WordPress bị tấn công? Mười bước để sửa chữa blog của bạn

WordPress bị hỏng

Một người bạn tốt của tôi gần đây đã bị tấn công blog WordPress của anh ấy. Đó là một cuộc tấn công khá ác ý có thể ảnh hưởng đến xếp hạng tìm kiếm của anh ấy và tất nhiên, động lực của anh ấy trong lưu lượng truy cập. Đó là một trong những lý do tại sao tôi khuyên các công ty lớn nên sử dụng nền tảng blog của công ty như Toát yếu - nơi có một nhóm giám sát đang tìm kiếm bạn. (Tiết lộ: Tôi là một cổ đông)

Các công ty không hiểu tại sao họ lại trả tiền cho một nền tảng như Compendium ... cho đến khi họ thuê tôi làm việc cả đêm để sửa chữa tự do Blog WordPress! (FYI: WordPress cũng cung cấp một Phiên bản VIP và Bàn di chuột cũng cung cấp phiên bản kinh doanh. )

Đối với những người bạn không đủ tiền mua một nền tảng blog với các dịch vụ mà họ cung cấp, đây là lời khuyên của tôi về những việc cần làm nếu WordPress bị tấn công:

  1. Bình tĩnh! Đừng bắt đầu xóa mọi thứ và cài đặt tất cả các loại tào lao hứa hẹn sẽ dọn dẹp cài đặt của bạn. Bạn không biết ai đã viết nó và có hay không nó chỉ đơn giản là thêm nhiều thứ tào lao độc hại vào blog của bạn. Hãy hít thở sâu, tra cứu bài đăng trên blog này và chậm rãi và có chủ ý đi xuống danh sách kiểm tra.
  2. Gỡ blog xuống. Ngay. Cách dễ nhất để làm điều này với WordPress là đổi tên tệp index.php của bạn trong thư mục gốc của bạn. Chỉ tạo một trang index.html thôi là chưa đủ… bạn cần phải tạm dừng tất cả lưu lượng truy cập vào bất kỳ trang nào trong blog của mình. Ở vị trí của trang index.php, hãy tải lên một tệp văn bản cho biết bạn đang ngoại tuyến để bảo trì và sẽ sớm hoạt động trở lại. Lý do bạn cần gỡ blog xuống là vì hầu hết các vụ hack này không được thực hiện bằng tay, chúng được thực hiện thông qua các đoạn mã độc hại tự đính kèm vào mọi tệp có thể ghi trong cài đặt của bạn. Một người nào đó truy cập trang nội bộ của blog của bạn có thể lây nhiễm lại các tệp bạn đang sửa chữa.
  3. Sao lưu blog của bạn. Không chỉ sao lưu các tệp của bạn mà còn sao lưu cơ sở dữ liệu của bạn. Lưu trữ nó ở một nơi đặc biệt trong trường hợp bạn cần tham khảo một số tệp hoặc thông tin.
  4. Xóa tất cả các chủ đề. Chủ đề là một phương tiện dễ dàng để tin tặc viết kịch bản và chèn mã vào blog của bạn. Hầu hết các chủ đề cũng được viết kém bởi các nhà thiết kế không hiểu các sắc thái của việc bảo mật các trang, mã của bạn hoặc cơ sở dữ liệu của bạn.
  5. Xóa tất cả các plugin. Plugin là phương tiện dễ dàng nhất để hacker viết mã và chèn mã vào blog của bạn. Hầu hết các plugin được viết kém bởi các nhà phát triển hack không hiểu các sắc thái của việc bảo mật các trang, mã của bạn hoặc cơ sở dữ liệu của bạn. Sau khi tin tặc tìm thấy tệp có cổng, chúng chỉ cần triển khai trình thu thập thông tin để tìm kiếm các trang web khác cho các tệp đó.
  6. Cài đặt lại WordPress. Khi tôi nói cài đặt lại WordPress, ý tôi là nó - bao gồm cả chủ đề của bạn. Đừng quên wp-config.php, một tệp không bị ghi đè khi bạn sao chép qua WordPress. Trong blog này, tôi thấy tập lệnh độc hại được viết trong Base 64 nên nó trông giống như một khối văn bản và nó được chèn vào tiêu đề của mỗi trang, bao gồm cả wp-config.php.
  7. Xem lại Cơ sở dữ liệu của bạn. Bạn sẽ muốn đặc biệt xem lại bảng tùy chọn và bảng bài đăng của mình - tìm kiếm bất kỳ nội dung hoặc tài liệu tham khảo lạ bên ngoài nào. Nếu bạn chưa từng xem cơ sở dữ liệu của mình trước đây, hãy chuẩn bị tìm PHPMyAdmin hoặc một trình quản lý truy vấn cơ sở dữ liệu khác trong bảng quản lý máy chủ của bạn. Nó không vui - nhưng đó là điều bắt buộc.
  8. Khởi động WordPress với chủ đề mặc định và không có plugin nào được cài đặt. Nếu nội dung của bạn xuất hiện và bạn không thấy bất kỳ chuyển hướng tự động nào đến các trang web độc hại, có thể bạn vẫn ổn. Nếu bạn nhận được chuyển hướng đến một trang web độc hại, có thể bạn sẽ muốn xóa bộ nhớ cache của mình để đảm bảo bạn đang làm việc từ bản sao mới nhất của trang. Bạn có thể cần xem qua bản ghi cơ sở dữ liệu của mình theo từng bản ghi để cố gắng xác định bất kỳ nội dung nào có thể ở đó đang mở đường vào blog của bạn. Rất có thể cơ sở dữ liệu của bạn đã sạch… nhưng bạn không bao giờ biết!
  9. Cài đặt chủ đề của bạn. Nếu mã độc được sao chép, có thể bạn sẽ có một chủ đề bị nhiễm. Bạn có thể cần xem từng dòng một qua chủ đề của mình để đảm bảo không có mã độc hại. Bạn có thể tốt hơn nếu chỉ bắt đầu mới. Mở blog lên một bài đăng và xem liệu bạn có còn bị nhiễm hay không.
  10. Cài đặt plugin của bạn. Trước tiên, bạn có thể muốn sử dụng một plugin, chẳng hạn như Tùy chọn sạch trước tiên, để xóa bất kỳ tùy chọn bổ sung nào khỏi các plugin mà bạn không còn sử dụng hoặc không muốn nữa. Tuy nhiên, đừng phát điên lên, plugin này không phải là tốt nhất… nó thường hiển thị và cho phép bạn xóa các cài đặt mà bạn muốn giữ. Tải xuống tất cả các plugin của bạn từ WordPress. Chạy lại blog của bạn!

Nếu bạn thấy sự cố quay trở lại, rất có thể bạn đã cài đặt lại plugin hoặc chủ đề dễ bị tấn công. Nếu sự cố không bao giờ thuyên giảm, có thể bạn đã thử sử dụng một vài phím tắt để khắc phục những sự cố này. Đừng đi đường tắt.

Những tin tặc này là những người khó chịu! Việc không hiểu rõ mọi plugin và tệp chủ đề đều khiến chúng ta gặp rủi ro, vì vậy hãy cảnh giác. Cài đặt các plugin có xếp hạng tuyệt vời, nhiều lượt cài đặt và kỷ lục lượt tải xuống tuyệt vời. Đọc các bình luận mà mọi người đã liên kết với họ.

15 Comments

  1. 1

    Cảm ơn những lời khuyên bạn đã đề cập ở đây. Tôi muốn hỏi điều gì sẽ xảy ra nếu tin tặc chỉ thay đổi mật khẩu trang web của bạn. Bạn thậm chí không thể kết nối với thư mục wordpress qua FTP.

  2. 2

    Chào công nghệ,

    Tôi cũng đã từng xảy ra chuyện này. Cách dễ nhất để xử lý là mở cơ sở dữ liệu và chỉnh sửa địa chỉ email quản trị của bạn. Thay đổi địa chỉ email trở lại địa chỉ của bạn và sau đó đặt lại mật khẩu. Sau đó, thiết lập lại quản trị viên sẽ được gửi đến địa chỉ email của bạn thay vì tin tặc - và sau đó bạn có thể khóa chúng lại.

    Doug

  3. 3
  4. 4
  5. 5

    Chào,

    Tôi vừa nhận được blog của bạn trong khi tìm kiếm để khắc phục sự cố tấn công trang web của tôi. Trang web của tôi - http://www.namaskarkolkata.com. đột nhiên sáng hôm nay tôi nhận thấy trang web Palestine Hacker - !! HacKed bởi T3eS !! . bạn có thể vui lòng xem - làm thế nào tôi có thể sửa chữa nó. Họ đã thay đổi tên người dùng và mật khẩu quản trị viên WordPress của tôi và cũng như trong khi tôi đang cố gắng khôi phục thông qua email của mình - nó cũng đã biến mất. Tôi đang cảm thấy bất lực. Xin vui lòng hướng dẫn cho tôi.

    Cảm ơn nhiều,

    Bidyut

    • 6

      Bidyut,

      Thực ra có một cách dễ dàng để kiểm soát ngược lại. Bằng cách sử dụng một chương trình như phpMyAdmin được tải trên hầu hết các trang web, bạn có thể truy cập bảng wp_users và thay đổi địa chỉ email của quản trị viên lại cho bạn. Tại thời điểm đó, bạn có thể thực hiện 'quên mật khẩu' tại màn hình đăng nhập và đặt lại mật khẩu.

      Doug

      • 7

        Xin chào Doug - cảm ơn vì sự sửa chữa nhanh chóng này… ước gì tôi biết về điều này 2 tuần trước khi một trong các trang web của tôi bị tấn công… hỗ trợ lưu trữ gần như vô dụng và tôi phải hủy toàn bộ trang web và bắt đầu lại! Cảm ơn bạn, tôi sẽ không phải trải qua nỗi đau đó một lần nữa trên trang web mới nhất của tôi đã bị tấn công. Bất kỳ đề xuất để bảo vệ tin tặc? - biết ơn, Dee

        • 8

          Xin chào Dee - có một số plugin chặn mọi chỉnh sửa đối với các tệp chủ đề của bạn. WordPress Firewall 2 là một trong số đó. Nó sẽ không cập nhật tệp chủ đề mà không có sự cho phép của bạn. Đó là một chút đau đớn cho một người luôn luôn 'chỉnh sửa' như tôi, nhưng nó có lẽ là một plugin tuyệt vời cho một người không muốn mạo hiểm với bất kỳ ai hoặc bất kỳ tập lệnh nào vào đó và tấn công trang web của bạn!
          http://matthewpavkov.com/wordpress-plugins/wordpress-firewall-2.html

      • 9

        Xin chào Doug - cảm ơn vì sự sửa chữa nhanh chóng này… ước gì tôi biết về điều này 2 tuần trước khi một trong các trang web của tôi bị tấn công… hỗ trợ lưu trữ gần như vô dụng và tôi phải hủy toàn bộ trang web và bắt đầu lại! Cảm ơn bạn, tôi sẽ không phải trải qua nỗi đau đó một lần nữa trên trang web mới nhất của tôi đã bị tấn công. Bất kỳ đề xuất để bảo vệ tin tặc? - biết ơn, Dee

  6. 10

    Xin chào, cảm ơn cho bài viết của bạn. Trang web của tôi đã bị tấn công, và cho đến nay tất cả những gì đã xảy ra là họ đã thêm người dùng WP và đăng ba bài đăng trên blog. Máy chủ lưu trữ web của tôi nghĩ rằng đó chỉ là một “bot” vi phạm mật khẩu WP của tôi, nhưng tôi hơi lo lắng. Tôi đã thay đổi tất cả mật khẩu của mình, thêm mật khẩu bảo vệ trong trình chỉnh sửa .htaccess, sao lưu các tệp WP, cài đặt chủ đề và cơ sở dữ liệu của tôi và đưa trang web vào bảo trì-Tất cả để chuẩn bị cài đặt lại WP và chủ đề của tôi. Tuy nhiên, đây là một công cụ khó khăn cho một người mới. Tôi hơi bối rối về cách cài đặt lại WP và chủ đề của mình một cách sạch sẽ- để không còn tệp cũ nào trên máy chủ ftp của tôi. Tôi cũng bối rối về việc xem xét cơ sở dữ liệu của mình, xem xét tất cả các bảng của tôi trong phpMYadmin- Làm thế nào tôi thậm chí có thể nhận ra mã độc hại? vấn đề đáng lo ngại nhất là tôi luôn cập nhật tất cả các plug-in và WP của mình hàng tuần. Cảm ơn bạn đã giúp làm rõ tất cả những điều này!

    • 11

      Hầu hết thời gian, các tệp trong nội dung wp thường bị tấn công. Tệp wp-config.php của bạn có thông tin đăng nhập của bạn và thư mục wp-content có chủ đề và plugin của bạn. Tôi sẽ thử tải xuống bản cài đặt WordPress mới và sao chép mọi thứ trừ thư mục wp-content. Sau đó, bạn sẽ muốn đặt thông tin đăng nhập trong tệp wp-config.php mới (tôi sẽ không sử dụng tệp cũ). Sau đó, tôi sẽ rất thận trọng khi sử dụng cùng một chủ đề và các plugin… nếu một trong số chúng bị tấn công, chúng có thể lây lan vấn đề cho tất cả chúng.

      Mã độc hại thường được sao chép vào mọi tệp và sử dụng các thuật ngữ như eval hoặc base64_decode… chúng mã hóa mã và sử dụng các chức năng đó để giải mã.

      Khi trang web của bạn đã được sao lưu tất cả, bạn cũng có thể cài đặt một plugin quét sẽ phát hiện xem có bất kỳ tệp gốc nào bị thay đổi hay không, chẳng hạn như: http://wordpress.org/extend/plugins/wp-security-scan/

  7. 12

    Chào Doug! Tôi nghĩ rằng blog của tôi đã bị tấn công. Tôi có quyền kiểm soát nó nhưng nếu tôi muốn chia sẻ url bài đăng trên LinkedIn, tiêu đề sẽ hiển thị hãy mua z…. (một loại thuốc) và tôi không biết phải làm gì hoặc làm thế nào để khắc phục nó. Tôi chắc chắn cảm thấy hơi bất an khi gỡ toàn bộ blog của mình xuống… nó rất lớn !!! Điều gì sẽ xảy ra nếu tôi cài đặt wordpress mới trên một thư mục khác và sau đó thêm chủ đề, kiểm tra nó và kiểm tra các plugin, sau đó di chuyển tất cả nội dung và xóa thư mục gốc? Điều này sẽ hoạt động? url blog của tôi là hispanic-marketing.com (trong trường hợp bạn muốn xem qua) cảm ơn bạn rất nhiều !!!

    • 13

      Chào Claudia,

      Tôi không thấy bất kỳ bằng chứng nào về việc trang web của bạn bị tấn công. Thông thường, khi trang web của bạn bị tấn công, chủ đề của bạn đã bị xâm phạm, vì vậy việc cài đặt lại WordPress thực sự không giúp ích gì cả.

      Doug

  8. 14

    WordPress VIP có loại hỗ trợ này nhưng nó dành cho các ngành công nghiệp lớn. Nhưng họ cũng có một sản phẩm mang tên VaultPress không quá đắt và có hỗ trợ. Không có cái gọi là hỗ trợ công nghệ “WordPress”. Lời khuyên của tôi là lưu trữ trang web của bạn tại WPEngine - https://martech.zone/wpe - chúng có hỗ trợ vượt trội, sao lưu tự động, giám sát bảo mật, v.v. Và chúng siêu nhanh! Chúng tôi là một chi nhánh và trang web của chúng tôi được lưu trữ trên họ!

  9. 15

    Này Douglas, tôi muốn thêm vào danh sách của bạn với tư cách # 11. Bạn cũng cần gửi lại trang web trong Công cụ quản trị trang web của Google để họ có thể thu thập lại thông tin và cung cấp thông tin rõ ràng. Điều này thường chỉ mất 24 giờ hiện tại, ngắn hơn rất nhiều so với trước đây. Trong đó phải mất một tuần để thu thập lại dữ liệu.

Bạn nghĩ gì?

Trang web này sử dụng Akismet để giảm spam. Tìm hiểu cách xử lý dữ liệu nhận xét của bạn.