您的 WordPress 网站是否遭到黑客攻击?
黑客通常会安装后门,以确保即使在您保护网站安全后他们也可以重新进入。除非您可以删除该后门,否则无法阻止他们。
在本文中,我们将向您展示如何在被黑的 WordPress 网站中找到后门并修复它。
如何判断您的网站是否已被黑客入侵
如果您正在运行 WordPress 网站,那么您需要认真对待安全性。这是因为网站平均每天受到 44 次攻击。
您可以在我们的 WordPress 终极安全指南中了解确保网站安全的最佳实践。
但是如果您的网站已被黑客入侵怎么办?
您的 WordPress 网站遭到黑客攻击的一些迹象包括网站流量或性能下降、添加了不良链接或未知文件、主页被损坏、无法登录、新用户帐户可疑等等。
清理被黑的网站这可能是令人难以置信的痛苦和困难。我们将在初学者指南中逐步指导您修复被黑的 WordPress 网站。您还应该确保扫描您的网站以查找黑客留下的任何恶意软件。
并且不要忘记关闭后门。
聪明的黑客知道您最终会清理您的网站。他们可能做的第一件事就是安装后门,这样他们就可以在您保护 WordPress 网站的前门后潜入。
什么是后门?
后门是添加到网站的代码,允许黑客在不被发现的情况下访问服务器,并绕过正常登录。即使您发现并删除了您网站上被利用的插件或漏洞,它也允许黑客重新获得访问权限。
后门是用户闯入后黑客攻击的下一步。您可以在我们关于 WordPress 网站如何被黑客攻击的指南中了解他们是如何做到这一点的。如何防止它。
后门通常会在 WordPress 升级后幸存下来。这意味着您的网站将仍然容易受到攻击,直到您找到并修复每个后门。
后门如何工作?
一些后门只是隐藏的管理员用户名。他们让黑客通过输入用户名和密码正常登录。由于用户名是隐藏的,您甚至不知道其他人可以访问您的网站。
更复杂的后门可以让黑客执行 PHP 代码。他们使用网络浏览器手动将代码发送到您的网站。
其他人拥有完整的用户界面,允许他们作为 WordPress 托管服务器发送电子邮件、执行 SQL 数据库查询等等。
一些黑客会留下多个后门文件。他们上传一个后,将添加另一个以确保他们的访问权限。
后门隐藏在哪里?
在我们发现的每一个案例中,后门都被伪装成看起来像 WordPress 文件。代码WordPress 网站上的后门通常存储在以下位置:
我们发现的后门示例
以下是黑客上传后门的一些示例。在我们清理的一个网站中,后门位于 wp-includes 文件夹中。该文件名为 wp-user.php,看起来很无辜,但该文件实际上并不存在于正常的 WordPress 安装中。
在另一个实例中,我们在上传文件夹中发现了一个名为 hello.php 的 PHP 文件。它被伪装成 Hello Dolly 插件。奇怪的是,黑客把它放在了 uploads 文件夹中,而不是 plugins 文件夹中。
我们还发现了不使用 .php 文件扩展名的后门。一个例子是名为 wp-content.old.tmp 的文件,我们还在扩展名为 .zip 的文件中发现了后门。
正如您所看到的,黑客在隐藏后门时可以采取非常有创意的方法。
在大多数情况下,文件都是用 B 编码的可以执行各种操作的 ase64 代码。例如,他们可以添加垃圾链接、添加其他页面、将主网站重定向到垃圾页面等等。
话虽如此,让我们来看看如何在被黑的 WordPress 网站中找到后门并修复它。
如何在被黑的 WordPress 网站中查找后门并修复它
现在您知道什么是后门以及它可能隐藏在哪里。困难的部分是找到它!之后,清理它就像删除文件或代码一样简单。
1.扫描潜在的恶意代码
扫描网站是否存在后门和漏洞的最简单方法是使用 WordPress 恶意软件扫描器插件。我们推荐 Sucuri,因为它帮助我们在 3 个月内阻止了 450,000 次 WordPress 攻击,其中包括 29,690 次后门相关攻击。
他们为 WordPress 提供免费的 Sucuri 安全插件,可让您扫描网站是否存在常见威胁并强化 WordPress 安全性。付费版本包括一个服务器端扫描程序,每天运行一次并查找后门和其他安全问题。
MalCare 是 Sucuri 的一个很好的替代品,它具有自动恶意软件删除功能。这将从您的网站中删除所有恶意软件文件,包括后门。
在我们的指南中详细了解如何扫描您的 WordPress 网站是否存在潜在的恶意代码。
2.删除您的插件文件夹
搜索插件文件夹以查找可疑文件和代码非常耗时。而且由于黑客非常狡猾,因此无法保证您会找到后门。
您能做的最好的事情就是删除插件目录,然后从头开始重新安装插件。这是确定您的插件中没有后门的唯一方法。
您可以使用 FTP 客户端或 WordPress 主机的文件管理器访问插件目录。如果您以前没有使用过 FTP,那么您可能需要查看我们的指南介绍了如何使用 FTP 将文件上传到 WordPress。
您将需要使用该软件导航到您网站的 wp-content 文件夹。到达那里后,您应该右键单击插件文件夹并选择“删除”。
3.删除您的主题文件夹
同样,与其花时间在主题文件中搜索后门,不如删除它们。
删除插件文件夹后,只需突出显示主题文件夹并以相同的方式将其删除即可。
你不知道该文件夹中是否有后门,但如果有的话,它现在已经消失了。您不仅节省了时间,还消除了额外的攻击点。
现在您可以重新安装所需的任何主题。
4.在上传文件夹中搜索 PHP 文件
接下来,您应该检查一下上传文件夹并确保里面没有 PHP 文件。
没有充分的理由将 PHP 文件放在此文件夹中,因为它是 d设计用于存储图像等媒体文件。如果您在那里找到 PHP 文件,那么应该将其删除。
与插件和主题文件夹一样,您可以在 wp-content 文件夹中找到上传文件夹。在该文件夹内,您将找到您上传文件的每年和月份的多个文件夹。您需要检查每个文件夹中是否有 PHP 文件。
某些 FTP 客户端提供可递归搜索文件夹的工具。例如,如果您使用 FileZilla,则可以右键单击该文件夹并选择“将文件添加到队列”。在该文件夹的任何子目录中找到的任何文件都将添加到底部窗格中的队列中。
您现在可以滚动列表查找具有 .php 扩展名的文件。
或者,熟悉 SSH 的高级用户可以编写以下命令:
查找上传 -name “*.php” -print
由 WPCode 与 ❤️ 主办
在 WordPress 中一键使用
5.删除.htaccess文件
一些黑客可能会将重定向代码添加到您的 .htaccess 文件中,从而将您的访问者引导至不同的网站。
使用 FTP 客户端或文件管理器,只需从网站的根目录中删除该文件,它就会自动重新创建。
如果由于某种原因没有重新创建,那么您应该转到 WordPress 管理面板中的设置 » 永久链接。单击“保存更改”按钮将保存新的 .htaccess 文件。
6.检查 wp-config.php 文件
wp-config.php 文件是一个核心 WordPress 文件,其中包含允许 WordPress 与数据库通信的信息、WordPress 安装的安全密钥以及开发人员选项。
该文件位于您网站的根文件夹中。您可以通过选择 FTP 客户端中的“打开”或“编辑”选项来查看文件的内容。
现在您应该仔细查看文件的内容,看看是否有任何看起来不合适的地方。这可能有帮助l 将文件与位于同一文件夹中的默认 wp-config-sample.php 文件进行比较。
您应该删除任何您确定不属于的代码。
7.恢复网站备份
如果您定期备份网站,但仍然担心网站不完全干净,那么恢复备份是一个不错的解决方案。
您需要完全删除您的网站,然后恢复您的网站被黑客攻击之前进行的备份。这并不适合所有人,但它会让您 100% 确信您的网站是安全的。
有关详细信息,请参阅有关如何从备份恢复 WordPress 的初学者指南。
如何防止未来的黑客攻击?
现在您已经清理了网站,是时候提高网站的安全性以防止将来遭受黑客攻击了。在网站安全方面,廉价或冷漠是不值得的。
1.定期备份您的网站
如果您还没有定期备份网站,那么今天就开始吧。
WordPress 没有内置备份解决方案。不过,有几个很棒的 WordPress 备份插件可以让您自动备份和恢复您的 WordPress 网站。
Duplicator 是最好的 WordPress 备份插件之一。它允许您设置自动备份计划,并在发生问题时帮助您恢复 WordPress 网站。
还有一个免费版本的 Duplicator,您可以使用它来创建手动备份。
有关分步说明,请参阅我们有关如何使用 Duplicator 备份 WordPress 网站的指南。
2.安装安全插件
当您忙于业务时,您不可能监控网站上的所有内容。这就是为什么我们建议您使用 Sucuri 这样的安全插件。
我们推荐 Sucuri 因为他们很擅长他们所做的事情。 CNN、今日美国、PC World、TechCrunch、The Next Web 等主要出版物均同意这一观点。另外,我们依靠它自己来保证 WPBeginner 的安全。
3.让 WordPress 登录更安全
让您的 WordPress 登录更加安全也很重要。最好的开始方法是当用户在您的网站上创建帐户时强制使用强密码。我们还建议您开始使用密码管理器实用程序,例如 1Password。
您应该做的下一件事是添加双因素身份验证。这将保护您的网站免遭密码被盗和暴力攻击。这意味着即使黑客知道您的用户名和密码,他们仍然无法登录您的网站。
最后,您应该限制 WordPress 中的登录尝试。 WordPress 允许用户根据需要多次输入密码。在五次登录尝试失败后将用户锁定将显着降低黑客攻击的机会计算出您的登录详细信息。
4.保护您的 WordPress 管理区域
保护管理区域免遭未经授权的访问可以让您阻止许多常见的安全威胁。我们有一长串关于如何确保 WordPress 管理员安全的提示。
例如,您可以使用密码保护 wp-admin 目录。这为您网站最重要的入口点增加了另一层保护。
您还可以将对管理区域的访问限制为您的团队使用的 IP 地址。这是阻止黑客发现您的用户名和密码的另一种方法。
5.禁用主题和插件编辑器
您知道 WordPress 带有内置主题和插件编辑器吗?这个纯文本编辑器允许您直接从 WordPress 仪表板编辑主题和插件文件。
虽然这很有帮助,但可能会导致潜在的安全问题。例如,如果黑客闯入您的 WordPress 管理区域,那么他们可以使用内置的- 在编辑器中访问所有 WordPress 数据。
之后,他们将能够从您的 WordPress 网站分发恶意软件或发起 DDoS 攻击。
为了提高 WordPress 安全性,我们建议完全删除内置文件编辑器。
6.在某些 WordPress 文件夹中禁用 PHP 执行
默认情况下,PHP 脚本可以在您网站上的任何文件夹中运行。您可以通过在不需要的文件夹中禁用 PHP 执行来使您的网站更加安全。
例如,WordPress 永远不需要运行存储在上传文件夹中的代码。如果您禁用该文件夹的 PHP 执行,那么即使黑客成功上传后门,也无法运行后门。
7.让您的网站保持最新状态
WordPress 的每个新版本都比前一个版本更安全。每当报告安全漏洞时,核心 WordPress 团队就会努力发布更新来修复该问题。
这意味着如果您没有使 WordPress 保持最新状态,那么您正在使用具有已知安全漏洞的软件。黑客可以搜索运行旧版本的网站并利用该漏洞获取访问权限。
这就是为什么您应该始终使用最新版本的 WordPress。
不要只是让 WordPress 保持最新。您还需要确保您的 WordPress 插件和主题保持最新。
我们希望本教程能帮助您了解如何查找并修复被黑的 WordPress 网站中的后门。您可能还想了解如何将 WordPress 从 HTTP 迁移到 HTTPS,或者查看我们的 WordPress 错误列表以及如何修复它们。
如果您喜欢这篇文章,请订阅我们的 WordPress 视频教程 YouTube 频道。您还可以在 Twitter 和 Facebook 上找到我们。
网