如何找到并修复被黑的WordPress网站中的后门

你的WordPress网站被黑了？黑客通常会安装后门，即便你加强了网站安全，他们仍然能够再次进入。本文将展示如何在被黑的WordPress网站中找到并修复后门。

如何判断你的网站是否被黑

如果你运营一个WordPress网站，那么你需要认真对待安全问题。每天平均有44次攻击尝试。你可以在我们的最终WordPress安全指南中学习保持网站安全的最佳实践。

但是如果你的网站已经被黑了怎么办？一些迹象表明你的WordPress网站被黑了，包括网站流量或性能下降、添加了恶意链接或未知文件、主页被篡改、无法登录、出现可疑的新用户账户等等。清理被黑的网站可能非常痛苦和困难。我们在初学者指南中一步步带你完成修复被黑的WordPress网站的过程。你还应该确保扫描网站是否存在黑客留下的任何恶意软件。别忘了关闭后门。

什么是后门？

后门是添加到网站的代码，允许黑客在未被发现的情况下访问服务器，绕过正常的登录过程。即使你找到了漏洞并移除了被利用的插件或对网站的其他漏洞，后门仍然让黑客可以重新获得访问权限。

后门往往会在WordPress升级后仍然存活。这意味着你的网站在找到并修复每一个后门之前仍然是脆弱的。

后门如何工作？

一些后门只是隐藏的管理员用户名。它们让黑客通过输入用户名和密码正常登录。因为用户名是隐藏的，你甚至不知道其他人可以访问你的网站。更复杂的后门允许黑客执行PHP代码。他们通过网页浏览器手动发送代码到你的网站。其他一些后门还包含完整的用户界面，允许他们发送电子邮件、执行SQL数据库查询等等。有些黑客会留下多个后门文件。上传一个后，他们会添加另一个，确保自己能够访问。

后门藏在哪里？

在我们发现的所有案例中，后门都伪装成WordPress文件。后门代码最常被隐藏在以下位置：

• WordPress主题，但可能不是你当前正在使用的那个。主题代码在更新WordPress时不会被覆盖，所以是放置后门的好地方。因此，我们建议删除所有不活动的主题。

• WordPress插件是另一个隐藏后门的好地方。像主题一样，它们不会被WordPress更新覆盖，许多用户不愿意升级插件。

• uploads文件夹可能包含数百或数千个媒体文件，所以也是一个隐藏后门的好地方。博主几乎从不检查其内容，只是上传图像然后在文章中使用。

• wp-config.php文件包含用于配置WordPress的敏感信息，是黑客主要的攻击目标之一。

• wp-includes文件夹包含运行WordPress所需的PHP文件。我们在这里也发现了很多后门文件，因为大多数网站所有者从不会检查其内容。

我们发现过的后门示例

以下是一些黑客上传后门的示例。在我们清理的一个网站中，后门在wp-includes文件夹中，文件名为wp-user.php，看似无害，但这个文件在正常的WordPress安装中实际不存在。另一个例子是在uploads文件夹中找到一个名为hello.php的PHP文件，它伪装成Hello Dolly插件。奇怪的是，黑客将它放在uploads文件夹，而不是插件文件夹中。

我们还发现一些后门不使用.php文件扩展名。例如，一个名为wp-content.old.tmp的文件，还有一些有.zip扩展名的文件。正如你所见，黑客隐藏后门的方法多种多样。

如何找到并修复被黑的WordPress网站中的后门

现在你已经了解了什么是后门以及它可能隐藏在哪里，困难的部分是找到它！之后，清理就像删除文件或代码一样容易。

1. 扫描潜在的恶意代码

最简单的方法是使用WordPress恶意软件扫描插件。我们推荐Sucuri，因为它帮助我们在3个月内阻止了450,000次WordPress攻击，其中包括29,690次后门相关攻击。它们提供免费的Sucuri安全插件，让你可以扫描网站的常见威胁并强化WordPress安全。付费版本包括每日运行一次的服务器端扫描器，查找后门和其他安全问题。另一个不错的选择是MalCare，它有自动恶意软件移除功能。

2. 删除插件文件夹

搜索插件文件夹中的可疑文件和代码非常耗时，且因为黑客的狡猾，没有保证你能找到后门。最好的方法是删除你的插件目录，然后重新安装所有插件。这是唯一确保插件中没有后门的方法。

3. 删除主题文件夹

同样地，与其花时间在你的主题文件中寻找后门，最好直接删除它们。之后你可以重新安装任何需要的主题。

4. 检查uploads文件夹中的PHP文件

接下来，你应该查看uploads文件夹，确保里面没有PHP文件。这个文件夹应当只存储媒体文件，如图像。如果你找到PHP文件，则应该删除它。你可以使用FTP客户端来方便地搜索这些文件。

5. 删除.htaccess文件

一些黑客可能会在.htaccess文件中添加重定向代码，将你的访问者发送到另一个网站。使用FTP客户端或文件管理器简单地从网站的根目录中删除这个文件，它会自动重新生成。

6. 检查wp-config.php文件

wp-config.php文件是一个核心WordPress文件，包含WordPress与数据库通信的信息、安全密钥以及开发者选项。你应该仔细检查文件，删除不属于它的代码。

7. 还原网站备份

如果你经常备份网站，并且仍然担心网站没有完全清理干净，那么还原备份是一个好的解决方案。删除网站并恢复到被黑之前的备份。虽然不是每个人都能做到，但这会让你100%确信网站是安全的。

如何防止未来的攻击？

现在你已经清理了网站，是时候提高网站安全以预防未来的攻击了。当涉及到网站安全时，吝啬或无动于衷并不值得。

1. 定期备份你的网站

如果你还没有定期备份你的网站，那么今天就开始吧。WordPress默认不提供内置的备份解决方案。然而，有几款很好的备份插件允许你自动备份和恢复WordPress网站。

2. 安装安全插件

你不可能监控网站上的所有动态，因此我们建议使用像Sucuri这样的安全插件。许多大型出版物如CNN、USA Today、PC World、TechCrunch, The Next Web等都推荐Sucuri。

3. 提高WordPress登录的安全性

确保用户在创建账户时使用强密码，并使用密码管理工具，如1Password。此外，启用两因素认证，这样即使黑客知道了用户名和密码，他们仍无法登录。最后，限制登录尝试次数，以显著减少黑客破解登录信息的机会。

4. 保护你的WordPress管理区域

保护管理区域免受未经授权的访问，可以阻止许多常见的安全威胁。你可以通过密码保护wp-admin目录或限制只允许团队使用的IP地址访问后端来增强安全性。

5. 禁用主题和插件编辑器

WordPress内置的主题和插件编辑器可以直接从仪表板修改文件，存在潜在的安全问题。我们建议完全禁用内置的文件编辑器。

6. 禁用某些WordPress文件夹中的PHP执行

默认情况下，PHP脚本可以在网站的任何文件夹中运行。你可以通过禁用uploads文件夹中的PHP执行来增强网站安全。

7. 保持网站更新

每个新的WordPress版本都比之前的更安全，当安全漏洞被报告时，核心团队会努力推出更新以修复问题。因此，你应该始终使用最新版本的WordPress，并确保插件和主题也保持最新。

希望这个教程帮助你了解如何在被黑的WordPress网站中找到并修复后门。