当您的 WordPress 网站遭到黑客入侵时,您会想到一百万件事情。黑客发现、改变和窃取了什么?还有谁处于危险之中——您的员工、合作伙伴或客户现在是否也处于危险之中?黑客最初是如何进入您的网站的?
在您可以采取下一步之前,您必须保持冷静。事实是,无论您认为自己的网站受到多么良好的保护,黑客攻击确实会发生。好消息是,这种情况很常见,并且有既定的待办事项可以立即开始解决。
此外,有时网站会变得有点疯狂——这并不意味着您已被黑客入侵。行为不端的网站、故障更新或博客帖子上的奇怪评论都不是您的网站被黑客入侵的可靠迹象。在尝试解决错误的问题之前,您需要深入挖掘以确保您知道自己在处理什么。
如何判断您的 WordPress 网站是否真的被黑了
这里有迹象表明你正在处理一个真正的黑客——希望你可以对这个列表中的所有内容说“不”。(如果没有?我们为您提供了更多帮助。)
- 您无法登录您的 WordPress 网站。
- 您已经注意到流量严重下降。
- 有您尚未进行的网站更改。
- 您的网站正在重定向到其他网站。
- 当任何人试图访问该网站甚至在 Google 中搜索它时,都会显示警告。
- 服务器日志显示异常活动。
- 您的安全插件或托管服务提供商已通知您存在违规或异常活动。
让我们更深入地了解其中的一些。
无法登录网站
某人无法访问其网站的最常见原因不是黑客攻击 – 这是因为他们忘记了密码(或认为他们知道但实际上不知道)。重置您的密码,看看是否有问题。
现在,如果您无法重置密码,则可能表明存在潜在的黑客攻击。黑客通常会删除用户或更改其密码以阻止他们访问该站点。如果您无法重设密码,可能是因为有人删除了您的用户帐户。包含以下内容的用户名特别容易被破解:
- 行政
- 行政人员
- 根
- 测试
此外,如果您能够重置密码,但注意到我们列出的其他危险信号,您仍然可能成为黑客攻击的受害者,请继续阅读。
流量下降
当一个高性能网站因不明原因而停止看到流量涌入时,它可能已被黑客入侵。重定向流量、降低用户体验或谷歌将您的网站列入黑名单都可能导致流量骤降。
无法识别的网站更改
通常,黑客会以大而明显或微小且难以捕捉的方式更改您的网站。这可能就像主页被广告淹没或主题完全不同一样清楚。或者,它可能像隐藏在页脚中的小链接一样难以找到。添加的内容具有非法性质也很常见。
通常,这种添加的、意外的内容不符合设计方案或不考虑演示。这意味着网站的黑色部分可能会有一个黑色广告,其中大部分内容都被隐藏起来。
您还可以通过在 Google 上搜索 site:yoursite.com(用您的实际 URL 替换 yoursite.com)来查看是否有任何页面添加到您的站点。浏览结果以查看是否有您不认识的内容。
在您认为这是黑客的工作之前,请与您团队的其他成员核实,以了解是否有任何管理员或编辑进行了更改。即使是古怪的变化也可能完全是意外。
网站重定向到其他地方
黑客通常会在您的网站上添加一个脚本,将访问者重定向到其他地方,例如约会网站或其他不合适的地方。您自己可能不会注意到这一点,因为有些黑客只会向非管理员显示重定向,因此您看起来很正常。但是,如果您从访问者那里得到反馈,说他们被发送到另一个站点,请注意听听。
浏览器或 Google 警告
是的,浏览器警告说您的网站已被入侵可能表明您的 WordPress 被黑客入侵了……或者这可能意味着插件或主题中的代码必须被删除。也可能存在域或 SSL 问题,您的主机可能会帮助您找出问题。浏览器警告可能会为您提供一些信息,您可以使用这些信息开始对问题进行故障排除。
Google 的警告与此类似,但更直接——它可能会说:“该网站可能被黑客入侵。” 当网站站点地图被黑客入侵时就会发生这种情况,这会影响 Google 抓取网站的方式。就像浏览器警告一样,您必须根据获得的任何信息开始诊断问题。
如果您仍然听到用户说您的网站被标记,则可能是他们收到了来自防病毒产品的通知。即使 Google 再次将您列入白名单,您也必须按照防病毒产品的说明将您从危险网站列表中删除。
服务器日志中的异常活动
如果您担心自己被黑客入侵,请通过您的托管服务提供商登录您的 cPanel。有两种类型的日志可供查看:
- 访问日志:谁访问了您的 WordPress 站点以及通过哪个 IP 访问了您的 WordPress 站点。
- 错误日志:修改 WordPress 系统文件时发生的错误。
寻找任何不寻常的活动。如果您发现不应访问您的站点的 IP 地址,请阻止它们。
了解 WordPress 网站被黑的原因和方式
WordPress 被黑的原因有很多。前三名分别是:
- 不安全的密码:您站点的每个用户以及您的 FTP 和托管帐户都需要一个高度安全的密码。
- 过时的软件:每当有新版本发布时,插件、主题和 WordPress 安装都需要定期更新。如果没有更新,您就会留下漏洞供黑客利用。
- 不安全的代码:低质量的 WordPress 插件和主题会使您的网站面临风险。
黑客使用了几种精明的方法,并且这些技术一直在改进。随着网站变得更安全,黑客变得更聪明、更有创意。以下是入侵 WordPress 的一些主要途径:
- 后门:后门黑客绕过了进入您网站的所有传统方式。黑客可能会通过隐藏文件或脚本找到方法。
- 蛮力登录尝试:自动化用于找出您的密码并进入您的网站。密码越弱,越容易破解。
- Cross-Site Scripting (XSS):这是一个经常在插件中发现的漏洞。脚本被注入,让黑客可以向用户的浏览器发送恶意代码。
- 拒绝服务 (DoS):如果网站代码中存在错误或错误,黑客可以利用这些漏洞来压制网站,直到网站崩溃。
- 恶意重定向:后门用于重定向您的站点。
- Pharma Hacks:流氓代码被插入到过时的 WordPress 版本中。
恢复被黑客入侵的 WordPress 网站的 10 个步骤
如果您被黑客入侵,请尽快执行以下操作。在浏览这份清单时尽量保持冷静——恐慌只会让工作变得更加困难,而且你可能会错过重要的步骤。
将您的站点置于维护模式
如果您能够访问您的网站并登录,请将其置于维护模式。(我们在这里有一篇关于维护模式的深入文章。)即使用户在访问您的网站时看不到任何明显的内容,您也希望这样做。在您处理此问题时,维护模式会保护他们的设备和信息,并在您处理黑客攻击时对其保密。
找到您的备份
您将在下一步联系您的托管服务提供商,但有时,当主机发现您被黑客入侵时,他们会立即删除该站点以防止出现更多问题。这就是为什么您首先需要备份站点和数据库的原因。
如果您的备份与您的网站存储在同一台服务器上,那么一旦您被黑客入侵,它们很可能会消失。但是,请考虑检查这些位置,以防您在那里也保存了一个:
- 您的备份插件:如果您使用备份插件,则可能有备份存储在提供商的云服务中。
- 您的云帐户:查看您是否已将网站备份手动保存到您的云服务,例如 Dropbox 或 Google Drive。
- 托管服务提供商:您使用的托管服务提供商可能拥有您仍然可以访问的站点备份。
联系您的房东
根据您拥有的托管包类型,您的提供商可能会接管并为您处理黑客攻击。尽早联系您的房东,以 (a) 让他们知道您的 WordPress 网站已被黑客入侵,以及 (b) 了解他们提供的帮助。如果您根本无法访问您的站点,您可能需要主机的帮助才能到达任何地方。
重置 WordPress 密码
您不会知道哪个密码被黑了,因此尽快更改所有密码是最安全的。在此期间,请重置与您的 WordPress 相关的所有密码,例如您的数据库、主机和 SFTP 密码。此外,请立即联系管理员级别的用户并让他们更改密码。展望未来,目标是每几个月左右更改一次您的 WordPress 登录信息。
更新一切
确保您的 WordPress 安装、插件和主题都是最新的。尽早这样做意味着您可以修补黑客最初通过的漏洞。如果您等待太长时间来执行此步骤,您可能会遇到修复您的网站的麻烦,结果却再次通过相同的过时插件或主题对其进行了黑客攻击。
除了更新您的插件和主题之外,请执行以下操作:
- 停用并删除您不使用的任何内容。
- 您是否担心其中一个来自不可靠的供应商?停用并删除它。
- 删除并重新安装您认为可能会给您带来麻烦的任何内容。或者,更好的是,删除插件或主题,然后将其替换为官方目录中的其他内容。
- 检查您已安装的主题和插件的支持页面。最近可能有遇到同样问题的人发表评论。
如果您想从 SFTP 而不是 WordPress 仪表板中删除插件,您可以。确保删除插件的整个目录,而不是单个文件。您将查找 wp-content/plugins/[plugin name] 并删除整个目录及其中的所有内容。
您可以通过转到 wp-content/plugins/[plugin name] 对未使用的主题执行相同的操作。请记住,如果您使用的是子主题,您可能需要保留两个目录,以便您的主题保持完整。
删除不必要的管理员帐户
检查网站的所有管理员帐户并删除您不认识或不再相关的任何帐户。对于那些仍然需要访问您的站点但不是管理员的人,请更改他们的访问级别。此外,在您删除实际合法的帐户之前,最好先咨询管理员,了解他们是否更改了帐户详细信息。
删除不应该存在的文件
这一步您可能需要一个安全插件。运行站点扫描应该会提醒您注意存在但不应该存在的文件。我们为您的网站收集了六个最好的 WordPress 安全插件。
清理并重新提交您的站点地图
如果您的站点地图被黑客入侵,则其中可能包含恶意链接或外来字符。您的 SEO 插件应该让您重新生成一个新鲜、干净的站点地图。然后,您必须通过Google Search Console将其提交给 Google 。让 Google 知道必须再次抓取您的网站。
这可能需要长达两周的时间,所以要知道搜索警告可能在此之前不会被清除。要检查您的网站是否恢复正常,您可以访问以下网址:http://www.google.com/safebrowsing/diagnostic?site=http://yourwebsite.com/
重新安装 WordPress 核心
当 WordPress 被黑时修复您的网站的唯一方法是完全重新安装它。您可以通过管理仪表板或文件管理器执行此操作。我们在有关修复 WordPress 网站上的 500 内部服务器错误的文章中解释了如何执行此操作。
清理数据库
最后,清理你的数据库。您的安全插件应该能够告诉您数据库是否遭到破坏,并且还可以对其进行清理和优化。
如何防止将来被黑客入侵
我们知道您再也不想经历这些了。您可以采取以下措施来防止您的 WordPress 网站在未来被黑客入侵。
设置安全密码和两步验证
如果您还没有这样做 – 或者如果您这样做了但您因为恐慌而匆匆忙忙 – 请确保您网站的所有密码都是强密码。然后,向您的站点添加两因素身份验证,这将使黑客更难创建虚假帐户。
使用安全插件或服务
我们已经多次提到这一点,您现在肯定知道您的网站需要一个安全插件。这种类型的插件最大的好处是它会在出现问题时提醒您,以便您可以在问题失控之前采取预防措施。
需要更多保护?有一些安全服务可以为您监控您的站点并解决出现的任何问题。如果您将来再次遭到黑客攻击,他们会为您处理所有故障排除步骤。
使您的网站保持最新状态
您网站上的所有内容都应该是最新的,从 WordPress 版本到您安装的任何插件和主题。更新通常有安全补丁,所以让它们过时意味着黑客可以很容易地找到他们的方法。如果您不经常在您的站点执行维护,请使用自动更新程序来为您处理。
在您的网站上使用 SSL
SSL 是大多数托管软件包的标准配置,它为您的站点增加了另一层安全性。请与您的主机确认是否包含 SSL。如果不是,您可以安装专用的 SSL 插件,或检查您的安全插件是否包含它。
使用防火墙
防火墙充当您的站点和世界其他地方之间的保镖,在危险有机会引起问题之前将其阻止。您可以使用安全插件或服务,但首先要与您的主机核对以了解您已经拥有哪种类型的防火墙保护。
小心安装
只安装来自信誉良好的插件和主题——官方 WordPress 目录是你最好的选择。即便如此,请确保您选择的内容已使用您的 WordPress 版本进行了测试。避免使用第三方网站的插件和主题。如果您必须从 WordPress 目录以外的其他地方获得一个,请研究一下该供应商是否享有良好的声誉。
清理您的 WordPress 安装
任何你在任何地方都不需要的东西都应该被删除,包括:
- 您不再使用的文件
- 不活动或活动但未使用的插件
- 您不会再次使用的非活动主题
- 旧的 WordPress 安装
- 未使用的数据库
旧的 WordPress 安装特别容易受到攻击。通常,您的备份保存在站点的子目录中。因此,虽然您的主网站可能是安全的,但黑客可以通过这些旧安装进入。
尝试定期执行此清理程序,例如每三个月一次,以保护您的网站免受黑客攻击。
总结
当您的 WordPress 网站遭到黑客攻击时,访问者通常无法访问您的网站,这可能会影响从品牌声誉到收入的方方面面。要让您的网站恢复正常工作,必须采取迅速而明智的行动。然后,下一个最紧迫的问题是如何让您的网站保持健康和不受黑客攻击。
幸运的是,我们所涵盖的许多维护建议都是轻而易举的。您可能已经知道更强的密码和最新的插件意味着一个更健康的网站,仅举几个最佳实践。通过遵循本文中的建议,您将有更好的机会在 WordPress 网站被黑客入侵后修复它,并避免将来出现同样的问题。
查看我们关于如何进行 WordPress 安全审核的文章。
来源