您的 WordPress 網站被黑客入侵瞭嗎？

黑客通常會安裝後門，以確保即使在您保護網站後他們也能重新進入。除非你能移除那個後門，否則無法阻止他們。

在本文中，我們將向您展示如何在被黑的 WordPress 網站中找到後門並修復它。

如何判斷您的網站是否被黑客入侵

如果您運行的是WordPress 網站，那麼您需要認真對待安全問題。那是因為網站平均每天受到 44 次攻擊。

您可以在我們的終極 WordPress 安全指南中瞭解確保網站安全的最佳做法。

但是，如果您的網站已經被黑客入侵怎麼辦？

您的 WordPress 網站遭到黑客攻擊的一些跡象包括網站流量或性能下降、添加錯誤鏈接或未知文件、主頁損壞、無法登錄、可疑的新用戶帳戶等等。

清理被黑網站可能會非常痛苦和困難。我們將在我們的初學者指南中逐步引導您完成修復被黑 WordPress 網站的過程。您還應該確保掃描您的站點以查找黑客留下的任何惡意軟件。

並且不要忘記關閉後門。

聰明的黑客知道您最終會清理您的網站。他們可能做的第一件事是安裝後門，這樣他們就可以在您保護 WordPress 網站的前門後偷偷溜回來。

什麼是後門？

後門是添加到網站的代碼，允許黑客在不被發現的情況下訪問服務器，並繞過正常登錄。即使您找到並刪除瞭被利用的插件或您網站的漏洞，它也允許黑客重新獲得訪問權限。

後門是用戶入侵後黑客攻擊的下一步。您可以在我們關於WordPress 網站如何被黑客入侵以及如何預防的指南中瞭解他們是如何做到這一點的。

後門通常會在 WordPress 升級後幸存下來。這意味著在您找到並修復每個後門之前，您的網站將仍然容易受到攻擊。

後門如何工作？

一些後門隻是隱藏的管理員用戶名。他們讓黑客通過輸入用戶名和密碼正常登錄。由於用戶名是隱藏的，您甚至不知道其他人可以訪問您的網站。

更復雜的後門可以讓黑客執行 PHP 代碼。他們使用網絡瀏覽器手動將代碼發送到您的網站。

其他人有一個完整的用戶界面，允許他們作為您的WordPress 托管服務器發送電子郵件，執行 SQL 數據庫查詢等等。

有些黑客會留下不止一個後門文件。在他們上傳一個之後，他們將添加另一個以確保他們的訪問權限。

後門隱藏在哪裡？

在我們發現的每一個案例中，後門都被偽裝成一個 WordPress 文件。WordPress 網站上的後門代碼最常存儲在以下位置：

1. 一個 WordPress主題，但可能不是您當前使用的主題。當您更新 WordPress 時，主題中的代碼不會被覆蓋，因此這是放置後門的好地方。這就是為什麼我們建議刪除所有不活動的主題。
2. WordPress插件是隱藏後門的另一個好地方。與主題一樣，它們不會被 WordPress 更新覆蓋，而且許多用戶不願意升級插件。
3. 上傳文件夾可能包含數百或數千個媒體文件，因此它是隱藏後門的另一個好地方。博主幾乎從不檢查它的內容，因為他們隻是上傳一張圖片，然後在帖子中使用它。
4. wp-config.php文件包含用於配置 WordPress 的敏感信息。它是黑客最有針對性的文件之一。
5. wp-includes文件夾包含 WordPress 正常運行所需的 PHP 文件。這是我們發現後門的另一個地方，因為大多數網站所有者不檢查文件夾包含的內容。

我們發現的後門示例

以下是黑客上傳後門程序的一些示例。在我們清理的一個站點中，後門程序位於wp-includes文件夾中。該文件名為wp-user.php，看起來很無辜，但該文件實際上並不存在於正常的 WordPress 安裝中。

hello.php在另一個實例中，我們在上傳文件夾中找到瞭一個名為 PHP的文件。它被偽裝成 Hello Dolly 插件。奇怪的是黑客把它放在瞭uploads文件夾而不是plugins文件夾。

我們還發現瞭不使用.php文件擴展名的後門程序。一個例子是名為 的文件wp-content.old.tmp，我們還在.zip擴展名為 .

如您所見，黑客在隱藏後門時可以采取非常有創意的方法。

在大多數情況下，這些文件使用可以執行各種操作的 Base64 代碼進行編碼。例如，他們可以添加垃圾郵件鏈接、添加其他頁面、將主站點重定向到垃圾頁面等等。

話雖如此，讓我們來看看如何在被黑的 WordPress 網站中找到後門並修復它。

如何在被黑的 WordPress 網站中找到後門並修復它

現在您知道什麼是後門以及它可能隱藏在哪裡。困難的部分是找到它！之後，清理它就像刪除文件或代碼一樣簡單。

1.掃描潛在的惡意代碼

掃描網站後門和漏洞的最簡單方法是使用 WordPress惡意軟件掃描插件。我們推薦 Securi，因為它幫助我們在 3 個月內阻止瞭 450,000 次 WordPress 攻擊，包括 29,690 次與後門相關的攻擊。

他們為 WordPress 提供免費的 Sucuri Security 插件，讓您掃描您的網站以查找常見威脅並加強您的 WordPress 安全性。付費版本包括每天運行一次的服務器端掃描程序，用於查找後門和其他安全問題。

在我們的指南中詳細瞭解如何掃描您的 WordPress 網站以查找潛在的惡意代碼。

2.刪除你的插件文件夾

搜索插件文件夾以查找可疑文件和代碼非常耗時。而且由於黑客非常狡猾，因此無法保證您會找到後門。

你能做的最好的事情就是刪除你的插件目錄，然後從頭開始重新安裝你的插件。這是確定您的插件中沒有後門的唯一方法。

您可以使用FTP 客戶端或WordPress 主機的文件管理器訪問您的插件目錄。如果您以前沒有使用過 FTP，那麼您可能希望查看我們的指南，瞭解如何使用 FTP 將文件上傳到 WordPress。

您將需要使用該軟件導航到您網站的wp-content文件夾。到達那裡後，您應該右鍵單擊該plugins文件夾並選擇“刪除”。

3.刪除你的主題文件夾

同樣，與其花時間在主題文件中尋找後門，不如直接刪除它們。

刪除plugin文件夾後，隻需突出顯示該themes文件夾並以相同的方式將其刪除。

您不知道那個文件夾中是否有後門，但如果有，現在已經消失瞭。您隻是節省瞭時間，並且消除瞭額外的攻擊點。

現在您可以重新安裝您需要的任何主題。

4. 在 Uploads 文件夾中搜索 PHP 文件

接下來，您應該查看該uploads文件夾並確保其中沒有 PHP 文件。

沒有充分理由將 PHP 文件放在此文件夾中，因為它旨在存儲圖像等媒體文件。如果您在那裡找到 PHP 文件，則應將其刪除。

plugins和文件夾一樣themes，您會在uploads文件夾中找到文件wp-content 夾。在該文件夾內，您會發現您上傳文件的每一年和每一月都有多個文件夾。您需要檢查每個文件夾中的 PHP 文件。

一些 FTP 客戶端提供遞歸搜索文件夾的工具。例如，如果您使用 FileZilla，則可以右鍵單擊該文件夾並選擇“將文件添加到隊列”。在文件夾的任何子目錄中找到的任何文件都將添加到底部窗格的隊列中。

您現在可以滾動列表以查找擴展名為 .php 的文件。

或者，熟悉 SSH 的高級用戶可以編寫以下命令：

5.刪除.htaccess文件

一些黑客可能會將重定向代碼添加到您的.htaccess 文件中，這會將您的訪問者發送到不同的網站。

使用 FTP 客戶端或文件管理器，隻需從您網站的根目錄中刪除該文件，它就會自動重新創建。

如果由於某種原因沒有重新創建它，那麼您應該轉到WordPress 管理面板中的設置 » 永久鏈接。單擊“保存更改”按鈕將保存一個新的 .htaccess 文件。

6.檢查wp-config.php文件

wp-config.php 文件是一個核心 WordPress 文件，其中包含允許 WordPress 與數據庫通信的信息、WordPress 安裝的安全密鑰以及開發人員選項。

該文件位於您網站的根文件夾中。您可以通過在 FTP 客戶端中選擇“打開”或“編輯”選項來查看文件的內容。

現在您應該仔細查看文件的內容，看看是否有任何看起來不合適的地方。wp-config-sample.php將文件與位於同一文件夾中的默認文件進行比較可能會有所幫助。

您應該刪除您確定不屬於的任何代碼。

7. 恢復網站備份

如果您一直在定期備份您的網站並且仍然擔心您的網站不完全幹凈，那麼恢復備份是一個很好的解決方案。

您將需要完全刪除您的網站，然後恢復在您的網站被黑客入侵之前所做的備份。這並非適合所有人，但它會讓您 100% 確信您的網站是安全的。

有關詳細信息，請參閱我們關於如何從備份恢復 WordPress的初學者指南。

未來如何防止黑客攻擊？

現在您已經清理瞭您的網站，是時候提高您網站的安全性以防止將來被黑客入侵瞭。在網站安全方面，廉價或冷漠是不值得的。

1.定期備份您的網站

如果您還沒有定期備份您的網站，那麼今天就是開始的日子。

WordPress 沒有內置的備份解決方案。但是，有幾個很棒的WordPress 備份插件可以讓您自動備份和恢復您的 WordPress 網站。

UpdraftPlus是最好的 WordPress 備份插件之一。它允許您設置自動備份計劃，並在發生不良事件時幫助您恢復您的 WordPress 網站。

在我們的指南中瞭解有關如何使用 UpdraftPlus 備份和恢復您的 WordPress 網站的更多信息。

2. 安裝安全插件

當您忙於開展業務時，您不可能監控網站上發生的所有事情。這就是為什麼我們建議您使用像Sucuri這樣的安全插件。

我們推薦Sucuri，因為他們擅長自己的工作。CNN、今日美國、PC World、TechCrunch、The Next Web 等主要出版物都同意這一觀點。另外，我們自己依靠它來保證 WPBeginner 的安全。

3. 使 WordPress 登錄更安全

讓您的 WordPress 登錄更加安全也很重要。最好的開始方式是當用戶在您的網站上創建帳戶時強制使用強密碼。我們還建議您開始使用密碼管理器實用程序，例如 1Password。

接下來您應該做的是添加雙因素身份驗證。這將保護您的網站免受密碼被盜和暴力攻擊。這意味著即使黑客知道您的用戶名和密碼，他們仍然無法登錄您的網站。

最後，您應該限制 WordPress 中的登錄嘗試。WordPress 允許用戶根據需要多次輸入密碼。在五次登錄嘗試失敗後鎖定用戶將大大減少黑客破解您的登錄詳細信息的機會。

4. 保護您的 WordPress 管理區域

保護管理區域免受未經授權的訪問可以讓您阻止許多常見的安全威脅。我們有一長串關於如何確保 WordPress 管理員安全的提示。

例如，您可以用密碼保護 wp-admin 目錄。這為您網站最重要的入口點增加瞭另一層保護。

您還可以將對管理區域的訪問限制為您的團隊使用的 IP 地址。這是將發現您的用戶名和密碼的黑客拒之門外的另一種方法。

5.禁用主題和插件編輯器

您知道 WordPress 帶有內置主題和插件編輯器嗎？這個純文本編輯器允許您直接從 WordPress 儀表板編輯您的主題和插件文件。

雖然這很有用，但可能會導致潛在的安全問題。例如，如果黑客闖入您的 WordPress 管理區域，那麼他們可以使用內置編輯器訪問您的所有 WordPress 數據。

之後，他們將能夠從您的 WordPress 網站分發惡意軟件或發起DDoS 攻擊。

為瞭提高 WordPress的安全性，我們建議完全刪除內置文件編輯器。

6. 在某些 WordPress 文件夾中禁用 PHP 執行

默認情況下，PHP 腳本可以在您網站上的任何文件夾中運行。您可以通過在不需要的文件夾中禁用 PHP 執行來使您的網站更安全。

例如，WordPress 永遠不需要運行存儲在您uploads文件夾中的代碼。如果您禁用該文件夾的 PHP 執行，那麼黑客將無法運行後門，即使他們在那裡成功上傳瞭一個後門。

7. 讓你的網站保持最新

每個新版本的 WordPress 都比以前的版本更安全。每當報告安全漏洞時，核心 WordPress 團隊都會努力工作以發佈修復該問題的更新。

這意味著如果您沒有讓 WordPress 保持最新狀態，那麼您正在使用具有已知安全漏洞的軟件。黑客可以搜索運行舊版本的網站並利用漏洞獲取訪問權限。

這就是為什麼您應該始終使用最新版本的 WordPress的原因。

不要隻是讓 WordPress 保持最新。您需要確保您的 WordPress插件和主題也保持最新。