WordPress 网站被黑,被挂马,被加黑链的问题分析及紧急处理办法。

为什么你的 WordPress 网站隔三差五就会被黑和被人篡改链接呢,是因为你站的数据有价值还是说流量特别大、让人看了眼红才会专门针对你做这些操作的?没人会闲着专门去黑你网站,如果“ 有幸” 被黑只能说明是有安全防范漏洞被人用黑产工具扫描到批量破解的。

并且最大有可能的是你网站里有个管理员账号叫做 admin , 别问我为什么知道,习惯夜观天象的我,掐指一算即可知晓大部分人天天都在努力的熬夜写 bug 。这篇文章主要是讲下如何处理被黑后的 WordPress 网站,以及常规的一些安全设置操作。

一、网站被黑和挂木马的原因分析;

首先呢,这个大锅,WordPress 系统本身是不会背的,有个悖论是:因为 WordPress 是全球使用量最多的网站程序,所以 WordPress 也是全球最不安全的程序。这个大白话讲就是因为用的人多,所以肯定被发现的问题出错的就多,反之也是一样。但实际上,正因为用的人多,WordPress 是全球最多人使用的程序,才证明 WordPress 系统本身的安全性很可靠(不安全谁用,连美国白宫政府网站用的都是 WP)。

99% 的网站被黑和漏洞,都是由于使用的插件和主题引起的,而这里面当然是以插件的漏洞居多,毕竟要建成一个网站,WordPress 的原生功能并没有多少,只能是依靠插件来进行扩展实现所需的功能。

例如你从一些不知名的网站随便下载的免费和付费插件主题,这些大概率都是被内置了木马脚本的,这里就不展开讲了,我们前几年也中过招,感兴趣可以查看下面几篇文章:

还在使用 Nulled (失效) WordPress 高级主题、插件?快来检查下你的网站有没有中病毒。

新型 WordPress 远程执行恶意病毒,可寄生于多站点 rms_unique_wp_mu_pl_fl_nm.php

除开这些主动操作导致的网站感染木马病毒和被黑的情况,还有一种就是因为偷懒,自己图方便而给不怀好意之人留了方便之门。比如:

  • 设置最简单的密码和用户名 admin 、888888、123456 等
  • 从不更新 WordPress 系统和主题、插件;
  • 随意乱改动 WordPress 原生的系统文件和代码;
  • 选择便宜和过时的服务器主机托管商;
  • 随意分配网站用户权限给其他人;
  • …………

如果你网站被黑了,自己得要先反思下,究竟是什么原因导致的。

二、网站被黑后的抢救黄金时间;

一般情况下,如果网站被黑后如果无感,也就是不知道什么时候被黑的,那么第一时间要做的就是把现有网站的数据库和文件进行打包备份。而且如果是网站服务器内有自动备份的话,就先回滚到上次的备份,对于长期不做更新,也就是网站内容无更改的就可以回滚至上周或者上月的备份。反正就是先让网站恢复到正常可访问。

如果发现 WordPress 程序目录里有不明的新 PHP 文件或者是多了很多乱七八糟的文件夹,而且修改时间都还很整齐,那么记录的也就是上次被篡改的时间节点了。

能看懂服务器日志或者本身系统有日志记录的话,可以去翻看下当时的日志记录有无发现异常操作和陌生 IP 用户名登录。

有个头大的问题在于,很多人网站被黑后就病急乱投医,先不管三七二十一,直接乱删一通,又或者认为反正没啥大影响就放在一边。这又不是要养蛊,发现了木马文件和黑链不清理消灭掉,先不说对你网站 SEO 和内容安全性影响,就单单是浪费服务器资源就是在抢钱啊。

所以要记住,早发现早处理,特别是网站是运营状态,每天都有人访问还有正常的 Google、百度排名不处理的话,会被浏览器和搜索引擎给标红还有进行一系列的惩罚,完全是得不偿失。

三、网站被黑和挂马的数据清理;

这里根据薇晓朵这几年处理 WordPress 网站安全问题的实际经验我们分成下面几种情况:

  • 网站可访问,被挂黑链,其他无影响;
  • 网站可访问,无法登陆,无法进后台;
  • 网站可访问,能够登陆,后台无法启用安全插件和扫描;
  • 网站可访问,会跳转垃圾链接,无法登陆,无法修改内容;
  • 网站不可访问,有破坏性,无法登陆/修改内容,程序文件受损;

大致如果网站可以访问,而且能够进入后台的情况是比较好处理的,那么可以大概知道这些挂马的人是想用你的 WordPress 来做些隐藏操作,比如引流、挂广告、做黑链,宣传等等,一般不会涉及到盗取你网站的数据和资料,也就是“ 借” 着用用,不会搞太大的破坏。

而对于后面几种无法登陆后台或者让网站网址强制跳转到广告页面这些就具有很强的敌意和破坏性,这种情况实际上是采用了非常简单粗暴的手段,也就是考虑到要短时间内让从你站带来的效益最大化,对于有一定流量和排名的网站这种操作是极具杀伤力的,不仅会摧毁掉一部分访客的信任,直接流失客源流量和导致经济损失。

1、如何查找木马:

如果能进后台,那么这里推荐的是使用 WordPress 上最知名的安全软件 Wordfence(直译中文名: 文字栅栏?有点中二,还是叫英文吧)。

Wordfence 是我们给客户装机必备的 WordPress 安全插件,当然还有其他同类型的安全插件,但就过去几年的表现来说,安全方面 Wordfence 是最好的选择,而且对于大部分网站免费版已经足够了,很多参数都能直截了当的显示出来。如下图:

而且在上个月更新的版本中已经添加了可翻译文件,所以薇晓朵也是第一时间对此插件进行了翻译处理,现在即便是小白用户也可以自行操作扫描和看懂操作提示,如果你的 WordPress 被黑可进后台,不妨安装试试。

2、如何清理木马;

对于清理,这里只能说如果你足够幸运,就只是几个简单的问题进行清理删除;如果不是,那么可能清理操作将会浪费掉你一整天的时间,不用深入问为啥,即便是我们最有经验的技术人员清理一个网站的木马这些也得花上三五个小时,更别说进行复查和监控。

清理木马没有捷径,如果有备份文件那么最简单,确定不影响数据的话就直接恢复回滚就行了。

没有备份文件就只能手动处理,删掉全部的垃圾木马文件,然后用最新的 WordPress 程序包、主题、插件、这些全部替换一遍,之后再查找 WordPress 的静态文件、图片、文档这些上传目录进行清理, 这一系列的操作处理完毕,再返回到网站后台进行二次扫描,处理发现的风险项。

差不多处理完这些后就可以进入最后一步,对已经清理过的程序、数据库进行备份,这里的备份不一定完全干净,所以你需要对自己上面的操作有足够多的信任,备份的目的是防止由于服务器漏洞或者什么东西泄露导致网站在未来几天二次被黑后,又重头再清理。

如果真要是 7 天内也就是一周里重复被黑,那么只能是证明安全性还是不够,得继续查找原因和修改。实在是没办法了,就请外援吧,找会处理和有经验的人来处理。

毕竟时间最贵,

长期或者有周期性的被黑被挂马的也就是你从来都没清理干净过。

四、网站被黑和挂马的防治办法;

最后这里还是贴下薇晓朵可以提供的 WordPress 安全加固和木马清理服务,以便有相关需要的用户和紧急情况可以选择:

单次服务:https://mall.weixiaoduo.com/item/wordpress-security

对于有经济基础能够产生效益/收益的 WordPress 网站、WooCommerce 商店、以及缺乏 IT 人员和网络技术经验的公司企业网站,薇晓朵可以提供长期支持和云平台接入维护服务。

长期维护:https://www.weixiaoduo.com/wordpress-maintenance

购买网站维护套餐后,只需要提供一个账号,就能直接将你的 WordPress 网站接入到薇晓朵云平台进行维护托管,定时更新和备份数据,同时发现网站有异常和安全问题我们的技术人员都可以第一时间前往你的网站进行处理。

可谓是非常省心省事。

成本也非常低,只需花费招聘一个专职技术半月的工资,即可由薇晓朵技术团队提供一年的托管接入维护服务。包括网站的木马清理和一些常规技术问题我们都可以处理,且费用已包含在维护套餐内。

今年我们将会着重推广下 WordPress 网站维护服务,现在托管在薇晓朵云平台上的网站已有近 200 个,总的来说,不管是我们负责管理还是自己管理网站,都得要把你的网站当成是汽车、电脑这些东西一样,时不时地去清理,保养下这样才会长期有效且好用。

发布者

诗语

诗语

薇晓朵 & 菲比斯公司创始人,爱看书,爱科技

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注