怎么查找wordpress后門

至此我們已經(jīng)知道了后門程序一般會(huì)隱藏在哪里，那么現(xiàn)在開始要設(shè)法找到他們，然后清除他們像刪除任何一個(gè)文件一樣簡(jiǎn)單，但是難度就在于如何沒有遺漏的找到他們，這里給大家介紹一款不錯(cuò)的惡意代碼掃描軟件，當(dāng)然是收費(fèi)的，大家可以有個(gè)參考，Sucuri。

目前創(chuàng)新互聯(lián)建站已為上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、高安網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

你也可以使用 Exploit Scanner插件來掃描。

搜索 Uploads 目錄

如果你對(duì)SSH命令行熟悉的話，可以通過SSH登陸進(jìn)去，然后執(zhí)行以下命令行：

1

find uploads -name "*.php" -print

通過以上命令行掃描出任何.php的文件都是可疑文件，因?yàn)閁ploads目錄不應(yīng)該有任何.php的文件存在，所以盡管刪除這些可疑的文件就是了。

刪除任何沒啟用的模版文件

.htaccess 文件

有時(shí)候一些跳轉(zhuǎn)代碼被加入到了.htaccess文件，僅僅刪除那些后門程序文件并沒有用，一會(huì)就通過.htaccess文件重建出來了，因此需要在這個(gè)文件中徹底清除不該存在的代碼。

wp-config.php 文件

將這個(gè)文件與 wp-config-sample.php 作對(duì)比，刪除任何除了自己確認(rèn)有用的多余的代碼。

數(shù)據(jù)庫掃描

厲害的黑客一般都會(huì)用多種方式來隱藏他們的行蹤，而數(shù)據(jù)庫則是一個(gè)非常好的場(chǎng)所，他們可以存儲(chǔ)破壞性的PHP函數(shù)，隱藏的管理員賬號(hào)，惡意鏈接等等，當(dāng)然如果你不夠熟悉SQL，那么上邊介紹過的Sucuri將是你不錯(cuò)的選擇，盡管付費(fèi)，但是相信恢復(fù)你被黑的站點(diǎn)值得這點(diǎn)付出。

至此你可能覺得已經(jīng)徹底清除干凈了，別高興太早了，試試打開一個(gè)瀏覽器，確保你站點(diǎn)未登陸狀態(tài)下打開站點(diǎn)看看是否惡意代碼還會(huì)回來？因?yàn)楹枚嗦斆鞯暮诳秃芮擅畹淖屵@些惡意代碼對(duì)登陸過的用戶隱身，而只對(duì)未登陸訪客有效，這樣好多時(shí)候讓時(shí)刻在線的管理員無處查找。

PHP的93個(gè)WordPress插件有后門

因?yàn)?3 個(gè) WordPress 主題和插件包含后門，從而使得攻擊者可以完全控制網(wǎng)站。攻擊者總共入侵了 AccessPress 的 40 個(gè)主題和 53 個(gè)插件，AccessPress 是 WordPress 插件的開發(fā)者，用于超過 360,000 個(gè)活動(dòng)網(wǎng)站。

該攻擊是由 Jetpack 的研究人員發(fā)現(xiàn)的，Jetpack 是 WordPress 網(wǎng)站安全和優(yōu)化工具的創(chuàng)建者，他們發(fā)現(xiàn) PHP 后門已被添加到主題和插件中。

Jetpack 認(rèn)為外部威脅攻擊者入侵了 AccessPress 網(wǎng)站以破壞軟件并感染更多的 WordPress 網(wǎng)站。

一旦管理員在他們的網(wǎng)站上安裝了一個(gè)受感染的 AccessPress 產(chǎn)品，就會(huì)在主主題目錄中添加一個(gè)新的“initial.php”文件，并將其包含在主“functions.php”文件中。該文件包含一個(gè) base64 編碼的有效負(fù)載，它將 webshel l 寫入“./wp-includes/vars.php”文件。惡意代碼通過解碼并將其注入“vars.php”文件來完成后門安裝，實(shí)質(zhì)上是讓攻擊者遠(yuǎn)程控制受感染的站點(diǎn)。

檢測(cè)這種威脅的唯一方法是使用核心文件完整性監(jiān)控解決方案，因?yàn)閻阂廛浖?huì)刪除“initial.php”文件釋放器以掩蓋其蹤跡。

我受到影響嗎？

如果您在您的網(wǎng)站上安裝了其中一個(gè)受感染的插件或主題，則刪除/替換/更新它們不會(huì)根除任何可能通過它植入的 webshel l。

因此，建議網(wǎng)站管理員通過執(zhí)行以下操作來掃描他們的網(wǎng)站是否存在入侵跡象：

Jetpack 提供了以下 YARA 規(guī)則，可用于檢查站點(diǎn)是否已被感染并檢測(cè) dropper 和已安裝的 webshel l：

原文鏈接：PHP的93個(gè)WordPress插件有后門

wordpress預(yù)防黑客攻擊有哪些方面

1. 無法登錄

這是顯而易見的。如果無法登錄到WordPress控制面板，這意味著已經(jīng)被黑客攻擊（除非是同事進(jìn)行的惡作?。?。原因可能有很多，但最主要原因是使用以下之一的用戶名：如果是這種情況，請(qǐng)立即更換用戶名，因?yàn)槭褂眠@些用戶名的WordPress賬戶經(jīng)常成為黑客的目標(biāo)。

2. 流量突然減少

如果網(wǎng)站本來表現(xiàn)得非常好，現(xiàn)在流量突然下降，那么WordPress網(wǎng)站有可能被黑客攻擊了。這是因?yàn)閻阂夂诳蛣?chuàng)建了WordPress文件系統(tǒng)的后門，并將代碼替換為自己的腳本和文件。這樣，他們就會(huì)將訪問網(wǎng)站的流量重定向到其他垃圾站點(diǎn)，竊取訪問者的私人信息，并以其他方式造成破壞。此外，一旦谷歌發(fā)現(xiàn)網(wǎng)站已經(jīng)被感染并且行為不端，它就會(huì)將網(wǎng)站列入黑名單，直到確保網(wǎng)站安全，所有這些問題都會(huì)導(dǎo)致流量突然下降。

3. 主頁已被破壞

大多數(shù)黑客都是秘密行動(dòng)，但有些黑客在成功劫持網(wǎng)站時(shí)，喜歡把自己的名字公布出來。如果主頁被破壞，而且可以清楚地看到黑客的名字或某種形式的公告，說明網(wǎng)站被黑客攻擊了，需要立即行動(dòng)。之所以會(huì)出現(xiàn)這種情況，主要是黑客想挾持網(wǎng)站，以換取金錢或其他需求。

4. 看到?jīng)]有投放的彈出窗口和其他廣告

如果看到WordPress網(wǎng)站變得緩慢且無響應(yīng)，而且現(xiàn)在有彈出窗口、側(cè)邊欄等廣告，這可能是網(wǎng)站被黑客攻擊的肯定信號(hào)。通常情況下，這種攻擊不是由黑客完成的。相反，這是一種自動(dòng)攻擊，它通過保護(hù)薄弱的主題或不安全的插件進(jìn)入了WordPress核心系統(tǒng)。讓這種成為事實(shí)的是，廣告不會(huì)顯示為登錄用戶或用戶能夠直接訪問網(wǎng)站。相反，廣告只會(huì)顯示給那些通過谷歌或其他推薦網(wǎng)站來到網(wǎng)站的訪問者，這可能使自己實(shí)際上不可能知道網(wǎng)站已經(jīng)被黑客攻擊了很久。另外，廣告會(huì)將訪問者引向垃圾網(wǎng)站，這不僅會(huì)損害網(wǎng)站及其流量，還會(huì)損害聲譽(yù)。

5. 網(wǎng)站服務(wù)器日志中存在異?；顒?dòng)

如果存在非常有效的方法來知道網(wǎng)站是否被黑客攻擊，那就是查看網(wǎng)站服務(wù)器日志。它們位于cPanel控制面板中，可以通過登錄到托管賬戶來訪問，在cPanel中的統(tǒng)計(jì)數(shù)據(jù)下，會(huì)發(fā)現(xiàn)兩種日志：

訪問日志：這些日志顯示誰通過哪個(gè)IP訪問了WordPress。

錯(cuò)誤日志：這些日志會(huì)顯示在修改WordPress系統(tǒng)文件時(shí)發(fā)生了什么錯(cuò)誤。