקוד זדוני שרץ ברקע.
  • דרישה של ספק תשתית או רשות חיצונית בעקבות דיווח אבטחה.

הנקודה החשובה: ההשעיה היא תוצאה, לא הבעיה. הבעיה היא ההדבקה עצמה. גם אם תשכנעו את החברה להחזיר את האתר לאוויר בלי לנקות, הוא יושעה שוב תוך ימים, ולפעמים תוך שעות.

שלב 1: לא להיכנס לפאניקה ולא לשבור דברים

הטעות הנפוצה ביותר בשעה הראשונה היא לפעול מהר ולא נכון. לפני כל פעולה:

  1. אל תמחקו קבצים באקראי. מחיקה עיוורת של קבצים שנראים חשודים יכולה לשבור את האתר לגמרי בלי לפתור את ההדבקה.
  2. אל תשחזרו גיבוי ישן לפני שהבנתם מתי ההדבקה התחילה. אם תשחזרו גיבוי שכבר נגוע, חזרתם לנקודת ההתחלה. ואם תשחזרו גיבוי נקי אבל ישן, אתם מסכנים את עצמכם לאותה פרצה שאיפשרה את החדירה מלכתחילה.
  3. קראו את מייל ההשעיה עד הסוף. חברות אחסון רבות מצרפות דוח סריקה (לרוב מ-ImunifyAV או סורק דומה) עם נתיבים מדויקים של הקבצים הנגועים. זה המידע הכי שווה שיש לכם, והוא חוסך שעות.

שלב 2: להחזיר גישה לאתר

באתר מושעה, לרוב הקבצים והדאטהבייס עדיין קיימים על השרת, רק שהגישה הציבורית חסומה. כדי לעבוד צריך גישה אחורית:

  • גישת FTP/SFTP או File Manager בפאנל הניהול (cPanel/Plesk). גם כשהאתר מושבת לציבור, הגישה הניהולית לרוב נשארת פעילה.
  • גישה לדאטהבייס דרך phpMyAdmin לבדיקת תוכן מוזרק (משתמשי אדמין לא מוכרים, סקריפטים בטבלאות).
  • אם גם הגישה הניהולית נחסמה, פתחו פנייה לתמיכה ובקשו במפורש גישה זמנית לצורך ניקוי. תנסחו זאת כך: "אני מבקש גישה לצורך הסרת הקוד הזדוני שזיהיתם, ואשלח לכם דוח ניקוי בסיום." חברות אחסון משתפות פעולה עם בקשה כזו, כי גם הן רוצות שתנקו.

לפני שנוגעים בקבצים, קחו גיבוי מלא של המצב הנוכחי (קבצים + דאטהבייס), גם אם הוא נגוע. אתם רוצים נקודת חזרה למקרה שמשהו ישתבש בניקוי, וגם עותק לבדיקה אם תצטרכו להבין איך הגיעה ההדבקה.

שלב 3: לנקות באמת

ניקוי malware הוא לא מחיקת קובץ אחד. קוד זדוני מודרני מתפזר: backdoors מרובים, הזרקות בקובצי ליבה, משתמשי אדמין מזויפים ומשימות cron שמשחזרות את ההדבקה אחרי שחשבתם שניקיתם. ברמת העיקרון, ניקוי תקין כולל:

  1. השוואת קובצי הליבה של וורדפרס לגרסה המקורית מ-wordpress.org, והחלפת כל קובץ ששונה.
  2. סריקה של ערכת העיצוב והתוספים אחרי קוד מוזרק, מחיקת תוספים לא מוכרים, והחלפת תוספים נגועים בגרסה נקייה מהמקור.
  3. בדיקת קבצים רגישים כמו wp-config.php ו-.htaccess אחרי הזרקות והפניות.
  4. ניקוי הדאטהבייס ממשתמשי אדמין זרים, מסקריפטים ומתוכן מוזרק.
  5. סגירת הפרצה שאיפשרה את החדירה (תוסף מיושן, סיסמה חלשה, הרשאות קבצים פתוחות). בלי זה, ההדבקה תחזור.
  6. החלפת כל הסיסמאות (אדמין וורדפרס, FTP, דאטהבייס, פאנל אחסון) והנפקת מפתחות אבטחה (salts) חדשים.

הרחבנו על התהליך הטכני המלא במדריך ניקוי וירוסים ו-malware מאתר וורדפרס. אם אתם לא בטוחים שזיהיתם את כל נקודות ההדבקה, זה המקום למשוך מומחה. ניקוי חלקי גרוע מאי-ניקוי, כי הוא משאיר אתכם עם תחושת ביטחון מזויפת ועם backdoor פעיל.

שלב 4: להוכיח לחברת האחסון שהאתר נקי

זה החלק שאנשים מפספסים, ובלעדיו האתר נשאר מושעה. חברת האחסון לא תחזיר אתר לאוויר רק כי אמרתם שניקיתם. צריך לתת לה הוכחה ולבקש סריקה חוזרת:

  • השיבו לפנייה המקורית (אותו מספר טיקט) ולא לפתוח פנייה חדשה, כדי שהצוות יראה את ההיסטוריה.
  • תארו מה עשיתם בקצרה ובאופן ענייני: אילו קבצים נוקו או הוחלפו, שהליבה הוחלפה מהמקור, שהסיסמאות הוחלפו, ושהפרצה נסגרה.
  • בקשו במפורש סריקה חוזרת (re-scan) והסרת ההשעיה. רוב החברות מריצות סריקה אוטומטית ומחזירות את האתר תוך שעות אם הוא יוצא נקי.
  • אם הסורק שלהם עדיין מסמן קבצים, הם יחזירו לכם את הנתיבים. נקו אותם וחזרו על הבקשה.

אם האתר הופיע גם באזהרת "This site may be hacked" בתוצאות גוגל או בהתראת דפדפן, יש שלב נוסף מול גוגל בנפרד מחברת האחסון. כיסינו אותו במדריך הסרת אזהרת site may be hacked והגשה ל-GSC.

כמה זמן זה לוקח וכמה זה עולה

השעיה היא מצב חירום, ולכן הזמן קריטי. ניקוי מקצועי של אתר נגוע נמשך לרוב בין מספר שעות ליום עבודה, תלוי בהיקף ההדבקה ובמספר הקבצים. אצלנו ב-OCW, עלות טיפול חד-פעמי בחילוץ וניקוי אתר נקבעת לפי היקף ההדבקה ומורכבות האתר, וכוללת זיהוי נקודת החדירה, ניקוי, וליווי מול חברת האחסון עד החזרת האתר לאוויר. פנו אלינו לקבלת הצעה מדויקת.

ההבדל בין אתר שמושעה פעם אחת לאתר שמושעה שוב ושוב הוא לא הניקוי, אלא מה שקורה אחריו: ניטור, גיבויים, עדכונים שוטפים וחומת אש. בדיוק לשם כך בנינו את חבילת אחריות 360, שמכסה ארבעה פילרים תחת קורת גג אחת: אבטחה, נגישות, פרטיות ותחזוקה טכנית. במקום לכבות שריפות, האתר מנוטר ומגובה כדי שלא יגיע למצב של השעיה מלכתחילה.

אם האתר שלכם מושעה עכשיו, פנו אלינו לחילוץ ונטפל בזה מההתחלה ועד החזרה לאוויר. אפשר לקרוא עוד על הגישה שלנו לחילוץ אתרים במאמר חילוץ והצלת אתר וורדפרס.

שאלות נפוצות

חברת האחסון השביתה את האתר. הקבצים שלי אבדו?

לרוב לא. בהשעיה הקבצים והדאטהבייס נשארים על השרת, רק הגישה הציבורית חסומה. עדיין אפשר להגיע אליהם דרך FTP או File Manager בפאנל הניהול ולקחת גיבוי לפני שמתחילים לנקות.

אפשר פשוט לבקש מחברת האחסון להחזיר את האתר?

אפשר לבקש, אבל אם לא ניקיתם, האתר יושעה שוב מהר מאוד, וההדבקה תמשיך לפגוע במבקרים. ההשעיה היא תוצאה של ההדבקה. צריך לנקות ואז לבקש סריקה חוזרת והסרת השעיה.

למה לא פשוט לשחזר גיבוי ישן?

כי גיבוי ישן עלול להיות נגוע גם הוא (אם ההדבקה ישנה מהגיבוי), וגם אם הוא נקי הוא לא סוגר את הפרצה שאיפשרה את החדירה, כך שתידבקו מחדש. צריך קודם להבין מתי ההדבקה התחילה ולסגור את נקודת הכניסה.

כמה מהר מחזירים אתר מושעה לאוויר?

אחרי ניקוי, רוב חברות האחסון מריצות סריקה חוזרת ומסירות את ההשעיה תוך שעות. עיכוב נובע בדרך כלל מניקוי חלקי שמשאיר קבצים נגועים שהסורק שלהן עדיין תופס.