當您的 WordPress 網站遭到黑客入侵時,您會想到一百萬件事情。黑客發現、改變和竊取了什麼?還有誰處於危險之中——您的員工、合作夥伴或客戶現在是否也處於危險之中?黑客最初是如何進入您的網站的?
在您可以採取下一步之前,您必須保持冷靜。事實是,無論您認為自己的網站受到多麼良好的保護,黑客攻擊確實會發生。好消息是,這種情況很常見,並且有既定的待辦事項可以立即開始解決。
此外,有時網站會變得有點瘋狂——這並不意味著您已被黑客入侵。行為不端的網站、故障更新或博客帖子上的奇怪評論都不是您的網站被黑客入侵的可靠跡象。在嘗試解決錯誤的問題之前,您需要深入挖掘以確保您知道自己在處理什麼。
如何判斷您的 WordPress 網站是否真的被黑了
這裡有跡象表明你正在處理一個真正的黑客——希望你可以對這個列表中的所有內容說「不」。(如果沒有?我們為您提供了更多幫助。)
- 您無法登錄您的 WordPress 網站。
- 您已經注意到流量嚴重下降。
- 有您尚未進行的網站更改。
- 您的網站正在重定向到其他網站。
- 當任何人試圖訪問該網站甚至在 Google 中搜索它時,都會顯示警告。
- 伺服器日誌顯示異常活動。
- 您的安全插件或託管服務提供商已通知您存在違規或異常活動。
讓我們更深入地了解其中的一些。
無法登錄網站
某人無法訪問其網站的最常見原因不是黑客攻擊 – 這是因為他們忘記了密碼(或認為他們知道但實際上不知道)。重置您的密碼,看看是否有問題。
現在,如果您無法重置密碼,則可能表明存在潛在的黑客攻擊。黑客通常會刪除用戶或更改其密碼以阻止他們訪問該站點。如果您無法重設密碼,可能是因為有人刪除了您的用戶帳戶。包含以下內容的用戶名特別容易被破解:
- 行政
- 行政人員
- 根
- 測試
此外,如果您能夠重置密碼,但注意到我們列出的其他危險信號,您仍然可能成為黑客攻擊的受害者,請繼續閱讀。
流量下降
當一個高性能網站因不明原因而停止看到流量湧入時,它可能已被黑客入侵。重定向流量、降低用戶體驗或谷歌將您的網站列入黑名單都可能導致流量驟降。
無法識別的網站更改
通常,黑客會以大而明顯或微小且難以捕捉的方式更改您的網站。這可能就像主頁被廣告淹沒或主題完全不同一樣清楚。或者,它可能像隱藏在頁腳中的小鏈接一樣難以找到。添加的內容具有非法性質也很常見。
通常,這種添加的、意外的內容不符合設計方案或不考慮演示。這意味著網站的黑色部分可能會有一個黑色廣告,其中大部分內容都被隱藏起來。
您還可以通過在 Google 上搜索 site:yoursite.com(用您的實際 URL 替換 yoursite.com)來查看是否有任何頁面添加到您的站點。瀏覽結果以查看是否有您不認識的內容。
在您認為這是黑客的工作之前,請與您團隊的其他成員核實,以了解是否有任何管理員或編輯進行了更改。即使是古怪的變化也可能完全是意外。
網站重定向到其他地方
黑客通常會在您的網站上添加一個腳本,將訪問者重定向到其他地方,例如約會網站或其他不合適的地方。您自己可能不會注意到這一點,因為有些黑客只會向非管理員顯示重定向,因此您看起來很正常。但是,如果您從訪問者那裡得到反饋,說他們被發送到另一個站點,請注意聽聽。
瀏覽器或 Google 警告
是的,瀏覽器警告說您的網站已被入侵可能表明您的 WordPress 被黑客入侵了……或者這可能意味著插件或主題中的代碼必須被刪除。也可能存在域或 SSL 問題,您的主機可能會幫助您找出問題。瀏覽器警告可能會為您提供一些信息,您可以使用這些信息開始對問題進行故障排除。
Google 的警告與此類似,但更直接——它可能會說:「該網站可能被黑客入侵。」 當網站站點地圖被黑客入侵時就會發生這種情況,這會影響 Google 抓取網站的方式。就像瀏覽器警告一樣,您必須根據獲得的任何信息開始診斷問題。
如果您仍然聽到用戶說您的網站被標記,則可能是他們收到了來自防病毒產品的通知。即使 Google 再次將您列入白名單,您也必須按照防病毒產品的說明將您從危險網站列表中刪除。
伺服器日誌中的異常活動
如果您擔心自己被黑客入侵,請通過您的託管服務提供商登錄您的 cPanel。有兩種類型的日誌可供查看:
- 訪問日誌:誰訪問了您的 WordPress 站點以及通過哪個 IP 訪問了您的 WordPress 站點。
- 錯誤日誌:修改 WordPress 系統文件時發生的錯誤。
尋找任何不尋常的活動。如果您發現不應訪問您的站點的 IP 地址,請阻止它們。
了解 WordPress 網站被黑的原因和方式
WordPress 被黑的原因有很多。前三名分別是:
- 不安全的密碼:您站點的每個用戶以及您的 FTP 和託管帳戶都需要一個高度安全的密碼。
- 過時的軟體:每當有新版本發布時,插件、主題和 WordPress 安裝都需要定期更新。如果沒有更新,您就會留下漏洞供黑客利用。
- 不安全的代碼:低質量的 WordPress 插件和主題會使您的網站面臨風險。
黑客使用了幾種精明的方法,並且這些技術一直在改進。隨著網站變得更安全,黑客變得更聰明、更有創意。以下是入侵 WordPress 的一些主要途徑:
- 後門:後門黑客繞過了進入您網站的所有傳統方式。黑客可能會通過隱藏文件或腳本找到方法。
- 蠻力登錄嘗試:自動化用於找出您的密碼並進入您的網站。密碼越弱,越容易破解。
- Cross-Site Scripting (XSS):這是一個經常在插件中發現的漏洞。腳本被注入,讓黑客可以向用戶的瀏覽器發送惡意代碼。
- 拒絕服務 (DoS):如果網站代碼中存在錯誤或錯誤,黑客可以利用這些漏洞來壓制網站,直到網站崩潰。
- 惡意重定向:後門用於重定向您的站點。
- Pharma Hacks:流氓代碼被插入到過時的 WordPress 版本中。
恢復被黑客入侵的 WordPress 網站的 10 個步驟
如果您被黑客入侵,請儘快執行以下操作。在瀏覽這份清單時盡量保持冷靜——恐慌只會讓工作變得更加困難,而且你可能會錯過重要的步驟。
將您的站點置於維護模式
如果您能夠訪問您的網站並登錄,請將其置於維護模式。(我們在這裡有一篇關於維護模式的深入文章。)即使用戶在訪問您的網站時看不到任何明顯的內容,您也希望這樣做。在您處理此問題時,維護模式會保護他們的設備和信息,並在您處理黑客攻擊時對其保密。
找到您的備份
您將在下一步聯繫您的託管服務提供商,但有時,當主機發現您被黑客入侵時,他們會立即刪除該站點以防止出現更多問題。這就是為什麼您首先需要備份站點和資料庫的原因。
如果您的備份與您的網站存儲在同一台伺服器上,那麼一旦您被黑客入侵,它們很可能會消失。但是,請考慮檢查這些位置,以防您在那裡也保存了一個:
- 您的備份插件:如果您使用備份插件,則可能有備份存儲在提供商的雲服務中。
- 您的雲帳戶:查看您是否已將網站備份手動保存到您的雲服務,例如 Dropbox 或 Google Drive。
- 託管服務提供商:您使用的託管服務提供商可能擁有您仍然可以訪問的站點備份。
聯繫您的房東
根據您擁有的託管包類型,您的提供商可能會接管並為您處理黑客攻擊。儘早聯繫您的房東,以 (a) 讓他們知道您的 WordPress 網站已被黑客入侵,以及 (b) 了解他們提供的幫助。如果您根本無法訪問您的站點,您可能需要主機的幫助才能到達任何地方。
重置 WordPress 密碼
您不會知道哪個密碼被黑了,因此儘快更改所有密碼是最安全的。在此期間,請重置與您的 WordPress 相關的所有密碼,例如您的資料庫、主機和 SFTP 密碼。此外,請立即聯繫管理員級別的用戶並讓他們更改密碼。展望未來,目標是每幾個月左右更改一次您的 WordPress 登錄信息。
更新一切
確保您的 WordPress 安裝、插件和主題都是最新的。儘早這樣做意味著您可以修補黑客最初通過的漏洞。如果您等待太長時間來執行此步驟,您可能會遇到修復您的網站的麻煩,結果卻再次通過相同的過時插件或主題對其進行了黑客攻擊。
除了更新您的插件和主題之外,請執行以下操作:
- 停用並刪除您不使用的任何內容。
- 您是否擔心其中一個來自不可靠的供應商?停用並刪除它。
- 刪除並重新安裝您認為可能會給您帶來麻煩的任何內容。或者,更好的是,刪除插件或主題,然後將其替換為官方目錄中的其他內容。
- 檢查您已安裝的主題和插件的支持頁面。最近可能有遇到同樣問題的人發表評論。
如果您想從 SFTP 而不是 WordPress 儀錶板中刪除插件,您可以。確保刪除插件的整個目錄,而不是單個文件。您將查找 wp-content/plugins/[plugin name] 並刪除整個目錄及其中的所有內容。
您可以通過轉到 wp-content/plugins/[plugin name] 對未使用的主題執行相同的操作。請記住,如果您使用的是子主題,您可能需要保留兩個目錄,以便您的主題保持完整。
刪除不必要的管理員帳戶
檢查網站的所有管理員帳戶並刪除您不認識或不再相關的任何帳戶。對於那些仍然需要訪問您的站點但不是管理員的人,請更改他們的訪問級別。此外,在您刪除實際合法的帳戶之前,最好先諮詢管理員,了解他們是否更改了帳戶詳細信息。
刪除不應該存在的文件
這一步您可能需要一個安全插件。運行站點掃描應該會提醒您注意存在但不應該存在的文件。我們為您的網站收集了六個最好的 WordPress 安全插件。
清理並重新提交您的站點地圖
如果您的站點地圖被黑客入侵,則其中可能包含惡意鏈接或外來字元。您的 SEO 插件應該讓您重新生成一個新鮮、乾淨的站點地圖。然後,您必須通過Google Search Console將其提交給 Google 。讓 Google 知道必須再次抓取您的網站。
這可能需要長達兩周的時間,所以要知道搜索警告可能在此之前不會被清除。要檢查您的網站是否恢復正常,您可以訪問以下網址:http://www.google.com/safebrowsing/diagnostic?site=http://yourwebsite.com/
重新安裝 WordPress 核心
當 WordPress 被黑時修復您的網站的唯一方法是完全重新安裝它。您可以通過管理儀錶板或文件管理器執行此操作。我們在有關修復 WordPress 網站上的 500 內部伺服器錯誤的文章中解釋了如何執行此操作。
清理資料庫
最後,清理你的資料庫。您的安全插件應該能夠告訴您資料庫是否遭到破壞,並且還可以對其進行清理和優化。
如何防止將來被黑客入侵
我們知道您再也不想經歷這些了。您可以採取以下措施來防止您的 WordPress 網站在未來被黑客入侵。
設置安全密碼和兩步驗證
如果您還沒有這樣做 – 或者如果您這樣做了但您因為恐慌而匆匆忙忙 – 請確保您網站的所有密碼都是強密碼。然後,向您的站點添加兩因素身份驗證,這將使黑客更難創建虛假帳戶。
使用安全插件或服務
我們已經多次提到這一點,您現在肯定知道您的網站需要一個安全插件。這種類型的插件最大的好處是它會在出現問題時提醒您,以便您可以在問題失控之前採取預防措施。
需要更多保護?有一些安全服務可以為您監控您的站點並解決出現的任何問題。如果您將來再次遭到黑客攻擊,他們會為您處理所有故障排除步驟。
使您的網站保持最新狀態
您網站上的所有內容都應該是最新的,從 WordPress 版本到您安裝的任何插件和主題。更新通常有安全補丁,所以讓它們過時意味著黑客可以很容易地找到他們的方法。如果您不經常在您的站點執行維護,請使用自動更新程序來為您處理。
在您的網站上使用 SSL
SSL 是大多數託管軟體包的標準配置,它為您的站點增加了另一層安全性。請與您的主機確認是否包含 SSL。如果不是,您可以安裝專用的 SSL 插件,或檢查您的安全插件是否包含它。
使用防火牆
防火牆充當您的站點和世界其他地方之間的保鏢,在危險有機會引起問題之前將其阻止。您可以使用安全插件或服務,但首先要與您的主機核對以了解您已經擁有哪種類型的防火牆保護。
小心安裝
只安裝來自信譽良好的插件和主題——官方 WordPress 目錄是你最好的選擇。即便如此,請確保您選擇的內容已使用您的 WordPress 版本進行了測試。避免使用第三方網站的插件和主題。如果您必須從 WordPress 目錄以外的其他地方獲得一個,請研究一下該供應商是否享有良好的聲譽。
清理您的 WordPress 安裝
任何你在任何地方都不需要的東西都應該被刪除,包括:
- 您不再使用的文件
- 不活動或活動但未使用的插件
- 您不會再次使用的非活動主題
- 舊的 WordPress 安裝
- 未使用的資料庫
舊的 WordPress 安裝特別容易受到攻擊。通常,您的備份保存在站點的子目錄中。因此,雖然您的主網站可能是安全的,但黑客可以通過這些舊安裝進入。
嘗試定期執行此清理程序,例如每三個月一次,以保護您的網站免受黑客攻擊。
總結
當您的 WordPress 網站遭到黑客攻擊時,訪問者通常無法訪問您的網站,這可能會影響從品牌聲譽到收入的方方面面。要讓您的網站恢復正常工作,必須採取迅速而明智的行動。然後,下一個最緊迫的問題是如何讓您的網站保持健康和不受黑客攻擊。
幸運的是,我們所涵蓋的許多維護建議都是輕而易舉的。您可能已經知道更強的密碼和最新的插件意味著一個更健康的網站,僅舉幾個最佳實踐。通過遵循本文中的建議,您將有更好的機會在 WordPress 網站被黑客入侵後修復它,並避免將來出現同樣的問題。
查看我們關於如何進行 WordPress 安全審核的文章。
來源