如何在被黑的 WordPress 网站中找到后门并修复它

Black

您的 WordPress 网站被黑客入侵了吗?

黑客通常会安装一个后门,以确保即使在您保护了您的网站之后他们也可以重新进入。除非您可以删除该后门,否则无法阻止它们。

在本文中,我们将向您展示如何在被黑的 WordPress 网站中找到后门并修复它。

find-and-fix-backdoor-in-a-hacked-wordpress-site-og

如何判断您的网站是否被黑客入侵

如果您正在运行WordPress 网站,那么您需要认真对待安全性。这是因为网站平均每天受到 44 次攻击。

您可以在我们的终极 WordPress 安全指南中了解确保网站安全的最佳实践。

但是,如果您的网站已经被黑客入侵了怎么办?

您的 WordPress 网站已被黑客入侵的一些迹象包括网站流量或性能下降、添加了错误链接或未知文件、主页损坏、无法登录、可疑的新用户帐户等等。

清理被黑的网站可能会非常痛苦和困难。我们将在我们的初学者指南中逐步引导您完成修复被黑 WordPress 网站的过程。您还应该确保扫描您的网站以查找黑客留下的任何恶意软件。

并且不要忘记关闭后门。

聪明的黑客知道你最终会清理你的网站。他们可能做的第一件事是安装后门,这样他们就可以在您保护 WordPress 网站的前门后偷偷溜回来。

什么是后门?

后门是添加到网站的代码,允许黑客在不被发现的情况下访问服务器,并绕过正常登录。即使您找到并删除了被利用的插件或网站漏洞,它也允许黑客重新获得访问权限。

后门是用户入侵后的下一步黑客攻击。您可以在我们的WordPress 网站如何被黑客入侵以及如何防止它的指南中了解他们可能如何做到这一点。

后门通常可以在 WordPress 升级后幸存下来。这意味着在您找到并修复每个后门之前,您的网站将一直存在漏洞。

后门如何工作?

一些后门只是隐藏的管理员用户名。他们让黑客通过输入用户名和密码正常登录。由于用户名是隐藏的,您甚至不知道其他人可以访问您的网站。

更复杂的后门可以让黑客执行 PHP 代码。他们使用他们的网络浏览器手动将代码发送到您的网站。

其他人则拥有完整的用户界面,允许他们作为您的WordPress 托管服务器发送电子邮件、执行 SQL 数据库查询等等。

一些黑客会留下多个后门文件。他们上传一个后,他们将添加另一个以确保他们的访问权限。

后门隐藏在哪里?

在我们发现的每一个案例中,后门都伪装成一个 WordPress 文件。WordPress 网站上的后门代码最常存储在以下位置:

  1. 一个 WordPress主题,但可能不是您当前使用的主题。更新 WordPress 时不会覆盖主题中的代码,因此这是放置后门的好地方。这就是我们建议删除所有非活动主题的原因。
  2. WordPress插件是另一个隐藏后门的好地方。与主题一样,它们不会被 WordPress 更新覆盖,并且许多用户不愿意升级插件。
  3. uploads文件夹可能包含数百或数千个媒体文件,因此它是另一个隐藏后门的好地方。博主几乎从不检查其内容,因为他们只是上传一张图片,然后在帖子中使用它。
  4. wp-config.php文件包含用于配置 WordPress 的敏感信息。它是黑客最具针对性的文件之一。
  5. wp-includes文件夹包含 WordPress 正常运行所需的 PHP 文件。这是我们发现后门的另一个地方,因为大多数网站所有者不检查文件夹包含的内容。

我们发现的后门示例

以下是黑客上传后门的一些示例。在我们清理的一个站点中,后门位于wp-includes文件夹中。该文件名为wp-user.php,看起来很无辜,但该文件实际上并不存在于正常的 WordPress 安装中。

hello.php在另一个例子中,我们在 uploads 文件夹中发现了一个 PHP 文件。它被伪装成 Hello Dolly 插件。奇怪的是,黑客把它放在了uploads文件夹而不是plugins文件夹中。

我们还发现了不使用.php文件扩展名的后门。一个例子是一个名为 的文件wp-content.old.tmp,我们还在带有.zip扩展名的文件中发现了后门。

如您所见,黑客在隐藏后门时可以采取非常有创意的方法。

在大多数情况下,这些文件是用可以执行各种操作的 Base64 代码编码的。例如,他们可以添加垃圾链接、添加其他页面、将主站点重定向到垃圾页面等等。

话虽如此,让我们看看如何在被黑的 WordPress 网站中找到后门并修复它。

如何在被黑的 WordPress 网站中找到后门并修复它

现在您知道后门是什么以及它可能隐藏在哪里。困难的部分是找到它!之后,清理它就像删除文件或代码一样简单。

1.扫描潜在的恶意代码

扫描您的网站以查找后门和漏洞的最简单方法是使用 WordPress恶意软件扫描程序插件。我们推荐 Securi,因为它帮助我们在 3 个月内阻止了 450,000 次 WordPress 攻击,其中包括 29,690 次后门相关攻击。

他们为 WordPress 提供了一个免费的 Sucuri 安全插件,可让您扫描您的网站以查找常见威胁并加强您的 WordPress 安全性。付费版本包括一个服务器端扫描器,它每天运行一次并查找后门和其他安全问题。

在我们的指南中了解有关如何扫描您的 WordPress 网站以查找潜在恶意代码的更多信息。

2.删除你的插件文件夹

在插件文件夹中搜索可疑文件和代码非常耗时。而且由于黑客非常狡猾,因此无法保证您会找到后门。

您可以做的最好的事情是删除您的插件目录,然后从头开始重新安装您的插件。这是确定插件中没有后门的唯一方法。

您可以使用FTP 客户端WordPress 主机的文件管理器访问您的插件目录。如果您以前没有使用过 FTP,那么您可能想查看我们的指南,了解如何使用 FTP 将文件上传到 WordPress

您将需要使用该软件导航到您网站的wp-content文件夹。在那里,您应该右键单击该plugins文件夹并选择“删除”。

backdoorplugins

3.删除您的主题文件夹

同样,与其花时间在主题文件中搜索后门,不如直接删除它们。

删除plugin文件夹后,只需突出显示该themes文件夹并以相同方式将其删除。

您不知道该文件夹中是否有后门,但如果有,它现在已经消失了。您只是节省了时间,并且消除了额外的攻击点。

现在您可以重新安装您需要的任何主题。

4. 在 Uploads 文件夹中搜索 PHP 文件

接下来,您应该查看该uploads文件夹并确保其中没有 PHP 文件。

没有充分的理由将 PHP 文件放在此文件夹中,因为它旨在存储媒体文件,例如图像。如果你在那里找到一个 PHP 文件,那么它应该被删除。

pluginsthemes文件夹一样,您会在uploads文件夹中找到该文件wp-content 夹​​。在该文件夹中,您会发现每个上传文件的年份和月份的多个文件夹。您将需要检查每个文件夹中的 PHP 文件。

一些 FTP 客户端提供了递归搜索文件夹的工具。例如,如果您使用 FileZilla,则可以右键单击该文件夹并选择“将文件添加到队列”。在文件夹的任何子目录中找到的任何文件都将添加到底部窗格中的队列中。

backdooruploads

您现在可以滚动列表以查找扩展名为 .php 的文件。

或者,熟悉 SSH 的高级用户可以编写以下命令:

1
find uploads -name "*.php" -print

5.删除.htaccess文件

一些黑客可能会将重定向代码添加到您的.htaccess 文件中,这会将您的访问者转到不同的网站。

使用 FTP 客户端或文件管理器,只需从您网站的根目录中删除文件,它就会自动重新创建。

backdoorhtaccess

如果由于某种原因没有重新创建它,那么您应该转到WordPress 管理面板中的设置»永久链接。单击“保存更改”按钮将保存一个新的 .htaccess 文件。

backdoorpermalinks

6. 检查 wp-config.php 文件

wp-config.php 文件是一个核心 WordPress 文件,其中包含允许 WordPress 与数据库通信的信息、WordPress 安装的安全密钥以及开发人员选项。

该文件位于您网站的根文件夹中。您可以通过在 FTP 客户端中选择打开或编辑选项来查看文件的内容。

backdoorwpconfig

现在您应该仔细查看文件的内容,看看是否有任何不合适的地方。wp-config-sample.php将文件与位于同一文件夹中的默认文件进行比较可能会有所帮助。

您应该删除任何您确定不属于的代码。

7. 恢复网站备份

如果您一直在对您的网站进行定期备份并且仍然担心您的网站不完全干净,那么恢复备份是一个很好的解决方案。

您将需要完全删除您的网站,然后恢复在您的网站被黑客入侵之前进行的备份。这不是每个人的选择,但它会让您 100% 确信您的网站是安全的。

有关更多信息,请参阅我们的初学者指南,了解如何从备份中恢复 WordPress

未来如何防止黑客攻击?

现在您已经清理了您的网站,是时候提高您网站的安全性以防止将来出现黑客攻击了。在网站安全方面,廉价或冷漠是不值得的。

1.定期备份您的网站

如果您还没有对您的网站进行定期备份,那么今天就是开始的一天。

WordPress 没有内置备份解决方案。但是,有几个很棒的WordPress 备份插件可以让您自动备份和恢复您的 WordPress 网站。

UpdraftPlus是最好的 WordPress 备份插件之一。它允许您设置自动备份计划,并在发生不良情况时帮助您恢复 WordPress 站点。

在我们的指南中了解有关如何使用 UpdraftPlus 备份和恢复您的 WordPress 网站的更多信息

backdoorupdraftplus

2.安装安全插件

当您忙于您的业务时,您不可能监控您网站上的所有内容。这就是为什么我们建议您使用Sucuri这样的安全插件。

我们推荐Sucuri,因为他们擅长他们的工作。CNN、今日美国、PC World、TechCrunch、The Next Web 等主要出版物对此表示赞同。另外,我们自己依靠它来保证 WPBeginner 的安全。

3. 让 WordPress 登录更安全

让您的 WordPress 登录更安全也很重要。最好的开始方法是在用户在您的网站上创建帐户时强制使用强密码。我们还建议您开始使用密码管理器实用程序,例如 1Password。

您应该做的下一件事是添加双因素身份验证。这将保护您的网站免受被盗密码和暴力攻击。这意味着即使黑客知道您的用户名和密码,他们仍然无法登录您的网站。

最后,您应该限制 WordPress 中的登录尝试。WordPress 允许用户根据需要多次输入密码。在五次登录尝试失败后将用户锁定将大大减少黑客破解您的登录详细信息的机会。

4. 保护您的 WordPress 管理区域

保护管理区域免受未经授权的访问可以阻止许多常见的安全威胁。我们有一长串关于如何保持 WordPress 管理员安全的提示。

例如,您可以使用密码保护 wp-admin 目录。这为您网站最重要的入口点增加了另一层保护。

您还可以将管理区域的访问权限限制为团队使用的 IP 地址。这是阻止发现您的用户名和密码的黑客的另一种方法。

5.禁用主题和插件编辑器

您知道 WordPress 带有内置主题和插件编辑器吗?这个纯文本编辑器允许您直接从 WordPress 仪表板编辑您的主题和插件文件。

虽然这很有帮助,但它可能会导致潜在的安全问题。例如,如果黑客闯入您的 WordPress 管理区域,那么他们可以使用内置编辑器访问您的所有 WordPress 数据。

之后,他们将能够从您的 WordPress 网站分发恶意软件或发起DDoS 攻击。

为了提高 WordPress 的安全性,我们建议完全删除内置的文件编辑器

6. 在某些 WordPress 文件夹中禁用 PHP 执行

默认情况下,PHP 脚本可以在您网站上的任何文件夹中运行。您可以通过在不需要的文件夹中禁用 PHP 执行来使您的网站更加安全。

例如,WordPress 永远不需要运行存储在您的uploads文件夹中的代码。如果您禁用该文件夹的 PHP 执行,那么即使黑客成功上传了后门,他们也无法运行后门。

7. 让您的网站保持最新状态

每个新版本的 WordPress 都比以前的版本更安全。每当报告安全漏洞时,核心 WordPress 团队都会努力发布修复该问题的更新。

这意味着,如果您没有使 WordPress 保持最新状态,那么您使用的是具有已知安全漏洞的软件。黑客可以搜索运行旧版本的网站并利用该漏洞获得访问权限。

这就是为什么您应该始终使用最新版本的 WordPress

不要只是让 WordPress 保持最新。您需要确保您的 WordPress插件主题保持最新。

我们希望本教程能帮助您了解如何在被黑的 WordPress 网站中查找和修复后门。您可能还想了解如何将 WordPress 从 HTTP 迁移到 HTTPS,或者查看我们的WordPress 错误列表以及如何修复它们

如果您喜欢这篇文章,请订阅我们的 YouTube 频道 以获取 WordPress 视频教程。您也可以在 Twitter 和Facebook上找到我们。

Related Posts