由于WordPress的流行,它已成为网络攻击的常见目标。事实上,Alexa Top100万的40,000个WordPress网站中有70%容易受到黑客攻击。
被黑网站的一些最常见迹象包括网页被破坏、指向恶意网站的链接、谷歌黑名单警告和白屏死机。如果这些迹象之一出现在您的WordPress网站上,则它可能已被入侵或感染了恶意软件。
一旦您确认您正在运行一个被黑的WordPress网站,请尽快采取适当的措施来恢复它。继续阅读,因为我们将提供从被黑网站手动删除恶意软件的步骤。我们还将介绍一些可供选择的最佳WordPress安全插件。
如何手动删除WordPress恶意软件
虽然可以恢复被黑的WordPress网站,但该过程需要在网站维护和托管方面具备良好的技术知识。
如果以下教程对您来说太具有挑战性,我们建议使用WordPress恶意软件清除插件或聘请WordPress恶意软件清除专家。
步骤 1:准备删除WordPress恶意软件
首先,请记住,您可以修复被黑的WordPress网站。虽然恢复它可能需要一些时间和精力,但要知道你可以克服这样的事件。因此,保持冷静并遵循适当的恢复程序非常重要。
在从您的WordPress网站中删除恶意软件之前,请执行以下准备步骤以确保您的数据安全:
1. 限制对网站的访问
如果您的WordPress网站有恶意重定向到阴暗、不安全的网站,那么它很可能已被黑客入侵。如果不加以检查,受感染的WordPress网站可能会提示访问者访问危险网站并泄露他们的个人详细信息。
限制对您的WordPress网站的访问将有助于防止当前感染它的隐藏恶意软件的进一步传播。通过主机控制面板的文件管理器或FTP客户端编辑.htaccess文件来执行此步骤。在本教程中,我们将在宝塔面板的的文件管理器。
这是如何做到的:
(1)导航到文件菜单下的文件管理器。
(2)访问/www/wwwroot/yourdomain目录并向下滚动以找到.htaccess文件。如果该文件不存在,请创建一个新的.
(3)将此代码段添加到.htaccess文件以阻止除您之外的所有访问:
order allow,deny deny from all allow from [your_IP_address]
(4)保存更改。
Tip:确保您的IP地址是静态的。否则,您需要定期更新 .htaccess 文件。
2. 创建备份
创建被黑站点的备份将更容易识别恶意软件。通过将良好备份的WordPress文件与破解后版本的WordPress文件进行比较,您将能够更快地找到恶意代码。
按照以下步骤使用宝塔面板提供的功能备份您的WordPress站点文件和数据库:
(1)导航到“网站”菜单,找到对应的网站,点击“备份”列下方对应的操作项进行网站文件备份。
(2)服务器完成下载准备后,可以单击下载将备份下载到本地计算机。
(3)备份您的网站文件后,对您的WordPress数据库执行相同操作。单击“数据库”菜单,然后选择你需要备份数据的网站的备份列对应的操作项,即可进行数据库备份。
(4)如需要下载数据库备份,可以选择对应的备份文件并点击下载。
3.检查可用的备份
对于那些作为网站管理员完成尽职调查的人来说,这一步应该很容易。如果您无法使用受感染的备份文件恢复WordPress站点,则旧版本可以作为您的B计划,让您恢复黑客攻击前的数据并更快地重新开始。
否则,我们建议您联系您的主机服务商,看看他们是否有您网站文件的备份。根据您的托管服务提供商,您可能会自动生成预破解备份文件。
4.更新所有密码和访问密钥
许多黑客使用恶意软件进行暴力攻击以破解管理员帐户的登录凭据。更改密码可以减慢它们的速度,并最大限度地减少另一个安全风险对您的 WordPress 网站造成严重破坏的可能性。
确保使用强密码并避免一次在多个帐户上重复使用它们。有很多在线密码生成器,例如安全密码生成器和随机密码生成器,它们可以帮助您创建具有各种字母和数字组合的不可预知的密码。
以下是一些需要尽快重置密码的帐户:
- 托管账户——大多数托管服务提供商,都将密码更改功能放在账户信息页面上。
- FTP帐户– 让您的FTP帐户受到威胁,黑客可以发动FTP攻击。通过更改主帐户和辅助帐户的密码来最小化这种风险。
- SSH帐户‒ 更改您的帐户密码和SSH密钥,以防止黑客访问您的网站数据。
- WP-Admin 凭据‒重置您的管理员密码和有权访问您网站后端的其他WordPress用户帐户的登录凭据。
- WP Salts——更改您的WordPress Salt密钥将有助于保持您的登录详细信息经过哈希处理,从而增强您的WordPress帐户免受暴力攻击。
重要的!如果您的个人帐户与被黑WordPress网站的密码相同,请同时更改它们。
5.更新WordPress
39.3%的被黑WordPress网站运行的是过时的WordPress版本。通过使您的CMS保持最新状态,您将消除黑客可以利用来攻击您的网站的漏洞。
以下是您需要更新的软件和文件的清单:
- WordPress版本‒通过WordPress管理仪表板的更新选项卡将您的WordPress更新到最新版本。
- 主题和插件——过时的WordPress插件和主题的更新提示应该出现在更新部分。不要忘记通过删除未使用的主题和插件来消除潜在的安全问题。
- PHP版本‒ 宝塔用户可以的网站设置菜单切换更新PHP版本。
6.检查最近的更改和访问
您的WordPress站点日志会跟踪服务器上的所有流量和更改。在黑客入侵期间检查日志中的可疑活动可以更轻松地识别流氓帐户和受感染文件。
首先,通过在SSH上运行find命令来分析您的变更日志:
find . -type f -name '*.file_extension' -ctime n
将file_extension值替换为您要检查的文件类型。我们建议搜索JavaScript和PHP文件,因为这两个文件扩展名都是恶意软件注入的常见目标。将正值或负值添加到n占位符以确定搜索范围。
例如,以下SSH命令显示三天前添加或修改的所有PHP文件:
find . -type f -name '*.php' -ctime -3
至于访问日志,宝塔面板用户可以通过仪表盘网站部分下的网站对应的设置,在弹出面板访问网站日志-响应日志查看它们。
7.删除符号链接
符号链接或符号链接是指向另一个文件或目录的文件类型,用作快捷方式。虽然它们提供了多个访问点,但黑客可以利用它们发起符号链接攻击并获得对您的根目录的访问权限。
通过SSH运行此命令以解锁文件和目录中的符号链接:
find . -type l -exec unlink {} \;
8.重置文件和文件夹权限
限制具有管理员角色的用户数量是防止黑客访问机密站点文件的重要安全措施。如果发生安全漏洞,我们建议将文件和文件夹权限重置为其默认值,以清除具有无效访问权限的WordPress用户。
文件权限设置应该可以通过您的托管帐户仪表盘访问。您可以参考“WordPress文件权限”,恢复原本的文件及文件夹权限。
推荐的755文件夹权限意味着这些文件夹中文件的所有者可以读取、写入和执行它们,而其他 WordPress 用户只有读取和执行访问权限。
9. 使用防病毒软件扫描您的PC
网络攻击最初可能针对您的WordPress网站,但无法确定恶意软件感染是否尚未传播到您的 PC。使用防病毒软件扫描您的 PC 将有助于消除潜在的恶意软件感染并防止它损害您的硬件。
以下是一些带有恶意软件扫描功能的最佳防病毒解决方案:
步骤 2:重新安装WordPress核心文件
完成先决条件后,是时候重新安装WordPress了。如果您仍然可以访问WordPress仪表盘,请导航到更新并单击立即重新安装按钮。
否则,您可以使用FTP客户端手动重新安装WordPress核心文件。以下参考步骤:
(1)与您的Web服务器建立FTP连接。
(2)在根目录中找到wp-content文件夹,右键单击它,然后选择Download。
(3)访问wordpress.org网站下载最新版本WordPress。
(4)解压最新版本的WordPress压缩包,并上传到服务器覆盖现有的文件。
(5)返回您的FTP客户端并刷新目录列表。将之前下载的wp-content文件夹重新上传到根目录。此步骤允许您保留插件和主题文件。
步骤 3:比较受感染和干净的WordPress安装
此时,您将拥有受感染和干净的WordPress文件。将这些文件放在两个单独的文件夹中,并通过您的FTP客户端比较内容。FileZilla具有目录比较功能,您可以使用它来简化流程。如果您有很多文件要处理,请考虑使用Beyond Compare。
密切注意JavaScript和PHP文件,因为它们是恶意软件的理想宿主。然后,根据需要将尽可能多的干净WordPress文件上传到网站,并定期检查网站是否正常工作。
或者,在SSH中使用diff命令比较受感染文件夹和干净文件夹:
diff -r wordpress-clean/ wordpress-infected/ -x wp-content
留意最近更改或添加的任何文件。
步骤 4:从上传中清除PHP文件
由于恶意PHP文件可能是您网站被黑的原因,因此从您的Uploads文件夹中删除PHP文件是受损WordPress网站清理过程的重要步骤。
您可以通过FTP客户端手动执行此操作,方法是在wp-content文件夹中找到Uploads 。像FileZilla这样的大多数FTP客户端都提供了过滤功能,这将使这个过程变得简单。另一种方法是在SSH中使用find命令:
find . -name "*.php"
步骤 5:在文件中查找后门
黑客可能会在文件中嵌入后门,从而在您的WordPress网站中制造安全漏洞,因此删除任何携带它们的被黑文件非常重要。
后门通常看起来类似于WordPress核心文件。wp-config.php和plugins、theme和uploads文件夹中的文件是后门注入的最流行目标。
要识别潜在的后门,请检查您的文件中是否存在以下 PHP 函数:
- base64
- exec
- move_uploaded_file
- str_rot13
- gzuncompress
- eval
- stripslashes
- system
- assert
- preg_replace (with /e/)
使用以下SSH命令来检测位于您的目录中的任何被黑文件:
find . -type f -name '*.php' | xargs egrep -i "(mail|fsockopen|pfsockopen|stream\_socket\_client|exec|system|passthru|eval|base64_decode) *("
以下命令将定位具有后门函数的图像文件:
find wp-content/uploads -type f -iname '*.jpg' | xargs grep -i php
最后,使用以下命令定位受感染的iframe:
find . -type f -name '*.php'| grep -i '<iframe'
重要的!一些插件在其操作中使用这些功能,因此请务必测试所做的任何更改。我们建议下载原始插件文件并将其代码与您从被黑站点下载的文件进行比较,以避免删除基本功能。
步骤 6:检查SQL数据库文件
您的数据库无法免受恶意软件注入的影响。在确保您的WordPress核心和内容文件是干净的之后,下一步是仔细查看您的数据库。
首先,使用phpMyAdmin将您的MySQL数据库导出为.sql备份文件。使用像Sublime这样的文本编辑器,检查文件中的恶意内容。不要从数据库备份文件中删除可疑条目。相反,请记下它们的位置并继续下一步。
步骤 7:查看每个页面的代码并发布
在此步骤中,查找您的问、页面和评论部分中的恶意条目。检查他们的修订历史以检测任何可疑活动。
仔细查看在第6步中发现可疑条目的位置。使用文本编辑器删除所有恶意代码,并在需要时重新格式化内容。
当您使用它时,请删除您在清理过程中发现的垃圾邮件。
步骤 8:从URL拦截列表中删除您的网站
此时,您的WordPress网站应该没有恶意代码。剩下要做的就是从Google的黑名单中删除您网站的URL。
您可以通过Google Search Console执行此操作。导航到您的管理仪表板并打开Security & Manual Actions -> Security issues选项卡。选择I have fixed these issues -> Request a review以让Google审核并重新索引您的WordPress网站。
请注意,Google可能需要几天时间来处理黑名单删除请求。
验证您的网站
考虑查看如何将域添加到Google Search Console以验证您的网站所有权并请求审核。
最好的WordPress恶意软件删除插件
您已经了解了手动从WordPress网站中删除恶意软件所需的步骤。如果您对自己的技术技能没有信心,请考虑使用 WordPress 恶意软件删除插件来简化清理过程。
以下是三个可供选择的最佳WordPress安全插件。随意选择最适合您的需求和偏好的一种。
1. WordFence Security
WordFence Security的WordPress恶意软件扫描程序可以轻松从您的WordPress站点中删除恶意软件。该插件还包括一个计划的安全扫描功能,以自动化该过程,确保您的WordPress网站安全,而无需对您进行过多的微观管理。
该插件带有一个Web应用程序防火墙——它是对您网站安全性的重要补充,可以阻止恶意流量并防止暴力攻击。它与恶意软件扫描程序一起工作以阻止包含恶意脚本的请求。
此外,WordFence Security还包括登录安全功能,例如双因素身份验证和reCAPTCHA。该插件还允许您使用已知的泄露用户密码阻止登录。
以每年99美元至950美元的价格升级到WordFence高级版,您可以访问实时IP拦截列表和国家/地区阻止功能,阻止来自您选择的恶意IP地址或国家/地区的所有请求。
其他值得注意的高级功能包括实时恶意软件签名更新、调查和恶意软件删除、事件后黑名单删除和搜索引擎安全清理。
2.All In One WP Security & Firewall
这个WordPress安全和防火墙插件提供了用户帐户安全功能,可以检测默认的“管理员”用户名以及相同的登录名和显示名。它通过提供密码强度工具停止用户名枚举并促进强密码。
登录和用户注册安全功能带有暴力保护、自动强制注销和IP锁定。您可以监控所有用户的帐户活动,包括失败的登录尝试,并将某些IP地址列入白名单。
其他WordPress安全功能包括添加自定义WP前缀、计划的自动数据库备份、.htaccess和wp-config.php文件备份以及文件更改检测扫描程序的能力。
简而言之,All In One WP Security & Firewall是最好的免费插件之一,可以从被黑网站中删除恶意软件并防止未来的恶意软件攻击。
3.Sucuri Security
与WordFence安全插件一样,Sucuri有免费和高级版本。免费插件提供基本的WordPress安全功能,如文件完整性监控、安全强化和活动审计、远程恶意软件扫描、黑名单监控和黑客攻击后安全措施。不幸的是,网站防火墙是为高级用户保留的。
高级版每年收费199.99至499.99美元,并由Sucuri安全专家提供无限制的恶意软件和黑客清除功能。所有计划都包括基于云的Web应用程序防火墙、每30分钟到12小时的网站安全扫描以及清理后的基本报告。
Sucuri还可以在您的WordPress网站被列入黑名单时通知您,并代表您提交删除请求。CDN速度增强功能将在恶意软件感染后提高您的搜索引擎排名。
购买WordPress恶意软件删除服务
各种WordPress插件提供一流的功能,可以从WordPress网站中删除恶意软件,并保护它们免受未来的恶意软件感染。但是,在处理复杂的恶意软件时,可能需要专业的帮助。
如果您缺乏执行上述流程所需的技术专长,建议您购买WordPress安全服务。
WordPress安全专家可以确保恶意软件删除过程正确完成。此外,您可以让他们修补您的WordPress网站的安全漏洞,以确保其以最佳方式运行。
Upwork、Fiverr和Codeable等自由职业者平台托管了大量的专业WordPress专家可供租用。以下是一些提示,可帮助您找到WordPress恶意软件清除专家:
- 写一份清晰的工作描述——这样做将有助于设定期望、预算和所需技能。
- 仔细审查应聘者的作品集——深入了解应聘者的过往经历将使您更好地了解他们的技能、专业知识以及他们是否能够胜任这项任务。
- 浏览过去的客户评论——确保候选人的职业道德和沟通方式符合您的偏好。一个好的承包商应该为您提供定期的状态更新,并对整个过程保持透明。
- 使用参考‒ 请您的朋友或联系人推荐与他们合作过的值得信赖的专家。
保护您的网站
考虑查看如何保护WordPress指南,以帮助您识别和修补站点中的安全漏洞。
小结
可以通过多种方式从您的WordPress网站中删除恶意软件。如果您具有执行清理过程所需的技术专长和时间,则可以手动执行此操作。
WordPress安全插件可以简化流程并添加额外的安全措施以防止未来的恶意软件攻击。如果一切都失败了,您可以聘请WordPress安全专家为您完成工作。
无论首选方法如何,最好尽快采取行动。虽然可以恢复被黑的网站,但如果不加以修复,网络攻击可能会损害其搜索引擎排名和您的品牌声誉。
评论留言