WordPress建站之若何从歹意重定向歹意软件黑客进攻中恢复

歹意进攻者最常用的战略之一是将歹意重定向歹意软件添加到站点，以将流量驱动到另一个站点。那不只对网站所有者倒霉，并且对网站拜候者也倒霉。歹意重定向凡是会将毫无戒心的站点拜候者带到垃圾邮件站点，以至可能会用难以消弭的歹意软件传染用户计算机的站点。

在那篇文章中，北京六翼信息手艺有限公司的开发工程师就什么是歹意重定向歹意软件、黑客为何利用那种战略、若何确定您的网站能否遭到此歹意软件的影响以及从歹意重定向歹意软件的影响中恢复您的网站的一些可能处理计划。

此外，我们将概述一些重要步调，以确保您的站点在恢复后仍然遭到庇护。

什么是歹意重定向歹意软件？

歹意重定向是一种代码，凡是是 Javascript，它被插进到一个网站中，目标是将网站拜候者重定向到另一个网站。凡是，那种歹意软件会被进攻者添加到 WordPress 网站，目标是在另一个网站上产生告白印象。但是，一些歹意重定向可能会产生更严峻的影响。更严峻的歹意重定向能够操纵站点拜候者计算机中的潜在破绽。那品种型的歹意软件旨在安拆传染小我计算机的歹意软件，那些歹意软件会对用户的 Mac 或 Windows 计算机形成极大的毁坏。

确定您的网站能否被传染

网站所有者可能不晓得他们的网站正在重定向。凡是，歹意重定向是隐躲的，因而只要未经身份验证（未登录的用户）才会被重定向。或者，它可能会检测用户在拜候网站时利用的阅读器，并仅利用该特定阅读器停止重定向。例如，假设他们的目标是利用只能传染易受进攻的 Chrome 版本的歹意软件来操纵小我计算机，那么只要那些利用歹意脚本检测到的阿谁版本的人才会被重定向。可能需要停止一些查询拜访才气确定发作了什么。

网站所有者可能会测验考试复造客户陈述的重定向，成果却发如今他们的计算机上一切一般。挪动平台上的网站拜候者可能同时碰着歹意活动。重定向可能发作在某些页面上而不是其他页面上。或者，它以至可能在网站加载之前发作。

为什么我的 WordPress 网站会重定向到另一个网站？

假设您的站点正在重定向，进攻者能够利用几种办法来创建重定向。当然，那些都是创建重定向的十分有效的办法，但是，在歹意情状下，那些绝对不契合站点拜候者的更佳利益。以下是进攻者用来重定向的一些办法。重定向的次要办法包罗 .htaccess 重定向或 Javascript 重定向。在少少数情状下，您可能会找到 网站所有者会被稠浊吓到，不想深进发掘。

展开全文

重定向传染确实切位置在哪里？

黑客会在多个区域插进他们的歹意代码能够招致 WordPress 重定向被黑客进攻发作。

1.PHP文件

进攻者能够通过将代码插进任何WordPress 核心文件来传染您的站点。以下是一些可能包罗招致您呈现问题的歹意代码的文件：

进攻者能够通过在 WordPress 的任何核心文件中注进代码来传染该网站。查抄那些文件中的歹意代码。假设您不确定哪些代码是歹意代码，哪些不是，您能够随时将那些文件与 WordPress 核心或您的主题和插件文件的已知优良副本停止比力

l joowp.com

l index.php

l wp-config.php

l wp-settings.php

l wp-load.php

l .htaccess

l Theme files (wp-content/themes//)

n header.php

n functions.php

n footer.php

2.JavaScript 文件

某些重定向歹意软件的变体味影响您网站上的所有 JavaScript (.js) 文件。那将包罗插件、主题文件夹和 wp-includes 中的 Javascript 文件。

凡是，不异的歹意代码会添加到每个 JavaScript 文件的最顶部或底部。

3..htaccess 文件

您的 .htaccess 文件是一组指令，告诉您的收集办事器在收到站点拜候者的恳求后立即做什么。它在 PHP 之前参与，在对您的数据库停止任何挪用之前，它能够检测某些“情况变量”，那些“情况变量”告诉您的办事器一些关于用户所在系统的信息，例如他们的阅读器、计算机类型，即便恳求您网站的页面来自搜刮引擎挠取东西。

假设您不熟悉通俗WordPress .htaccess 文件的外看，.htaccess 中的大部门代码可能会令人猜疑。并且，假设您将 .htaccess 文件下载到您的硬盘驱动器以停止更深进地查看，它凡是会在您身上消逝，因为许多小我计算机将此文件类型视为“隐躲文件”。

将歹意代码添加到 .htaccess 文件中的非经常见的Pharma hack凡是只会重定历来自搜刮引擎成果页面的网站拜候者。

黑客将他们的歹意代码以一种您无法找到的体例放置在文件中，除非您向右滚动很远。那使得发现和删除那些重定向黑客变得愈加困难。

3. WordPress数据库

wp_options 和 wp_posts 表凡是是WordPress 数据库中的表，黑客将其做为插进歹意重定向的目标。Javascript 代码能够嵌进您的每个帖子以至所有帖子中。假设重定向隐躲在小部件中，您凡是还能够在 wp_options 表中找到重定向。

4. 假 favicon.ico 文件

存在歹意软件，它会在您网站的办事器上创建一个随机的 .ico 文件或地痞 favicon.ico 文件，此中包罗歹意的 PHP 代码。那些 .ico 文件将包罗歹意重定向，然后将其包罗在您网站上的另一个文件中。

@include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

快速从歹意重定向中恢复

假设您遭到歹意重定向进攻，从此类歹意软件中恢复得最快、最简单的办法是从已知优良的备份中恢复。假设您利用BackupBuddy按期备份您的网站，那么您晓得您有一个包罗您网站的优良副本的最新备份。从已知的优良备份恢复您的网站是让您的网站快速恢复和运行的绝佳体例。

当然，假设您运行的站点的内容经常更改，那么避免歹意重定向的更佳办法就是做好比来的备份和进侵检测，如许您就能够敏捷收到问题警报。通过那种体例，您能够快速摘取动作并更大限度地削减停机时间。

当然，您还必需查看拜候日记以确定黑客是若何进进并停止重定向的。

关于附加域的阐明

WordPress 网站被黑客进侵的最常见体例之一是来自未庇护的附加域或在您的托管帐户中额外安拆 WordPress。也许您设置了一个测试站点以查看某些工具能否能够在统一账户中运行，但您忘记了该安拆。黑客发现它并操纵未庇护站点中的破绽在您的主站点上安拆歹意软件。或者，也许您将家人的网站也托管在统一空间以节约资金，但他们正在反复利用泄露的密码。

更好在一个主机账户中拥有一个 WordPress 站点，或者假设您在统一个主机账户中利用多个站点，请确保它们相互隔离，并为每个站点利用差别的基于办事器的用户。如许，就不会发作从一个懦弱站点到另一个相邻站点的穿插污染。

假设您的托管账户中确实有多个站点，则需要将在统一空间中运行的所有站点（例如，在 public_html 下运行的所有站点）视为它们都被歹意重定向歹意软件污染了。假设您确实有如许的情状，请确保为该托管实例中的每个站点完成那些步调中的每一个。假设您不确定，请征询您的托管办事供给商。

扫描您的网站以查找 WordPress 重定向黑客歹意软件

假设您没有比来的清洁备份，您仍然能够自行删除歹意软件。如许做可能是一个乏味的过程，您需要觅觅的不单单是重定向歹意软件。重定向歹意软件最常见的是陪伴着其他歹意软件，包罗后门法式和地痞治理员用户，您还需要确定黑客是若何进进的，凡是称为“进侵向量”。不摘取整体办法来肃清歹意软件会确珍重定向问题再次呈现。

1.备份网站

是的，即便该站点已被传染，您仍期看保留所发作事务的证据。将任何黑客进攻视为立功现场，您会想晓得发作了什么以及发作的时间。当您确定进侵是若何发作的时，文件时间戳将有助于您的查询拜访，从而避免它再次发作。

2. 确定能否需要封闭网站

利用歹意重定向，您可能期看暂时封闭您的站点以停止庇护。并不是所有重定向都能够包管那一点，但假设您的网站重定向到一个可能损害用户计算机的处所，将网站封闭一段时间能够避免进一步的损害。

假设您认为黑客可能仍在该网站上活动（假设您不晓得，告假设他们是），封闭该网站并使其无法拜候能够避免进一步的毁坏。

每种情状城市有所差别；您需要根据正在发作的工作做出决定。

3.将站点复造到当地驱动器

保留备份，将站点复造到当地驱动器。我们定见利用文本编纂器在当地驱动器长进行清理，并在当地比力并查看所有文件——从 PHP 和 Javascript 文件到 .htaccess 文件——在 Internet 无法拜候的当地情状下。如许，您就有了一个查抄文件的受控情况。您能够下载 WordPress 的全新副本、您的主题和您的插件，并将文件与您的被黑站点停止比力，以查看哪些文件被更改，哪些文件底子不属于。您能够利用许多文件比力东西。

4.删除重定向和隐躲的后门

当您查看文件时，您能够将此中包罗歹意软件的文件替代为已知无缺的副本，或者假设您情愿如许做，您能够删除不该该存在的文件（凡是是后门）和代码行那不该该与文本编纂器一路存在。

查抄您的 /wp-content/uploads 目次和所有不该存在的 PHP 文件的子目次。

有些文件将差别于您从 WordPress.org 存储库下载的任何文件。那些文件包罗您的 .htaccess 文件和 wp-config.php 文件。那些将需要认真查抄能否有任何错误的歹意代码。两者都能够包罗重定向，而且 wp-config.php 文件能够包罗后门。

5.将清理后的文件上传到您的办事器

要立即肃清所有歹意软件，避免拜候被黑站点上活动的任何后门，请将清理后的站点上传到与被黑站点相邻的位置。例如，假设您被黑的网站位于 /public_html/ 下，则将您的清洁网站上传到它旁边的 /public_html_clean/。在那里，将实时 /public_html/ 目次重定名为 /public_html_hacked/ 并将 /public_html_clean/ 重定名为 public_html。假设您抉择在清理过程起头时不封闭站点，那只需要几秒钟，而且能够更大限度地削减停机时间。它还能够避免您通过与活泼的进攻者玩“打地鼠”游戏来测验考试清理遭到进攻的被黑网站。

如今文件已清理，您还有一些工做要做。认真查抄该站点在前端以及 wp-admin 中能否一般。

6.觅觅歹意治理员用户

查找添加到您站点的任何歹意治理用户。前去 wp-admin users 并认真查抄所有治理员用户能否有效。

7.更改所有治理密码

考虑所有治理员账户都遭到威胁并为所有账户设置新密码。

8. 避免歹意注册

前去 wp-admin settings general 并确保禁用名为“Anyone Can Register”的“Membership”设置。假设您需要用户注册，请确保“新用户默认角色”仅设置为订阅者，而不是治理员或编纂。

9. 在数据库中搜刮任何歹意链接

手动搜刮您的 WordPress 数据库以查找歹意 PHP 函数，其体例与查找文件系统中的问题的体例类似。为此，请登录 PHPMyAdmin 或其他数据库治理东西并抉择您的站点正在利用的数据库。

然后搜刮以下术语：

l 评判

l 脚本

l Gzinflate

l _解码

l str_replace

l preg_replace

在更改数据库中的任何内容之前要非分特别小心。即便长短常小的更改，例如不小心添加了一个空格，也可能招致您的网站瓦解或无法一般加载。

10.庇护网站

因为发作了进侵，您需要假设与您的站点相关的所有内容都已遭到损害。在您的托管账户面板中更改您的数据库密码，并在您的 wp-config.php 文件中更改根据，以便您的 WordPress 站点能够登录到您的 WordPress 数据库。

此外，更改您的 SFTP/FTP 密码，以至更改您的 cPanel 或主机账户的密码。

11.查抄谷歌问题

登录到您的 Google Search Console，看看您能否有任何歹意网站警告。假设是如许，请查看它们以查看您的修复能否已处理问题。假设是如许，恳求审查。

12.更新或删除任何易受进攻的软件

假设您有任何需要更新的软件、主题、插件或核心，请立即更新。假设您利用的插件中存在尚未修补的破绽，请停用并从您的站点中完全删除该软件。

此时，假设您已锁定您的网站，您能够删除庇护通知以使您的网站再次可拜候。

关于WordPress建站的问题，欢送留言讨论，存眷“六翼开源”专注WordPress建站办事。