又一個客戶的客戶網站被黑了,加急需要修復,經過初步檢查,從代碼上看到黑客赤裸裸的聲明。
wordPress/ target=_blank class=infotextkey>WordPress獨立站被黑的主要原因是用戶名和密碼簡直弱爆了。我沒想到,有人會用admin的用戶名,hello的密碼!!!黑客不黑你真對不起這個密碼
獨立站的主要癥狀
前臺無法正常打開,后臺還可以登陸。
檢測獨立站
經過掃描檢測網站,主要問題有以下5點
- 根目錄和wp-admin , wp-content, wp-includes 都被黑客給上傳了一些惡意文件
- wordpress核心程序文件被篡改
- 主題和一些插件也被篡改
- 獨立站的配置文件也被篡改,導致主題和插件功能受限
- 一些文件權限為只讀,無法直接刪除
修復過程
清除核心程序里面的病毒
- 刪除掉根目錄下所有文件,除了wp-content目錄,wp-config.php文件
- 從wordpress官方下載一個最新安裝包,上傳到根目錄全覆蓋。
到這里基本可以滅掉核心程序里面的病毒文件了。此時網站依然不正常。我們再次掃描,發現根目錄下面的index.php 沒有覆蓋掉,原因是他只有“只讀”權限,在此,直接到主機上刪除掉,然后上傳官方文件即可。
到此,網站前臺正常了。但后臺的一些插件功能還是受限。比如安裝插件的功能不見了。
繼續找其它受感染的文件。
修復wp-config.php
黑客很喜歡修改配置文件,因為后臺很多功能不見了,多是和配置文件有關,這樣我們就刪除掉根目錄下的wp-config.php文件,然后打開網站前臺,提示重新安裝網站,這里只需要按提示運行重新安裝即可,重新對接上數據庫。
清除wp-content里面的病毒
繼續運行掃描,根據提示,清除掉所有病毒文件即可。有問題的主題和插件都需要重新安裝一遍。
總結
此次的主要原因是密碼過弱,且無任何防護。我們需要做如下操作。
管理員修改為強密碼
修改后臺登陸入口,不要使用默認的wp-admin,因為全世界都知道你后臺地址。
限制后臺登陸錯誤次數
禁用XML-RPC
