用户在发现自己的WordPress站点被黑,一般都会在第一时间清理自己的网站,但其实这并不能阻止黑客再一次的攻击。因为很多时候这种清理并不正确,或者说用户根本不知道问题出在哪里。
在大多数情况下,WordPress站点被黑都是因为黑客创建了Backdoor后门程序而轻松绕过正常的身份验证。
那什么是后门程序呢?
后门程序(Backdoor)是指绕开正常验证过程并获得服务器的远程访问权限,且WordPress站点管理员无法立即发现。大部分黑客在攻击站点时都是先上传后门程序,即使管理员发现并删除了这些不良插件,黑客还是能重新获得访问权限的。且后门程序在网站升级中也不会被破坏,除非完全清理干净它,否则用户的网站始终暴露在黑客的攻击之下。
有些简单的后门程序仅仅能创建隐藏的管理员用户名,而更复杂后门程序甚至能让黑客执行任何从浏览器端发送的PHP代码。还有一些有完整用户界面的后门程序,可以让黑客用你的服务器发送电子邮件、执行SQL查询或任何他们想做的事情。
这些后门程序藏在哪里呢?
WordPress上安装的后门程序一般在下面这些位置:
- 主题——一般并不在当前使用的WordPress主题上,因为黑客不想因为主题更新而丢失后门。所以,如果用户的主题目录里有一些旧的或者不活跃的主题,那么这里很可能就是藏匿后台程序的地方。所以我们建议删除所有不常用的主题。
- 插件——插件被黑客青睐而用来隐藏后门程序有3个原因:一是用户一般不会关注这些插件;二是用户一般也不会去更新插件,所以还是建议站长们经常更新插件吧;三是有很多插件本身代码的漏洞太多。
- 上传目录——博主一般从不检查自己的上传目录,仅仅上传图片然后网页制作。用户可能上传了几百、几千张图片,同样黑客也很容易就在上传目录中安置一个后门程序,因为藏匿在这么多媒体文件中不会担心被发现。再加上博主没有定期检查的习惯,也没有监测控件。另外,上传目录是可改写的,所以经常成为黑客利用的目标。
- wp-config.php文件——这也是黑客常常攻击的目标之一,若WordPress被黑,最好首先检查一下配置文件。
Folder-/wp-includes/filder也是经常发现后门程序的地方。有些黑客喜欢安装多个后门程序,一旦安装成功,他们就会在其他地方再备份一份以保证获得访问权限。但大部分用户都不会仔细去筛查Includes目录。
总的来说,这些后门程序经常伪装成WordPress文件,例如伪装成wp-includes目录下的wp-user.php文件,但其实这个文件在WordPress正常安装中根本不存在,正常情况下会有user.php文件但没有wp-user.php文件。
后门程序还经常取一些像wp-content.old.tmp、data.php、php5.php或诸如此类的名字。没必要非的是以PHP结尾,仅仅是因为在其中有PHP代码。后门程序有时也可以使一个.zip文件。绝大多数情况下,这些文件都是base64编码写的,通常能执行所以种类的操作(例如增加垃圾链接、增加多余的页面、将主站点重定向到垃圾邮件页面等)。
其实到目前为止,WordPress本身并没有安全漏洞。后门程序也不是黑客攻击的第一步,通常是第二步。通常,黑客先找到第三方插件或脚本上的漏洞以供自己上传后门程序。例如有一些插件允许用户提升权限。如果WordPress开放了用户注册,黑客就可以自由注册,利用这种功能获得更多权限以便上传文件。还有一些情况就是网站使用的主机安全性不够,这就需要换一家好一些的主机商了。
如何找到并清理这些后台程序?
清理后台程序其实就是简单地删除文件或代码,但是找到这些后台程序才是难题。用户可以使用一些WordPress恶意软件扫描插件帮助查找。
用户还可以用Exploit Scanner漏洞扫描器,但是base64和eval代码也是利用插件的,所以有时候会有大量误报。如果不是插件的开发者,是很难辨别藏在成千上万行代码中的错误的。最简单的就是删除插件目录吧,然后重新安装。
检查上传目录
一些扫描插件一般都能检查出上传目录里的“不法分子”的。若用户对SSH比较熟练,也可以用下面的指令:
一般上传目录不会出现.php文件的,因为上传目录里只会有媒体文件,所以看到.php文件就毫不犹豫地删掉吧。
删除无效的主题
如上文所说,这些无效的主题是滋生危害的温床,所以最好还是删除这些不会再使用的主题吧(包括默认的经典主题)。虽然并不确实这些主题中一定藏有后门程序,但是干嘛浪费慢慢去寻找的时间呢,而且你还消除了一个很大的隐患。
.htaccess文件
有时这里会出现一些重定向的代码,毫无疑问地删掉它们吧,然后重新生成.htaccess文件。如果没有自动更新,到WordPress管理面板上,设置》固定链接,单击保存。
wp-config.php文件
只要把这个文件和wp-config-sample.php文件对比一下,不良代码就无所遁形啦。
扫描数据库查找漏洞和垃圾邮件
聪明的黑客永远不会只攻击一处。针对满是数据的数据库的攻击是非常容易的,他们可以在你的数据库中放PHP函数、新管理员账号、垃圾链接等。有时候在用户页面上不显示的某些账号,在数据库里能发现,好吧,你的站点一定被黑了。
如果你不会使用SQL语句检查数据库,那么就使用一些扫描软件吧。
做完这些,在匿名模式下打开浏览器,检查是否还还有黑客的痕迹。因为有时这些黑客的踪迹只有未登录的用户能看到。如果想更保险一点,就换一种浏览器再检查一下,有时黑客可能只针对某一种浏览器而已。
如何预防WordPress被黑?
- 保持备份的习惯并使用监测服务。
- 使用复杂的登录密码。
- 使用两重身份验证——即使你的密码被黑,其他用户仍然要通过你的手机验证码才能登录。
- 限制登录尝试次数。
- 禁用主题和插件编辑器——这样,即使用户权限提升,也无法使用WP-Admin修改主题或插件。
- WP-Admin密码保护——可以为整个目录设置密码保护,还可以限制IP访问。
- 禁止某些目录下的PHP执行——例如禁止上传目录下的PHP执行,这样即使黑客上传了后门程序,它也没办法运行。
- 保持更新——运行最新版本的WordPress,并经常升级插件。
