Bài đăng WordPress bị hack
Bài viết này sẽ mô tả cách làm sạch trang web của bạn nếu nó đã bị tấn công và bị nhiễm mã độc, cửa hậu, thư rác, phần mềm độc hại hoặc những thứ khó chịu khác. Bài viết này đã được cập nhật vào tháng 12 năm 2021 với các tài nguyên bổ sung để giúp làm sạch các loại nhiễm trùng cụ thể. Bài viết này được viết bởi Mark Maunder, người sáng lập Wordfence. Tôi là nhà nghiên cứu bảo mật được công nhận, CISSP, nhà phát triển WordPress và tôi là giám đốc điều hành của Defiant Inc, công ty tạo ra Wordfence. Ngay cả khi bạn không chạy WordPress, bài viết này bao gồm một số công cụ mà bạn có thể sử dụng để giúp làm sạch trang web của mình khỏi bị nhiễm trùng Show Nếu bạn đang chạy WordPress và bạn đã bị tấn công, bạn có thể sử dụng Wordfence để xóa phần lớn mã độc hại khỏi trang web của mình. Wordfence cho phép bạn so sánh các tệp bị tấn công của mình với các tệp lõi WordPress gốc và các bản sao gốc của các chủ đề và plugin WordPress trong kho lưu trữ. Wordfence cho phép bạn xem những gì đã thay đổi và cung cấp cho bạn tùy chọn sửa chữa hoặc xóa tệp chỉ bằng một cú nhấp chuột Nếu bạn là chủ doanh nghiệp bận rộn và muốn đội ngũ giàu kinh nghiệm của chúng tôi giải quyết vấn đề cho bạn, hãy đăng ký Wordfence Care ngay bây giờ, sau đó nhấp vào liên kết “Nhận trợ giúp” trên Trang giấy phép để mở ngay yêu cầu dọn dẹp trang web Nếu bạn có một trang web quan trọng và cần làm sạch nó ngay lập tức hoặc ngoài giờ làm việc thông thường, hãy đăng ký Wordfence Response ngay bây giờ và mở một yêu cầu làm sạch trang web và nhóm ứng phó sự cố 24 giờ của chúng tôi sẽ bắt đầu làm việc trong vòng 1 giờ. Họ di chuyển cực kỳ nhanh chóng và sẽ giải quyết toàn bộ vấn đề trong vòng 24 giờ. Như với Wordfence Care, hãy truy cập trang Giấy phép sau khi bạn đã đăng ký và nhấp vào “Nhận trợ giúp” trên giấy phép của bạn và bạn sẽ chuyển sang hàng đợi ưu tiên dành cho khách hàng Phản hồi Nếu bạn muốn tự mình giải quyết vấn đề hoặc nếu Dịch vụ chăm sóc hoặc phản hồi của Wordfence nằm ngoài ngân sách của bạn, hãy đọc tiếp. CHUNG TA CO THỂ LAM ĐƯỢC VIỆC NAY. Dọn dẹp trang web bị tấn công của bạn là một trong những lý do tôi tạo Wordfence và phiên bản Wordfence miễn phí bao gồm các công cụ mạnh mẽ để giúp bạn dọn dẹp trang web của mình Nếu bạn nghi ngờ mình đã bị tấn công, trước tiên hãy đảm bảo rằng bạn thực sự đã bị tấn công. Đôi khi, quản trị viên trang web hoảng loạn liên hệ với chúng tôi vì nghĩ rằng họ đã bị tấn công khi trang web của họ hoạt động không đúng, một bản cập nhật gặp trục trặc hoặc một số vấn đề khác đang xảy ra. Đôi khi chủ sở hữu trang web có thể thấy các nhận xét spam và không thể phân biệt được sự khác biệt giữa nhận xét đó và hack Trang web của bạn đã bị tấn công nếu
Wordfence phát hiện nhiều vấn đề trong số này cũng như những vấn đề khác mà tôi chưa đề cập ở đây, vì vậy hãy chú ý đến các cảnh báo của chúng tôi và phản hồi tương ứng Khi bạn đã chắc chắn rằng mình đã bị tấn công, hãy sao lưu trang web của bạn ngay lập tức. Sử dụng FTP, hệ thống sao lưu của nhà cung cấp dịch vụ lưu trữ hoặc plugin sao lưu để tải xuống bản sao toàn bộ trang web của bạn. Bạn phải làm điều này vì nhiều nhà cung cấp dịch vụ lưu trữ sẽ ngay lập tức xóa toàn bộ trang web của bạn nếu bạn báo cáo rằng nó đã bị tấn công hoặc nếu họ phát hiện nội dung độc hại. Nghe có vẻ điên rồ phải không? Đảm bảo bạn cũng sao lưu cơ sở dữ liệu trang web của mình. Sao lưu các tệp và cơ sở dữ liệu của bạn phải là ưu tiên hàng đầu của bạn. Hoàn thành việc này, sau đó bạn có thể chuyển sang bước tiếp theo là làm sạch trang web của mình một cách an toàn, thoải mái khi biết rằng ít nhất bạn có một bản sao của trang web bị tấn công và bạn sẽ không mất tất cả Dưới đây là các quy tắc của con đường khi làm sạch trang web của bạn
Coi chừng cài đặt và sao lưu WordPress cũ. Chúng tôi thường thấy các trang web bị nhiễm khi ai đó nói: “Nhưng tôi đã cập nhật trang web của mình và cài đặt plugin bảo mật, vậy tại sao tôi lại bị tấn công?” . Bản sao lưu này không được duy trì và mặc dù trang web chính của bạn được bảo mật nhưng kẻ tấn công có thể xâm nhập vào trang web cũ, lây nhiễm trang web đó và truy cập trang web chính của bạn từ cửa hậu mà chúng đã cài đặt. Vì vậy, đừng bao giờ để các cài đặt WordPress cũ nằm lung tung và nếu bạn bị hack, hãy kiểm tra chúng trước vì có khả năng chúng chứa đầy phần mềm độc hại Nếu bạn có quyền truy cập SSH vào máy chủ của mình, hãy đăng nhập và chạy lệnh sau để xem tất cả các tệp đã được sửa đổi trong 2 ngày qua. Lưu ý rằng dấu chấm cho biết thư mục hiện tại. Điều này sẽ khiến lệnh bên dưới tìm kiếm thư mục hiện tại và tất cả các thư mục con cho các tệp được sửa đổi gần đây. Để biết thư mục hiện tại của bạn là gì khi sử dụng SSH, hãy nhập 'pwd' không có dấu ngoặc kép và nhấn enter
Hoặc bạn có thể chỉ định một thư mục cụ thể
Hoặc bạn có thể thay đổi tìm kiếm để hiển thị các tệp đã sửa đổi trong 10 ngày qua
Chúng tôi khuyên bạn nên thực hiện tìm kiếm ở trên và tăng dần số ngày cho đến khi bạn bắt đầu thấy các tệp đã thay đổi. Nếu bạn chưa tự thay đổi bất cứ điều gì kể từ khi bị tấn công, rất có thể bạn sẽ thấy các tệp mà kẻ tấn công đã thay đổi. Sau đó, bạn có thể tự chỉnh sửa hoặc xóa chúng để sạch bản hack. Cho đến nay, đây là cách hiệu quả và đơn giản nhất để tìm ra tệp nào bị nhiễm và nó được sử dụng bởi mọi dịch vụ dọn dẹp trang web chuyên nghiệp Một công cụ hữu ích khác trong SSH là ‘grep’. Ví dụ: để tìm kiếm các tệp tham chiếu mã hóa base64 (thường được tin tặc sử dụng), bạn có thể chạy lệnh sau
Điều này sẽ chỉ liệt kê các tên tập tin. Bạn có thể bỏ qua tùy chọn 'l' để xem nội dung thực tế của tệp nơi xảy ra chuỗi base64
Hãy nhớ rằng “base64” cũng có thể xuất hiện trong mã hợp pháp. Trước khi xóa bất cứ thứ gì, bạn sẽ muốn đảm bảo rằng bạn không xóa một tệp đang được một chủ đề hoặc plugin trên trang web của bạn sử dụng. Một tìm kiếm tinh tế hơn có thể trông như thế này
Lệnh này sẽ đào qua tất cả các thư mục và thư mục con để tìm các tệp kết thúc bằng. php và tìm kiếm chúng cho chuỗi văn bản “base64_decode” và sẽ in bất kỳ kết quả nào nó tìm thấy bao gồm cả số dòng để bạn có thể dễ dàng tìm thấy vị trí xuất hiện trong mỗi tệp Bây giờ bạn đã biết cách sử dụng 'grep', chúng tôi khuyên bạn nên sử dụng grep kết hợp với 'find'. Những gì bạn nên làm là tìm các tệp đã được sửa đổi gần đây, xem những gì đã được sửa đổi trong tệp và nếu bạn tìm thấy một chuỗi văn bản phổ biến như “hacker xấu đã ở đây” thì bạn chỉ cần grep tất cả các tệp của mình cho văn bản đó như vậy
và điều đó sẽ hiển thị cho bạn tất cả các tệp bị nhiễm có chứa dòng chữ “hacker xấu đã ở đây”. Đừng quên dấu hoa thị (ngôi sao) ở cuối lệnh cuối cùng đó Đã nói với bạn rằng chúng ta có thể làm điều này. Tôi chắc chắn rằng tại thời điểm này, bạn cảm thấy bớt căng thẳng hơn rất nhiều về trang web bị tấn công của mình, giờ đây bạn đã có một số công cụ để sắp xếp các tệp độc hại khỏi bản cài đặt WordPress thông thường của mình Hãy đi sâu hơn nữa. Nếu bạn xóa nhiều trang web bị nhiễm, bạn sẽ bắt đầu nhận thấy các mẫu mã độc hại thường được tìm thấy. Một nơi như vậy là thư mục tải lên trong cài đặt WordPress. Lệnh bên dưới chỉ cho bạn cách tìm tất cả các tệp trong thư mục tải lên không phải là tệp hình ảnh. Đầu ra được lưu trong một tệp nhật ký có tên là “tải lên không nhị phân. log” trong thư mục hiện tại của bạn
Lưu ý đường dẫn thư mục ngay sau lệnh 'tìm' ở trên. Chúng tôi giả định rằng thư mục hiện tại của bạn là thư mục chính trên máy chủ web của bạn. Chúng tôi cũng giả định rằng trang web của bạn nằm trong public_html/ ngay ngoài đường dẫn thư mục chính đó. Hãy nhớ rằng, bạn có thể nhập 'pwd' để tìm thư mục bạn đang ở. Bạn cũng có thể nhập 'ls' để xem tất cả các tệp trong thư mục hiện tại của mình hoặc 'ls -la' cho các tệp trong thư mục hiện tại của bạn với nhiều dữ liệu hơn về từng tệp, chẳng hạn như quyền, chủ sở hữu và thời điểm tệp được sửa đổi lần cuối Sử dụng hai công cụ dòng lệnh đơn giản “grep” và “find”, bạn thường có thể dọn sạch toàn bộ trang web bị nhiễm. Làm thế nào là dễ dàng là. Tôi cá là bạn đã sẵn sàng bắt đầu công việc dọn dẹp trang web của riêng mình vào thời điểm này Bây giờ bạn đã có một số công cụ mạnh mẽ trong kho vũ khí của mình và bạn đã thực hiện một số thao tác dọn dẹp cơ bản, hãy khởi chạy Wordfence và chạy quét toàn bộ để dọn dẹp trang web của bạn. Bước này rất quan trọng vì Wordfence thực hiện một số tìm kiếm nhiễm trùng rất nâng cao. Ví dụ
Để xóa trang web bị tấn công của bạn bằng Wordfence
Nếu bạn vẫn cần trợ giúp, bạn có thể đăng ký Wordfence Care để được trợ giúp trong giờ làm việc thông thường hoặc Wordfence Response nếu bạn muốn dịch vụ 24 giờ với thời gian phản hồi 1 giờ Gửi email cho chúng tôi tại mẫu@wordfence. com và chúng tôi sẽ cho bạn biết. Nếu wp-config WordPress của bạn. php bị nhiễm thì đừng gửi bản sao của tệp đó cho chúng tôi mà không xóa thông tin đăng nhập cơ sở dữ liệu của bạn cũng như Khóa và muối duy nhất xác thực Nếu bạn không nhận được thư trả lời, hệ thống thư của bạn hoặc hệ thống thư của chúng tôi có thể đã loại bỏ thư vì nghĩ rằng đó là thư độc hại do tệp đính kèm của bạn. Vì vậy, vui lòng gửi email cho chúng tôi một tin nhắn không có tệp đính kèm để chúng tôi biết rằng bạn đang cố gửi cho chúng tôi thứ gì đó và chúng tôi sẽ làm việc với bạn để lấy mẫu Trung tâm học tập Wordfence có một loạt bài viết sẽ giúp bạn. Dưới đây là danh sách các bài báo sẽ giúp bạn với các loại nhiễm trùng cụ thể Bạn cần xóa trang web của mình khỏi danh sách Duyệt web an toàn của Google. Để làm được điều đó, bạn cần yêu cầu Google xem xét lại. Bạn có thể tìm thấy các bước chi tiết trên trang này trong tài liệu của Google về cách thực hiện việc này Ra khỏi danh sách Duyệt web an toàn của Google là một bước tiến lớn, nhưng bạn có thể có một số công việc phía trước. Bạn cần giữ một danh sách mọi sản phẩm chống vi-rút nói rằng trang web của bạn bị nhiễm. Điều này có thể bao gồm các sản phẩm như phần mềm chống vi-rút ESET, McAfee Webadvisor và các sản phẩm khác Truy cập trang web của từng nhà sản xuất phần mềm chống vi-rút và tìm hướng dẫn của họ để xóa trang web của bạn khỏi danh sách các trang web nguy hiểm của họ. Điều này thường được các nhà sản xuất phần mềm chống vi-rút gọi là "danh sách trắng", do đó, việc tìm kiếm trên Google các cụm từ như 'danh sách trắng', 'xóa trang web', 'dương tính giả' và tên sản phẩm thường sẽ dẫn bạn đến nơi bạn có thể xóa trang web của mình Truy cập URL sau và thay thế ví dụ. com với địa chỉ trang web của riêng bạn https. //báo cáo minh bạch. Google. com/safe-browsing/search?url=https. //thí dụ. com/ Bạn có thể bao gồm một thư mục con nếu trang web của bạn có một. Trang xuất hiện rất đơn giản nhưng chứa thông tin chi tiết về trạng thái hiện tại của trang web của bạn, lý do trang web được liệt kê trong danh sách duyệt web an toàn của Google và những việc cần làm tiếp theo Xin chúc mừng. Chắc chắn hãy mở đồ uống yêu thích của bạn và nhấp một ngụm dài. Bây giờ bạn cần đảm bảo rằng trang web của bạn không bị tấn công lần nữa. Đây là cách
Cảm ơn đã đọc nó, và tôi hy vọng nó đã giúp bạn. Nếu không, bạn có thể gắn thẻ @wordfence trên Twitter hoặc gắn thẻ trực tiếp cho tôi @mmaunder WordPress có dễ bị hack không?Giống như tất cả các trang web, các trang web WordPress được lưu trữ trên một máy chủ web. Một số công ty lưu trữ không bảo mật đúng nền tảng lưu trữ của họ. Điều này làm cho tất cả các trang web được lưu trữ trên máy chủ của họ dễ bị tấn công .
Tại sao ai đó cố gắng hack trang web WordPress của tôi?Thông thường, phần mềm lỗi thời có lỗ hổng . Vì vậy, khi quản trị viên WordPress sử dụng lõi, plugin, chủ đề và phần mềm khác đã lỗi thời, họ sẽ để lộ lỗ hổng bảo mật cho tin tặc khai thác. Thật không may, họ làm như vậy khá thường xuyên; .
Những bước bạn sẽ thực hiện nếu một trang web WordPress bị tấn công?Cách xóa phần mềm độc hại và xóa trang web WordPress bị tấn công . Bước 1 - Xác định Hack. 1. 1 Quét trang web WordPress của bạn. 1. 2 Kiểm tra tính toàn vẹn của tệp lõi. 1. 3 Kiểm tra các tệp đã sửa đổi gần đây. . Bước 2 - Hack sạch. 2. 1 tệp trang web bị tấn công sạch. 2. 2 Bảng cơ sở dữ liệu bị tấn công sạch. . Bước 3 - Đăng Hack. 3. 1 Cập nhật và Đặt lại. 3. 2 Thay đổi mật khẩu 2 dấu hiệu có thể cho thấy bạn đã bị hack là gì?Một số dấu hiệu cảnh báo rằng bạn đã bị tấn công bao gồm. Bạn nhận được email hoặc tin nhắn văn bản về các lần thử đăng nhập, đặt lại mật khẩu hoặc mã xác thực hai yếu tố (2FA) mà bạn không yêu cầu . Bạn thấy thông tin đăng nhập từ các thiết bị và vị trí mà bạn không nhận ra trong hoạt động tài khoản hoặc nhật ký đăng nhập của mình. |