WordPress被黑客入侵、挂马怎么办?

昨天发现博客后台莫名其妙多了两个主题,并提示我更新,若非如此我甚至都察觉不到它的存在…当然,我没理会直接将其删了,只是隐隐约约察觉不对。刚才,腾讯云发来短信:

WordPress主机疑似被黑客入侵

【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云账号(账号ID:10002XXXX337,昵称:shephe.com)下的服务器:10.0.4.15 [Tencent],实例ID:lhins-qfxxxx3y,地域:华东地区 (上海),时间:2022-08-22 19:41:47,检测到存在待处理的恶意文件:/www/wwwroot/shephe.com/wp-content/themes/choyu/data.php,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失,请前往主机安全(https://mc.tencent.com/VlOj5BWX)查看详细信息。

果不其然,检查系统发现又多了两个主题,几个插件…一看都是那种可以使用基础版本,须付费才能使用高级版的程序,给我的感觉是我这Wordpress里面植入了一个类似于2345浏览器的那种流氓软件,它自动给我安插件、安推广程序,甚至会恶意修改我的文件——我Wordpress系统下边所有文件的权限都被自己改成了0777(可读、执行、写)!

Wordpress被黑客入侵、挂马怎么办?
云主机后台检查被挂了木马

思前想后,是怎样造成的呢?暂时没想起来啊…以及:Wordpress被黑客入侵、挂马后怎么办呢?我先备份下数据库,观察观察再说~


关于为何中病毒、被挂马之后的现象以及应对方案,本文评论区的各位朋友已经例举了部分可能和思路,我个人推荐的做法是:

  1. 如果可以,回退快照,删除或尽量避免安装来路不明的程序;然后更新各种程序,并合理规划权限,修改密码
  2. 若无法回退,那就重装Wordpress,注意先备份你的关键文件:wp-content目录、根目录下的wp-config.php等,当然,这些文件也要按3检查一遍
  3. 若不想重装,请首先删除那些恶意的主题、插件、文件;时间排序检查代码,查看最新的被修改过文件,若里面有奇奇怪怪的字符串请务必删除,它们一般会影响各个根目录下的index.php文件
  4. 清理完毕后回退数据库,更新权限、账户名密码、Wordpress程序和服务器相关程序
  5. 推倒重来?我不推荐这么干,浪费时间
Wordpress被黑客入侵、挂马怎么办?
wp-content目录下多出几个文件,下载到本地后Windows Defender直接给干掉了

现在我来说说牧羊人本次中病毒的可能原因。

我手头目前有4台vps,用的最长时间的是位于杭州的阿里云,也是本博客之前使用长达五年的主机;第二是上个月花了六十块撸的腾讯云特惠主机,在上海;另外有两台都在北美,分别是RackNerd和Linode的轻量级主机。前不久我在调配网站的时候,把这几个服务器都换了操作系统,并且安装了宝塔的破解版面板,是这个:

Wordpress被黑客入侵、挂马怎么办?
宝塔纯净版

然后安装Wordpress,且除阿里云之外都安装了新的、英文的主题和插件程序。当然,我这些主题和插件都是正版的,大部分是可从Wordpress官方直接安装的,且四台主机上的主题和插件以及应用之间没有完全重合,甚至有完全不一样的。最后,如你所见这四台服务器里边,除阿里云外,全部都中了病毒,多个网站后台出现了雷同的恶意插件、主题和乱码文件,并且网站会自动发布推广文章。

另外Wordpress后台多了一个超级管理员:wadminw@wordpress.com,按此为关键词搜索,发现近期有歪果仁也中了它的道,你怎么看?我推测啊,本次中病毒的可能性从高到低有:

  1. 境外的黑客组织,暴力漏扫攻破了我的服务器系统——多年前我也遇到过
  2. 使用了带后门的服务器控制面板
  3. 使用了带后门的Wordpress主题和插件
  4. 还有其他可能?
1920 1280 牧羊人
19条评论
  • 孤斗-伍子蛇
    09/22/2022 at 17:29 回复

    宝塔这种东西本身就一堆漏洞😂
    非常不懂博友圈为什么非常推崇宝塔,这就是最大的安全隐患
    除了80,443其他例如3306都不要开放外网访问
    当然如你所说改成777就是脱了裤子等别人注马
    服务器定时更新
    wordpress定时更新

    • 孤斗-伍子蛇
      09/22/2022 at 17:33 回复

      哦,你用的是VPS,那就是你选的VPS提供商没有定时更新服务器

  • IronChan
    09/10/2022 at 11:46 回复

    破解版的寶塔面板?寶塔不是免費的嗎,為什麼要用破解版,是否實現了免費版寶塔沒有的功能?
    我也一直使用寶塔面板,且有幾台服務器還買了 VIP 版本的寶塔面板,實現多重防護,對在運營的網站也起到很好的保護。主題和插件你使用了正版,想來肯定不會是單獨為了貪便宜使用破解面板。
    對了,新主題功能也許更多,預製的界面樣式更多,但目前看到的的確不是一個很好的內容輸出站所想看到的體驗,想必還在優化中,邊走邊調整吧,祝好!

  • UI柒
    08/27/2022 at 23:07 回复

    嗯,安全性还是值得注意

  • 老麦
    08/27/2022 at 13:18 回复

    我暂时未遇到过这样的问题,不过我要是遇到这样的问题,估计我会将其一切还原重装,哈哈哈,排查实在是太难了。

  • Lvtu
    08/25/2022 at 14:50 回复

    我之前也遇到过,里面的一些文件都被加上了一些数字,当时怀疑是用安装某款破解过的主题造成的,删除后就没事儿了。。。

  • 老刘
    08/25/2022 at 09:30 回复

    备份数据库和图片,重装系统,用干净的wordpress程序,最好别用宝塔,ssh使用密钥验证,不装破解的主题和插件
    一般就没事了

  • Mr.Chou
    08/24/2022 at 19:11 回复

    WP用户群多,也许是批量扫到你的ip段…
    今年我的博客程序也经历黑客篡改…

  • 懿古今
    08/24/2022 at 14:30 回复

    WordPress插件和主题都不要使用破解版,然后把后台地址隐藏起来,这样相对来说会安全一些。

  • 秦大叔
    08/24/2022 at 09:31 回复

    要是我的话,就直接删数据,全部重装。
    我的腾讯云也报警过两次说有什么恶意程序,第一次按邮件给的地址删了,第二次被腾讯云自动删了。

  • 子痕
    08/23/2022 at 22:15 回复

    文件变成777,那应该不是通过wordpress登陆后台操作了,先改服务器密码吧。

  • S̆̈
    08/23/2022 at 18:49 回复

    是不是装的网上的主题里面有些什么。

  • 小元
    08/23/2022 at 15:32 回复

    腾讯的安全提醒还是挺牛的啊

  • 平顶山
    08/23/2022 at 11:51 回复

    一项一项排除
    本身电脑安全
    管理账号密码
    插件是否有问题
    服务器
    ……

  • 叶开
    08/23/2022 at 11:11 回复

    应该是暴力破解登录了吧?

    我之前的站点天天被人扫,暴力破解当然它没成功哈哈,因为我后台地址改了。

  • 灰常记忆
    08/23/2022 at 10:28 回复

    防火墙 防篡改搞起来

  • 1900
    08/23/2022 at 09:50 回复

    如果浏览器默认填写了评论框的名称、邮件地址,标签名字会和输入框的内容重叠。

    wordpress这种用户量多的平台被黑的概率也要高一些。

  • 大峰
    08/23/2022 at 08:57 回复

    黑客太厉害了,尽然能让人不知觉的情况下安装主题和插件,如何防黑客,还真不知道怎么办。

  • 三棵树人
    08/22/2022 at 22:37 回复

    我去年也遇到过这些烂人,还把我的主页都修改了,主目录下面多了好多php文件,定期备份一定要做,相当重要。

发表评论

请输入关键词...