如何從WordPress網站檢查,刪除和防止惡意軟件

惡意軟件

這週很忙。 我認識的一個非營利組織中有一個處境十分困難–他們的WordPress網站感染了惡意軟件。 該網站遭到黑客攻擊,並在訪問者身上執行了腳本,該腳本做了兩項不同的操作:

  1. 試圖感染Microsoft Windows 惡意軟件.
  2. 將所有用戶重定向到使用JavaScript來利用訪問者PC的網站 我的加密貨幣.

我點擊了他們的最新新聞後發現該網站遭到黑客入侵,並立即將發生的事情通知了他們。 不幸的是,這是一次非常激進的攻擊,我能夠刪除但在上線後立即重新感染了該站點。 這是惡意軟件黑客的一種很常見的做法-他們不僅對網站進行了黑客攻擊,而且還向該網站添加了管理用戶,或者更改了一個核心WordPress文件,如果該文件被刪除,則會重新註入該文件。

惡意軟件是網絡上的一個持續存在的問題。 惡意軟件被用來提高廣告的點擊率(廣告欺詐),網站統計信息以向廣告客戶收取過多費用,試圖獲得訪問者的財務和個人數據的訪問權,以及最近一次來挖掘加密貨幣。 採礦者可以從採礦數據中獲得豐厚的報酬,但是建造採礦機器並為其支付電費的成本卻很高。 通過秘密利用計算機,礦工可以不花錢就賺錢。

WordPress和其他常見平台是黑客的巨大目標,因為它們是網絡上眾多站點的基礎。 此外,WordPress具有主題和插件架構,無法保護核心站點文件免受安全漏洞的影響。 此外,WordPress社區在識別和修補安全漏洞方面非常出色–但是網站所有者並不願意保持網站更新為最新版本。

該特定網站託管在GoDaddy的傳統網絡託管(不 託管WordPress託管),提供零保護。 當然,他們提供 惡意軟件掃描程序和刪除 服務,不過。 託管WordPress託管公司,例如 飛輪, WP發動機, LiquidWeb,GoDaddy和 萬神殿(Pantheon) 都提供自動更新,以在發現並修補問題時使您的網站保持最新。 大多數都具有惡意軟件掃描功能以及列入黑名單的主題和插件,以幫助網站所有者防止黑客入侵。 一些公司走得更遠– Kinsta –高性能託管WordPress主機–甚至提供了 安全保證.

您的網站是否被惡意軟件列入黑名單:

在線上有很多網站可以“檢查”您的網站是否存在惡意軟件,但請記住,大多數網站實際上並沒有真正對您的網站進行實時檢查。 實時惡意軟件掃描需要第三方抓取工具,該工具無法即時提供結果。 提供即時檢查的網站是以前發現您的網站存在惡意軟件的網站。 網絡上的一些惡意軟件檢查站點為:

  • Google透明度報告 –如果您的網站是向網站管理員註冊的,則他們在抓取您的網站並在其中發現惡意軟件時會立即向您發出警報。
  • 諾頓安全網絡 –諾頓還經營網絡瀏覽器插件和操作系統軟件,如果用戶將您的頁面列入黑名單,它們將阻止他們晚上打開您的頁面。 網站所有者可以在網站上註冊,並要求在網站乾淨後重新評估他們的網站。
  • Sucuri – Sucuri維護惡意軟件站點列表以及有關將其列入黑名單的報告。 如果您的網站被清理,您會看到一個 強制重新掃描 列表下方的鏈接(很小的字體)。 Sucuri具有出色的插件,可以檢測到問題……然後將您推入年度合同以將其刪除。
  • Yandex的 –如果您在Yandex中搜索您的域,然後看到“據Yandex稱,該網站可能很危險”, 您可以註冊Yandex網站管理員,添加網站,導航到 安全與違規,並要求清除您的網站。
  • 菲斯坦克 –有些黑客會將網絡釣魚腳本放置在您的站點上,這會將您的域列為網絡釣魚域。 如果您在Phishtank中輸入了所報告的惡意軟件頁面的確切完整URL,則可以在Phishtank中進行註冊並對其進行投票,以決定它是否是真正的釣魚網站。

除非您的站點已註冊並且在某個地方有監視帳戶,否則您可能會從其中一項服務的用戶處獲得報告。 不要忽略警報……雖然您可能看不到問題,但誤報很少發生。 這些問題會使您的網站從搜索引擎中被索引,並被瀏覽器阻止。 更糟糕的是,您的潛在客戶和現有客戶可能想知道與他們合作的組織類型。

您如何檢查惡意軟件?

上面的幾家公司都說找到惡意軟件有多困難,但並不是那麼困難。 困難實際上是弄清楚它是如何進入您的網站的! 惡意代碼通常位於:

  • 保養 –首先,將其指向 維護頁面 並備份您的網站。 不要利用WordPress的默認維護或維護插件,因為它們仍將在服務器上執行WordPress。 您要確保沒有人在該站點上執行任何PHP文件。 在您檢查時,請檢查您的 的。htaccess Web服務器上的文件,以確保該文件沒有可能重定向流量的流氓代碼。
  • 搜尋 通過SFTP或FTP的站點文件,並確定插件,主題或WordPress核心文件中的最新文件更改。 打開這些文件,然後查找添加腳本或Base64命令(用於隱藏服務器腳本執行)的所有編輯。
  • 比較 根目錄,wp-admin目錄和wp-include目錄中的核心WordPress文件,以查看是否存在任何新文件或不同大小的文件。 對每個文件進行故障排除。 即使您找到並刪除了駭客,也要繼續尋找,因為許多駭客離開後門來重新感染該站點。 不要簡單地覆蓋或重新安裝WordPress…黑客經常在根目錄中添加惡意腳本,並以其他方式調用該腳本以注入該hack。 不太複雜的惡意軟件腳本通常只在以下位置插入腳本文件: header.php文件 or footer.php文件。 更複雜的腳本實際上將使用重新註入代碼來修改服務器上的每個PHP文件,從而使您很難清除它。
  • 清除 可能是源的第三方廣告腳本。 當我得知新的廣告網絡已被在線黑客入侵時,我拒絕應用它們。
  • 來看看我們的  您的posts數據庫表中頁面內容中的嵌入式腳本。 您可以通過使用PHPMyAdmin進行簡單搜索並蒐索請求URL或腳本標籤來實現。

在您將網站投入使用之前……現在應該加固您的網站,以防止立即重新註入或遭受其他黑客攻擊:

如何防止您的網站遭到黑客攻擊和惡意軟件安裝?

  • 確認 網站上的每個用戶。 黑客通常會注入添加管理用戶的腳本。 刪除任何舊的或未使用的帳戶,然後將其內容重新分配給現有用戶。 如果您有一個名為 管理員,添加一個具有唯一登錄名的新管理員,然後完全刪除該管理員帳戶。
  • 重設 每個用戶的密碼。 許多站點被黑客入侵,是因為用戶使用了在攻擊中猜測的簡單密碼,從而使某人可以進入WordPress並做他們想做的事。
  • 禁用 通過WordPress Admin編輯插件和主題的功能。 編輯這些文件的能力使任何黑客在獲得訪問權限後都可以做同樣的事情。 使核心WordPress文件不可寫,以便腳本無法重寫核心代碼。 ALL IN ONE 有一個非常好的插件可以提供WordPress 硬化 具有大量功能。
  • 手動 下載並重新安裝所需的每個插件的最新版本,並刪除所有其他插件。 絕對刪除可以直接訪問站點文件或數據庫的管理插件,這特別危險。
  • 清除 並使用直接從其站點下載的全新WordPress安裝替換wp-content文件夾(因此,root,wp-includes,wp-admin)以外的根目錄中的所有文件。
  • 保持 您的網站! 我在這個週末工作的網站上有一個舊版本的WordPress,該版本具有已知的安全漏洞,應該不再具有訪問權限的舊用戶,舊主題和舊插件。 可能是其中任何一個使公司容易被黑客入侵。 如果您負擔不起維護站點的費用,請確保將其移至可以託管的託管公司! 花更多的錢在主機上可以使這家公司免於這種尷尬。

一旦您確信所有問題都已修復並得到了加強,則可以通過刪除 的。htaccess 重定向。 活著後,立即尋找以前存在的相同感染。 我通常使用瀏覽器的檢查工具來監視頁面的網絡請求。 我跟踪每個網絡請求,以確保它不是惡意軟件或神秘軟件……如果是,則返回頂部並重新執行所有步驟。

您還可以利用負擔得起的第三方 惡意軟件掃描服務網站掃描儀,它將每天掃描您的網站,並讓您知道是否將您列入有效惡意軟件監視服務的黑名單。 請記住–您的網站一旦清理乾淨,就不會自動從黑名單中刪除。 您應該與每個人聯繫,並根據我們上面的列表提出要求。

像這樣被黑很不好玩。 公司收取數百美元來消除這些威脅。 我工作了不少於8個小時來幫助該公司清理他們的網站。

你覺得呢?

本網站使用Akismet來減少垃圾郵件。 了解您的評論如何處理.