如何清理被黑的 WordPress 网站

已发表: 2022-06-15

被黑的 WordPress 网站并不是大多数 WordPress 网站所有者想要考虑的主题。 但它们是一个真正的问题,每天影响超过 30,000 个网站。

如果您的 WordPress 网站遭到黑客攻击,您应该采取哪些具体步骤来彻底清理它并使其恢复正常运行? 您被黑的网站现在完全没用了,还是可以恢复? 让我们潜入水中。

介绍 WordPress 安全专家 Kathy Zant

最近,WordPress 安全专家 Kathy Zant 为 iThemes 举办了一场现场网络研讨会,展示了如何清理被黑的 WordPress 网站。

Kathy Zant 已经在 WordPress 领域工作了十多年。 她在 WordPress 安全方面的经验,尤其是与清理受感染网站有关的经验,是首屈一指的。

除了在 WordPress 安全方面的经验之外,Kathy 还为 WordPress 领域的许多不同品牌担任过营销工作。 此外,她还是 WordCamp Phoenix 和 WordCamp US 的组织者。

她目前居住在得克萨斯州,在那里经常可以看到她和她的马一起闲逛并遛她的金毛猎犬。

“我们首先要讨论的是,”凯西说,“你怎么知道你的网站被黑客入侵了? 有哪些迹象? 一旦怀疑自己被黑客入侵,您应该采取的第一步是什么?”

她接着说:“你如何设计一个策略,一种快速简单的方法来清理你的网站? 清理干净后,我将向您展示如何保护您的网站。 并提供一些关于如何恢复网站声誉的关键提示,这也非常重要。”

清理被黑的 wordpress 网站

在这份综合指南中,我们将解开 Kathy Zant 的现场网络研讨会关于清理被黑 WordPress 网站的要点。 到最后,如果您发现自己成为被黑 WordPress 网站的受害者,您将确切知道需要做什么。

您如何知道您的 WordPress 网站何时被黑客入侵?

首先,重要的是要了解,仅仅因为您的网站被破坏并不一定意味着存在恶意行为者的黑客攻击或入侵。 但是您确实需要确定是否发生了黑客攻击。

您的网站到底有什么问题? 具体是怎么回事? 哪些迹象表明您的手有问题?

如果您怀疑您的 WordPress 网站已被黑客入侵,请注意以下几点:

  • 您的服务器或 WordPress 安装中不应该存在的文件(这需要相当多的知识才能确定地知道)。
  • 具有最近修改日期的文件。 如果您的wp-includes目录中的所有文件的修改日期均为 2022-01-12,其中一个的修改日期为 2022-06-02,那么您应该高度怀疑该最近修改的文件。
  • 访问日志中的奇怪请求。 这可能会将您指向用于修改站点文件的文件。

您所看到的问题的细节将自动开始通知您需要做什么来解决它。

现在,如果您有站点的当前备份,您肯定希望立即从备份中恢复您的站点。 BackupBuddy 插件是始终拥有当前备份的完美解决方案。

在这种情况下,您的修复将非常简单。

但是,如果当前没有备份,您基本上会进入看不见的恢复模式,清理站点将是您的工作。

凯西解释说:“想象一下有人来找你。 他们有一个被黑的网站,他们的网络开发人员在行动中失踪了。 你要做的第一件事就是备份被黑的网站。”

“原因是我们希望完全按照我们发现的那样保留黑客攻击的证据。 基本上,如果您能够访问 WP Admin,我们希望创建一个备份。 只需加载 BackupBuddy 插件并确保备份所有内容,包括数据库。”

并且您需要将备份保存到网站当前服务器之外的位置,因为您需要让整个站点远离受感染的服务器。

一旦完成,就该制定策略了。 该网站到底在做什么?

是吗:

  • 将网站流量重定向到坏社区?
  • 当网站访问者点击嵌入网站的链接时,他们的设备会受到感染吗?
  • 在 WooCommerce 安装中使用卡片撇取器窃取客户信用卡号?
  • 对互联网造成普遍伤害?

如果是这样,您将希望通过完全关闭该站点来立即停止这种情况。 然后,建立一个“即将推出”页面。

之后,让托管帐户暂停该网站。 如果某些托管帐户发现有泄露迹象并且网站可能被黑客入侵,它们会自动暂停网站。

开始清理被黑的 WordPress 网站

在此之后,您需要前往该站点的 cPanel 并获取 public_html 文件夹下的所有内容,将其压缩,然后将其下载到本地工作站的硬盘驱动器上。 您要清除 public_html 下的每个文件的原因是您需要假设所有内容都已完全感染。

接下来,进入wp-includes下的版本文件,您将看到该站点正在使用的 WordPress 版本。 当前的 WordPress 版本是 6.0。 但是有可能该网站已经有一段时间没有更新了。

我们想基于它当前使用的版本构建一个干净的网站版本。 因此,如果它使用的是早期版本,请下载该特定版本的 zip 文件,然后开始使用该新下载构建网站的干净版本。

接下来,您需要确定在被黑网站上使用了哪些主题。 假设该站点正在运行 Kadence 2020、2021 和 2022。如果该站点仍然正常运行,只需登录 wp-admin 并查看正在运行的主题。

您还需要查看正在使用的主题版本。 为此,请转到“自述文件”,它会指示正在使用的版本。

在主题文件中,找到要与特定主题一起使用的稳定标签。 然后,转到主题版本存储库,您将在其中找到所有可用的主题不同版本。

如果该站点未使用最新版本的主题,请下载它正在使用的确切版本。

同样的规则也适用于插件。 当您进入站点插件列表中的任何插件并导航到高级视图时,只需向下滚动到底部即可找到插件的版本。

当然,您的网站有可能由于易受攻击的插件而受到损害。 但即使是这种情况,您仍然希望完全按原样构建站点,包括易受攻击的插件。

这将有助于向我们展示恶意软件在被黑网站上的确切位置。

最重要的是,您要准确地从它当前所在的位置开始您的干净站点。 然后,使用 UltraCompare 之类的工具,它可以快速向您显示该站点出了什么问题。 这是一个很棒的工具,并且有一个免费版本,您可以使用 30 天。

从这里开始,您将建立一个与您被黑网站相匹配的干净网站。 UltraCompare 工具将准确地向您显示不匹配的内容,因此可以正确清理被黑客入侵的站点。

制定你的攻击计划

接下来,您需要猜测入侵向量。 它可以告诉你在哪里寻找恶意软件的存在:

  • 当前是否正在发生攻击活动?
  • 网站被感染多久了?
  • 哪些主题和插件需要更新?

你现在可以设计你的攻击计划了。 确保首先按以下顺序移除最危险的部分:

  1. 更改所有密码
  2. 删除所有垃圾链接
  3. 删除后门
  4. 修补所有漏洞
  5. 删除恶意重定向

一旦您确信网站上的所有危险都已消除,您可以返回网站的 cPanel 并上传干净的网站文件以恢复您的网站。

现在是时候让网站完全安全了,这样将来任何潜在的黑客攻击都将很快被阻止。

要保护您的网站:

  • 删除任何无法识别的管理员用户(或将其设置为仅限订阅者)
  • 更改所有管理员/编辑密码
  • 更改 FTP 密码
  • 更改主机帐户密码
  • 更改 WordPress 数据库密码并更新您的 wp-config.php 文件
  • 更改 wp-config.php 盐
  • 检查设置以确保“任何人都可以注册”仅设置为订阅者
  • 安装 iThemes Security 插件并激活以下设置:
    • 对所有管理员用户启用双重身份验证。
    • 启用 iThemes 站点扫描以扫描易受攻击的插件、主题和 WordPress 核心版本。
    • 打开带有自动漏洞修补的版本管理。
    • 打开文件更改检测
  • 确保备份按计划运行
  • 测试备份

正如 Kathy 解释的那样,“您肯定会想要安装 iThemes Security 并激活设置,以便在站点再次发生任何类型的入侵时通知您。 并确保为所有管理用户激活双重授权。”

她接着说,“你会想尽一切可能保护网站的安全。 在 iThemes Security 上运行站点扫描以扫描易受攻击的主题、插件和 WordPress 核心版本。 只要确保一切正常。”

“并打开版本管理。 如果再次发生入侵,这将是您的第一道防线。 然后确保您已安装 BackupBuddy 插件,并测试您的备份。 确保您的备份从服务器发送出去,并对其进行测试以确保您能够恢复它们。”

“确保数据库的所有 SQL 文件也都在那里,并确保您的备份都按计划进行。”

黑客攻击后恢复您网站的声誉

简单地清理和恢复被黑的 WordPress 网站不会自动恢复网站的声誉。 事实上,您需要做几件事来确保 Google 和其他搜索引擎在您的网站被黑客入侵和清理后不会继续惩罚您的网站。

通常,您的网站已被黑客入侵的第一个迹象是 Google 会通知您有关情况。 要了解 Google 当前如何查看您的网站,请前往 Google Search Console。

首先,如果您在 Search Console 中发现任何不应该存在的无关站点地图,或者似乎发布了垃圾链接,您需要立即删除这些站点地图。

您还可以在 WordPress 目录的根目录中找到一个 Google 文件,该文件使黑客可以访问您网站的 Search Console。 当您导航到 Search Console 并转到“设置”时,请仔细查看站点地图,看看该区域是否设置了任何非法站点地图。

在此之后,您需要查看 Search Console 中存在的任何安全问题。 如果当前正在显示来自 Google 的厄运和悲观的红色大屏幕,您将在安全问题下的 Search Console 中看到一些大标志。

在这里,您将要求 Google 审查您的网站,因为它已经被清理了。

“现在,谈到 Google AdWords,”Kathy 解释说,“您可能拥有世界上最干净的网站,但 Google AdWords 可能仍然会告诉您存在问题。 这里的关键是继续尝试他们。 有时,他们查看的内容与您不同,但您知道 Search Console 只会帮助您解决 AdWords 有时具有欺骗性的网站警告。”

您的许多站点用户可能还在他们的设备上运行 Norton 或 McAfee 防病毒软件。 因此,与这些公司合作以清除您的网站在被黑客入侵后可能进入的任何黑名单也很重要。

此外,如果您的网站一直在发送垃圾邮件,您需要清除您在 Spamhaus 的声誉。 为此,您需要您网站的 IP 地址,以便清除该地址在 Spamhaus 中的声誉。

这些步骤中的每一个对于在黑客攻击后恢复您的网站的声誉都很重要。

被黑的 WordPress 网站清理清单

让我们深入了解 Kathy 的完整清单,了解如何清理被黑的 WordPress 网站。 你也可以在这里下载。

获得奖励内容:被黑网站清理清单
点击这里

第 1 步:规划清理工作

  • 网站真的被感染了吗? 是/否/也许
  • 创建被黑站点的备份。 (是的,甚至是恶意软件。)
  • 将站点文件、数据库和日志文件的备份下载到您的计算机上。
  • 确定是否需要使站点不可用。
    1. 它是重定向站点访问者还是使用服务器资源? 是否受到主动攻击? 把它记下来。
    2. 只是垃圾邮件链接而不是受到主动攻击? 你可能会留下它
  • 猜测入侵向量; 它可能会通知您在哪里寻找恶意软件。
    1. 当前是否有攻击活动?
    2. 网站被感染多久了?
    3. 哪些插件/主题需要更新?
  • 按照这个顺序设计你的攻击计划。 首先移除最危险的部分。
    1. 删除恶意重定向
    2. 删除后门
    3. 补丁漏洞
    4. 更改密码
    5. 删除垃圾链接
  • 笔记:
    • WordPress核心版本号:
    • 活跃主题:
    • 非活动主题:
    • 活动插件:
    • 非活动插件:

第 2 步:被黑网站清理过程清单

  • 下载与受感染站点匹配的 WP 核心版本
  • 将下载的干净站点文件与被黑站点文件进行比较
    1. 比较目录
      • wp-管理员
      • Wp-包括
      • 根文件(wp-config.php 和 .htaccess 除外)
    2. 构建 wp-content 的干净副本
      • 所有活动插件
      • 活动主题(和子主题)
    3. 在 wp-content/uploads/ 中查找任何 php 文件(除了空白 index.php 文件)
    4. 手动全面检查您的 .htaccess 文件
    5. 全面检查您的 wp-config.php 文件
  • 查看您的 WordPress 数据库。 我们将在使用 PHPMyAdmin 清理文件后清理它。
    1. wp_posts 表
    2. wp_options 表
    3. 检查任何恶意用户 (wp_users)
    4. 如果您的 wp_posts 中有恶意软件:
      • 使用 WP Optimize 插件来优化您的数据库并删除任何帖子草稿、已删除的帖子。 (它只是使清理的数据量更容易)

将清理后的站点文件放回服务器上并交换它。

  1. 使用 BackupBuddy 插件,将重建后的 public_html_clean 上传到与您的 public_html 目录相同的级别
  2. public_html重命名为public_html_hacked
  3. public_html_clean重命名为public_html

第 3 步:被黑网站清理过程清单

在将被黑网站换掉后,立即保护该网站。

  1. 删除任何无法识别的管理员用户(或将其设置为仅限订阅者)
  2. 更改所有管理员/编辑密码
  3. 更改 FTP 密码
  4. 更改主机帐户密码
  5. 更改 WordPress 数据库密码并更新您的 wp-config.php 文件
  6. 更改 wp-config.php 盐
  7. 检查设置以确保“任何人都可以注册”仅设置为订阅者
  8. 对所有管理员用户启用双重身份验证
  9. 启用 iThemes 站点扫描以扫描易受攻击的插件、主题和 WordPress 核心版本
  10. 打开带有自动漏洞修补的版本管理
  11. 打开文件更改检测
  12. 确保备份按计划运行
  13. 测试备份

第 4 步:恢复被黑网站的声誉

清理并保护站点后,恢复站点的声誉。

  1. 谷歌安全浏览
  2. 从 Google Search Console 请求审核。 预计 24 小时周转。 访问:
    1. https://support.google.com/webmasters/answer/168328?hl=en
    2. https://www.google.com/webmasters/tools/security-issues
  3. 转到 Google 并搜索“site:example.com”以查看 google 看到的内容。
  4. 迈克菲
  5. 诺顿
  6. Spamhaus 如果您的网站一直在发送垃圾邮件

其他网站清理步骤

  • 查看日志文件以了解它们是如何进入的。
  • 确保您的网站是主机帐户中唯一的 WordPress 安装。 如果您有其他站点,如果您不保护它们,它们可能是入侵媒介。
  • 对于具有管理员访问权限的任何人,请确保更新软件并保护密码
    • 安全计算机
    • 安全的电子邮件帐户
    • 保护社交媒体帐户
    • 安全手机

如何防止您的 WordPress 网站被黑客入侵

虽然没有 100% 保证安全的网站,但您可以采取一些措施来尽可能地强化网站。

1. 在下载插件和主题时要非常小心。

插件和主题可能来自阴暗的网站,这些网站中包含启动黑客攻击的代码。 甚至有插件和主题病毒会自动感染网站上的所有其他插件和主题,因此即使您清除其中一个,它也会自动重新感染。

2. 不要运行过时版本的 WordPress、主题或插件。

确保 WordPress 以及您网站上的所有主题和插件都是最新的。 删除停用的插件。 不要将它们留在 wp-content/plugins 文件夹中。 停用的插件存在潜在的安全风险,因为这些插件通常不会更新。 iThemes Sync Pro 是一种工具,可让您管理多个 WordPress 站点,一键更新 WordPress、主题和插件。

3. 不要没有可靠的 WordPress 备份策略。

经常备份您的 WordPress 网站。 对您的网站进行健康的完整备份是关键。 保留几个备份文件的存档。 如果发生灾难,您将需要备份来恢复您的站点(在清理服务器之后)。 关于备份文件的快速提示:不时对备份文件运行一些测试恢复。

拥有无法恢复的备份可能是可能发生的最糟糕的事情(在被黑客入侵之后)。 BackupBuddy 使您能够设置将在无人值守的情况下运行的计划备份,并且可以将备份文件保存到远程位置。 这应该让您高枕无忧,您将始终拥有一个健康的备份文件。

4. 使用信誉良好的 WordPress 安全插件。

您可以采取措施使您的 WordPress 网站更加安全。 iThemes Security 是一个 WordPress 安全插件,可让您保护您的 WordPress 网站。 您可以通过多种方式阻止对 WordPress 仪表板的访问、监控文件更改、扫描恶意软件等。

5. 不要使用弱密码。

确保您使用长而复杂的密码来练习 WordPress 密码安全性。 激活 WordPress 双重身份验证以增加一层安全性。

6. 不要忘记不时检查您的 WordPress 安全性。

养成定期评估站点安全状况的习惯。 就像您定期检查车辆的油位一样。 iThemes 安全插件允许您运行站点扫描以确保您正在运行推荐的安全设置。 确保使用这 10 个 WordPress 安全提示来强化 WordPress。

7. 使用专门从事 WordPress 的托管公司。

最后,请确保您的网站托管服务提供商了解托管 WordPress 网站的问题和风险,例如 Liquid Web 的托管 WordPress 托管。 您需要一个托管服务提供商,从他们的(服务器)端尽最大努力提供一个安全可靠的托管环境。

像专家一样清理被黑的 WordPress 网站

既然您了解了如何识别、清理和恢复被黑 WordPress 网站的声誉,您的下一个目标应该是确保不再发生这种噩梦。

毕竟,即使您的网站已恢复正常运行,也要考虑在计划外停机期间损失的收入。

要完全保护 WordPress 站点,没有比下载、安装和激活 iThemes Security Pro 插件的每个关键功能更好的步骤了。 对于任何意外攻击,请确保使用 BackupBuddy 按计划运行备份。

当这两个插件一起使用时,您再也不用担心黑客会破坏您的网站。

观看网络研讨会重播:如何清理被黑的 WordPress 网站

下载清单
网络研讨会成绩单
聊天记录