WordPress 被黑：如果您的 WordPress 网站被黑怎么办？

已发表: 2023-04-19

你的 WordPress 被黑了吗？或者您是否怀疑您的网站有问题？

如果您怀疑您的 WordPress 遭到黑客攻击，您应该做的第一件事就是扫描您的网站。

这将证实您对黑客攻击的怀疑，并帮助您决定使您的网站恢复健康的最佳行动方案。

我们每天都会收到网站管理员发来的电子邮件，他们对被黑的 WordPress 网站感到恐慌。由于网络托管服务商暂停了他们的帐户，他们中的一些人无法访问他们的网站。有些人完全无法访问 wp-admin。

一旦您确认您的 WordPress 网站遭到黑客攻击，您需要立即安装 MalCare 并清理您的网站。

本分步指南将帮助您确定黑客攻击的原因并保护您的网站免受任何当前或未来的威胁。

WordPress 拥有一个拥有大量资源的繁荣社区，但您发现的大多数解决方案都难以实施。因此，糟糕的建议往往弊大于利。这可能会非常令人沮丧和压力重重，然后您可能最终会觉得黑客赢了，而您的工作丢失了。不是这种情况。

如果您认为您的 WordPress 网站遭到黑客攻击，我们将帮助您修复它。

要记住的重要一点是黑客攻击是可以解决的。我们每天清理超过 20,000 个 WordPress 站点，并保护超过 100,000 个站点。我们将这些智慧提炼成以下指南，将帮助您验证黑客攻击、清理您的网站并在未来保护它。

TL;DR：在 5 分钟内清理被黑的 WordPress 网站。 黑客不应掉以轻心，因为它们得不到解决的时间越长，就会造成指数级的损害。 MalCare 可帮助您通过单击按钮从您的网站上移除所有恶意软件痕迹。

如何快速摆脱 WordPress 网站的黑客攻击？

被黑的 WordPress 网站可能会引起恐慌或沮丧。但请不要惊慌，无论黑客入侵有多严重，我们都可以帮助您修复被黑客入侵的 WordPress 网站。

您网站上的恶意软件症状

恶意软件具有误导性，它可以对您隐藏，因为它就是这样设计的。因此很难确定您的 WordPress 站点是否存在带有恶意软件的恶意软件。但是您可以留意一些症状。以下是一些需要注意的症状，它们可能表明您的网站上存在恶意软件：

Google 搜索结果中的垃圾内容
您网站上的问题
网站后端变更
虚拟主机问题
性能问题
用户体验问题
分析模式的变化

如果您希望更好地理解这些问题，我们已在本文的后面部分详细解释了这些问题。

如何扫描您的网站以查找恶意软件？

现在您知道要注意什么了，如果您怀疑 WordPress 遭到黑客攻击，首先要做的就是扫描您的网站。

您可以通过三种方式扫描您的网站是否存在黑客攻击。这些方式中的每一种都有其优点和缺点。在您选择一个之前，我们强烈建议您详细阅读相关部分，看看哪一个符合您的要求。

使用安全扫描仪进行深度扫描
使用在线扫描仪扫描
手动扫描恶意软件

我们建议您使用 MalCare 等安全扫描器进行扫描，因为 MalCare 专门用于查找使用其他方法不易发现的隐藏恶意软件。

如何清理被黑的 WordPress 网站？

现在您已经确认您的网站遭到黑客攻击，是时候修复被黑客入侵的 WordPress 网站了。清理网站的方法有很多种，但我们强烈建议使用 MalCare 等安全插件。 MalCare 允许您在几分钟内自动清理您的网站，并且每次清理不会向您收费。它还将保护您的 WordPress 网站将来免遭黑客攻击。

或者，我们在下面的文章中包含了一个手动清理部分。但是，除非您是安全专家，否则我们不建议手动清理，因为它可能会导致比您已经遇到的问题更多的问题。

使用安全插件清理黑客
聘请 WordPress 安全专家
手动清除 WordPress 黑客攻击

您可以浏览本文中的这些部分，找出最适合您的部分。但除非您是安全专家，否则我们不建议您手动清理被黑的 WordPress 网站，因为这可能会导致比您已经遇到的问题更多的问题。

如何扭转 WordPress 黑客攻击造成的损害？

一旦您的 WordPress 网站被黑，就会出现几个问题。您的网站可能已被列入黑名单，或者您可能无法访问它。为了让您的网站重新启动并运行，您需要做一些事情。

重新获得对网站的访问权限
从 Google 的黑名单中删除您的网站
品牌损害控制

如何保护您的 WordPress 网站将来不被黑客入侵？

最后，一旦您的 WordPress 网站是干净的，我们也包括了一个关于网站安全的部分。您会找到有关的提示和信息

如何避免未来的黑客攻击
如果 WordPress 容易被黑客攻击
黑客是如何运作的
网站被黑的后果是什么
为什么 WordPress 网站会被黑客入侵。

通过所有这些部分，我们涵盖了克服 WordPress 黑客攻击并保护您的 WordPress 网站免遭未来黑客攻击的完整指南。所以如果你有黑客，别担心。我们已经为您准备好了！

WordPress 被黑意味着什么？

被黑的 WordPress 网站意味着您的网站现在有恶意代码。由于有许多不同类型的 WordPress 黑客，恶意软件可以存在于任意数量的地方，具有多种变体，并且可以以不同的方式表现出来。例如，WordPress 重定向黑客的变体之一会感染网站上的每一篇文章——即使有数百篇文章。

黑客和恶意软件给企业和个人造成数百万美元的损失，不仅破坏网站和用户体验，而且破坏 SEO 排名，从而引发法律问题。更不用说恢复的巨大压力了。恶意软件会创建后门，因此即使您找到并清除了错误代码，您的 WordPress 网站仍会不断遭到黑客攻击。

需要记住的重要一点是，它已经严重到可以被黑客攻击的地步，但随着时间的推移，情况会呈指数级恶化。恶意软件在您的网站上停留的时间越长，它就会自我复制，造成更大的破坏，并利用您的网站感染其他网站。事实上，如果您的网站托管服务商尚未暂停您的帐户，它很可能会暂停。与谷歌相同。在几分钟内扫描并清理您的网站，并为自己省去很多麻烦。

如何知道您的 WordPress 网站是否被黑客入侵？

WordPress 黑客的问题在于它们是不可预测的——或者更确切地说，它们被设计成不可预测的。黑客想要迷惑管理员，以便尽可能长时间地从网站中提取尽可能多的信息。因此，恶意软件可以使网站行为异常，但不一定总是如此。

例如，管理员曾经看到过类似恶意重定向的症状，然后就再也没有看到过。同样的事情也发生在恶意广告上，垃圾产品和服务的广告出现在您网站上完全良性和合法的广告之间。黑客设置了一个 cookie，这样网站管理员就会陷入一种虚假的安全感。字面上地。

但是，如果您的虚拟主机暂停了您的帐户，或者您的访问者在尝试访问您的网站时看到了 Google 黑名单警告，这些都是相当可靠的迹象，表明您的 WordPress 网站已被黑客入侵。

提示：在您的网站上遇到恶意软件或症状时，最好记下所有变量：操作系统、浏览器、设备、前面的步骤等。这将有助于解决问题，无论您是在寻求专家帮助还是尝试自行清除恶意软件。

A. 被黑的 WordPress 网站的症状

每个 WordPress hack 的架构都不同，因此以不同的方式表现出来。垃圾邮件链接注入攻击与远程代码执行攻击不同。因此，您不会看到以下所有症状，但可能会遇到一两个。

我们汇总了这份被黑 WordPress 网站症状的综合列表，并按症状可见的位置排序。

1.谷歌搜索结果中可见的垃圾信息

您花费时间和精力进行搜索引擎优化，以便您的网站在关键字搜索中排名。我们将其放在列表的首位，因为恶意软件通常只对 Google 可见。

垃圾元描述：网页具有暗示该特定页面内容的上下文元描述。 WordPress 黑客将在这里显示为日语字符、不相关的关键字字符串或垃圾值。
结果不是您创建的，但在您的网站上：这是一种特别令人迷惑的感觉，因为如果有人搜索排名关键字，您的网站将在结果中显示这些额外的和意想不到的页面。
谷歌黑名单：当访问者从搜索结果中点击您的网站时，谷歌会发出巨大的红色警告，告知访问者您的网站包含恶意软件并且不安全。这是他们安全浏览计划的一部分，其他搜索引擎也使用它来保护他们的用户。
“网站可能被黑客入侵”通知：谷歌黑名单的精简版是在搜索结果中的网站标题下方看到“网站可能被黑客入侵”的消息。

2.您网站上的问题

WordPress Hacks 可以直接显示在您的网站上，供所有人查看。这些通常是因为黑客想要破坏网站或实施网络钓鱼等社会工程攻击。

如果您以管理员或用户身份登录，您可能会看到这些页面，但如果您确实看到了您未创建的页面或帖子，它们可能看起来像以下之一：

垃圾网页：您网站上的垃圾网页大多与搜索结果中显示的相同。垃圾邮件页面被插入排名网站，为其他网站创建入站链接。这是一个 SEO 游戏，结果提高了目标网站的排名。
垃圾邮件弹出窗口：顾名思义，这些是您网站上的垃圾邮件弹出窗口，旨在让用户下载恶意软件或以欺诈方式将他们带到另一个网站。弹出窗口可能是由于恶意软件甚至是您通过广告网络在您的网站上启用的广告引起的。广告网络通常有关于广告商内容的安全政策，但奇怪的恶意软件仍然会意外潜入。
自动重定向到其他网站：这种症状会给我们的用户带来最大的压力，因为不仅帖子和页面会重定向，有时甚至 wp-login 页面也会重定向。这意味着他们甚至不能在他们的网站上停留足够长的时间来查看问题所在。因此，我们有一整篇文章专门介绍自动重定向以及如何修复它们。
网络钓鱼页面：网络钓鱼是一种社会工程攻击，它通过伪装成合法网站或服务（尤其是银行）来欺骗人们自愿共享他们的数据。通常，在客户网站上看到钓鱼页面时，我们会注意到代码中有银行徽标图像文件。
部分损坏的页面：您可能会在网站某些页面的顶部或底部看到代码。乍一看，这似乎是代码错误，有时可能是插件或主题出现故障的结果。但它也可以表示存在恶意软件。
白屏死机：您访问您的网站，您的浏览器变成空白。没有错误信息，什么都没有。没有什么可以交互或修复的，因此没有关于网站出了什么问题的线索。

3. WordPress 网站后端的变化

网站管理员通常会错过这些更改，除非他们高度警惕或安装了活动日志。

更改您网站的代码：您的 WordPress 网站是用代码构建的，因此这些更改可以在核心 WordPress 文件、插件或主题中进行。基本上，恶意软件可以在任何地方。
帖子和页面或新页面的意外更改：添加帖子和页面，或对现有页面进行更改。许多客户报告说看到了这些变化，即使他们是唯一管理网站内容的人。新页面可能会出现在为您的网站编制索引的任何内容中，包括 Google 搜索结果、分析和您的站点地图。
具有管理员权限的意外用户：在某些情况下，网站管理员会收到有关在其网站上创建新帐户的电子邮件。这些账户通常有乱七八糟的名字或电子邮件地址，大部分都是。他们被提醒注意这个不寻常的活动，因为他们启用了一个设置，提醒他们有关创建新帐户的信息。
设置已更改：当然，每个网站的设置都不同，因此这种症状会因网站而异。在某些情况下，用户报告说帐户创建设置发生了变化，而其他人则表示他们的 index.php 文件不同。每次管理员试图将其恢复到原始状态时，设置都会再次更改回来。
虚假插件：许多恶意软件巧妙地隐藏在看似合法的文件夹和文件中。假插件模仿真实插件的风格，但其中的文件很少，或者具有通常不遵循命名约定的奇怪名称。这不是一个确定的诊断，但它是一个很好的识别经验法则。

4.虚拟主机标记您网站的问题

您的虚拟主机特别投资于确保您的网站没有恶意软件，因为他们服务器上的恶意软件会给他们带来巨大的问题。大多数优秀的网络托管服务商会定期扫描网站，并告知用户其网站上的恶意软件。

使您的网站脱机：如果您的网络托管服务商暂停了您的帐户或使您的网站脱机，这是出现问题的第一个迹象。尽管网络托管服务商也会因违反政策或未付账单而暂停您的网站，但恶意软件是此举的一个重要原因。他们总是会通过电子邮件联系他们，说明他们的理由。如果他们检测到恶意软件，最好询问他们的扫描仪检测到的被黑文件列表，并要求他们将 IP 列入白名单，以便您可以访问您的网站来清除它们。
服务器使用率过高：在这种情况下，您会收到一封来自网络托管服务商的电子邮件，说明您的网站已超出或接近计划限制。同样，这不是决定性的症状，因为您也可能会看到由于其他原因（例如活动或促销）导致的流量激增。或者也许有一个局部原因。但是，机器人攻击和黑客攻击会消耗大量服务器资源，因此如果您发现服务器资源使用出现意外激增，最好进行调查。

5.性能问题

恶意软件会导致网站内的大量内容崩溃。正如我们之前所说，有时症状是不可见的或不明显的，例如新页面或新用户。

网站变慢
网站无法访问，因为服务器资源已用完，所以您的访问者会看到 503 或 504 错误。还有其他方法可以使网站变得无法访问，例如地理封锁或更改 .htaccess 文件。

6.用户体验问题

管理员有时是最后一个发现黑客攻击的人，因为黑客可以对登录用户隐藏症状。点击鸣叫

但是，访问者仍然会看到症状，这是一种糟糕的体验，会对您的品牌产生负面影响。

用户无法登录您的网站
访问者从您的网站重定向
来自网站的电子邮件进入垃圾邮件文件夹
访客抱怨看到恶意软件症状，例如弹出窗口或网络钓鱼页面

7.分析中的意外行为

分析是许多事情的真相来源，恶意软件感染的迹象恰好是其中之一。

Search Console 标记安全问题： Google Search Console 扫描您的网站前端，就像前端扫描仪一样，可以发现恶意软件。您会在仪表板上看到警报，或在“安全问题”选项卡中看到被标记的页面。
来自某些国家/地区的流量增加：如果意外增加，流量增加可能是恶意软件的信号。无论如何，Google Analytics 都会过滤掉大部分机器人流量，但有时，用户会看到来自特定国家/地区的流量激增。对于本地相关网站，此症状通常更为明显。

搜索控制台安全问题。 — Google Search Console 上的安全问题

由于更新失败或服务器问题甚至编码错误，您的网站出现故障的可能性很小。但是，如果您看到其中不止一个，则您的网站很可能已被黑客入侵。

需要记住的一些关键点

黑客希望恶意软件尽可能长时间不被发现，因此很多症状都对网站管理员和/或登录用户进行了伪装
有些可能一直可见；有些可能偶尔/不一致地发生
有些黑客对每个人来说都是完全不可见的；取决于恶意软件
一些恶意软件只会出现在谷歌上，不会出现在其他人身上

B. 扫描您的 WordPress 网站是否存在黑客攻击

即使您从上面的列表中看到了 WordPress 网站被黑的一些症状，它们也不是被黑的决定性指标。了解您的WordPress 是否被黑客入侵的唯一方法是扫描您的网站。

1. 使用安全插件深度扫描您的网站

使用 MalCare 免费扫描您的网站，以确认您的 WordPress 是否被黑客入侵。您将对您网站上的恶意软件有一个明确的答案。

我们推荐 MalCare 的原因有很多，但主要是因为我们已经看到并清除了 100 多个网站上的黑客攻击。惊慌失措的网站管理员每周都会向我们发送电子邮件，因为他们无法登录他们的网站，或者他们的网络托管服务商因检测到恶意软件而暂停了他们的帐户。

MalCare 的扫描仪完全免费使用。一旦您获得有关您的 WordPress 网站是否受到威胁的结论性报告，您就可以升级以使用自动清理功能立即从文件和数据库中清除恶意软件。

其他安全插件使用文件匹配来识别恶意软件。这是一种不完善的机制，会导致误报和遗漏恶意软件问题。无需深入探讨技术细节，如果恶意软件有新变种，显然不会出现在这些匹配列表中，那么该机制就在那里失败。这只是它失败的方式之一。此外，插件使用站点资源来运行这些扫描。这大大减慢了网站速度。

MalCare 不依赖文件匹配来识别恶意软件，但有一个复杂的算法，可以检查代码的 100 多个特征，然后再确定它是安全的还是危险的。

2. 使用在线安全扫描仪进行扫描

扫描网站的第二种替代方法是使用在线安全扫描仪。请记住，并非所有扫描仪都采用相同的方式构建，在线安全扫描仪的效率必然低于安全插件。

人们可能不愿意添加安全插件来扫描他们的网站，但这就是症结所在。前端扫描仪只能访问您网站的公开可见部分。拥有不公开可见的代码是一件好事，因为您不希望 Internet 上的每个人都可以看到您的配置文件。

不幸的是，恶意软件不够周到，无法只攻击公开可见的文件。它可以隐藏在任何地方，事实上，它会隐藏在前端扫描仪无法到达的地方。这就是站点级扫描仪最有效的原因。

我们的建议是使用在线安全扫描器作为第一线诊断。如果结果是肯定的，那么这是一个很好的起点，可以开始清理被黑的 WordPress 网站。但是，请注意：不要完全依赖扫描仪为您提供的被黑文件列表。这些只是扫描仪能够标记的那些。恶意代码的实例可能有很多很多。

3.手动扫描恶意软件

尽管我们在文章中包含了这一部分，但我们强烈建议不要尝试手动处理恶意软件——扫描或清理。

一个好的安全插件，如 MalCare，确实是可行的方法，因为它可以完成本节中的所有内容，而且速度更快、效果更好。请记住，无人看管的时间越长，WordPress 黑客攻击就会变得越严重。

扫描被黑的 WordPress 网站以查找恶意软件本质上意味着在文件和数据库中寻找垃圾代码。我们知道，“垃圾代码”在指导方面意义不大，但黑客有不同的形式。他们每个人的外表和行为都不同。

我们在后面的部分提供了 hack 的代码示例，但我们必须强调它们只是指示性的。

如果您选择手动扫描您的网站以查找恶意代码，请检查最近修改的文件，并确保查看文件和数据库。这里要提醒一句：更新时间也可以更改。聪明的黑客可以将更新的时间戳设置为完全不同的东西。

提示：在扫描您的网站时记录您的操作。它有助于稍后的调试过程，以防万一您的网站仅在通过移动设备访问时表现异常。或者，如果您在其中一个文件中看到可疑的脚本标记。

C. 检查恶意软件的其他诊断步骤

您可以使用其他一些检查来确定您的 WordPress 网站是否已被黑客入侵。其中一些与上面列出的症状略有重叠，但我们将它们包括在这里是因为这些症状不是自然出现的。

1. 从隐身浏览器登录

如果您看到过一次症状，例如重定向，但无法复制它，请尝试从另一台计算机或隐身浏览器登录。黑客设置 cookie 来制造一种错觉，即您在网站上看到的任何异常现象都是：异常现象，而不是黑客入侵的迹象。

尝试用谷歌搜索您的网站并从那里点击。您的网站加载正确吗？如果直接把 URL 放在浏览器中呢？那么会发生什么？

我们之前提到过这一点，但请记下您为复制症状所做的操作。您是从移动设备登录的，还是从 Google 搜索结果中点击的？这些线索在一定程度上有助于识别黑客位置。

2.检查您网站上的页面数

作为网站管理员，您对网站上索引页面的数量有一个大概的了解。使用网站搜索运算符谷歌您的网站，并检查结果数量。如果结果数量明显超出您的估计值，则意味着您网站的更多页面正在被 Google 编入索引。如果您没有创建这些页面，那么它们就是恶意软件造成的。

3.查看活动日志

活动日志是网站管理必不可少的管理工具，尤其是当您想知道每个用户在做什么时。如果是恶意软件，请检查新用户或突然提升权限的用户的活动日志，例如从 Writer 转移到 Admin。

幽灵用户可能有奇怪的用户名或电子邮件地址，这些是需要注意的。如果他们在短时间内更改了一堆帖子和页面，那么这是用户帐户欺诈的好兆头。

4. 寻找分析数据中的奇怪趋势

除了黑客攻击会导致 Google 完全取消对您网站的索引之外，您还可以寻找一些预警信号。

流量来源和级别保持相对不变，除非有促使激增的变化，例如促销。因此，流量激增，尤其是在短时间内来自特定国家/地区的流量激增，可能表明存在可疑情况。
参与度数据（如转化目标和跳出率）也可能受到黑客攻击。访问您网页的人减少了吗？如果 SEO 数据和其他因素保持不变，为什么会发生这种情况？这些是您可以针对您的分析提出的问题类型，因为您基本上知道它应该是什么。

5.检查假插件

在您网站的 /wp-content 文件夹中，您应该只会看到已安装的插件和主题。任何具有简短、无意义名称的怪异名称，以及可能不遵循命名约定的名称都需要仔细检查。

通常假冒插件在文件夹中只有一个文件，或最多 2 个。

6. 在你的插件和主题中寻找报告的漏洞

在您的 WordPress 仪表板上，查找具有“可用更新”标签的插件。接下来，谷歌检查他们最近是否遇到过任何漏洞。您可以将报告的漏洞与它容易受到的黑客攻击类型进行交叉引用，并确定您的网站是否遇到任何这些迹象。

有些 hack 对管理员来说是完全不可见的，还有一些只对搜索引擎可见。这就是恶意软件的本质。如果没有合适的扫描仪，很难精确定位。

7.检查.htaccess文件

.htaccess 文件负责将传入请求定向到您网站的各个部分。例如，如果您的网站是从移动设备访问的，.htaccess 会加载您网站的移动版本，而不是桌面版本。

如果您熟悉核心 WordPress 文件，请查看 .htaccess 文件。用户代理是否加载了正确的文件？

SEO spam hack 或日语关键字 hack 等恶意软件会更改 googlebot 用户代理的代码。最常见的情况是，它应该加载 index.php 文件，但如果它被黑客攻击并且访问者从 Google 点击进入，则会加载一个完全不同的网站而不是您的网站。使用地址栏中的 URL 直接访问您的网站将加载正确的网站，因为检测到的用户代理不是 googlebot。

8.寻找来自现有安全插件的警报

虽然这在技术上不是诊断，但我们在此列表中也包括以前安装的安全插件。如果您的安全插件定期扫描您的网站，它应该会提醒您注意任何黑客攻击。根据您使用的安全插件，警报可能是真实的也可能是误报。我们的建议是认真对待每一个警报，因为虽然误报是不必要的警报，但如果威胁是真实的，忽视威胁可能会造成很大损失。

使用 MalCare，由于我们构建恶意软件检测引擎的方式，误报的可能性微乎其微。这就是为什么网站管理员依赖我们的插件来保证他们网站的安全。

有一个普遍的误解，认为安装多个安全插件可以使您的网站更安全，大概是因为无论一个插件遗漏什么，另一个都会捕获。这个前提的问题有两个：首先，事实并非如此。新的和复杂的恶意软件将通过大多数安全插件，除了 MalCare；其次，通过添加多个安全插件，您会有效地降低您的网站的重量，这将极大地影响其性能。

如何清理被黑的 WordPress 网站？

一个被黑的 WordPress 网站是一个可怕的前景。我们在本文中花费了大量时间来确定它是否被黑客入侵。如果您使用 MalCare 进行扫描，您将以某种方式获得明确的答案。

在处理被黑的 WordPress 网站时，您有 3 个选项：

使用安全插件清理黑客
聘请 WordPress 安全专家
手动清理 hack

我们将依次讨论其中的每一个。

A. [推荐] 使用安全插件清理您的网站

我们建议您使用 MalCare 清除网站上的黑客攻击。它是迄今为止最好的 WordPress 网站安全插件，并使用智能系统仅删除恶意软件，同时保持您的网站完好无损。

要使用 MalCare 进行 WordPress 黑客清理，您需要做的就是：

在您的网站上安装 MalCare
运行扫描，并等待结果
单击自动清理以通过手术从您的网站中删除恶意软件

清理会在几分钟内完成，您的网站将再次焕然一新。

如果您在检查恶意软件时使用 MalCare 扫描您的网站，那么您需要做的就是升级和清理。

为什么我们推荐 MalCare？

仅从文件和数据库中删除黑客，让好的代码和数据完好无损
检测黑客留下的漏洞和后门并解决这些问题
带有集成防火墙以保护您的网站免受暴力攻击

MalCare 每天保护数以千计的网站，并采取主动的方法来保护网站安全。如果您的网站需要进一步帮助，我们的支持团队将全天候 24 小时为用户提供帮助。

B. 聘请安全专家清理被黑的 WordPress 网站

如果您的 WordPress 网站被黑客攻击了一段时间，您的网络托管服务商可能已暂停您的帐户并使您的网站离线。因此，不可能安装安全插件来清除黑客攻击。

别担心，在这些情况下，请联系我们的紧急恶意软件删除服务来修复被黑的 WordPress 网站。专门的安全专家将指导您与您的网络托管服务商交谈，将 IP 列入白名单以重新获得访问权限，然后安装插件进行清理。

如果您的网络托管服务商因为他们的政策而拒绝将 IP 列入白名单，那么专家将使用 SFTP 在最短的时间内清除您网站上的恶意软件。

您还可以选择与 MalCare 之外的 WordPress 安全专家合作。但是，请注意安全专家的费用很高，而且他们不保证不会再次感染。许多执行手动清理的安全插件按清理收费，随着重复感染，这种成本会很快增加。

C. 手动清理 WordPress 被黑客入侵的感染

可以从您的网站手动删除恶意软件。事实上，在极端情况下，它有时是唯一可行的选择。然而，我们一直反对它，我们在下面对我们的理由进行了一些扩展。

如果您确实选择手动清理被黑的 WordPress 网站，那么您应该具备一些成功的先决条件：

您完全了解 WordPress。文件结构，核心文件如何工作，数据库如何与您的网站交互。您还需要了解您网站的所有信息：插件、主题、用户等。恶意软件可以隐藏在任何文件中，包括重要文件，如果您只是删除文件，您的网站就会崩溃。
您需要能够阅读代码并理解代码逻辑。例如，从根文件夹中删除被黑文件是一件好事。但是，如果您的 .htaccess 文件在登录时加载该文件，那么您的访问者将看到 404 页面。

这不是一件容易知道的事情，许多扫描器会产生误报，因为它们无法区分自定义代码和错误代码。
熟悉 cPanel 工具，如文件管理器和 phpMyAdmin。另外，请确保您可以通过 SFTP 访问您的网站。您的虚拟主机可以帮助获取该信息。

1. 访问您的网站

If your web host has suspended your account, or taken your website offline, you need to regain access to it. If you use SFTP, this is not an obstacle, but it is best to ask them to whitelist your IP so that you can view the website at the very least.

Additionally, the web host suspended your account after scanning your website and detecting malware. You can reach out to their support to ask for the list of infected files. Frontend scanners will also give you this information, although it may not be completely accurate and/or have false positives.

2. Take a backup of your website

We cannot stress this enough: please take a backup of your website before doing anything at all to it. A hacked site is much better than no site.

Firstly, things can go awry when people poke around in website code, and often do. That's when backups save the day. You can restore the website, and start again.

Secondly, web hosts can delete your website altogether, if it is hacked. They have a vested interest in making sure there is no malware on their servers, and they will do whatever is necessary to ensure that is the case.

If a web host deletes your website, the chances of them having a backup are slim. Getting that backup from their support is even slimmer. We strongly advocate taking your own backups always.

We also recommend using a WordPress backup plugin for large files. We have seen restore fails abysmally with web host backups. When your website is hacked and you are cleaning it, you want to reduce complexity and chances of failure as much as possible.

3. Download clean installs of WordPress core, plugins and themes

Make a list of the versions that are on your website, and download clean installs of the core, plugins and themes from the WordPress repository. If you weren't using the latest version of anything, make sure to download the version that was installed on your website. This is an important step, because you will be using the installs to compare files and code first.

Once you have downloaded and unzipped the installations, compare the files and folders with the ones on your website. To speed up the comparison process somewhat, use an online diffchecker to ferret out the differences in code.

Incidentally, this file matching is the primary mechanism that most scanners use. It is not a perfect mechanism, because you may have important custom code that will not show up in the clean installs. Therefore, now is not the time to delete. Take lots of notes, and mark out which files and folders are different from the originals.

This is also a good way to discover if your website has fake plugins installed. You will not find fake plugins on the repository, and they invariably do not follow plugin naming conventions and have very few files (sometimes just one) in the folder.

Note: Are you using nulled plugins or themes? Installing nulled software is like rolling out the red carpet for malware. When you pay for premium plugins, you are getting maintained software, the expectation of support in case something goes wrong, and the guarantee of safe code. Nulled software often comes packaged with backdoors or even malware.

A quick reminder to backup your website, if you chose to skip this step earlier. This is go-time. Cleaning malware out of your website is the hardest (and the most terrifying) step in this process.

4. Reinstall WordPress core

Use either File Manager in cPanel or SFTP to access your website files, and replace the following folders entirely:

/wp-admin
/wp-包括

You can do this without a problem, because none of your content or configurations are stored in these folders. As a matter of fact, there should not be anything in these folders that differs from the clean installations.

Next, check the following files for strange code:

索引.php
wp-config.php
wp-设置.php
wp-load.php
.htaccess

In a later section, we will talk about individual hacks and malware and how they appear in files and folders. Malware can manifest in many different ways, and there is no surefire way to identify them visually. You may come across advice online to look for odd-looking PHP scripts in these files, and get rid of those. However, this is very poor advice and users have flocked to our support team in the aftermath of breaking their websites. MalCare tests out each script to evaluate its behavior before determining if it is malicious or not.

Speaking of PHP files, the /wp-uploads shouldn't have any at all. So you can delete any that you see there with impunity.

So we can't actually predict what malicious code you are likely to see in any of these files. Please refer to a comprehensive list of WordPress files to understand what each does, their interconnectivity with each other, and if the files on your website behave differently. This is where an understanding of code logic will be immensely helpful.

If it is an entire file that's bad, our advice is not to delete it right off the bat. Instead, rename the file extension from PHP to something else, like phptest, so that it cannot run anymore. If it is code in a legitimate file, then you can delete it, because you have backups if something breaks.

5. Clean plugin and theme folders

The /wp-content folder has all the plugin and theme files. Using the clean installs that you have downloaded, you can perform the same check as with the WordPress core installation and look for differences in the code.

We just want to point out that changes are not necessarily bad. Customizations will show up as changes in the code. If you have tweaked settings and configurations to get a plugin or theme to work just so on your website, expect to see at least minor changes. If you don't have an issue wiping out customization entirely, then replace all the plugin and theme files with the fresh installs.

Generally, people are unwilling to write off any work they have put in, with good reason. So a lengthier method is to examine the code for differences instead. It is helpful to know what each script does and how it interacts with the rest of the website. Malware scripts can exist harmlessly in one file, until they are executed by another entirely innocuous-looking script in a completely different location. This tag team aspect of malware is one of the reasons it is so difficult to clean websites manually.

Another aspect of cleaning plugins and themes is that there can be a lot of them. Going through each one is a painstaking and time-consuming process. Our advice is to start in the most typical places to find malware.

In the files of the active theme, check:

标题.php
页脚.php
函数.php

In the diagnostics section, we talked about researching if any of the plugins installed had a recently discovered vulnerability. We recommend starting with those files. Questions to ask here are:

最近有没有被黑客入侵
有没有更新的

Did you find any fake plugins in the previous step? Those you can delete without a second thought. Although, don't stop looking after that! The malware hunt isn't over just yet.

Keep in mind that malware is supposed to look normal, and will mimic legitimate file names. We've come across some wolves in sheep's clothing, where the stock WordPress themes like twentysixteen or twentytwelve have small typos that make them look virtually the same.

The clean installs will help with comparison and identification, but if you are unsure, contact the developers for support.

6. Clean malware from database

Extract the database from your backup, or if you haven't taken one as yet, use phpMyAdmin to get a download of your database.

Check the tables for any odd content or scripts in your existing pages and posts. You know what these are supposed to look like and do when they load on your website.
Look for newly created pages and posts too. These will not show up in your wp-admin dashboard.

In some cases, like the redirect hack, the wp_options table will have an unfamiliar URL in the site_URL property. If the redirect malware is in the wp_posts table, it will be in every single post.

Revert modified settings to what they should be, and remove malicious content carefully.

同样，根据您网站的大小，这可能是一项艰巨的任务。第一个障碍是识别恶意软件及其位置。如果每个帖子和页面上都是相同的恶意软件脚本，那么您很幸运。您可以使用 SQL 从每个文件中提取内容。但是，请注意，虽然删除大量恶意软件很好，但您不能确定这是您网站上唯一的黑客攻击。

如果您有一个电子商务网站，其中包含关键用户和订单信息，请仔细检查您确实只是在清除恶意软件。

7. 检查你的根目录是否有可疑文件

在浏览您网站的文件时，也要查看根文件夹。它还可以在那里存储恶意软件文件。所有的 PHP 文件都不错，有些插件会在根目录下添加脚本来执行某些任务。例如，BlogVault 将其 Emergency Connector 脚本添加到网站的根目录，这样即使网站无法访问，插件也可以恢复备份。其他安全插件会将其标记为恶意软件，即使它肯定不是。

8.删除所有后门

恶意软件通常会在被称为后门的网站中留下漏洞，以防它们被发现和删除。后门使黑客几乎可以立即重新感染网站，从而消除所有清理工作。

就像恶意软件一样，后门可以在任何地方。要查找的一些代码是：

评估
base64_解码
gzinflate
preg_replace
str_rot13

这些是允许外部访问的功能，这在本质上并不是一件坏事。它们有合法的用例，并且经常被巧妙地修改以充当后门。在不进行分析的情况下删除这些内容时要小心。

9. 重新上传清理过的文件

最坏的情况已经过去，现在您已经清除了网站中的恶意软件。现在是重建您的网站的问题。首先，删除现有文件和数据库，然后上传清理后的版本。

使用 cPanel 上的文件管理器和 phpMyAdmin 分别对文件和数据库执行此操作。到目前为止，您是处理这些功能的专家。如果您需要更多帮助，可以参考我们关于恢复手动备份的文章。过程是一样的。

如果大型恢复不起作用，请不要气馁。 cPanel 很难处理超过一定限度的数据。您也可以使用 SFTP 执行此步骤。

10.清除缓存

再次将您的站点放在一起并检查几次以查看是否一切正常后，清除缓存。缓存存储您网站的早期版本，以减少访问者的加载时间。为了使您的网站在清理后能够正常运行，请清空缓存。

11.验证每个插件和主题

现在您已经使用该软件的清理版本重新安装了您的网站，请检查每个软件的功能。它们是否按您预期的那样工作？

如果是，那就太好了。如果没有，请返回旧的插件文件夹，看看有什么没有进入清理后的网站。很有可能，某些代码是造成功能缺失的原因。然后您可以再次将代码复制到您的网站，请务必小心确保这些位没有恶意软件。

我们建议您一次只做一个插件和主题。您可以临时重命名插件文件夹，从而有效地停用它们。同样的方法适用于主题文件夹。

12.重复这个过程子域和嵌套的WordPress安装

这可能不适用于您，但我们已经看到几个网站在其主站点上安装了第二个 WordPress。这可能是多种原因造成的，例如站点设计、子域，甚至是被遗忘的暂存站点。

如果您的主要 WordPress 站点上存在恶意软件，那么它可能并且将会污染嵌套安装。反之亦然。如果您的嵌套安装有恶意软件，它会重新感染您刚刚清理过的网站。

通常，我们要求用户完全删除所有未使用的 WordPress 安装。它们是不必要的危险。

13.使用安全扫描仪确认

你快到终点线了！这是一段艰难的旅程，您应该花点时间欣赏您取得的成就。即使是 WordPress 专家也不总是对手动进行 WordPress 黑客清理感到满意，而是更喜欢使用工具。

现在剩下的就是确认恶意软件是否真的从您的网站上消失了。使用 MalCare 的免费扫描仪获得确认，您就可以开始了！

为什么您应该避免手动清理被黑的 WordPress 网站？

我们强烈建议不要手动清洁，即使我们已经包含了上述步骤。如果将黑客攻击比作疾病，您宁愿由合格的医疗专业人员进行挽救生命的手术，不是吗？想象一下，尝试自己切除阑尾，然后您就明白了我们要进行的类比。

与侵入性感染一样，黑客攻击会随着时间的推移而变得越来越严重。例如，如果恶意软件正在破坏您的网站数据，那么快速行动可以为您节省大量时间和资源。更不用说，还要保存您的网站。

当恶意软件自我复制时，它会传播到不同的文件和文件夹中，创建幽灵管理员用户以在检测到它时重新进入，并在整体上造成严重破坏。

最重要的是，恢复变得更加困难。我们有用户带着半毁的网站来找我们，他们试图自己清理这些网站，但失败了，现在正处于绝望的困境，试图挽救剩下的一切。我们可以尽力而为，但我们无法为他们恢复丢失的数据——如果及时采取措施，这种情况本可以避免。

我们多次重申这一点的唯一原因是我们真正关心我们的用户，每次我们不得不告诉他们无法检索他们的数据时都感到很糟糕。

回顾一下，手动移除 WordPress 黑客攻击可能会出现以下问题：

恶意软件可以传播到意想不到的地方，而且很难找到。如果您只清理其中的一部分，其余的很快就会再次感染您的网站。
如果未找到并解决漏洞和/或后门，仅删除恶意软件是不够的
您必须知道每个文件的作用以及它如何与其他文件交互，否则，您可能会无意中破坏您的网站
大型网站（如电子商务商店）需要很长时间才能逐个文件地浏览。这就像大海捞针。
最后一点同样重要的是，随着时间的推移，黑客攻击造成的损害越来越大

手动清理可能会出现很多严重错误。相信我们，我们已经看到了我们应得的份额。如果您的 wordpress 网站遭到入侵，让您的网站恢复健康的最佳做法是安装安全插件。

为什么您不应该使用备份来修复您的网站？

尽管大力提倡备份，但我们不建议将您的网站恢复到以前的版本。有几个原因：

您将丢失在此期间所做的所有更改
备份也不应该有恶意软件，除非您准确知道您的网站何时有恶意软件，否则很难确定
备份将首先具有导致恶意软件感染的漏洞

您唯一应该考虑使用备份作为起点的情况是，如果恶意软件破坏了您的网站和无法检索的数据。我们真诚地希望它永远不会达到那个阶段，安装一个好的安全插件将使您将来免受这些问题的困扰。

如何在移除黑客后恢复损坏

一旦您的网站没有恶意软件，您现在就可以专注于首先恢复由黑客造成的损害。关于您的网站，有两个主要的利益相关者（除了您的访问者和您）：网络托管服务商和谷歌。

重新获得对网站的访问权限

完成清洁后，请联系您的网络托管服务商，并要求他们重新扫描您的网站。您还可以详细说明为解决问题所采取的步骤。总是，这将导致您的访问被恢复并且您的网站重新上线。

将您的网站从 Google 的黑名单中删除

如果您的网站进入了 Google 的黑名单，那么您需要申请审核。你可以通过进入你的谷歌搜索控制台并点击安全问题来做到这一点。在那里，您应该看到有害内容的警报，详细说明哪些文件包含这些内容。

在此提醒的最底部，您会找到一个请求审核的按钮。您必须承诺您已解决问题，并详细说明您为列出的每个问题采取的所有步骤。

提交请求后，您应该会在几天内听到请求的结果。

品牌损害控制

此步骤完全是可选的，它只是建议。正如我们稍后会谈到的，黑客攻击几乎总是会损害声誉。如果可以，请公开承认发生了什么，您采取了哪些措施来解决它，以及您打算如何在未来防止它发生。

诚实在重建关系方面大有帮助，在某些情况下，处理得当的黑客行为会提高品牌价值。

如何防止您的 WordPress 网站被黑客入侵？

恶意软件最糟糕的部分之一是它不断卷土重来，要么通过后门，要么通过利用与以前相同的漏洞。

我们与我们的客户分享这份安全检查清单，以帮助他们防止 WordPress 网站在未来遭到黑客攻击。

安装安全插件：我们不能充分强调像 MalCare 这样的安全插件的好处，它可以扫描、清理和防止黑客攻击。除了能够快速诊断和清除黑客攻击之外，MalCare 还使用高级防火墙保护您的网站免受大量 Internet 恶意软件（如机器人）的侵害。 MalCare 最好的部分是，与其他安全插件不同，它不会耗尽您的服务器资源，因此您的站点将以最佳状态运行并且仍然受到保护。

更改所有用户和数据库密码：继漏洞之后，糟糕的密码和由此导致的用户帐户被盗很容易成为网站被黑的首要原因。

重置用户帐户：删除任何不应该存在的用户帐户。查看那些应该存在的权限，只授予单个用户所需的最小权限。

更改盐 + 安全密钥： WordPress 将一长串随机字符（称为盐和安全密钥）附加到 cookie 中的登录数据。这些用于对用户进行身份验证，并确保他们安全登录。为了改变这些，WordPress 有一个生成器，之后可以将更新的字符串放入 wp-config.php 文件中。

明智地选择您的插件和主题：我们强烈建议只使用来自知名开发人员的插件和主题。开发人员不仅会在需要时提供支持，还会维护插件或主题代码并不断更新。更新对于修补漏洞至关重要，是抵御黑客攻击的第一道防线。

如果您觉得无效的主题和插件会为您省钱，那么当不可避免的黑客攻击发生时，您最终会失去您多次保存的所有内容。无效的主题和插件不仅不道德，而且非常危险。

安装 SSL： SSL 保护进出您网站的通信。 SSL 使用加密来确保它不会被其他任何人拦截和读取。谷歌多年来一直提倡在网站上实施 SSL，如果网站没有 SSL，就会积极惩罚网站 SEO。

加固 WordPress：有一些措施可以加强安全性，通常称为 WordPress 加固。我们提醒您注意遵循网上提供的大量建议。其中一些非常糟糕，会影响您的网站和访问者的体验。按照本指南负责任地强化您的网站。

更新一切：所有更新，无论是 WordPress、插件还是主题，都是必要的，应该尽快完成。更新通常会解决代码中的问题，例如安全漏洞。这一点尤其重要，因为当安全研究人员发现漏洞时，他们会将漏洞披露给开发人员，然后开发人员会为其发布补丁。然后，研究人员公开披露了该漏洞，混乱就此爆发。黑客会在任何未安装更新的网站上碰碰运气。

对 WordPress 更新的抵制是可以理解的，因为它会中断操作，尤其是在出现问题时。实施更新最安全的方法是先使用暂存站点，然后将更改合并到实时站点。
实施活动日志：为了密切关注对网站所做的更改，活动日志非常有用。除了监视常规更改外，新用户等意外更改可能表明有人未经授权访问。它将帮助您及早发现黑客攻击。
使用 SFTP 而不是 FTP：与SSL 类似，SFTP 是一种使用 FTP 访问服务器后端网站的安全方式。大多数管理员根本避免使用 FTP，因为使用它往往很慢而且费力。但是，如果您无法登录您的网站，则需要使用 FTP。
如果不使用，请删除辅助 WordPress 安装：我们已经多次看到这种情况。恶意软件再次出现在刚清理干净的网站上，因为在同一个 cPanel 上还有第二个网站带有恶意软件。它实际上是双向的。如果其中一个站点有恶意软件，那么另一个站点被感染只是时间问题。

您会在 cPanel 上安装第二个网站的原因有多种，而且所有这些都是合法的：网站重新设计、暂存网站，甚至是子域。然而，有好几次用户忘记了第二个网站，甚至忘记更新或监控它。然后由于漏洞而被黑客攻击，恶意软件进入主网站。
选择一个好的主机：这是一个有点主观的观点，但是做研究选择一个好的主机是值得的。一般规则是选择一个知名品牌并检查他们过去如何处理问题。您希望拥有一个具有响应支持、对其基础设施进行投资并具有安全认证的网络托管服务商。
投资备份：我们已经在本文中多次提到这一点，但备份是没有商量余地的。当所有其他方法都失败时，备份是无价的，即使在非常糟糕的黑客攻击之后，我们的客户也能够仅仅因为备份而检索 100% 的网站。
制定安全计划/定期做的事情：最后但同样重要的是，制定定期进行诊断的计划。此外，还有一些事情应该按照节奏进行：审查用户、要求更改密码、监控活动日志、定期更新、检查漏洞新闻等等。通常，这些措施将有助于尽早避免与安全相关的重大灾难。

您的 WordPress 网站是如何被黑的？

我们喜欢认为我们使用的一切都是 100% 安全的，但不幸的是，事实并非如此。我们的家不是这样，我们的网站当然不是这样。没有软件是完全防弹的，网站的每个部分本质上都是软件：从 WordPress 本身到插件和主题。

插件和主题中的漏洞

编写代码时，开发人员可能会出现疏忽或错误。这些错误称为漏洞。漏洞是网站被黑的最大原因。

当然，错误不是故意的。漏洞通常归结为开发人员编写代码来完成一项任务，而没有意识到黑客可以以意想不到的方式使用相同的代码来获得对网站的未授权访问。

/wp-uploads 文件夹就是一个很好的例子。在清理部分，我们提到 /wp-uploads 文件夹永远不应该有 PHP 脚本。原因是文件夹的内容可以通过 URL 和文件名公开访问。

因此，上传文件夹中的 PHP 脚本也可以访问，因此可以远程执行。因此，该文件夹应该进行检查以确保上传的不是 PHP 文件。如果有人确实尝试上传脚本，则应予以拒绝。

要查看 WordPress 漏洞列表，请查看 WPScan。

这个例子也提出了一个有趣的观点。有人可能会争辩说上传文件夹不应公开访问，因此 PHP 脚本也将无法访问。但是，这会干扰文件夹的功能，并不是一个好的解决方法。

同样，我们在 Internet 上看到大量糟糕的安全建议，这些建议在不考虑功能的情况下修复了漏洞。

未检测到的后门

后门就像它听起来的那样：一种在不被发现的情况下获得未授权访问的方法。尽管后门在技术上是恶意软件——具有恶意意图的代码——但它们并没有主动造成破坏。它们允许黑客将恶意软件插入网站。

这种区别很重要，因为这是 WordPress 网站在清理后再次被黑的主要原因。清除可有效清除恶意软件，但无法解决恶意软件的入口点。

安全插件通常会通过查找某些功能来标记后门。但是这种方法存在两个问题：首先，黑客已经找到了有效屏蔽功能的方法；其次，功能并不总是坏的。它们也有合法用途。

糟糕的用户管理政策

黑客攻击总是存在人为错误的因素，并且主要以滥用管理员帐户的形式出现。作为网站管理员，在考虑网站的安全性时，您应该始终牢记一些事项。

弱密码

是的，我们知道密码很难记住。尤其是混合字符的字符，并且长度足以被认为是“安全的”。但是，更容易记住的密码是您网站安全的薄弱环节。如果密码被泄露，即使是安全插件也无法保护您的网站。

将您的网站想象成您的家，您已经在其中安装了最先进的安全系统，例如 MalCare。如果窃贼想知道您的唯一密码以进入您的家，那么安全系统将无能为力。

强密码对所有帐户都至关重要，但对管理员帐户更是如此，这将我们带到下一个要点。

不必要的用户权限

用户应该只拥有足够的权限来完成他们在网站上需要做的事情。例如，博客作者不需要管理员权限即可发布帖子。确保定期审查这些特权非常重要。

此外，如果网站管理员对用户帐户级别保持警惕，那么活动日志也是一个很好的工具。活动日志列出了用户在网站上执行的所有操作，可以作为用户帐户受损的早期指标。如果一个经常写帖子的用户突然安装了一个插件，这是一个警告信号。

旧帐户仍然有效

除了审查帐户外，还要定期删除未使用的用户帐户。如果用户在您的网站上不再活跃，则没有理由让他们的帐户保持活跃。原因和以前一样：用户帐户可能会受到损害。黑客可以获取凭据并将其权限提升到管理员帐户。

不安全的通信

除了实际网站之外，与网站之间的通信也需要受到保护。如果通信被拦截且不安全，则可以轻松读取。所以应该加密。这可以通过向您的网站添加 SSL 轻松实现。

事实上，SSL 正在成为互联网事实上的标准。 Google 通过惩罚 SERP 中没有使用 SSL 的网站来积极奖励 SSL 的使用。作为安全浏览计划的一部分，一些网站在搜索结果中显示为“网站不安全”。

类似地，尽可能使用 SFTP 而不是 FTP 总是更好。

虚拟主机问题

根据我们的经验，网络主机很少对黑客行为负责。大多数主机实施大量安全措施以确保他们托管的网站是安全的。

例如，人们经常认为他们的网站有恶意软件，因为他们使用的是共享主机计划。大多数时候这是一种误解，因为主机在站点之间设置了障碍。跨站点感染的真正原因是在单个 cPanel 实例上安装了多个 WordPress。

WordPress 是否比其他 CMS 更容易受到黑客攻击？

是和否。

WordPress 的巨大流行意味着它吸引了更多的黑客。很简单，如果黑客能够发现并利用生态系统中的漏洞，他们将获得更大的回报。

此外，与 WordPress 相关的漏洞也因为其流行而受到更多关注。与 Joomla 类似的例子不值得讨论。

事实上，WordPress 已经解决了其他 CMS 仍然存在的许多问题。它也有一个很棒的社区和生态系统。帮助和支持很容易获得，即使是针对网站管理员可能面临的利基和特定问题。

了解 WordPress 黑客

如果您安装了 MalCare 等安全插件，则无需担心黑客攻击。我们不断升级插件以抵御新的攻击，以更好地保护网站。然而，了解黑客的工作原理很有趣，这样您就可以了解一个好的安全插件的重要性。

我们将本节分为两部分：

黑客机制：如何通过利用漏洞或攻击网站将恶意软件插入网站。
恶意软件类型：恶意软件如何在您的网站上表现出来。恶意软件可以通过多种方式出现在您的网站上，但最终黑客的目标是获得未经授权的访问权限以执行其他禁止的活动。我们在后面的部分详细介绍了 WordPress 网站被黑的原因。

破解机制

在文章的前面，我们讨论了网站如何被黑客入侵。通过漏洞或后门，或者有时是糟糕的密码。这些是网站安全方面的缺陷，类似于结构的弱点。

黑客机制是用来攻击这些弱点的武器。他们的目标是将恶意软件插入网站。它们是以特定方式针对弱点以实现其目标的机器人或程序。有几种黑客机制，特别是因为黑客在绕过网站安全系统方面每天都变得越来越聪明。

SQL 注入： SQL 是一种编程语言，用于与数据库系统交互，以便写入、读取或操作数据。网站始终与数据库交互，例如保存表单数据或验证用户身份。 SQL 注入攻击使用 SQL 将 php 脚本插入数据库。

仅当表单没有充分保护免受错误输入时，才有可能进行注入。除非检查到位，否则黑客可以使用运算符和编程逻辑来规避表单的功能。
跨站点脚本 (XSS)：跨站点脚本 (XSS) 也是代码注入，就像 SQL 注入一样，但是是注入到浏览器中。下一个访问该网站或以其他方式与相关页面交互的用户将成为此攻击的目标。

同样，表单字段被黑客欺骗，接受 JavaScript 等代码并在未经验证的情况下执行这些脚本。

分布式拒绝服务 (DDoS)：在 DDoS 攻击中，黑客用如此多的恶意流量淹没网站或系统，以至于合法用户无法访问它。攻击之所以有效，是因为资源是有限的或被计量的。

例如，使用服务器资源的网站将制定处理能力和请求处理计划。如果与正常接收的请求相比，网站受到 100 倍甚至 1000 倍的请求轰炸，服务器将不会无法处理这些请求，并且访问者会看到错误。
蛮力攻击：这种类型的攻击通常针对登录页面，尝试用户名和密码的组合以获得对网站的访问权限。破解机制是一个机器人，将使用字典中的单词来尝试密码。暴力攻击也会消耗服务器资源，因此通常最终会将真正的用户和访问者拒之门外。

在许多 WordPress 支持线程上，您会看到隐藏登录页面以防止这种攻击的建议。这是不明智的做法，因为 URL 可能会被遗忘，将此 URL 分发给多个用户进行登录很棘手，还有更多问题。最好有适当的机器人保护来阻止这种不良的机器人流量。

恶意软件的类型

我们列出的恶意软件类型似乎与症状非常相似。这是因为大多数恶意软件都是根据每个恶意软件显示的症状命名的。如果您要深入了解恶意软件，它们在构造或目的上并没有什么不同。

所有恶意软件都会以某种方式使用您的网站：耗尽其资源、窃取数据、利用您的 SEO 排名等。最常见的恶意软件是：

Pharma hack：您的网站将有新的页面或帖子，其中包含销售药品的关键字或链接，通常是灰色市场或非法的。由于合法性问题，这些产品很难在 Google 上排名，因此为了获得更多流量和销售额，黑客将这些页面插入毫无戒心的网站。

要检测您网站上的制药黑客，您可以尝试在搜索运营商网站上使用谷歌搜索制药关键字，如“伟哥”或“CBD”：。它将列出您网站上包含该关键字的所有页面。
日本关键词黑客攻击：日本关键词黑客攻击是制药黑客攻击的一种变体，实际上是此列表中的下一个恶意软件，即 SEO 垃圾邮件黑客攻击。唯一的区别是恶意软件将显示日文内容而不是药品；通常，令人讨厌的成人内容。

除非您熟悉日语并且可以查找关键字，否则检查此 hack 有点困难。
SEO 垃圾邮件黑客：如前所述，SEO 垃圾邮件黑客是前两者的变体。内容不同。在这里，垃圾邮件内容可能包括在线赌博和赌场，或不正当的产品。这实际上是一个包罗万象的术语，适用于在您的网站中插入额外页面但不属于任何特殊类别的所有黑客行为。

重定向：当您网站的访问者被带到一个完全不同的网站（通常是垃圾网站）时，就会发生恶意重定向。重定向 hack 有几种变体，具体取决于它出现的位置。

重定向黑客最令人震惊的方面是网站管理员无法登录他们的网站。因此，在没有专家帮助的情况下，他们无法控制损害，甚至无法修复他们的网站。

我们在网站上找到的黑客脚本示例：

很难防范所有黑客机制，这就是安装安全插件非常关键的原因。 MalCare 的复杂算法可以有效地对抗恶意软件，此外还可以保护网站免受黑客机制的侵害。

被黑的 WordPress 网站有什么后果？

被黑的 WordPress 网站的影响可能会造成广泛的不良后果。由于这个原因，不能充分高估网络安全的重要性。没有接触过网络安全的网站管理员可能会读到偶尔的黑客攻击，但全部潜在影响并不总是显而易见的。

因此，了解其整体影响至关重要。不良后果并不局限于个别网站或其所有者和管理员，而是具有深远的影响。

对您网站的直接影响

如果您的 WordPress 网站遭到黑客攻击，您很可能暂时都不会意识到这一点。请放心，无论您是否能看到黑客攻击，随着时间的推移，损害正在发生并变得越来越严重。

假设黑客表现出来的一种方式是通过恶意广告；垃圾广告或网页的一个非常常见的标志，将您的网站访问者重定向到另一个网站（通常是医药网站或兜售非法物品的网站）。这有几个含义：

谷歌黑名单：谷歌对被黑网站高度警惕，因为他们不想将用户（搜索引擎用户）发送到危险网站。使用恶意软件，您的网站现在很危险。所以他们会张贴一个巨大的、可怕的红色告示，建议访问者远离你的网站。

此外，其他搜索引擎和浏览器也使用同样的黑名单来保护自己的用户。因此，即使您的网站没有被标记为红屏，大多数浏览器也会通过消息警告您的访问者离开。
搜索引擎优化排名将下降：由于访问者减少和谷歌保护人们的政策，您的网站将停止出现在结果中。谷歌称之为“悄悄隐藏网站”。您不仅会失去通过 SEO 策略获得的优势，而且还会失去访问者和可发现性。
失去信任和访问者：大多数人会将垃圾邮件内容视为黑客攻击的标志，并且知道您的网站不安全。运气好的话，会有人指出来的。否则，您的流量会下降。
Web 主机问题：Web 主机将迅速暂停被黑的网站。如果您的网站被黑客入侵，您的虚拟主机将面临很大的压力，一旦发现被黑客入侵，就会立即将被黑客入侵的网站下线。

网络主机冒着被黑网站将其 IP 列入黑名单的风险。如果您的网站被用于钓鱼攻击，并且防火墙将您的网站识别为来源，这意味着您的 IP 地址可能会被列入黑名单，这将导致主机出现一些问题。

此外，被黑客入侵的网站通常会消耗大量服务器资源，如果您的网站位于共享主机上，则会对其他网站的性能产生不利影响，这些网站是网络主机的其他客户。如果有机器人攻击您的网站，问题会变得更糟。机器人用成千上万个消耗大量资源的请求攻击您的网站。
不知情的典当：您的网站成为恶意软件的宿主；继续攻击更多网站的僵尸网络的一部分。

商业冲击

上一节的影响适用于所有大小的网站。如果您的网站是您业务的核心，后果会更糟。因为那时我们正在谈论金钱损失。

收入损失：停机时间、搜索引擎优化排名不佳、访客数量减少都是导致收入损失的因素。如果人们不能或不愿访问您的网站，您就无法通过这种方式开展业务。
品牌退化：信任是在线营销中的巨大商品，黑客侵蚀了这种信任。在某些情况下，您可能具有竞争优势。那也会受到影响。此外，数据泄露会给声誉留下污点。一些企业很好地处理了善后事宜，但怀疑的种子可能会永远埋下。由于互联网上的东西永远存在，快速、有意的谷歌搜索会带来黑客攻击。它将成为任何潜在客户的考虑点。
服务器资源：我们在上一节中提到了这一点，但从货币角度也值得一提。 Web 主机对过度的资源消耗收费。 If your hacked website goes undetected for a while, you could also be paying for this fraudulent usage. Plus, if you are subject to bot attacks, the rapid depletion of (finite and allocated) server resources means that legitimate users will not be able to access your website.
Investment: You've spent time, money, and manpower to build this website. If you lose the website, you've lost that investment.
Legal issues: Data breaches of private information can cause you legal issues because of stringent data protection regulations. It is very important that websites that collect personal data from visitors treat that data with the utmost care. If it is compromised in any way, those people have grounds for legal action.
Cleaning cost: Hack removal is an expensive proposition, especially if you hire experts who actually know what they are doing.

Apart from that, we often encounter website admin who try cleaning malware out by themselves, and cause their website to break. Then, in panic, they seek out expert help. Again, data retrieval is an expensive undertaking.

Dangerous for people

Social engineering attacks, like phishing, have compounded impact. They are bad for the website and website admin being attacked, but also have terrible consequences for their users and visitors.

Credentials can be used to hack into other websites. Hackers can use aggregated information from websites to create personal profiles that can be used to hack into bank accounts and other restricted areas. People also tend to use the same passwords in multiple places, making them especially vulnerable in these situations.

While all data theft is bad, it takes a tragic turn with the theft and release of information of vulnerable people, like those in witness protection programs or on the run from abusers. This information sells on the dark web, a particularly ugly place.

Why do WordPress websites get hacked?

All websites have value, whether large or small, business or personal. Many website owners of small blogs often have a false sense of security because they feel their website is “too small” to be hacked.

这根本不是真的。 While bigger websites will have a bigger payoff for hackers in terms of data theft for instance, smaller sites have value of their own. They can be used as a part of a botnet, for example. Or a site may have a small, dedicated following, which can be tapped for phishing scams via their email addresses.

Because people tend to use the same passwords for different accounts, it is theoretically possible to now hack into another site or system using this information. The small website played a small but crucial role in this chain of events.

Finally, hacking is always worth the effort. Hacks are rarely carried out manually. Malware, bots specifically, are designed to automate the hacking process. So there is minimal “effort” on the hacker's front. Thus the gains of hacking your site are disproportionately stacked on the side of hackers.

结论

In order to protect your website, it is important to be well-informed about WordPress security and hacks. In this article, we have attempted to explain WordPress hacks, motivations, impact, and much more, so you can make an informed decision about your website's security.

We recommend MalCare to fix hacked WordPress website because it is a complete security solution, and is only getting better with time. We protect 1000s of websites daily, with our advanced firewall, scanning and cleaning algorithm, and much more. MalCare has found malware that most other scanners miss, and has saved our customers untold amounts in revenue.

我们很想听到您的声音。 Reach out to us via email for any questions, and we're happy to help.

常见问题

How do WordPress sites get hacked?

Primarily, WordPress websites get hacked or keep getting hacked because of vulnerabilities in the core WordPress files, plugins, or themes. Hackers exploit these vulnerabilities to insert malware into the website. The second biggest reason that websites get hacked is because of poor or insecure passwords.

My WordPress site has been hacked, what to do?

If your WordPress site is seriously compromised, there are steps you can take to fix the hack:

Scan your website for malware using MalCare
Take a backup of your hacked WordPress site before cleanup
Use a security plugin to clean up hacked WordPress site
Install a web application firewall
Change all user passwords