如何清理被黑的 WordPress 網站

已發表: 2022-06-15

被黑的 WordPress 網站並不是大多數 WordPress 網站所有者想要考慮的主題。 但它們是一個真正的問題,每天影響超過 30,000 個網站。

如果您的 WordPress 網站遭到黑客攻擊,您應該採取哪些具體步驟來徹底清理它並使其恢復正常運行? 您被黑的網站現在完全沒用了,還是可以恢復? 讓我們潛入水中。

介紹 WordPress 安全專家 Kathy Zant

最近,WordPress 安全專家 Kathy Zant 為 iThemes 舉辦了一場現場網絡研討會,展示瞭如何清理被黑的 WordPress 網站。

Kathy Zant 已經在 WordPress 領域工作了十多年。 她在 WordPress 安全方面的經驗,尤其是與清理受感染網站有關的經驗,是首屈一指的。

除了在 WordPress 安全方面的經驗之外,Kathy 還為 WordPress 領域的許多不同品牌擔任過營銷工作。 此外,她還是 WordCamp Phoenix 和 WordCamp US 的組織者。

她目前居住在得克薩斯州,在那裡經常可以看到她和她的馬一起閒逛並遛她的金毛獵犬。

“我們首先要討論的是,”凱西說,“你怎麼知道你的網站被黑客入侵了? 有哪些跡象? 一旦懷疑自己被黑客入侵,您應該採取的第一步是什麼?”

她接著說:“你如何設計一個策略,一種快速簡單的方法來清理你的網站? 清理乾淨後,我將向您展示如何保護您的網站。 並提供一些關於如何恢復網站聲譽的關鍵提示,這也非常重要。”

清理被黑的 wordpress 網站

在這份綜合指南中,我們將解開 Kathy Zant 的現場網絡研討會關於清理被黑 WordPress 網站的要點。 到最後,如果您發現自己成為被黑 WordPress 網站的受害者,您將確切知道需要做什麼。

您如何知道您的 WordPress 網站何時被黑客入侵?

首先,重要的是要了解,僅僅因為您的網站被破壞並不一定意味著存在惡意行為者的黑客攻擊或入侵。 但是您確實需要確定是否發生了黑客攻擊。

您的網站到底有什麼問題? 具體是怎麼回事? 哪些跡象表明您的手有問題?

如果您懷疑您的 WordPress 網站已被黑客入侵,請注意以下幾點:

  • 您的服務器或 WordPress 安裝中不應該存在的文件(這需要相當多的知識才能確定地知道)。
  • 具有最近修改日期的文件。 如果您的wp-includes目錄中的所有文件的修改日期均為 2022-01-12,其中一個的修改日期為 2022-06-02,那麼您應該高度懷疑該最近修改的文件。
  • 訪問日誌中的奇怪請求。 這可能會將您指向用於修改站點文件的文件。

您所看到的問題的細節將自動開始通知您需要做什麼來解決它。

現在,如果您有站點的當前備份,您肯定希望立即從備份中恢復您的站點。 BackupBuddy 插件是始終擁有當前備份的完美解決方案。

在這種情況下,您的修復將非常簡單。

但是,如果當前沒有備份,您基本上會進入看不見的恢復模式,清理站點將是您的工作。

凱西解釋說:“想像一下有人來找你。 他們有一個被黑的網站,他們的網絡開發人員在行動中失踪了。 你要做的第一件事就是備份被黑的網站。”

“原因是我們希望完全按照我們發現的那樣保留黑客攻擊的證據。 基本上,如果您能夠訪問 WP Admin,我們希望創建一個備份。 只需加載 BackupBuddy 插件並確保備份所有內容,包括數據庫。”

並且您需要將備份保存到網站當前服務器之外的位置,因為您需要讓整個站點遠離受感染的服務器。

一旦完成,就該制定策略了。 該網站到底在做什麼?

是嗎:

  • 將網站流量重定向到壞社區?
  • 當網站訪問者點擊嵌入網站的鏈接時,他們的設備會受到感染嗎?
  • 在 WooCommerce 安裝中使用卡片撇取器竊取客戶信用卡號?
  • 對互聯網造成普遍傷害?

如果是這樣,您將希望通過完全關閉該站點來立即停止這種情況。 然後,建立一個“即將推出”頁面。

之後,讓託管帳戶暫停該網站。 如果某些託管帳戶發現有洩露跡象並且網站可能被黑客入侵,它們會自動暫停網站。

開始清理被黑的 WordPress 網站

在此之後,您需要前往該站點的 cPanel 並獲取 public_html 文件夾下的所有內容,將其壓縮,然後將其下載到本地工作站的硬盤驅動器上。 您要清除 public_html 下的每個文件的原因是您需要假設所有內容都已完全感染。

接下來,進入wp-includes下的版本文件,您將看到該站點正在使用的 WordPress 版本。 當前的 WordPress 版本是 6.0。 但是有可能該網站已經有一段時間沒有更新了。

我們想基於它當前使用的版本構建一個乾淨的網站版本。 因此,如果它使用的是早期版本,請下載該特定版本的 zip 文件,然後開始使用該新下載構建網站的干淨版本。

接下來,您需要確定在被黑網站上使用了哪些主題。 假設該站點正在運行 Kadence 2020、2021 和 2022。如果該站點仍然正常運行,只需登錄 wp-admin 並查看正在運行的主題。

您還需要查看正在使用的主題版本。 為此,請轉到“自述文件”,它會指示正在使用的版本。

在主題文件中,找到要與特定主題一起使用的穩定標籤。 然後,轉到主題版本存儲庫,您將在其中找到所有可用的主題不同版本。

如果該站點未使用最新版本的主題,請下載它正在使用的確切版本。

同樣的規則也適用於插件。 當您進入站點插件列表中的任何插件並導航到高級視圖時,只需向下滾動到底部即可找到插件的版本。

當然,您的網站有可能由於易受攻擊的插件而受到損害。 但即使是這種情況,您仍然希望完全按原樣構建站點,包括易受攻擊的插件。

這將有助於向我們展示惡意軟件在被黑網站上的確切位置。

最重要的是,您要準確地從它當前所在的位置開始您的干淨站點。 然後,使用 UltraCompare 之類的工具,它可以快速向您顯示該站點出了什麼問題。 這是一個很棒的工具,並且有一個免費版本,您可以使用 30 天。

從這裡開始,您將建立一個與您被黑網站相匹配的干淨網站。 UltraCompare 工具將準確地向您顯示不匹配的內容,因此可以正確清理被黑客入侵的站點。

制定你的攻擊計劃

接下來,您需要猜測入侵向量。 它可以告訴你在哪裡尋找惡意軟件的存在:

  • 當前是否正在發生攻擊活動?
  • 網站被感染多久了?
  • 哪些主題和插件需要更新?

你現在可以設計你的攻擊計劃了。 確保首先按以下順序移除最危險的部分:

  1. 更改所有密碼
  2. 刪除所有垃圾鏈接
  3. 刪除後門
  4. 修補所有漏洞
  5. 刪除惡意重定向

一旦您確信網站上的所有危險都已消除,您可以返回網站的 cPanel 並上傳乾淨的網站文件以恢復您的網站。

現在是時候讓網站完全安全了,這樣將來任何潛在的黑客攻擊都將很快被阻止。

要保護您的網站:

  • 刪除任何無法識別的管理員用戶(或將其設置為僅限訂閱者)
  • 更改所有管理員/編輯密碼
  • 更改 FTP 密碼
  • 更改主機帳戶密碼
  • 更改 WordPress 數據庫密碼並更新您的 wp-config.php 文件
  • 更改 wp-config.php 鹽
  • 檢查設置以確保“任何人都可以註冊”僅設置為訂閱者
  • 安裝 iThemes Security 插件並激活以下設置:
    • 對所有管理員用戶啟用雙重身份驗證。
    • 啟用 iThemes 站點掃描以掃描易受攻擊的插件、主題和 WordPress 核心版本。
    • 打開帶有自動漏洞修補的版本管理。
    • 打開文件更改檢測
  • 確保備份按計劃運行
  • 測試備份

正如 Kathy 解釋的那樣,“您肯定會想要安裝 iThemes Security 並激活設置,以便在站點再次發生任何類型的入侵時通知您。 並確保為所有管理用戶激活雙重授權。”

她接著說,“你會想盡一切可能保護網站的安全。 在 iThemes Security 上運行站點掃描以掃描易受攻擊的主題、插件和 WordPress 核心版本。 只要確保一切正常。”

“並打開版本管理。 如果再次發生入侵,這將是您的第一道防線。 然後確保您已安裝 BackupBuddy 插件,並測試您的備份。 確保您的備份從服務器發送出去,並對其進行測試以確保您能夠恢復它們。”

“確保數據庫的所有 SQL 文件也都在那裡,並確保您的備份都按計劃進行。”

黑客攻擊後恢復您網站的聲譽

簡單地清理和恢復被黑的 WordPress 網站不會自動恢復網站的聲譽。 事實上,您需要做幾件事來確保 Google 和其他搜索引擎在您的網站被黑客入侵和清理後不會繼續懲罰您的網站。

通常,您的網站已被黑客入侵的第一個跡像是 Google 會通知您有關情況。 要了解 Google 當前如何查看您的網站,請前往 Google Search Console。

首先,如果您在 Search Console 中發現任何不應該存在的無關站點地圖,或者似乎發布了垃圾鏈接,您需要立即刪除這些站點地圖。

您還可以在 WordPress 目錄的根目錄中找到一個 Google 文件,該文件使黑客可以訪問您網站的 Search Console。 當您導航到 Search Console 並轉到“設置”時,請仔細查看站點地圖,看看該區域是否設置了任何非法站點地圖。

在此之後,您需要查看 Search Console 中存在的任何安全問題。 如果當前正在顯示來自 Google 的厄運和悲觀的紅色大屏幕,您將在安全問題下的 Search Console 中看到一些大標誌。

在這裡,您將要求 Google 審查您的網站,因為它已經被清理了。

“現在,談​​到 Google AdWords,”Kathy 解釋說,“您可能擁有世界上最乾淨的網站,但 Google AdWords 可能仍然會告訴您存在問題。 這裡的關鍵是繼續嘗試他們。 有時,他們查看的內容與您不同,但您知道 Search Console 只會幫助您解決 AdWords 有時具有欺騙性的網站警告。”

您的許多站點用戶可能還在他們的設備上運行 Norton 或 McAfee 防病毒軟件。 因此,與這些公司合作以清除您的網站在被黑客入侵後可能進入的任何黑名單也很重要。

此外,如果您的網站一直在發送垃圾郵件,您需要清除您在 Spamhaus 的聲譽。 為此,您需要您網站的 IP 地址,以便清除該地址在 Spamhaus 中的聲譽。

這些步驟中的每一個對於在黑客攻擊後恢復您的網站的聲譽都很重要。

被黑的 WordPress 網站清理清單

讓我們深入了解 Kathy 的完整清單,了解如何清理被黑的 WordPress 網站。 你也可以在這裡下載。

獲得獎勵內容:被黑網站清理清單
點擊這裡

第 1 步:規劃清理工作

  • 網站真的被感染了嗎? 是/否/也許
  • 創建被黑站點的備份。 (是的,甚至是惡意軟件。)
  • 將站點文件、數據庫和日誌文件的備份下載到您的計算機上。
  • 確定是否需要使站點不可用。
    1. 它是重定向站點訪問者還是使用服務器資源? 是否受到主動攻擊? 把它記下來。
    2. 只是垃圾郵件鏈接而不是受到主動攻擊? 你可能會留下它
  • 猜測入侵向量; 它可能會通知您在哪裡尋找惡意軟件。
    1. 當前是否有攻擊活動?
    2. 網站被感染多久了?
    3. 哪些插件/主題需要更新?
  • 按照這個順序設計你的攻擊計劃。 首先移除最危險的部分。
    1. 刪除惡意重定向
    2. 刪除後門
    3. 補丁漏洞
    4. 更改密碼
    5. 刪除垃圾鏈接
  • 筆記:
    • WordPress核心版本號:
    • 活躍主題:
    • 非活動主題:
    • 活動插件:
    • 非活動插件:

第 2 步:被黑網站清理過程清單

  • 下載與受感染站點匹配的 WP 核心版本
  • 將下載的干淨站點文件與被黑站點文件進行比較
    1. 比較目錄
      • wp-管理員
      • Wp-包括
      • 根文件(wp-config.php 和 .htaccess 除外)
    2. 構建 wp-content 的干淨副本
      • 所有活動插件
      • 活動主題(和子主題)
    3. 在 wp-content/uploads/ 中查找任何 php 文件(除了空白 index.php 文件)
    4. 手動全面檢查您的 .htaccess 文件
    5. 全面檢查您的 wp-config.php 文件
  • 查看您的 WordPress 數據庫。 我們將在使用 PHPMyAdmin 清理文件後清理它。
    1. wp_posts 表
    2. wp_options 表
    3. 檢查任何惡意用戶 (wp_users)
    4. 如果您的 wp_posts 中有惡意軟件:
      • 使用 WP Optimize 插件來優化您的數據庫並刪除任何帖子草稿、已刪除的帖子。 (它只是使清理的數據量更容易)

將清理後的站點文件放回服務器上並交換它。

  1. 使用 BackupBuddy 插件,將重建後的 public_html_clean 上傳到與您的 public_html 目錄相同的級別
  2. public_html重命名為public_html_hacked
  3. public_html_clean重命名為public_html

第 3 步:被黑網站清理過程清單

在將被黑網站換掉後,立即保護該網站。

  1. 刪除任何無法識別的管理員用戶(或將其設置為僅限訂閱者)
  2. 更改所有管理員/編輯密碼
  3. 更改 FTP 密碼
  4. 更改主機帳戶密碼
  5. 更改 WordPress 數據庫密碼並更新您的 wp-config.php 文件
  6. 更改 wp-config.php 鹽
  7. 檢查設置以確保“任何人都可以註冊”僅設置為訂閱者
  8. 對所有管理員用戶啟用雙重身份驗證
  9. 啟用 iThemes 站點掃描以掃描易受攻擊的插件、主題和 WordPress 核心版本
  10. 打開帶有自動漏洞修補的版本管理
  11. 打開文件更改檢測
  12. 確保備份按計劃運行
  13. 測試備份

第 4 步:恢復被黑網站的聲譽

清理並保護站點後,恢復站點的聲譽。

  1. 谷歌安全瀏覽
  2. 從 Google Search Console 請求審核。 預計 24 小時周轉。 訪問:
    1. https://support.google.com/webmasters/answer/168328?hl=en
    2. https://www.google.com/webmasters/tools/security-issues
  3. 轉到 Google 並蒐索“site:example.com”以查看 google 看到的內容。
  4. 邁克菲
  5. 諾頓
  6. Spamhaus 如果您的網站一直在發送垃圾郵件

其他網站清理步驟

  • 查看日誌文件以了解它們是如何進入的。
  • 確保您的網站是主機帳戶中唯一的 WordPress 安裝。 如果您有其他站點,如果您不保護它們,它們可能是入侵媒介。
  • 對於具有管理員訪問權限的任何人,請確保更新軟件並保護密碼
    • 安全計算機
    • 安全的電子郵件帳戶
    • 保護社交媒體帳戶
    • 安全手機

如何防止您的 WordPress 網站被黑客入侵

雖然沒有 100% 保證安全的網站,但您可以採取一些措施來盡可能地強化網站。

1. 在下載插件和主題時要非常小心。

插件和主題可能來自陰暗的網站,這些網站中包含啟動黑客攻擊的代碼。 甚至有插件和主題病毒會自動感染網站上的所有其他插件和主題,因此即使您清除其中一個,它也會自動重新感染。

2. 不要運行過時版本的 WordPress、主題或插件。

確保 WordPress 以及您網站上的所有主題和插件都是最新的。 刪除停用的插件。 不要將它們留在 wp-content/plugins 文件夾中。 停用的插件存在潛在的安全風險,因為這些插件通常不會更新。 iThemes Sync Pro 是一種工具,可讓您管理多個 WordPress 站點,一鍵更新 WordPress、主題和插件。

3. 不要沒有可靠的 WordPress 備份策略。

經常備份您的 WordPress 網站。 對您的網站進行健康的完整備份是關鍵。 保留幾個備份文件的存檔。 如果發生災難,您將需要備份來恢復您的站點(在清理服務器之後)。 關於備份文件的快速提示:不時對備份文件運行一些測試恢復。

擁有無法恢復的備份可能是可能發生的最糟糕的事情(在被黑客入侵之後)。 BackupBuddy 使您能夠設置將在無人值守的情況下運行的計劃備份,並且可以將備份文件保存到遠程位置。 這應該讓您高枕無憂,您將始終擁有一個健康的備份文件。

4. 使用信譽良好的 WordPress 安全插件。

您可以採取措施使您的 WordPress 網站更加安全。 iThemes Security 是一個 WordPress 安全插件,可讓您保護您的 WordPress 網站。 您可以通過多種方式阻止對 WordPress 儀表板的訪問、監控文件更改、掃描惡意軟件等。

5. 不要使用弱密碼。

確保您使用長而復雜的密碼來練習 WordPress 密碼安全性。 激活 WordPress 雙重身份驗證以增加一層安全性。

6. 不要忘記不時檢查您的 WordPress 安全性。

養成定期評估站點安全狀況的習慣。 就像您定期檢查車輛的油位一樣。 iThemes 安全插件允許您運行站點掃描以確保您正在運行推薦的安全設置。 確保使用這 10 個 WordPress 安全提示來強化 WordPress。

7. 使用專門從事 WordPress 的託管公司。

最後,請確保您的網站託管服務提供商了解託管 WordPress 網站的問題和風險,例如 Liquid Web 的託管 WordPress 託管。 您需要一個託管服務提供商,從他們的(服務器)端盡最大努力提供一個安全可靠的託管環境。

像專家一樣清理被黑的 WordPress 網站

既然您了解瞭如何識別、清理和恢復被黑 WordPress 網站的聲譽,您的下一個目標應該是確保不再發生這種噩夢。

畢竟,即使您的網站已恢復正常運行,也要考慮在計劃外停機期間損失的收入。

要完全保護 WordPress 站點,沒有比下載、安裝和激活 iThemes Security Pro 插件的每個關鍵功能更好的步驟了。 對於任何意外攻擊,請確保使用 BackupBuddy 按計劃運行備份。

當這兩個插件一起使用時,您再也不用擔心黑客會破壞您的網站。

觀看網絡研討會重播:如何清理被黑的 WordPress 網站

下載清單
網絡研討會成績單
聊天記錄

保護和保護 WordPress 的最佳 WordPress 安全插件

WordPress 目前為超過 40% 的網站提供支持,因此它已成為惡意黑客的輕鬆目標。 iThemes Security Pro 插件消除了 WordPress 安全性的猜測,使保護您的 WordPress 網站變得容易。 這就像擁有一個全職的安全專家,他們不斷地為您監控和保護您的 WordPress 網站。

獲取 iThemes 安全專業版