最近更新于 2020-08-06 by eli
当你辛辛苦苦的做好一个网站,并投入精力去维护它时,突然发现网站被黑客攻击了,这是一件让人很沮丧的事情。就在本月(3月)的中旬,我的一个Wordpress网站被黑了,在这之前我已经在这个网站上投入了不少的时间与精力。我花了3天(加上分析和跟踪不止)的时间把网站恢复了,至少现在看来是没有任何问题的。现在我想以亲身经历总结一下,网站被黑后如何修复它,对wordpress网站的安全防黑进行回顾性分析,并总结经验教训,希望下次不要再掉到同样的坑里。
网站被黑后,首先不要惊慌,要知道这是一个很容易发生的事情。“WordPress 安服公司 Wordfence 表示,每小时平均有 190000 个 WordPress 站点遭受暴力攻击,最高峰时每小时攻击达到 1400 万次。”
首先我被黑的Wordpress网站成立时间并不长,内容也不多。塞翁失马焉知非福,这次网站被黑事件,发生在内容少的情况下,这也让我的网站恢复时间比较快。同时也给了我一个很大的教训,让我意识到,网站的安全是网站最重要的基础因素,是一个网站生存的根本。最后整个网站被黑到,后面修复的一个过程,我又学到了很多关于网站安全的知识。以下我想把网站被黑后,应该如何做整个过程作以梳理。
一、第一,首先要思考,为什么网站会被黑?
答案是,网站的安全防范指数太低,那么,黑客入侵这一类的网站可能就非常小儿科,甚至是用程序批量攻击。互联网上每天都会有大量的攻击发生。一个网站如果漏洞太多了,那么很容易被黑,也就是躺枪。具体体现在以下几个方面。
1、Wordpress网站的各种用户名和密码设置过于简单。
这里说的用户名和密码包含登录的用户名密码,数据库的用户名密码,包含FTP的用户名和密码等。
密码过于简单。
不知道你有没有听过暴力破解密码?如果你的网站密码很简单是纯,比如说是纯数字或者只有,或少于8位的纯字母,亦或者是其他的弱密码。那么黑客在很短的时间内就可以破解你的密码,进入并控制你的后台。
用户名太简单。
使用admin或网站的域名名称。恰巧我本次网站被黑的其中一个原因也可能因为这一点。被黑的网站,我恰好有两个用户名分别是admin和网站的域名。见过太多本地的网站使用admin作为用户名了。这其实是最弱的用户名,千万不要再用了。
FTP还有数据库的用户名和密码太弱也是很容易被攻击的。
2、网站的插件不更新不及时。
有很多wordpress网站是因为插件的漏洞导致网站风险低,然后被黑客攻击的。所以在尽可能的情况下,一定要及时更新网站安装的各种wordpress插件。
3、wordpress网站一些冗余代码没有去除。
这里所说到的冗余代码包含不用的wordpress主题,不激活,但安装了的wordpress插件。虽然这些内容是在你网站上不使用的,但很有可能会成为黑客攻击网站的切入点。因为长时间不使用或者不更新的插件存在更多的漏洞,即使没有被激活,黑客依然会从这些薄弱点下手。
这些是最常见的让网站安全系数低的原因。在网站没有被黑之前,我可能也没有意识到,这些就是可能到造成被黑的漏洞。
以下结合我本次对网站的垃圾代码的清理具体分享一下,网站被黑后,要如何做。
二、我的网站被黑事件始末。
先说一下网站被黑的这个过程。
说来也挺蹊跷的,在我的网站被黑之前,正好主机运营商siteground进行了网站的DNS迁移。通知说有40分钟的时间迁移网站,然后进行关闭。在这之后,我的网站有两天后台均打不开,显示403错误。网站的前台是在他们通知以后都正常打开的。我联系了主机商的支持,第1次告诉我再等一段时间会好的,隔了一天没有好,我当然又继续联系了他们。然后又是一段时间的等待。反复联系他们,几次之后,又出现了一个惊人的通知:我的主机运营商通知我,我的网站包含恶意代码为保证其他网站的安全,他们已暂时关闭我的网站。直到48个小时以内,我修复好网站的恶意代码问题。后来我又联系了他们的支持,让他们帮我删除网站的恶意代码,并恢复我的网站运行,支持人员也说会帮我弄好的,让我等待通知就好。果然在这之后,等了一两天网站又再次可以打开了。我就从谷歌的管理员后台和谷歌的前台去,搜索了一下我的网站当时的情况。oh my god。这之后发现的惊人事实让我直接失眠了。用site命令看了下,谷歌的搜索结果上面直接展示出了我的网站拥有几百个新的页面,而且都是日语的垃圾或者黑客页面。这些页面分为两种类型,一种是我正常的页面地址。另外一种是黑客随机生成的很多URL地址。而且这些页面呈现给谷歌的是正常的200代码状态,当我去点击的时候,这些页面都是404页面。让我很吃惊的是,为什么垃圾页面在短时间内被收录这么多。正常的网站页面也只有很少而已,而且之前的收录也没有这么快。下意识我内心有点慌,如果谷歌因为此次网站被黑事件,把我的这个域名权重降低那就惨了。后面的三天我采取了一些清理和恢复措施,但是,谷歌的搜索结果里面依然能看见被黑的垃圾页面的快照。我知道清理之后也需要一定的时间。我做了我能做的,并且在谷歌管理员后台,请求删除了一些垃圾快照。在后面的几天里,我逐渐感到被黑的网站已经成功被我拯救了。整个过程也是比较让人抓狂的,到最后终于松了一口气。
三、讲述一下我的网站被黑后拯救措施。
1、安装WordFence插件扫描网站恶意代码
WordFence插件是专门用于wordpress网站的安全扫描插件。
虽然本人对计算机知识是了解一些的,但清理网站的垃圾代码还是比较复杂的。因此一开始我是联系了主机的提供商,让他们帮我删除恶意代码,他们也支持了。但后来从谷歌的表现看,我意识到恶意代码,或者黑客的所谓后门可能还没有完全关闭掉。在被黑的一两天内垃圾代码,还是在增长。对我来说逐一清理wordpress的恶意垃圾代码是不太现实的,因为我接触这个平台的时间也不是很长,代码的熟悉程度很欠缺。在我疑惑的时候,我安装了他们推荐的安全插件wordFence。扫描之后发现了20多条可疑的项目。于是我按照这个工具提示的路径,逐一对可疑项目进行了删除。在删除的过程中我把每一个可疑文件都打开看了一下,确实有大串儿的垃圾代码,这些可疑的文件,都是伪装的PHP文件。藏在各种地方。文件的命名也比较可疑。即使我删完所有WordFence提供的可疑文件,用谷歌实时爬虫去爬那些可疑的链接,却还是200的状态。这些还不够。
2、借鉴别人网站被黑后恢复的的经验。
一搜才知道,网站被黑是多么普遍的事情。也有很多网友在分享了他们的安全经验。其中有一些网友甚至因为wordpress网站被黑而放弃这个平台,用了其他的网站后台cms管理系统。直到我找到了,有个网友分享的网站被黑终极恢复方法。当然我找到了很多,但最终我决定结合此网友推荐的方法去实施。
1)备份网站并重装网站
经过再三思考,觉得在我的能力范围内完全清除恶意代码,并没有10分的把握。于是我决定重装网站。中间也犹豫了一下要不要从零开始。因为我无法断定哪一个备份版本是完全干净的。
在决定实施修复网站之前,我对网站的所有代码进行了备份,把它下载到了本地。但你了解的备份必须有很多个,即使这个版本是被黑的,但也是里面是最新的。我是用filezilla的ftp工具下载整站备份的。
经过从谷歌管理员的后台分析后,我确定了网站被黑的那一天是3月17号。可能是17号到20号3天。
除了本地的备份,主机的服务商,在服务器端也有对网站的备份。但尝试恢复网站被黑前后的版本,试了一下是不行的。删除重装之后又评估了下从0开始工作量太大,反复折腾之后,最终我选择了一个3月上旬(10号以前)推断的干净备份包进行恢复。
2)重装后修改wordpress被黑网站相关的所有用户名和密码。
修改的用户名和密码包括:wordpress后台登录名与密码。网站数据库的登录名与密码。网站的FTP登陆名与密码。主要修改了这些。网站后台登录名与密码可以去数据库SQL(phpmyadmin)里面的wp user里面去更改。(记得用密码工具记住修改后密码)
3)安装安全插件WordFence和Wpscan
从wordFence插件在全球安装量可以看出广大Wordpress站长对此插件的依赖或者青睐程度。先前我用它检测出来了很多问题,以后也决定用它扫描网站。这么好的安全工具,还是可以免费使用的,赞一个。wpscan是专门用来扫描插件漏洞的一个工具,我也把它一并装上了。
4)修改Wordpress后台登录页地址。
域名后面加wp-admin,或者wp-login这是是wordpress默认的登陆地址。黑客们都很熟悉这一点了。把默认的登录页修改成个性化的登录地址,将在很大程度上提高网站的安全性。安装WPS Hide Login插件就可以实现把后台登录地址变成,只有你知道的个性化地址。主机的客服也曾经推荐我这么做。
5)安装自动更新工具插件
安装Companion Auto update插件。既然很多黑客攻击漏洞都是通过一些过时的插件,或者代码,那么及时的更新插件,Wordpress主题,还有核心主程序都是非常重要的。这一插件可以完美解决这个问题。及时的更新,提高网站安全性。
以上是我已经采纳的方面。当然还有一些,其他方面我并没有去采纳。比方说限制后台登录地址IP。因为我有时候会使用VPN去登录网站,会有多个IP,担心这个设置会误阻止管理员登陆。要么还要经常去插件里修改IP白名单,是一件很麻烦的事情。
6)关闭 XML-RPC
安装Disable XML-RPC插件,通过 Disable XML-RPC 插件,彻底关闭了 XML-RPC 功能
6)去谷歌管理员后台提交黑客生成的垃圾地址。
谷歌管理员后台有一个去除工具,只要把黑客生成的垃圾页面的地址提交上去,即可删除各种版本的链接,还有快照。这里要注意一下,不要误提交自己网站正常的链接(即使快照还是被黑)。如果误提交了,也可以删除请求。谷歌的说明是半年以内可以删除和暂时屏蔽这个链接。
提交完之后,用site命令每天关注谷歌前台的网站收录变化情况。可以观察到,黑客生成的垃圾页面在谷歌的收录里,因为提交到了删除工具,展现逐渐减少。
对于网站原先正常的页面快照被黑的,也可以在谷歌管理员后台,请求重新抓取页面。要注意的是,即使申请了,但也得等一段时间。谷歌并不会立即处理你的申请。
7)用电脑杀毒软件扫描你的整个电脑。
中间网站被黑关闭之后,主机商也需要我本人提供电脑安全扫描结果,给他们才可以重新开启网站。这很重要,如果黑客把恶意代码植入个人的本地电脑,这真是一件最恐怖的事情。尤其是在电脑病毒横行的现在。依然记得去年流行的勒索病毒,让一个朋友的整个电脑都报废了。一直没有办法破解,数据也无法取出。这件事情发生以后,我也扫描了几次我的电脑,幸好是安全的。我是用的联想电脑自带杀毒软件扫描的。
3、检查网站的Https状态和SSL证书。
这一点一定要注意。本次我发现很多被黑客自动生成的地址是http或者不带www的http地址。即使我的网站已经安装了SSL证书升级了整站为https,但可能做得不够彻底,存在一些漏洞。经过查阅资料,我在网站的.htaccess上面增加了把网站的非www和非http的地址全部跳转到https的www地址上。网站的SSL证书和https是网站安全的一个重要方面。如果没有安装,可以查看我的另外一篇文章如何给wordpress网站免费添加let’s Encrypt it证书升级https。
以上就是整个过程。在这一次突发的WordPress网站被黑事件过程中,又学到了很多。同时我把我管理的Wp站点也同样进行了安全升级,包括个人博客本网站。如果您有其他看法请留言,如果您是WordPress站长,也希望一定要注意网站的安全。不要因为大意让自己的辛苦付诸东流。吃一堑长一智了。
基本上做到以上安全也较好了,我跟这位网友采取的措施差不多:写在 WordPress 博客被黑之后
如果要更提高安全性,可以参考以下链接页面。参考有风险,需结合网站实际测试情况。
本次修复被黑wordpress网站参考的这篇文章WordPress 终极安全指南,如有需要可以参考并给自己网站加固安全防范。请谨慎参考此链接页面,有的条目涉及修改.htaccess的等可能导致网站无法打开(亲测会出现500错误)。