后门是指绕过正常身份验证并获得远程访问服务器而不被发现的能力的方法。大多数聪明的黑客总是首先上传后门。即使您找到并删除了被利用的插件,这也使他们可以重新获得访问权限。后门通常会在升级后幸存下来,因此您的网站很容易受到攻击,直到您清理掉这个烂摊子。
一些后门只是允许用户创建隐藏的管理员用户名。而更复杂的后门可以让黑客执行从浏览器发送的任何 PHP 代码。其他人拥有完整的用户界面,允许他们作为您的美国服务器发送电子邮件、执行 SQL 查询以及他们想做的所有其他事情。推荐阅读:《众多博客网站为什么选择WordPress?》
这段代码隐藏在哪里?
WordPress 安装上的后门通常存储在以下位置:
主题- 很可能不在您正在使用的当前主题中。黑客希望代码能够在核心更新后继续存在。因此,如果您的主题目录中有旧的 Kubrick 主题,或者另一个不活动的主题,那么代码可能会在那里。这就是我们建议删除所有非活动主题的原因。
插件——插件是黑客隐藏代码的好地方,原因有以下三个。一是因为人们并不真正看他们。二是因为人们不喜欢升级他们的插件,所以他们在升级中幸存下来(人们让他们保持最新)。第三,有一些编码不佳的插件可能一开始就有自己的漏洞。
上传目录- 作为博主,您永远不会检查您的上传目录。你为什么要?您只需上传图像,然后在您的帖子中使用它。上传文件夹中可能有数千张图片,按年份和月份划分。黑客很容易在上传文件夹中上传后门,因为它将隐藏在数千个媒体文件中。另外,您不定期检查它。大多数人没有像Sucuri这样的监控插件。最后,uploads 目录是可写的,所以它可以按预期的方式工作。这使它成为一个很好的目标。我们发现很多后门都在那里。
wp-config.php – 这也是黑客攻击性很强的文件之一。它也是大多数人被告知首先要看的地方之一。推荐阅读:《为何要优化WordPress》
文件夹- /wp-includes/ 是我们发现后门的另一个地方。一些黑客总是会留下多个后门文件。一旦他们上传了一个,他们将添加另一个备份以确保他们的访问。此文件夹是另一个大多数人都懒得看的文件夹。
在我们发现的所有案例中,后门都伪装成一个 WordPress 文件。
例如:在我们清理的一个站点中,后门位于 wp-includes 文件夹中,名为 wp-user.php(正常安装中不存在此文件)。/wp-includes/ 文件夹中有 user.php,但没有 wp-user.php。在另一个例子中,我们在上传文件夹中发现了一个名为 hello.php 的 php 文件。它被伪装成 Hello Dolly 插件。但是为什么在上传文件夹中呢?
它还可以使用 wp-content.old.tmp、data.php、php5.php 或类似名称。它不必仅仅因为它有 PHP 代码就以 PHP 结尾。它也可以是 .zip 文件。在大多数情况下,这些文件使用通常执行所有排序操作(即添加垃圾链接、添加其他页面、将主站点重定向到垃圾页面等)的 base64 代码进行编码。
现在您可能认为 WordPress 不安全,因为它允许后门。你大错特错了。当前版本的 WordPress 没有已知漏洞。后门不是黑客攻击的第一步。通常是第二步。黑客通常会在第三方插件或脚本中发现漏洞,然后允许他们上传后门。提示:TimThumb 黑客。它可以是各种各样的事情。例如,编码不佳的插件可能允许用户权限升级。如果您的网站有开放注册,黑客可以免费注册。利用一项功能获得更多权限(然后允许他们上传文件)。在其他情况下,很可能是您的凭据被盗用了。也可能是您使用了糟糕的托管服务提供商。
如何找到并清理后门?
现在您知道什么是后门,以及在哪里可以找到它。你需要开始寻找它。清理它就像删除文件或代码一样简单。然而,困难的部分是找到它。您可以从以下恶意软件扫描程序 WordPress 插件之一开始。其中,我们推荐 Sucuri(是的,它是付费的)。
您也可以使用Exploit Scanner,但请记住 base64 和 eval 代码也用于插件中。所以有时它会返回很多误报。如果您不是插件的开发者,那么您真的很难知道在数千行代码中哪些代码不合适。您可以做的最好的事情是删除您的插件目录,然后从头开始重新安装您的插件。是的,这是唯一可以确定的方法,除非您有很多时间可以花费。
搜索上传目录
其中一个扫描仪插件会在上传文件夹中找到一个恶意文件。但如果你熟悉 SSH,那么你只需要编写以下命令:
find uploads -name “*.php” -print
没有充分的理由将 .php 文件放在您的上传文件夹中。在大多数情况下,该文件夹是为媒体文件设计的。如果那里有一个 .php 文件,它需要去。
删除非活动主题
正如我们上面提到的,通常不活跃的主题是有针对性的。最好的办法是删除它们(是的,这包括默认和经典主题)。但是等等,我没有检查后门是否在那里。如果是,那么它现在已经消失了。您只是节省了寻找的时间,并且消除了额外的攻击点。
.htaccess 文件
有时会在那里添加重定向代码。只需删除文件,它就会重新创建自己。如果没有,请转到您的 WordPress 管理面板。设置»固定链接。点击那里的保存按钮。它将重新创建 .htaccess 文件。
wp-config.php 文件
将此文件与默认的 wp-config-sample.php 文件进行比较。如果你看到一些不合适的东西,那就摆脱它。
数据库扫描漏洞和垃圾邮件
聪明的黑客永远不会只有一个安全点。他们创造了无数的。以充满数据的数据库为目标是一个非常简单的技巧。他们可以将糟糕的 PHP 函数、新的管理帐户、垃圾邮件链接等存储在数据库中。是的,有时您不会在用户页面中看到管理员用户。您会看到有 3 个用户,而您只能看到 2 个。您很有可能被黑了。
如果您不知道自己在用 SQL 做什么,那么您可能希望让这些扫描程序之一为您完成工作。Exploit Scanner 插件或 Sucuri(付费版)都可以解决这个问题。
你认为你已经清理了吗?再想一想!
不要马上放松。以隐身模式打开浏览器,看看黑客是否回来了。有时,这些黑客很聪明。他们不会向已登录的用户显示黑客攻击。只有注销的用户才能看到它。或者更好的是,尝试将浏览器的用户代理更改为 Google。有时,黑客只想针对搜索引擎。如果一切看起来都不错,那么您就可以开始了。
未来如何防止黑客攻击?
我们的建议是保留强大的备份(VaultPress或BackupBuddy)并开始使用监控服务。正如我们之前所说,当您在做大量其他事情时,您不可能监控网站上发生的所有事情。这就是我们使用 Sucuri 的原因。您可以做的其他几件事:
使用强密码– 对您的用户强制使用强密码。开始使用像 1Password 这样的密码管理工具。
两步验证- 如果您的密码被泄露,用户仍然需要从您的手机获取验证码。
限制登录尝试- 此插件允许您在 X 次失败的登录尝试后锁定用户。
禁用主题和插件编辑器- 这可以防止用户升级问题。即使用户的权限被提升,他们也无法使用 WP-Admin 修改您的主题或插件。
Password Protect WP-Admin – 您可以对整个目录进行密码保护。您还可以通过 IP 限制访问。
禁用某些 WordPress 目录中的 PHP 执行 – 这将禁用上传目录和您选择的其他目录中的 PHP 执行。基本上,即使有人能够在您的上传文件夹中上传文件,他们也无法执行它。
保持更新——运行最新版本的 WordPress,并升级您的插件。
最后,在安全方面不要吝啬。我们总是说最好的安全措施是出色的备份。请保持良好的定期备份您的网站。
我们希望这篇文章对您有所帮助。推荐相关阅读:《什么是WordPress Salts密钥以及为什么要使用它们》
