您的 WordPress 网站被黑客入侵了吗?
黑客通常会安装后门,以确保即使在您保护网站安全后他们也可以重新进入。除非你能删除那个后门,否则就无法阻止他们。
在本文中,我们将向您展示如何在被黑的 WordPress 网站中找到后门并修复它。
如何判断您的网站是否被黑客入侵
如果您正在运行WordPress 网站,那么您需要认真对待安全性。这是因为网站平均每天受到 44 次攻击。
您可以在我们的WordPress 终极安全指南中了解确保网站安全的最佳实践。
但如果您的网站已被黑客入侵怎么办?
您的 WordPress 网站遭到黑客攻击的一些迹象包括网站流量或性能下降、添加了不良链接或未知文件、主页被损坏、无法登录、可疑的新用户帐户等等。
清理被黑的网站可能会非常痛苦和困难。我们将在初学者指南中逐步指导您修复被黑的 WordPress 网站。您还应该确保扫描您的网站以查找黑客留下的任何恶意软件。
并且不要忘记关闭后门。
聪明的黑客知道您最终会清理您的网站。他们可能做的第一件事就是安装后门,这样他们就可以在您保护 WordPress 网站的前门后潜入。
什么是后门?
后门是添加到网站的代码,允许黑客在不被发现的情况下访问服务器,并绕过正常登录。即使您发现并删除了网站上被利用的插件或漏洞,它也允许黑客重新获得访问权限。
后门是用户闯入后黑客攻击的下一步。您可以在我们的WordPress 网站如何被黑客攻击以及如何防止黑客攻击的指南中了解他们是如何做到这一点的。
后门通常可以在 WordPress 升级后幸存下来。这意味着您的网站将仍然容易受到攻击,直到您找到并修复每个后门。
后门如何运作?
有些后门只是隐藏的管理员用户名。他们让黑客通过输入用户名和密码正常登录。由于用户名是隐藏的,您甚至不知道其他人可以访问您的网站。
更复杂的后门可以让黑客执行 PHP 代码。他们使用网络浏览器手动将代码发送到您的网站。
其他人则拥有完整的用户界面,允许他们作为WordPress 托管服务器发送电子邮件、执行 SQL 数据库查询等等。
有些黑客会留下多个后门文件。上传一个后,他们将添加另一个以确保他们的访问权限。
后门隐藏在哪里?
在我们发现的每一个案例中,后门都被伪装成看起来像 WordPress 文件。WordPress 网站上的后门代码最常存储在以下位置:
- 一个 WordPress主题,但可能不是您当前使用的主题。当您更新 WordPress 时,主题中的代码不会被覆盖,因此这是放置后门的好地方。这就是为什么我们建议删除所有非活动主题。
- WordPress插件是隐藏后门的另一个好地方。与主题一样,它们不会被WordPress 更新覆盖,并且许多用户不愿意升级插件。
- 上传文件夹可能包含数百或数千个媒体文件,因此它是隐藏后门的另一个好地方。博主几乎从不检查其内容,因为他们只是上传图像,然后在帖子中使用它。
- wp -config.php文件包含用于配置 WordPress 的敏感信息。它是黑客最有针对性的文件之一。
- wp -includes文件夹包含 WordPress 正常运行所需的 PHP 文件。这是我们发现后门的另一个地方,因为大多数网站所有者不会检查文件夹包含的内容。
我们发现的后门示例
以下是黑客上传后门的一些示例。在我们清理的一个站点中,后门位于wp-includes文件夹中。该文件名为wp-user.php,看起来很无辜,但该文件实际上并不存在于正常的 WordPress 安装中。
hello.php在另一个实例中,我们在上传文件夹中发现了一个名为的 PHP 文件。它被伪装成 Hello Dolly 插件。奇怪的是,黑客将其放在了 uploads 文件夹中,而不是plugins 文件夹中。
我们还发现了不使用.php文件扩展名的后门。一个例子是名为 的文件wp-content.old.tmp,我们还在具有.zip扩展名的文件中发现了后门。
正如您所看到的,黑客在隐藏后门时可以采取非常有创意的方法。
在大多数情况下,文件使用可以执行各种操作的 Base64 代码进行编码。例如,他们可以添加垃圾链接、添加其他页面、将主站点重定向到垃圾页面等等。
话虽如此,让我们来看看如何在被黑的 WordPress 网站中找到后门并修复它。
如何在被黑客入侵的 WordPress 网站中查找后门并修复它
现在您知道什么是后门以及它可能隐藏在哪里。困难的部分是找到它!之后,清理它就像删除文件或代码一样简单。
1. 扫描潜在的恶意代码
扫描网站是否存在后门和漏洞的最简单方法是使用 WordPress恶意软件扫描器插件。我们推荐 Sucuri,因为它帮助我们在 3 个月内阻止了 450,000 次 WordPress 攻击,其中包括 29,690 次后门相关攻击。
他们为 WordPress 提供免费的 Sucuri 安全插件,可让您扫描网站是否存在常见威胁并强化 WordPress 安全性。付费版本包括一个服务器端扫描程序,每天运行一次,查找后门和其他安全问题。
请参阅我们的指南,了解有关如何扫描 WordPress 网站是否存在潜在恶意代码的更多信息。
2.删除你的插件文件夹
搜索插件文件夹以查找可疑文件和代码非常耗时。而且由于黑客非常狡猾,因此无法保证您会找到后门。
您能做的最好的事情就是删除插件目录,然后从头开始重新安装插件。这是确定您的插件中没有后门的唯一方法。
您可以使用FTP 客户端或WordPress 主机的文件管理器访问插件目录。如果您以前没有使用过 FTP,那么您可能需要查看我们有关如何使用 FTP 将文件上传到 WordPress 的指南。
您将需要使用该软件导航到您网站的wp-content文件夹。到达那里后,您应该右键单击该plugins文件夹并选择“删除”。
3.删除你的主题文件夹
同样,与其花时间在主题文件中搜索后门,不如删除它们。
删除plugin文件夹后,只需突出显示该themes文件夹并以相同的方式将其删除。
你不知道该文件夹中是否有后门,但如果有的话,它现在已经消失了。您不仅节省了时间,还消除了额外的攻击点。
现在您可以重新安装您需要的任何主题。
4. 在上传文件夹中搜索 PHP 文件
接下来,您应该检查该uploads文件夹并确保里面没有 PHP 文件。
PHP 文件没有充分理由位于此文件夹中,因为它旨在存储图像等媒体文件。如果您在那里发现 PHP 文件,则应将其删除。
plugins与和文件夹一样,您将在文件夹中themes找到该文件夹 。在该文件夹内,您将找到您上传文件的每年和月份的多个文件夹。您需要检查每个文件夹中是否有 PHP 文件。uploadswp-content
某些 FTP 客户端提供可递归搜索文件夹的工具。例如,如果您使用 FileZilla,则可以右键单击该文件夹并选择“将文件添加到队列”。在该文件夹的任何子目录中找到的任何文件都将添加到底部窗格中的队列中。
现在,您可以滚动列表查找具有 .php 扩展名的文件。
或者,熟悉 SSH 的高级用户可以编写以下命令:
| 1 | finduploads -name "*.php"-print |
由
5.删除.htaccess文件
一些黑客可能会在您的.htaccess 文件中添加重定向代码,从而将您的访问者发送到不同的网站。
使用 FTP 客户端或文件管理器,只需从网站的根目录中删除该文件,它就会自动重新创建。
如果由于某种原因没有重新创建,那么您应该转到WordPress 管理面板中的设置 » 永久链接。单击“保存更改”按钮将保存新的 .htaccess 文件。
6.检查wp-config.php文件
wp -config.php 文件是 WordPress 的核心文件,其中包含允许 WordPress 与数据库通信的信息、WordPress 安装的安全密钥以及开发人员选项。
该文件位于您网站的根文件夹中。您可以通过在 FTP 客户端中选择“打开”或“编辑”选项来查看文件的内容。
现在您应该仔细查看文件的内容,看看是否有任何看起来不合适的地方。将该文件与wp-config-sample.php位于同一文件夹中的默认文件进行比较可能会有所帮助。
您应该删除任何您确定不属于的代码。
7. 恢复网站备份
如果您一直定期备份网站,但仍然担心网站不完全干净,那么恢复备份是一个很好的解决方案。
您需要完全删除您的网站,然后恢复网站被黑客攻击之前进行的备份。这并不适合每个人,但它会让您 100% 确信您的网站是安全的。
有关更多信息,请参阅有关如何从备份恢复 WordPress 的初学者指南。
未来如何防止黑客攻击?
现在您已经清理了网站,是时候提高网站的安全性以防止将来遭受黑客攻击了。在网站安全方面,廉价或冷漠是不值得的。
1.定期备份您的网站
如果您还没有定期备份您的网站,那么今天就开始吧。
WordPress 没有内置备份解决方案。然而,有几个很棒的WordPress 备份插件可以让您自动备份和恢复您的 WordPress 网站。
Duplicator是最好的 WordPress 备份插件之一。它允许您设置自动备份计划,并在发生问题时帮助您恢复 WordPress 网站。
还有一个免费版本的复制器,您可以使用它来创建手动备份。
有关分步说明,请参阅我们有关如何使用 Duplicator 备份 WordPress 网站的指南。
2. 安装安全插件
当您忙于业务时,您不可能监控网站上的所有内容。这就是为什么我们建议您使用Sucuri这样的安全插件。
我们推荐Sucuri,因为他们擅长自己的工作。CNN、今日美国、PC World、TechCrunch、The Next Web 等主要出版物均同意这一观点。另外,我们依靠它自己来保证 WPBeginner 的安全。
3.让WordPress登录更安全
让您的 WordPress 登录更加安全也很重要。最好的开始方法是当用户在您的网站上创建帐户时强制使用强密码。我们还建议您开始使用密码管理器实用程序,例如 1Password。
您应该做的下一件事是添加双因素身份验证。这将保护您的网站免遭密码被盗和暴力攻击。这意味着即使黑客知道您的用户名和密码,他们仍然无法登录您的网站。
最后,您应该限制 WordPress 中的登录尝试。WordPress 允许用户根据需要多次输入密码。在五次登录尝试失败后锁定用户将大大降低黑客破解您的登录详细信息的机会。
4. 保护您的 WordPress 管理区域
保护管理区域免遭未经授权的访问可以让您阻止许多常见的安全威胁。我们有一长串关于如何确保 WordPress 管理员安全的提示。
例如,您可以使用密码保护 wp-admin 目录。这为您网站最重要的入口点增加了另一层保护。
您还可以将对管理区域的访问限制为您的团队使用的 IP 地址。这是阻止黑客发现您的用户名和密码的另一种方法。
5.禁用主题和插件编辑器
您知道 WordPress 带有内置主题和插件编辑器吗?这个纯文本编辑器允许您直接从 WordPress 仪表板编辑主题和插件文件。
虽然这很有帮助,但可能会导致潜在的安全问题。例如,如果黑客闯入您的 WordPress 管理区域,那么他们可以使用内置编辑器来访问您的所有 WordPress 数据。
之后,他们将能够从您的 WordPress 网站分发恶意软件或发起DDoS 攻击。
为了提高 WordPress 的安全性,我们建议完全删除内置文件编辑器。
6. 在某些 WordPress 文件夹中禁用 PHP 执行
默认情况下,PHP 脚本可以在网站上的任何文件夹中运行。您可以通过在不需要的文件夹中禁用 PHP 执行来使您的网站更加安全。
例如,WordPress 永远不需要运行存储在您的uploads文件夹中的代码。如果您禁用该文件夹的 PHP 执行,那么即使黑客成功上传后门,也将无法运行后门。
7. 保持网站最新
WordPress 的每个新版本都比前一个版本更安全。每当报告安全漏洞时,WordPress 核心团队都会努力发布更新来修复该问题。
这意味着,如果您没有使 WordPress 保持最新状态,那么您正在使用具有已知安全漏洞的软件。黑客可以搜索运行旧版本的网站并利用该漏洞获取访问权限。
这就是为什么您应该始终使用最新版本的 WordPress。
不要只是让 WordPress 保持最新。您还需要确保您的 WordPress插件和主题保持最新。
我们希望本教程可以帮助您了解如何查找并修复被黑客入侵的 WordPress 网站中的后门。您可能还想了解如何将 WordPress 从 HTTP 迁移到 HTTPS,或者查看我们的WordPress 错误列表以及如何修复它们。
