วิธีทำความสะอาดเว็บไซต์หรือบล็อก WordPress ที่ถูกแฮ็ก

เผยแพร่แล้ว: 2021-02-16

ไม่ว่าเว็บไซต์ WordPress ของคุณจะถูกแฮ็กและขณะนี้คุณกำลังควบคุมความเสียหาย หรือคุณกำลังเตรียมพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุด บทความนี้จะแนะนำคุณตลอดกระบวนการทำความสะอาดเว็บไซต์ WordPress ที่ถูกแฮ็ก กระบวนการนี้ได้รับการจัดทำเป็นเอกสารในรูปแบบทีละขั้นตอนที่ง่ายต่อการปฏิบัติตามเพื่อช่วยให้คุณทำสิ่งต่อไปนี้ได้สำเร็จ:

  • กลับมาควบคุมเว็บไซต์ WordPress ของคุณ
  • ระบุแหล่งที่มาที่เป็นไปได้ของการติดเชื้อ
  • ค้นหาการติดไวรัสและรหัสที่เป็นอันตราย
  • ลบมัลแวร์ แบ็คดอร์ และเว็บเชลล์
  • ลบโดเมนของคุณจากรายการมัลแวร์ เช่น ฐานข้อมูล Google Safe Browsing
  • ป้องกันการเกิดซ้ำ

เว็บไซต์ WordPress ที่ถูกแฮ็กของคุณถูกแฮ็กจริงหรือ

เว็บไซต์ WordPress ที่ถูกแฮ็ก

บางครั้งก็ค่อนข้างชัดเจนเมื่อไซต์ WordPress ถูกแฮ็ก ตัวอย่างเช่น หากเว็บไซต์ของคุณถูกทำลาย ในบางกรณีอาจไม่ชัดเจนนัก ก่อนเริ่มกระบวนการล้างข้อมูล WordPress ให้ยืนยันว่าเว็บไซต์ WordPress ของคุณถูกแฮ็กจริง ๆ และไม่ใช่ปัญหาทางเทคนิคที่ไม่เกี่ยวข้อง อ่านบทความวิธีตรวจสอบว่า WordPress ของฉันถูกแฮ็กหรือไม่ เพื่อตรวจสอบว่าเว็บไซต์หรือบล็อกของคุณถูกแฮ็กหรือไม่

ได้รับการควบคุมกลับ

การเข้าควบคุมกลับเริ่มต้นขึ้นอยู่กับจำนวนการเข้าถึงที่คุณอาจสูญเสียอันเป็นผลมาจากการโจมตี ตัวอย่างเช่น เมื่อเข้าถึงเซิร์ฟเวอร์ ผู้โจมตีอาจหมุนเวียนข้อมูลประจำตัวเพื่อล็อกผู้ใช้ที่ถูกกฎหมายไม่ให้เข้าถึงเซิร์ฟเวอร์ หรือบางทีอาจเปลี่ยนรหัสผ่านผู้ดูแลระบบ WordPress เพื่อป้องกันไม่ให้ผู้ดูแลระบบ WordPress ลงชื่อเข้าใช้

แม้ว่าสิ่งนี้จะขึ้นอยู่กับการตั้งค่าของคุณเป็นอย่างมาก แต่ผู้ให้บริการโฮสติ้งของคุณมักจะสามารถช่วยกู้คืนการเข้าถึงสภาพแวดล้อมการโฮสต์ที่ใช้ร่วมกันหรือ Virtual Private Server (VPS) ที่ใช้งานเว็บไซต์ของคุณได้ หากคุณไม่สามารถเข้าถึงผู้ดูแลระบบ WordPress ให้ทำตามคำแนะนำอย่างเป็นทางการของ WordPress เกี่ยวกับการรีเซ็ตรหัสผ่านผู้ดูแลระบบของคุณ

กำลังสำรองข้อมูล

แม้ว่าคุณจะมีโซลูชันสำรองข้อมูล WordPress อยู่แล้ว ให้สำรองข้อมูลเว็บไซต์ WordPress ปัจจุบัน การสำรองข้อมูล WordPress ในขั้นตอนนี้มีความสำคัญมากด้วยเหตุผลหลายประการ รวมถึงสาเหตุต่อไปนี้

  • ข้อมูลสำรองช่วยให้คุณสามารถวิเคราะห์การติดไวรัสได้ในภายหลัง
  • ผู้ให้บริการโฮสติ้งบางรายอาจหันไปใช้การลบเว็บไซต์ที่ถูกแฮ็กเพื่อเป็นการป้องกันไว้ก่อนจากการแพร่กระจายมัลแวร์หรือสแปม — ขึ้นอยู่กับผู้ให้บริการโฮสติ้งของคุณ สิ่งนี้อาจเกิดขึ้นโดยไม่มีการเตือนล่วงหน้า
  • หากคุณไม่มีกลยุทธ์ในการสำรองข้อมูลในขณะนี้ คุณอาจสามารถกอบกู้เนื้อหาเว็บไซต์บางส่วนจากข้อมูลสำรองนี้ได้ก่อนที่สิ่งต่างๆ จะแย่ลง

นอกจากนี้ หากคุณใช้งาน WordPress บน Virtual Private Server (VPS) ให้พิจารณาถ่ายภาพสแน็ปช็อตของเครื่องเสมือนทั้งหมดหากเป็นไปได้ (โปรดทราบว่าสิ่งนี้มักจะเกี่ยวข้องกับค่าใช้จ่ายเพิ่มเติม) เมื่อถ่ายภาพสแน็ปช็อต โปรดทราบว่าหากคุณใช้โวลุ่มภายนอกใดๆ เพื่อโฮสต์การติดตั้ง WordPress ของคุณ (เช่น ที่เก็บข้อมูลที่เชื่อมต่อกับเครือข่าย) คุณควรคัดลอกโวลุ่มใดๆ ที่เก็บการติดตั้ง WordPress หลัก, wp-content , ฐานข้อมูล MySQL ของคุณ รวมถึงการเข้าถึงเว็บเซิร์ฟเวอร์และบันทึกข้อผิดพลาด

กำลังกู้คืนจากข้อมูลสำรอง

หากคุณมีกลยุทธ์สำรองอยู่แล้ว ตอนนี้ก็ถึงเวลาดำเนินการแล้ว สมมติว่าคุณมีสิทธิ์เข้าถึงข้อมูลสำรองล่าสุด การกู้คืนอาจเป็นวิธีที่เร็วที่สุดในการกลับมาออนไลน์ อย่างไรก็ตาม อย่าพลาดในขณะที่การกู้คืนจากข้อมูลสำรองของไซต์ WordPress ของคุณอาจลบการติดไวรัสและอนุญาตให้คุณกลับมาทำงานได้อีกครั้ง แก้ปัญหา ว่าทำไม คุณถึงถูกแฮ็กตั้งแต่แรก

หากเว็บไซต์ WordPress ของคุณถูกแฮ็กอันเป็นผลมาจากช่องโหว่หรือข้อบกพร่องด้านความปลอดภัย ขั้นตอนต่อไปที่สำคัญคือพยายามอย่างหนักเพื่อค้นหาว่าเกิดอะไรขึ้น (ถ้าเป็นไปได้)

จะเกิดอะไรขึ้นหากฉันไม่มีข้อมูลสำรอง หรือไม่สามารถกู้คืนข้อมูลสำรองได้สำเร็จ

หากคุณไม่มีข้อมูลสำรอง คุณสามารถกู้คืนได้สำเร็จ ขึ้นอยู่กับแรงโน้มถ่วงของสถานการณ์ คุณอาจต้องการให้เว็บไซต์ WordPress ของคุณเข้าสู่โหมดการบำรุงรักษา เพื่อให้คุณสามารถดำเนินการกู้คืนไซต์ของคุณในขณะที่แจ้งให้ผู้เยี่ยมชมทราบว่าควรกลับมาตรวจสอบในภายหลัง ในระหว่างนี้ ให้ปฏิบัติตามส่วนที่เหลือของคู่มือนี้ต่อไป โดยทำให้เว็บไซต์ของคุณอยู่ในโหมดบำรุงรักษา โดยใช้ wp_maintenance() 1 ฟังก์ชัน WordPress จะส่งคืนรหัสสถานะ HTTP 503 สถานะ 503 บ่งชี้ Google และโปรแกรมรวบรวมข้อมูลอื่นๆ ว่ามีบางอย่างผิดพลาดในหน้าเว็บ และควรกลับมาตรวจสอบในภายหลัง

การตอบสนอง HTTP 503 มีความสำคัญสำหรับ SEO เนื่องจากจะป้องกันความเสียหายต่อการจัดอันดับการค้นหาของคุณในกรณีที่เว็บไซต์ของคุณหยุดทำงานชั่วคราว สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรหัสสถานะ HTTP 503 และความสำคัญใน SEO โปรดดูบทความของ Yoast ในหัวข้อ

ระบุวิธีที่ WordPress ถูกแฮ็ก

เมื่อไซต์ของคุณได้รับการสำรองข้อมูลแล้ว สิ่งต่อไปในวาระการประชุมคือการค้นหาให้มากที่สุดเกี่ยวกับสิ่งที่เกิดขึ้น นั่นคือจุดอ่อนด้านความปลอดภัยที่ผู้โจมตีใช้เพื่อเข้าถึงการติดตั้ง WordPress ของคุณ

การตรวจสอบบันทึกกิจกรรม เว็บเซิร์ฟเวอร์ และบันทึกเซิร์ฟเวอร์ FTP

หากคุณเก็บบันทึกกิจกรรมของ WordPress นี่อาจเป็นจุดเริ่มต้นที่ดีที่สุดในการวิเคราะห์ของคุณ ดูว่าคุณสามารถระบุพฤติกรรมที่น่าสงสัยได้หรือไม่ มองหาเหตุการณ์ของผู้ใช้ที่สร้างขึ้นใหม่หรือเปลี่ยนรหัสผ่านของผู้ใช้ ตรวจสอบว่ามีการแก้ไข WordPress, ปลั๊กอิน หรือไฟล์ธีมหรือไม่

นอกจากนี้ คุณควรตรวจสอบเว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์ FTP และไฟล์บันทึกของระบบปฏิบัติการเพื่อหาพฤติกรรมที่ผิดปกติหรือน่าสงสัย แม้ว่านี่อาจเป็นกระบวนการที่ค่อนข้างยุ่งยาก แต่คุณควรเริ่มด้วยการตรวจสอบว่ามีการรับส่งข้อมูลแปลก ๆ ที่มาจากที่อยู่ IP เดียว หรือไม่ คุณสามารถทำได้โดยใช้ยูทิลิตี้เชลล์สคริปต์ที่หลากหลายและหนึ่งซับ สำหรับมุมมองแบบเรียลไทม์บนบันทึกของเว็บเซิร์ฟเวอร์ของคุณ GoAccess อาจมีประโยชน์

ปลั๊กอินและธีม WordPress ที่ไม่ได้ใช้และล้าสมัย

ตรวจสอบรายการปลั๊กอินที่ติดตั้ง ทั้งจากแดชบอร์ด WordPress และในไดเร็กทอรี /wp-content/plugins/ มีการใช้ปลั๊กอิน WordPress ทั้งหมดหรือไม่ พวกเขาทั้งหมดเป็นปัจจุบันหรือไม่? ตรวจสอบไดเร็กทอรีธีมและธีม /wp-content/themes/ ด้วย คุณควรมีธีมที่ติดตั้งไว้เพียงชุดเดียว ซึ่งเป็นธีมที่คุณใช้อยู่ หากคุณกำลังใช้ธีมลูก คุณจะมีสองไดเร็กทอรี

โค้ดและการติดตั้ง WordPress ที่ไม่ได้ใช้

รหัสที่เหลือและไม่ได้ใช้เป็นปัญหาทั่วไปอีกประการหนึ่ง บางครั้งนักพัฒนาและผู้ดูแลระบบจะอัปเดตไฟล์โดยตรงบนเซิร์ฟเวอร์ และทำสำเนาสำรองของไฟล์ต้นฉบับที่มีนามสกุล เช่น .old , .orig หรือ .bak ผู้โจมตีมักใช้ประโยชน์จากแนวปฏิบัติที่ไม่ดีนี้ และเครื่องมือในการค้นหาไฟล์สำรองดังกล่าวมีอยู่ในวงกว้างและพร้อมใช้งาน

วิธีการทำงานคือการที่ผู้โจมตีพยายามเข้าถึงไฟล์ เช่น index.php.old โดยปกติ ไฟล์ .php จะได้รับการกำหนดค่าให้ดำเนินการโดยล่าม PHP แต่การเพิ่มนามสกุล .old (หรืออื่นๆ) ที่ส่วนท้ายของไฟล์จะทำให้เว็บเซิร์ฟเวอร์ให้บริการไฟล์แก่ผู้ใช้ โดยเพียงแค่สามารถเดาชื่อไฟล์สำรองได้ ผู้โจมตีอาจสามารถดาวน์โหลดซอร์สโค้ดที่อาจมีข้อมูลที่ละเอียดอ่อน หรืออาจให้คำแนะนำแก่ผู้โจมตีว่าควรใช้ประโยชน์จากอะไร

ปัญหาที่คล้ายกันคือการรักษาการติดตั้ง WordPress แบบเก่าไว้ เมื่อผู้ดูแลระบบสร้างเว็บไซต์ขึ้นใหม่ บางครั้งพวกเขาก็ทิ้งสำเนาของการติดตั้ง WordPress เก่าไว้ในไดเร็กทอรีย่อย /old/ การติดตั้ง WordPress แบบเก่าเหล่านี้มักจะสามารถเข้าถึงได้ทางอินเทอร์เน็ต ดังนั้นจึงเป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตีเพื่อใช้ประโยชน์จากช่องโหว่ที่รู้จักใน WordPress เวอร์ชันเก่าพร้อมกับปลั๊กอินใดๆ

ขอแนะนำให้ลบโค้ดที่ไม่ได้ใช้ การติดตั้ง WordPress ปลั๊กอิน WordPress ธีม WordPress และไฟล์เก่าหรือไฟล์ที่ไม่ได้ใช้อื่น ๆ (จำไว้ว่าคุณสามารถเปลี่ยนเป็นข้อมูลสำรองได้ตลอดเวลาหากต้องการกู้คืนสิ่งที่คุณลบโดยไม่ตั้งใจ) เว็บไซต์ของคุณควรมีไฟล์ที่คุณต้องการเท่านั้น สิ่งอื่นใดที่เกินหรือไม่ได้ใช้ควรถือเป็นพื้นผิวการโจมตีเพิ่มเติม

ผู้ใช้และบทบาท WordPress

ตรวจสอบว่าผู้ใช้ WordPress ทั้งหมดถูกใช้ มีผู้ต้องสงสัยรายใหม่หรือไม่? ตรวจสอบว่าบทบาททั้งหมดไม่เสียหาย หากคุณปฏิบัติตามหลักเกณฑ์เกี่ยวกับผู้ใช้และบทบาท WordPress คุณควรมีผู้ใช้ที่มีบทบาทผู้ดูแลระบบ WordPress เพียงรายเดียวเท่านั้น

ผู้ให้บริการโฮสติ้งที่ใช้ร่วมกัน

หาก WordPress ของคุณทำงานบนผู้ให้บริการโฮสติ้งที่ใช้ร่วมกัน แหล่งที่มาของการแฮ็กอาจเป็นเว็บไซต์อื่นที่ทำงานบนเซิร์ฟเวอร์เดียวกันกับของคุณ ในกรณีนี้ สถานการณ์ที่เป็นไปได้มากที่สุดคือผู้โจมตีสามารถยกระดับสิทธิ์ของตนได้ ด้วยเหตุนี้ คุณจึงสามารถเข้าถึงเซิร์ฟเวอร์ทั้งหมด และเข้าสู่เว็บไซต์ WordPress ของคุณได้ หากคุณสงสัยว่ามีการโจมตีดังกล่าวเกิดขึ้น ทางที่ดีที่สุดคือติดต่อกับผู้ให้บริการโฮสติ้งของคุณทันที หลังจากสำรองข้อมูลเว็บไซต์ของคุณแล้ว

.htaccess ไฟล์

ไฟล์ . htaccess (ไฟล์คอนฟิกูเรชันเซิร์ฟเวอร์ Apache HTTP Server ระดับไดเร็กทอรี) ยังเป็นเป้าหมายทั่วไปสำหรับแฮกเกอร์อีกด้วย โดยทั่วไปจะใช้เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังสแปม ฟิชชิง หรือเว็บไซต์ที่เป็นอันตรายอื่นๆ ตรวจสอบไฟล์ . htaccess ทั้งหมดบนเซิร์ฟเวอร์ของคุณ แม้กระทั่งไฟล์ที่ WordPress ไม่ได้ใช้ การเปลี่ยนเส้นทางบางส่วนอาจมองเห็นได้ยาก

ให้ความสนใจเป็นพิเศษกับการกำหนดค่าที่เปลี่ยนเส้นทางคำขอ HTTP ตามสตริงตัวแทนผู้ใช้เฉพาะ ผู้โจมตีอาจกำหนดเป้าหมายไปยังอุปกรณ์เฉพาะ (เช่น ผู้ใช้มือถือ) หรือแม้แต่มีส่วนร่วมใน SEO หมวกดำโดยกำหนดค่าเว็บเซิร์ฟเวอร์ของคุณให้ตอบสนองต่อโปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหาต่างกัน

หากเป็นไปได้ ให้ลองใช้การกำหนดค่าส่วนกลางแทนการใช้ไฟล์ . htaccess ภายใน Apache HTTP Server ไฟล์ . htaccess ไม่เพียงแต่ลดประสิทธิภาพ แต่ยังเปิดเว็บไซต์ WordPress ของคุณด้วยช่องโหว่ด้านความปลอดภัยที่หลากหลาย หากผู้โจมตีสามารถอ่านหรือเขียนเนื้อหาในไฟล์เหล่านี้ที่แย่ที่สุดได้ ตามเอกสารประกอบ Apache HTTP Server 2 การใช้ไฟล์ . htaccess สามารถปิดใช้งานได้อย่างสมบูรณ์โดยการตั้งค่าคำสั่ง AllowOverride เป็น none ใน ไฟล์ httpd.conf หลัก

การตรวจสอบจุดอื่นๆ ของรายการ

มีรายการอื่นๆ อีกหลายรายการบนเว็บเซิร์ฟเวอร์ ตรวจสอบให้แน่ใจว่าคุณได้ตรวจสอบทั้งหมด เช่น เซิร์ฟเวอร์ FTP, SSH, เว็บเซิร์ฟเวอร์ ฯลฯ

ค้นหาการติดไวรัส WordPress และโค้ดที่เป็นอันตราย

ก่อนที่คุณจะเริ่ม : โดยทั่วไปแล้ว แฮ็ค WordPress จะเกี่ยวข้องกับการแทรกโค้ดในธีม WordPress ปลั๊กอิน หรือไฟล์หลัก ดังนั้น เพื่อดำเนินการทำความสะอาด คุณควรจะสบายใจกับการแก้ไขโค้ด หากคุณไม่ใช่ จ้างผู้เชี่ยวชาญด้านความปลอดภัยของ WordPress

เมื่อคุณระบุจุดเข้าใช้ของแฮ็กเกอร์แล้ว โดยปกติแล้วจะพบการติดไวรัสได้ง่าย แม้ว่าในกรณีที่คุณยังไม่พบการติดเชื้อ แต่ก็มีหลายวิธีที่คุณสามารถใช้เพื่อตรวจหาการติดเชื้อได้ นี่คือบางส่วน

ตรวจสอบว่าไฟล์ใดถูกแก้ไขในช่วงสองสามวันที่ผ่านมา

ตามหลักการแล้ว คุณควรใช้ปลั๊กอินตรวจสอบไฟล์ของ WordPress ที่จะตรวจสอบไฟล์ในการติดตั้ง WordPress ของคุณเพื่อดูการเปลี่ยนแปลงและแจ้งเตือนคุณทันที หากคุณไม่มีปลั๊กอิน File Integrity Monitoring (FIM) คุณจะต้องค้นหาการเปลี่ยนแปลงไฟล์ด้วยตนเอง

หากคุณมีสิทธิ์เข้าถึง SSH ในเซิร์ฟเวอร์ของคุณ ให้ตรวจสอบว่าไฟล์ใดในเว็บไซต์ WordPress ของคุณมีการเปลี่ยนแปลงเมื่อเร็วๆ นี้ โดยปกติ ขอแนะนำให้เริ่มมองหาการเปลี่ยนแปลงภายในห้าวันที่ผ่านมาหลังจากสังเกตเห็นการแฮ็ก ซึ่งจะทำให้การค้นหาของคุณกว้างขึ้นตามความจำเป็น โดยไปที่ไดเร็กทอรีที่เว็บไซต์ WordPress ของคุณตั้งอยู่และใช้คำสั่ง find

find .mtime -5 –ls

คำสั่งด้านบนแสดงรายการ (-ls) ไฟล์ทั้งหมดที่ได้รับการแก้ไข (.mtime) ในช่วงห้าวันที่ผ่านมา (-5) หากรายการยาวเกินไป ให้ใช้เพจเจอร์น้อยกว่าเพื่อเรียกดูและค้นหาผ่านรายการได้อย่างง่ายดายยิ่งขึ้น

find .mtime -5 –ls | less

หากคุณเพิ่งอัปเดตปลั๊กอินหรือธีม การเปลี่ยนแปลงไฟล์ที่เกี่ยวข้องจะแสดงในผลการค้นหาของคุณ บันทึก ไฟล์ดีบักยังได้รับการอัปเดตบ่อยครั้ง ดังนั้น ไฟล์เหล่านั้นจึงจะแสดงในผลลัพธ์ของคุณเช่นกัน ด้วยเหตุนี้ คุณอาจต้องทำการกรองผลลัพธ์อย่างละเอียดเพื่อค้นหาการเปลี่ยนแปลงที่น่าสนใจในไฟล์ โปรดทราบว่าปลั๊กอินพิเศษ เช่น ปลั๊กอิน WordPress File Changes Monitor สำหรับ WordPress ได้รับการออกแบบมาโดยเฉพาะเพื่อกำจัดผลบวกที่ผิดพลาดดังกล่าวให้คุณโดยอัตโนมัติ ปลั๊กอินนี้สร้างขึ้นโดยเฉพาะสำหรับ WordPress และสามารถระบุการเปลี่ยนแปลงไฟล์จากแกนหลักของ WordPress การอัปเดตปลั๊กอินหรือธีม ติดตั้งหรือถอนการติดตั้ง

กำลังตรวจสอบไฟล์ HTML ทั้งหมด

ใน WordPress มีไฟล์ HTML และแฮ็กเกอร์เพียงไม่กี่ไฟล์ที่ต้องการใช้ประโยชน์จากมัน ค้นหาไฟล์ HTML ทั้งหมดผ่านเว็บไซต์ของคุณและวิเคราะห์เนื้อหา ตรวจสอบให้แน่ใจว่าไฟล์ HTML ทั้งหมดที่คุณมีบนเว็บไซต์ของคุณถูกต้อง และคุณรู้ว่าไฟล์เหล่านี้มีไว้ทำอะไร

วิธีง่ายๆ ในการแสดงรายการไฟล์ HTML ทั้งหมดในไดเร็กทอรี WordPress ของคุณ (และไดเร็กทอรีย่อย) คือการใช้คำสั่งต่อไปนี้

 
find . -type f -name '*.html' 

กำลังค้นหาข้อความการติดเชื้อ

หากเว็บไซต์ของคุณถูกทำลายหรือมีข้อความปรากฏขึ้นบนเว็บไซต์ของคุณอันเป็นผลมาจากการติดไวรัส ให้ค้นหาด้วยเครื่องมือ grep ตัวอย่างเช่น หากคุณเห็นข้อความ "ถูกแฮ็กโดย" ให้ไปที่ไดเร็กทอรีรากของเว็บไซต์และออกคำสั่งต่อไปนี้

grep –Ril "hacked by"

คำสั่งดังกล่าวจะส่งคืนรายการไฟล์ที่มีเนื้อหา "ถูกแฮ็กโดย" เมื่อคุณมีรายการไฟล์ที่ติดไวรัสแล้ว คุณสามารถวิเคราะห์โค้ดและลบการติดไวรัสได้

สวิตช์ grep หมายถึงอะไร

  • -R หมายถึง grep เพื่อค้นหาแบบเรียกซ้ำ (ค้นหาผ่านโครงสร้างไดเร็กทอรีทั้งหมด รวมถึงไดเร็กทอรีย่อยทั้งหมดและลิงก์สัญลักษณ์)
  • -i ระบุ grep ว่าการค้นหาควรคำนึงถึงขนาดตัวพิมพ์ (เช่น ละเว้นการใช้อักษรตัวพิมพ์ใหญ่ของคำค้นหา) สิ่งนี้สำคัญมากในสภาพแวดล้อม Linux/Unix เนื่องจากระบบไฟล์ Linux ไม่เหมือนกับใน Windows โดยคำนึงถึงขนาดตัวพิมพ์
  • -l บ่งชี้ว่า grep ควรส่งคืนชื่อไฟล์ แทนที่จะเป็นเนื้อหาไฟล์ เมื่อไซต์ WordPress ของคุณถูกแฮ็ก นี่คือโค้ดอันตรายอื่นๆ ที่คุณควรมองหา

นอกเหนือจากสตริง "ถูกแฮ็กโดย" ที่เห็นได้ชัด ด้านล่างนี้คือรายการโค้ดและวลีข้อความที่มักใช้ในเว็บไซต์ WordPress ที่ถูกแฮ็ก คุณสามารถใช้เครื่องมือ grep เพื่อค้นหาสิ่งต่อไปนี้:

  • base64_decode
  • is_admin
  • eval
  • gzuncompress
  • ทางผ่าน
  • ผู้บริหาร
  • shell_exec
  • ยืนยัน
  • str_rot13
  • ระบบ
  • phpinfo
  • chmod
  • mkdir
  • fopen
  • fclose
  • readfile

วิธีที่รวดเร็วในการบรรลุสิ่งนี้โดยใช้ grep คือการใช้คำสั่ง grep ต่อไปนี้ซึ่งค้นหาไฟล์แบบเรียกซ้ำ (ตามลิงก์สัญลักษณ์ใด ๆ ) ค้นหาสตริงที่ตรงกับนิพจน์ทั่วไป PCRE ที่ระบุ 3 และส่งคืนการจับคู่ข้อความและหมายเลขบรรทัดที่เกิดการจับคู่

grep -RPn "(base64_decode|is_admin|eval|gzuncompress|passthru|exec|shell_exec|assert|str_rot13|system|phpinfo|chmod|mkdir|fopen|fclose|readfile) *\("

หมายเหตุ : โค้ดบางส่วนนี้ยังสามารถใช้ในโค้ดที่ถูกต้อง ดังนั้น ให้วิเคราะห์โค้ดอย่างถูกต้องและทำความเข้าใจว่ามีการใช้โค้ดนี้อย่างไร ก่อนที่จะตั้งค่าสถานะบางสิ่งเป็นการติดไวรัสหรือแฮ็ก

เปรียบเทียบไฟล์กับการติดตั้ง WordPress ดั้งเดิม

นี่เป็นวิธีการแบบโรงเรียนเก่า และแม้ว่าจะใช้เวลานานบ้าง แต่ก็ใช้ได้ผลอย่างมหัศจรรย์ เปรียบเทียบไฟล์ของเว็บไซต์ของคุณกับไฟล์ของเว็บไซต์ที่ไม่ได้ดัดแปลง ดังนั้น หากคุณมีสำเนาสำรองของเว็บไซต์ของคุณ ให้เปรียบเทียบเว็บไซต์ที่ถูกดัดแปลง หากไม่เป็นเช่นนั้น ให้ติดตั้ง WordPress ใหม่และปลั๊กอินที่คุณมีบนเว็บไซต์ที่ติดไวรัสบนโฮสต์อื่นและเปรียบเทียบ

มีเครื่องมือหลายอย่างที่คุณสามารถใช้เพื่อเปรียบเทียบไฟล์ได้ ในตัวอย่างนี้ เราใช้เครื่องมือเชิงพาณิชย์ที่เรียกว่า Beyond Compare แม้ว่าจะมีทางเลือกฟรีหลายทาง ด้านล่างนี้คือภาพหน้าจอของการเปรียบเทียบตัวอย่าง

เมื่อเปรียบเทียบไดเรกทอรีรากของเว็บไซต์ WordPress สองแห่ง เครื่องมือจะเน้นความแตกต่างในเนื้อหาของไฟล์ index.php ไฟล์ . htaccess และ wp-config.php ใหม่ และความแตกต่างในไดเรกทอรีย่อย

การเปรียบเทียบไดเรกทอรีรากของเว็บไซต์ WordPress สองแห่ง

โดยดับเบิลคลิกที่ไฟล์ index.php เราจะเห็นความแตกต่าง

index.php ที่ติดไวรัสในเว็บไซต์ WordPress

สิ่งที่ต้องมองหาในการเปรียบเทียบไฟล์ WordPress?

ค้นหาไฟล์ที่ไม่ได้เป็นส่วนหนึ่งของแกนหลักของ WordPress การติดไวรัสส่วนใหญ่จะเพิ่มไฟล์ไปที่รูทของการติดตั้ง WordPress หรือในไดเร็กทอรี wp-content หากการแฮ็กเป็นผลมาจากปลั๊กอินที่มีช่องโหว่ ไฟล์ของปลั๊กอินอาจถูกแก้ไข

ทำความสะอาดแฮ็ค WordPress

ถึงเวลาที่จะเริ่มทำความสะอาดโดยทำตามขั้นตอนด้านล่าง เมื่อคุณทราบแหล่งที่มาของการแฮ็ก WordPress และพบการติดไวรัส

ค้นหาการติดไวรัสโดยอัตโนมัติด้วยบริการ WordPress

ถ้าเรื่องข้างต้นดูเกินจะรับไหว อย่าสิ้นหวัง มีบริการรักษาความปลอดภัยและปลั๊กอินของ WordPress หลายตัวที่คุณสามารถใช้เพื่อสแกนเว็บไซต์ของคุณเพื่อหามัลแวร์และการติดไวรัสอื่นๆ เราขอแนะนำ Malcare WordPress Security Services

อย่างไรก็ตาม โปรดทราบว่าปลั๊กอินดังกล่าวมีรายการลายเซ็นมัลแวร์ที่จำกัดที่พวกเขามองหา ดังนั้น หากการโจมตีที่ส่งผลกระทบต่อเว็บไซต์ WordPress ของคุณไม่ธรรมดา ปลั๊กอินเหล่านี้อาจไม่สามารถระบุการติดไวรัสได้ ไม่ใช่เรื่องแปลกที่เราจะได้รับข้อเสนอแนะจากผู้ดูแลระบบ WordPress ซึ่งเว็บไซต์ WordPress ตกเป็นเหยื่อของการโจมตีที่ปลั๊กอินมัลแวร์ WordPress ไม่ได้ระบุสิ่งผิดปกติ

ประเด็นสำคัญคือการควบคุมความปลอดภัยที่มีประสิทธิภาพนั้นเกี่ยวข้องกับการป้องกันและการตรวจจับหลายชั้น แม้ว่าการวิเคราะห์ด้วยตนเองจะเป็นวิธีที่ดีที่สุดเมื่อคุณทำได้ ปลั๊กอินเหล่านี้ไม่ควรมองข้ามเช่นกัน ปลั๊กอินเหล่านี้ยังสามารถใช้ได้และจะมีประโยชน์ในบางจุด

กู้คืน WordPress ของคุณจากการสำรองข้อมูล

หากคุณมีข้อมูลสำรองของเว็บไซต์หรือบล็อก WordPress ให้กู้คืน ง่ายกว่าการล้างโค้ดด้วยตนเองเสมอ

เปลี่ยนรหัสผ่านทั้งหมด ลบผู้ใช้ที่ไม่ได้ใช้ และตรวจสอบบทบาทของผู้ใช้ WordPress

เปลี่ยนรหัสผ่านทั้งหมดของผู้ใช้และบริการทั้งหมดของคุณ รวมถึง WordPress, CPanel, MySQL, FTP และคอมพิวเตอร์ส่วนบุคคลของคุณเอง ตรวจสอบรายชื่อผู้ใช้บน FTP, WordPress, MySQL และบริการอื่นๆ เพื่อยืนยันว่าผู้ใช้ทั้งหมดถูกต้อง หากมีผู้ใช้รายใดที่ไม่ได้ใช้แล้ว ให้ลบออก ตรวจสอบว่าผู้ใช้ WordPress ทุกคนมีบทบาทและการอนุญาตที่ถูกต้อง

อัปเกรดคอร์ ปลั๊กอิน ธีม และซอฟต์แวร์อื่นๆ ของ WordPress

ตรวจสอบให้แน่ใจว่าคุณใช้ซอฟต์แวร์เวอร์ชันล่าสุดทั้งหมดที่จำเป็นสำหรับใช้งานเว็บไซต์ WordPress ของคุณ สิ่งนี้ไม่ได้จำกัดเฉพาะ WordPress เท่านั้น แต่ยังขยายไปยังปลั๊กอิน ธีม รวมถึงแพทช์ระบบปฏิบัติการ PHP, MySQL และเว็บเซิร์ฟเวอร์ (เช่น Apache HTTP Server หรือ Nginx) และเซิร์ฟเวอร์ FTP ที่คุณอาจใช้งานอยู่

การสำรองข้อมูลเว็บไซต์ WordPress ของคุณ

การสำรองข้อมูลเว็บไซต์ WordPress

เมื่อถึงขั้นตอนนี้ ก่อนที่จะลบโค้ดที่ติดไวรัสจริง ให้สำรองข้อมูลเว็บไซต์ WordPress ของคุณ

ลบการแจ้งเตือนมัลแวร์ Google Safe Browsing

คำเตือนมัลแวร์ของ Google

หากเว็บไซต์ของคุณถูกปฏิเสธโดย Google Safe Browsing คุณสามารถขอรับการตรวจสอบความปลอดภัยเพื่อลบการแจ้งเตือนได้

เมื่อคุณลบแฮ็ค WordPress...

กระบวนการรักษาความปลอดภัย WordPress

ขอแสดงความยินดี คุณกู้คืนเว็บไซต์ WordPress ของคุณจากการแฮ็ก ตอนนี้คุณต้องแน่ใจว่ามันจะไม่เกิดขึ้นอีก นี่คือเคล็ดลับบางประการเกี่ยวกับสิ่งที่คุณควรทำ:

  1. ติดตั้งปลั๊กอินบันทึกกิจกรรมของ WordPress เพื่อติดตามทุกสิ่งที่เกิดขึ้นบนเว็บไซต์ WordPress ของคุณ
  2. หากคุณไม่มีโซลูชันสำรอง ให้เลือก
  3. ใช้บริการสแกนความปลอดภัยของ WordPress
  4. หมุนรหัสผ่านฐานข้อมูลและผู้ดูแลระบบ และบังคับใช้การรักษาความปลอดภัยรหัสผ่าน WordPress ที่เข้มงวด
  5. ทำให้ WordPress, ปลั๊กอิน WordPress, ธีม และซอฟต์แวร์อื่น ๆ ที่คุณใช้อยู่เสมอ
  6. ลบไฟล์ที่ไม่ได้ใช้ออก เช่น การติดตั้ง WordPress เก่า ปลั๊กอินและธีม WordPress ที่ไม่ได้ใช้ (รวมถึงธีม WordPress เริ่มต้นที่ไม่ได้ใช้งาน) ส่วนประกอบและซอฟต์แวร์ที่ไม่ได้ใช้เพิ่มพื้นผิวการโจมตีที่ไม่จำเป็น และควรนำออกในอุดมคติ
  7. ปฏิบัติตามคู่มือการรักษาความปลอดภัย WordPress ของเราเพื่อให้แน่ใจว่าคุณดูแลปัญหาด้านความปลอดภัยที่เป็นไปได้ทั้งหมดบนเว็บไซต์ของคุณ

ข้อมูลอ้างอิงที่ใช้ในบทความนี้ [ + ]

ข้อมูลอ้างอิงที่ใช้ในบทความนี้
1 https://developer.wordpress.org/reference/functions/wp_maintenance/
2 http://httpd.apache.org/docs/current/howto/htaccess.html# when
3 https://regexr.com/5lpf0