被黑:当您的 WordPress 网站遭到入侵时该怎么办
已发表: 2020-06-02它始于一种下沉的感觉,即您的 WordPress 网站有问题。 也许您的安全插件已经提醒您注意一个您知道您没有触摸过的已更改文件。 或者您在帖子列表中看到一些不熟悉的内容。
无论指标是什么,它都会得出一个结论:您的网站已被黑客入侵。 现在做什么?
虽然感到害怕和/或沮丧是完全正常的,但现在不是恐慌的时候。 相反,是时候采取行动了! 有点像超级英雄,但您选择的武器是安全扫描仪和 FTP 客户端。
尽管如此,您仍有能力挽救局面。 只需按照我们的指南处理被黑的 WordPress 网站即可。
使用您的备份
管理一个网站——无论它是否在 WordPress 上运行——意味着准备好在出现问题时立即采取行动。 你是怎样做的? 通过定期备份整个站点——包括其数据库和文件。
恢复文件和数据的干净版本将很快让您的网站恢复正常。 如果您没有可以求助的备份,那么从黑客攻击中恢复可能会更加困难。
如果没有备份,那么只需使用细齿梳子完成安装即可。 您需要寻找潜在的恶意代码,将其删除,并希望您已经抓住了一切。
可能有一个节省的恩典:您的网络主机很可能有一个干净的备份来帮助您。 但是,最好还是自己动手。 依靠他人来帮助你摆脱困境并不是一个可持续的策略。
更改密码和盐键
根据攻击者用来入侵您网站的漏洞,他们很可能拥有管理员访问权限。 因此,最好更改每个管理员帐户的密码。 如果您周围有未使用的帐户,请考虑删除它们。
此外,网站的数据库密码也应该更改。 这可以帮助防止任何可能已经发生的 MySQL 注入攻击。
最后,还建议您快速更改 WordPress 盐键。 这将踢出任何可能正在窥探的登录用户。
查找已更改文件的提示
如果您的网站遭到入侵,仅仅恢复备份是不够的。 尝试弄清楚到底发生了什么也很重要。 备份文件可能是干净的,但它们仍然可能包含会导致另一次黑客攻击的安全漏洞。
因此,在恢复备份之前下载被黑网站的副本是个好主意。 或者,如果您的网站每天都备份,如果您怀疑它也有同样的问题,您也许可以获取最新的副本。
您可能还想通过安全扫描程序运行它,例如 Sucuri 的免费 SiteCheck 工具。 这可能会直接导致您遇到导致黑客攻击的特定安全问题。
获得受感染站点的副本后,就该深入挖掘并寻找线索了。 以下是一些值得检查的项目:
检查 WordPress 核心、插件和主题
要记住的一件事是,恶意代码可能会被注入 WordPress 网站的任何区域。 这可能是核心文件、插件或主题。 即使是非活动项目也可能提供了后门。
检查服务器的文件权限以确保它们符合 WordPress 的建议也是值得的。
查看修改日期
受感染文件的一个明显迹象是可疑的修改日期。 例如,如果您在几个月内没有更改主题模板 - 并且修改日期是上周 - 这可能是犯规的迹象。
这在插件中可能更难发现,因为它们往往会更频繁地更新。 但是,如果看起来不正确,请查看插件的更改日志。 这可以告诉你最后一次更新是什么时候。 即使您没有在新版本发布的那一刻进行更新,您也至少可以寻找一个时间范围。
打开可疑文件(小心)
如果您发现了一些看起来可疑的文件,您可能需要打开它们并检查它们的代码。 在此之前,最好通过恶意软件扫描程序运行它们——只是为了安全。
恶意代码似乎很突出,但仅靠眼球测试可能不足以确定。 在这种情况下,您可以获取该文件的另一个副本(已知是干净的)并进行比较。 如果您发现任何差异,您就会知道发生了什么事。
搜索网页
WordPress.org 支持论坛是收集情报的好地方。 如果您怀疑某个特定的插件甚至是 WordPress 核心,那么其他用户很可能也经历过类似的事情。 你可能会发现你并不孤单。
此外,WPScan 漏洞数据库提供了核心、插件和主题安全信息的清单。 这是查找已知问题的好地方。
联系您的虚拟主机
无法保证您的虚拟主机可以阻止特定的黑客攻击。 但即便如此,在这些情况下还是值得与他们联系。 如果您不太确定罪魁祸首,则尤其如此。 而且,如果您使用的是共享主机帐户,这只是一个很好的做法,因为它可能会影响其他用户(或您托管的其他网站)。
如果您无法查明导致黑客入侵的特定漏洞,您的主机可能是一个很好的资源。 他们可能已经看到其他客户遇到类似问题,或者它可能会引发危险信号,导致安全漏洞被修补。
此外,一些主机还提供安全扫描和恶意软件清理。 虽然它们可能会花费您一些现金,但它可能会帮助您消除反复出现的问题。 只需确保在进行投资之前询问任何保修并找出所涵盖的内容。
记下吸取的教训
说完这些,您很有可能已经了解了有关 WordPress 安全性的一两件事。 这是个好消息,因为您可以应用这些新知识来确保您的网站安全。
例如,从被黑网站中恢复可能会导致使用更强的密码或更频繁地更新软件。 您甚至可以实施诸如双因素身份验证之类的措施。 它还可能使您了解服务器设置,这些设置可能使恶意行为者更难以造成损害。
关键是将安全性加强到至少可以抵御最常见类型的攻击的程度。 除此之外,还要保持警惕,永远不要将安全视为理所当然。