如何檢測(cè)wordpress網(wǎng)站被入侵

現(xiàn)在網(wǎng)上很多的 WordPress 主題都含有惡意代碼，這些惡意代碼要么含有后門，要么會(huì)直接竊取你的信息，甚至有的還有感染功能，一個(gè)帶惡意代碼的主題被啟用，網(wǎng)站所有的主題都會(huì)被感染上，刪干凈非常麻煩。

創(chuàng)新互聯(lián)主營(yíng)溆浦網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,重慶APP開發(fā),溆浦h5成都微信小程序搭建,溆浦網(wǎng)站營(yíng)銷推廣歡迎溆浦等地區(qū)企業(yè)咨詢

這些垃圾代碼大多來自一些所謂的破解付費(fèi)主題，在一些下載網(wǎng)站（比如網(wǎng)盤）分享，因?yàn)榻柚邫?quán)重網(wǎng)站分享，排名很容易在前，讓人隨手就下載到。

一般主題作者都不會(huì)主動(dòng)在自己的主題里添加垃圾代碼，因?yàn)檫@無疑是砸自己的招牌，得不償失，所以，最好在知名的主題下載網(wǎng)站或者作者的博客上下載主題，比較安全。

但是，即使遵循上邊的做法，也不能保證主題一定就是安全的。下載好主題最好檢測(cè)一下再使用，對(duì)于普通小白來說，檢測(cè)主題是否安全實(shí)在是不可能，即使對(duì)于高手來說，如果代碼藏得深也很麻煩。

考慮到這里，有個(gè)大神開發(fā)了一個(gè)主題安全性一鍵檢測(cè)插件 Theme Authenticity Checker（簡(jiǎn)稱 TAC），可以幫助你一鍵檢測(cè)主題是否安全、是否含有惡意代碼。

Theme Authenticity Checker

安裝并啟用 Theme Authenticity Checker 插件，進(jìn)入后臺(tái)的 “外觀” → “TAC”。

這里就可以看到所有主題的安全情況了，提示 “Theme OK！” 證明是安全的。

不安全的主題則會(huì)有一個(gè)紅色的提示框告訴你 “Encrypted Code Found!”。

不安全的文件還可以一鍵使用編輯器打開，方便你修改。

誤報(bào)

這個(gè)插件誤報(bào)情況比較嚴(yán)重，因?yàn)闄C(jī)器現(xiàn)在還不能像人一樣智能。

比如我的主題使用了 base64 作為后臺(tái)設(shè)置的導(dǎo)入導(dǎo)出代碼的加密方法，然而用 base64 相關(guān)的函數(shù)在 Theme Authenticity Checker 插件看來是不安全的。

wordpress網(wǎng)站常收到鎖定郵件

wordpress網(wǎng)站常常收到鎖定郵件，這通常是由于使用者輸入錯(cuò)誤的登錄信息，或者賬戶被暫時(shí)封鎖而引起的。為了保護(hù)您的網(wǎng)站安全，建議您遵循WordPress的安全最佳實(shí)踐：定期更新WordPress軟件，阻止跨站腳本攻擊，監(jiān)控網(wǎng)站，使用復(fù)雜密碼，以及定期備份網(wǎng)站內(nèi)容等。

如何滲透測(cè)試WordPress網(wǎng)站

滲透測(cè)試需要專業(yè)的工具和專業(yè)的人士來操作吧，個(gè)人沒有技術(shù)的話還是不太建議。

拿一個(gè)APP來做滲透測(cè)試來舉例，需要以下流程（網(wǎng)站滲透測(cè)試雖然沒有這么難，但是對(duì)于非專業(yè)人士也很困難啦~），

一、工具原料：

1、android APP包

2、安應(yīng)用

二、APP和網(wǎng)站的滲透測(cè)試不太一樣，我給你介紹一個(gè)android的滲透測(cè)試步驟吧：

1、組件安全檢測(cè)。

對(duì)Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全和WebView的規(guī)范使用檢測(cè)分析，發(fā)現(xiàn)因?yàn)槌绦蛑胁灰?guī)范使用導(dǎo)致的組件漏洞。

2、代碼安全檢測(cè)

對(duì)代碼混淆、Dex保護(hù)、SO保護(hù)、資源文件保護(hù)以及第三方加載庫(kù)的代碼的安全處理進(jìn)行檢測(cè)分析，發(fā)現(xiàn)代碼被反編譯和破解的漏洞。

3、內(nèi)存安全檢測(cè)。

檢測(cè)APP運(yùn)行過程中的內(nèi)存處理和保護(hù)機(jī)制進(jìn)行檢測(cè)分析，發(fā)現(xiàn)是否存在被修改和破壞的漏洞風(fēng)險(xiǎn)。

4、數(shù)據(jù)安全檢測(cè)。

對(duì)數(shù)據(jù)輸入、數(shù)據(jù)存儲(chǔ)、存儲(chǔ)數(shù)據(jù)類別、數(shù)據(jù)訪問控制、敏感數(shù)據(jù)加密、內(nèi)存數(shù)據(jù)安全、數(shù)據(jù)傳輸、證書驗(yàn)證、遠(yuǎn)程數(shù)據(jù)通信加密、數(shù)據(jù)傳輸完整性、本地?cái)?shù)據(jù)通訊安全、會(huì)話安全、數(shù)據(jù)輸出、調(diào)試信息、敏感信息顯示等過程進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理過程中被非法調(diào)用、傳輸和竊取漏洞。

5、業(yè)務(wù)安全檢測(cè)。

對(duì)用戶登錄，密碼管理，支付安全，身份認(rèn)證，超時(shí)設(shè)置，異常處理等進(jìn)行檢測(cè)分析，發(fā)現(xiàn)業(yè)務(wù)處理過程中的潛在漏洞。

6、應(yīng)用管理檢測(cè)。

1）、下載安裝：檢測(cè)是否有安全的應(yīng)用發(fā)布渠道供用戶下載。檢測(cè)各應(yīng)用市場(chǎng)是否存在二次打包的惡意應(yīng)用；

2）、應(yīng)用卸載：檢測(cè)應(yīng)用卸載是否清除完全，是否殘留數(shù)據(jù)；

3）、版本升級(jí)：檢測(cè)是否具備在線版本檢測(cè)、升級(jí)功能。檢測(cè)升級(jí)過程是否會(huì)被第三方劫持、欺騙等漏洞；

三、如果是涉及到服務(wù)流程的話，通用流程是這樣的：

1、確定意向。

1）、在線填寫表單：企業(yè)填寫測(cè)試需求；

2）、商務(wù)溝通：商務(wù)在收到表單后，會(huì)立即和意向客戶取得溝通，確定測(cè)試意向，簽訂合作合同；

2、啟動(dòng)測(cè)試。

收集材料：一般包括系統(tǒng)帳號(hào)、穩(wěn)定的測(cè)試環(huán)境、業(yè)務(wù)流程等。

3、執(zhí)行測(cè)試。

1）、風(fēng)險(xiǎn)分析：熟悉系統(tǒng)、進(jìn)行風(fēng)險(xiǎn)分析，設(shè)計(jì)測(cè)試風(fēng)險(xiǎn)點(diǎn)；

2）、漏洞挖掘：安全測(cè)試專家分組進(jìn)行安全滲透測(cè)試，提交漏洞；

3）、報(bào)告匯總：匯總系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果和漏洞，發(fā)送測(cè)試報(bào)告。

4、交付完成。

1）、漏洞修復(fù)：企業(yè)按照測(cè)試報(bào)告進(jìn)行修復(fù)；

2）、回歸測(cè)試：雙方依據(jù)合同結(jié)算測(cè)試費(fèi)用，企業(yè)支付費(fèi)用。

檢測(cè)wordpress主題是否有后門

第一種使用工具檢測(cè)（插件檢測(cè)）主題方法：

安裝插件方法：

wordpress后臺(tái)——外觀——TAC——啟動(dòng)Theme Authenticity Checker安全檢測(cè)插件

然后就會(huì)自動(dòng)檢測(cè)，如果出現(xiàn)全部為綠色，則表示沒有任何后門

如果有異常請(qǐng)點(diǎn)擊Details產(chǎn)看，并按照路徑進(jìn)行相關(guān)處理

第二種使用手動(dòng)檢測(cè)主題方法：

使用ftp工具查看源碼:找到fuctions.php這個(gè)文件

查看是否包含以下函數(shù)：

function __popular_posts

function stripos

function scandir

function _getprepare_widget

add_action("init", "_getprepare_widget");

function _get_allwidgets_cont

function strripos

function _checkactive_widgets

add_action("admin_head", "_checkactive_widgets");

3

第三種使用文件同步對(duì)比法檢測(cè)主題方法：

首先在wordpress官網(wǎng)下載跟你源碼相同版本的代碼

找到下載源碼中的fuctions.php與你的程序源碼的fuctions.php進(jìn)行對(duì)比

對(duì)比的時(shí)候請(qǐng)注意，如果對(duì)比出現(xiàn)紅色的可以詢問相關(guān)技術(shù)人員，或者在網(wǎng)上進(jìn)行搜索

對(duì)比推薦使用軟件Beyond Compare 4點(diǎn)擊進(jìn)行文本對(duì)比即可