又一個(gè)客戶的客戶網(wǎng)站被黑了,加急需要修復(fù),經(jīng)過初步檢查,從代碼上看到黑客赤裸裸的聲明。
wordPress/ target=_blank class=infotextkey>WordPress獨(dú)立站被黑的主要原因是用戶名和密碼簡直弱爆了。我沒想到,有人會用admin的用戶名,hello的密碼!!!黑客不黑你真對不起這個(gè)密碼
獨(dú)立站的主要癥狀
前臺無法正常打開,后臺還可以登陸。
檢測獨(dú)立站
經(jīng)過掃描檢測網(wǎng)站,主要問題有以下5點(diǎn)
- 根目錄和wp-admin , wp-content, wp-includes 都被黑客給上傳了一些惡意文件
- wordpress核心程序文件被篡改
- 主題和一些插件也被篡改
- 獨(dú)立站的配置文件也被篡改,導(dǎo)致主題和插件功能受限
- 一些文件權(quán)限為只讀,無法直接刪除
修復(fù)過程
清除核心程序里面的病毒
- 刪除掉根目錄下所有文件,除了wp-content目錄,wp-config.php文件
- 從wordpress官方下載一個(gè)最新安裝包,上傳到根目錄全覆蓋。
到這里基本可以滅掉核心程序里面的病毒文件了。此時(shí)網(wǎng)站依然不正常。我們再次掃描,發(fā)現(xiàn)根目錄下面的index.php 沒有覆蓋掉,原因是他只有“只讀”權(quán)限,在此,直接到主機(jī)上刪除掉,然后上傳官方文件即可。
到此,網(wǎng)站前臺正常了。但后臺的一些插件功能還是受限。比如安裝插件的功能不見了。
繼續(xù)找其它受感染的文件。
修復(fù)wp-config.php
黑客很喜歡修改配置文件,因?yàn)楹笈_很多功能不見了,多是和配置文件有關(guān),這樣我們就刪除掉根目錄下的wp-config.php文件,然后打開網(wǎng)站前臺,提示重新安裝網(wǎng)站,這里只需要按提示運(yùn)行重新安裝即可,重新對接上數(shù)據(jù)庫。
清除wp-content里面的病毒
繼續(xù)運(yùn)行掃描,根據(jù)提示,清除掉所有病毒文件即可。有問題的主題和插件都需要重新安裝一遍。
總結(jié)
此次的主要原因是密碼過弱,且無任何防護(hù)。我們需要做如下操作。
管理員修改為強(qiáng)密碼
修改后臺登陸入口,不要使用默認(rèn)的wp-admin,因?yàn)槿澜缍贾滥愫笈_地址。
限制后臺登陸錯(cuò)誤次數(shù)
禁用XML-RPC
