您的 wordpress 網(wǎng)站被黑客入侵了嗎?
黑客通常會安裝后門,以確保即使在您保護(hù)網(wǎng)站安全后他們也可以重新進(jìn)入。除非你能刪除那個后門,否則就無法阻止他們。
在本文中,我們將向您展示如何在被黑的 WordPress 網(wǎng)站中找到后門并修復(fù)它。
如何判斷您的網(wǎng)站是否被黑客入侵
如果您正在運行WordPress 網(wǎng)站,那么您需要認(rèn)真對待安全性。這是因為網(wǎng)站平均每天受到 44 次攻擊。
您可以在我們的WordPress 終極安全指南中了解確保網(wǎng)站安全的最佳實踐。
但如果您的網(wǎng)站已被黑客入侵怎么辦?
您的 WordPress 網(wǎng)站遭到黑客攻擊的一些跡象包括網(wǎng)站流量或性能下降、添加了不良鏈接或未知文件、主頁被損壞、無法登錄、可疑的新用戶帳戶等等。
清理被黑的網(wǎng)站可能會非常痛苦和困難。我們將在初學(xué)者指南中逐步指導(dǎo)您修復(fù)被黑的 WordPress 網(wǎng)站。您還應(yīng)該確保掃描您的網(wǎng)站以查找黑客留下的任何惡意軟件。
并且不要忘記關(guān)閉后門。
聰明的黑客知道您最終會清理您的網(wǎng)站。他們可能做的第一件事就是安裝后門,這樣他們就可以在您保護(hù) WordPress 網(wǎng)站的前門后潛入。
什么是后門?
后門是添加到網(wǎng)站的代碼,允許黑客在不被發(fā)現(xiàn)的情況下訪問服務(wù)器,并繞過正常登錄。即使您發(fā)現(xiàn)并刪除了網(wǎng)站上被利用的插件或漏洞,它也允許黑客重新獲得訪問權(quán)限。
后門是用戶闖入后黑客攻擊的下一步。您可以在我們的WordPress 網(wǎng)站如何被黑客攻擊以及如何防止黑客攻擊的指南中了解他們是如何做到這一點的。
后門通常可以在 WordPress 升級后幸存下來。這意味著您的網(wǎng)站將仍然容易受到攻擊,直到您找到并修復(fù)每個后門。
后門如何運作?
有些后門只是隱藏的管理員用戶名。他們讓黑客通過輸入用戶名和密碼正常登錄。由于用戶名是隱藏的,您甚至不知道其他人可以訪問您的網(wǎng)站。
更復(fù)雜的后門可以讓黑客執(zhí)行 php 代碼。他們使用網(wǎng)絡(luò)瀏覽器手動將代碼發(fā)送到您的網(wǎng)站。
其他人則擁有完整的用戶界面,允許他們作為WordPress 托管服務(wù)器發(fā)送電子郵件、執(zhí)行 sql 數(shù)據(jù)庫查詢等等。
有些黑客會留下多個后門文件。上傳一個后,他們將添加另一個以確保他們的訪問權(quán)限。
后門隱藏在哪里?
在我們發(fā)現(xiàn)的每一個案例中,后門都被偽裝成看起來像 WordPress 文件。WordPress 網(wǎng)站上的后門代碼最常存儲在以下位置:
- 一個 WordPress主題,但可能不是您當(dāng)前使用的主題。當(dāng)您更新 WordPress 時,主題中的代碼不會被覆蓋,因此這是放置后門的好地方。這就是為什么我們建議刪除所有非活動主題。
- WordPress插件是隱藏后門的另一個好地方。與主題一樣,它們不會被WordPress 更新覆蓋,并且許多用戶不愿意升級插件。
- 上傳文件夾可能包含數(shù)百或數(shù)千個媒體文件,因此它是隱藏后門的另一個好地方。博主幾乎從不檢查其內(nèi)容,因為他們只是上傳圖像,然后在帖子中使用它。
- wp?-config.php文件包含用于配置 WordPress 的敏感信息。它是黑客最有針對性的文件之一。
- wp?-includes文件夾包含 WordPress 正常運行所需的 PHP 文件。這是我們發(fā)現(xiàn)后門的另一個地方,因為大多數(shù)網(wǎng)站所有者不會檢查文件夾包含的內(nèi)容。
我們發(fā)現(xiàn)的后門示例
以下是黑客上傳后門的一些示例。在我們清理的一個站點中,后門位于wp-includes文件夾中。該文件名為wp-user.php,看起來很無辜,但該文件實際上并不存在于正常的 WordPress 安裝中。
hello.php在另一個實例中,我們在上傳文件夾中發(fā)現(xiàn)了一個名為的 PHP 文件。它被偽裝成 Hello Dolly 插件。奇怪的是,黑客將其放在了 uploads 文件夾中,而不是plugins 文件夾中。
我們還發(fā)現(xiàn)了不使用.php文件擴(kuò)展名的后門。一個例子是名為 的文件wp-content.old.tmp,我們還在具有.zip擴(kuò)展名的文件中發(fā)現(xiàn)了后門。
正如您所看到的,黑客在隱藏后門時可以采取非常有創(chuàng)意的方法。
在大多數(shù)情況下,文件使用可以執(zhí)行各種操作的 Base64 代碼進(jìn)行編碼。例如,他們可以添加垃圾鏈接、添加其他頁面、將主站點重定向到垃圾頁面等等。
話雖如此,讓我們來看看如何在被黑的 WordPress 網(wǎng)站中找到后門并修復(fù)它。
如何在被黑客入侵的 WordPress 網(wǎng)站中查找后門并修復(fù)它
現(xiàn)在您知道什么是后門以及它可能隱藏在哪里。困難的部分是找到它!之后,清理它就像刪除文件或代碼一樣簡單。
1. 掃描潛在的惡意代碼
掃描網(wǎng)站是否存在后門和漏洞的最簡單方法是使用 WordPress惡意軟件掃描器插件。我們推薦 Sucuri,因為它幫助我們在 3 個月內(nèi)阻止了 450,000 次 WordPress 攻擊,其中包括 29,690 次后門相關(guān)攻擊。
他們?yōu)?WordPress 提供免費的 Sucuri 安全插件,可讓您掃描網(wǎng)站是否存在常見威脅并強(qiáng)化 WordPress 安全性。付費版本包括一個服務(wù)器端掃描程序,每天運行一次,查找后門和其他安全問題。
請參閱我們的指南,了解有關(guān)如何掃描 WordPress 網(wǎng)站是否存在潛在惡意代碼的更多信息。
2.刪除你的插件文件夾
搜索插件文件夾以查找可疑文件和代碼非常耗時。而且由于黑客非常狡猾,因此無法保證您會找到后門。
您能做的最好的事情就是刪除插件目錄,然后從頭開始重新安裝插件。這是確定您的插件中沒有后門的唯一方法。
您可以使用FTP 客戶端或WordPress 主機(jī)的文件管理器訪問插件目錄。如果您以前沒有使用過 FTP,那么您可能需要查看我們有關(guān)如何使用 FTP 將文件上傳到 WordPress 的指南。
您將需要使用該軟件導(dǎo)航到您網(wǎng)站的wp-content文件夾。到達(dá)那里后,您應(yīng)該右鍵單擊該plugins文件夾并選擇“刪除”。
3.刪除你的主題文件夾
同樣,與其花時間在主題文件中搜索后門,不如刪除它們。
刪除plugin文件夾后,只需突出顯示該themes文件夾并以相同的方式將其刪除。
你不知道該文件夾中是否有后門,但如果有的話,它現(xiàn)在已經(jīng)消失了。您不僅節(jié)省了時間,還消除了額外的攻擊點。
現(xiàn)在您可以重新安裝您需要的任何主題。
4. 在上傳文件夾中搜索 PHP 文件
接下來,您應(yīng)該檢查該uploads文件夾并確保里面沒有 PHP 文件。
PHP 文件沒有充分理由位于此文件夾中,因為它旨在存儲圖像等媒體文件。如果您在那里發(fā)現(xiàn) PHP 文件,則應(yīng)將其刪除。
plugins與和文件夾一樣,您將在文件夾中themes找到該文件夾???。在該文件夾內(nèi),您將找到您上傳文件的每年和月份的多個文件夾。您需要檢查每個文件夾中是否有 PHP 文件。uploadswp-content
某些 FTP 客戶端提供可遞歸搜索文件夾的工具。例如,如果您使用 FileZilla,則可以右鍵單擊該文件夾并選擇“將文件添加到隊列”。在該文件夾的任何子目錄中找到的任何文件都將添加到底部窗格中的隊列中。
現(xiàn)在,您可以滾動列表查找具有 .php 擴(kuò)展名的文件。
或者,熟悉 ssh 的高級用戶可以編寫以下命令:
如果由于某種原因沒有重新創(chuàng)建,那么您應(yīng)該轉(zhuǎn)到WordPress 管理面板中的設(shè)置 ? 永久鏈接。單擊“保存更改”按鈕將保存新的 .htaccess 文件。
6.檢查wp-config.php文件
wp?-config.php 文件是 WordPress 的核心文件,其中包含允許 WordPress 與數(shù)據(jù)庫通信的信息、WordPress 安裝的安全密鑰以及開發(fā)人員選項。
該文件位于您網(wǎng)站的根文件夾中。您可以通過在 FTP 客戶端中選擇“打開”或“編輯”選項來查看文件的內(nèi)容。
現(xiàn)在您應(yīng)該仔細(xì)查看文件的內(nèi)容,看看是否有任何看起來不合適的地方。將該文件與wp-config-sample.php位于同一文件夾中的默認(rèn)文件進(jìn)行比較可能會有所幫助。
您應(yīng)該刪除任何您確定不屬于的代碼。
7. 恢復(fù)網(wǎng)站備份
如果您一直定期備份網(wǎng)站,但仍然擔(dān)心網(wǎng)站不完全干凈,那么恢復(fù)備份是一個很好的解決方案。
您需要完全刪除您的網(wǎng)站,然后恢復(fù)網(wǎng)站被黑客攻擊之前進(jìn)行的備份。這并不適合每個人,但它會讓您 100% 確信您的網(wǎng)站是安全的。
有關(guān)更多信息,請參閱有關(guān)如何從備份恢復(fù) WordPress 的初學(xué)者指南。
未來如何防止黑客攻擊?
現(xiàn)在您已經(jīng)清理了網(wǎng)站,是時候提高網(wǎng)站的安全性以防止將來遭受黑客攻擊了。在網(wǎng)站安全方面,廉價或冷漠是不值得的。
1.定期備份您的網(wǎng)站
如果您還沒有定期備份您的網(wǎng)站,那么今天就開始吧。
WordPress 沒有內(nèi)置備份解決方案。然而,有幾個很棒的WordPress 備份插件可以讓您自動備份和恢復(fù)您的 WordPress 網(wǎng)站。
Duplicator是最好的 WordPress 備份插件之一。它允許您設(shè)置自動備份計劃,并在發(fā)生問題時幫助您恢復(fù) WordPress 網(wǎng)站。
還有一個免費版本的復(fù)制器,您可以使用它來創(chuàng)建手動備份。
有關(guān)分步說明,請參閱我們有關(guān)如何使用 Duplicator 備份 WordPress 網(wǎng)站的指南。
2. 安裝安全插件
當(dāng)您忙于業(yè)務(wù)時,您不可能監(jiān)控網(wǎng)站上的所有內(nèi)容。這就是為什么我們建議您使用Sucuri這樣的安全插件。
我們推薦Sucuri,因為他們擅長自己的工作。cnn、今日美國、PC World、TechCrunch、The Next Web 等主要出版物均同意這一觀點。另外,我們依靠它自己來保證 WPBeginner 的安全。
3.讓W(xué)ordPress登錄更安全
讓您的 WordPress 登錄更加安全也很重要。最好的開始方法是當(dāng)用戶在您的網(wǎng)站上創(chuàng)建帳戶時強(qiáng)制使用強(qiáng)密碼。我們還建議您開始使用密碼管理器實用程序,例如 1Password。
您應(yīng)該做的下一件事是添加雙因素身份驗證。這將保護(hù)您的網(wǎng)站免遭密碼被盜和暴力攻擊。這意味著即使黑客知道您的用戶名和密碼,他們?nèi)匀粺o法登錄您的網(wǎng)站。
最后,您應(yīng)該限制 WordPress 中的登錄嘗試。WordPress 允許用戶根據(jù)需要多次輸入密碼。在五次登錄嘗試失敗后鎖定用戶將大大降低黑客破解您的登錄詳細(xì)信息的機(jī)會。
4. 保護(hù)您的 WordPress 管理區(qū)域
保護(hù)管理區(qū)域免遭未經(jīng)授權(quán)的訪問可以讓您阻止許多常見的安全威脅。我們有一長串關(guān)于如何確保 WordPress 管理員安全的提示。
例如,您可以使用密碼保護(hù) wp-admin 目錄。這為您網(wǎng)站最重要的入口點增加了另一層保護(hù)。
您還可以將對管理區(qū)域的訪問限制為您的團(tuán)隊使用的 IP 地址。這是阻止黑客發(fā)現(xiàn)您的用戶名和密碼的另一種方法。
5.禁用主題和插件編輯器
您知道 WordPress 帶有內(nèi)置主題和插件編輯器嗎?這個純文本編輯器允許您直接從 WordPress 儀表板編輯主題和插件文件。
雖然這很有幫助,但可能會導(dǎo)致潛在的安全問題。例如,如果黑客闖入您的 WordPress 管理區(qū)域,那么他們可以使用內(nèi)置編輯器來訪問您的所有 WordPress 數(shù)據(jù)。
之后,他們將能夠從您的 WordPress 網(wǎng)站分發(fā)惡意軟件或發(fā)起ddos 攻擊。
為了提高 WordPress 的安全性,我們建議完全刪除內(nèi)置文件編輯器。
6. 在某些 WordPress 文件夾中禁用 PHP 執(zhí)行
默認(rèn)情況下,PHP 腳本可以在網(wǎng)站上的任何文件夾中運行。您可以通過在不需要的文件夾中禁用 PHP 執(zhí)行來使您的網(wǎng)站更加安全。
例如,WordPress 永遠(yuǎn)不需要運行存儲在您的uploads文件夾中的代碼。如果您禁用該文件夾的 PHP 執(zhí)行,那么即使黑客成功上傳后門,也將無法運行后門。
7. 保持網(wǎng)站最新
WordPress 的每個新版本都比前一個版本更安全。每當(dāng)報告安全漏洞時,WordPress 核心團(tuán)隊都會努力發(fā)布更新來修復(fù)該問題。
這意味著,如果您沒有使 WordPress 保持最新狀態(tài),那么您正在使用具有已知安全漏洞的軟件。黑客可以搜索運行舊版本的網(wǎng)站并利用該漏洞獲取訪問權(quán)限。
這就是為什么您應(yīng)該始終使用最新版本的 WordPress。
不要只是讓 WordPress 保持最新。您還需要確保您的 wordpress插件和主題保持最新。
我們希望本教程可以幫助您了解如何查找并修復(fù)被黑客入侵的 WordPress 網(wǎng)站中的后門。您可能還想了解如何將 WordPress 從 http 遷移到 https,或者查看我們的WordPress 錯誤列表以及如何修復(fù)它們。
.png)
