如何在您的 WordPress 网站上扫描恶意软件和后门

已发表: 2018-05-10
在 WordPress 网站上扫描恶意软件和后门程序
关注@Cloudways

您在使用 WordPress 或WordPress 网站时是否遇到以下任何问题?

  • 尽管 Internet 连接良好,但您网站的速度还是很慢。
  • 将访问者从您的网站重定向到另一个网站。
  • 显示非法内容或破坏您的主页。
  • 网站流量突然下降或激增。
  • 在浏览器中打开网站时经常崩溃。

如果在上面提到的任何一点,您的回答都是肯定的,则可能表明您的 WordPress 网站已被黑客入侵并注入了恶意软件,也称为Malware

恶意软件是指各种形式的有害软件,包括计算机病毒、勒索软件和特洛伊木马,用于破坏您的网站或未经授权访问您的计算机文件夹。

近年来,恶意软件已被用于破坏政府和企业网站并收集关键信息。 加密货币挖掘恶意软件被用于破坏英国 5,000 多个政府网站 2014 年 9 月,恶意软件影响了建筑用品零售商 HomeDepot 的 POS 系统,并窃取了该公司 5,600 万客户的信用卡和借记卡信息。

除了感染恶意软件,黑客还会在他们入侵的网站中插入后门。 它允许黑客通过利用其安全漏洞获得对被黑网站的未经授权的远程访问。 它通过绕过访问任何远程系统(包括其数据库和网站文件服务器)所需的标准身份验证程序来实现这一点。 后门是低劣的黑客攻击形式之一,因为它可以保持未被发现,并且即使在扫描和恢复被黑客入侵的 WordPress 网站后仍会继续影响它们。

如何扫描恶意软件和后门程序?

大多数黑客在以下 WordPress 文件和文件夹中添加和隐藏他们的恶意软件和后门,即:

1. WordPress 插件和主题

黑客将他们的恶意软件代码存储在过时的插件和主题中,因为大多数用户不会查看它们。 如果您的 WordPress 主题目录中有任何旧的或不活动的主题,建议您删除或升级它们。 此外,大多数用户不会使用所有预装的 WordPress 插件,也不会更新它们。 因此,恶意软件更容易逃脱由软件升级引起的破坏。

扫描恶意软件和后门

黑客知道,一旦您意识到您的网站被黑了,您就会清理它。 因此,清理后需要一个后门才能进入您的网站。 有时,黑客会将恶意软件伪装成插件。 这就是为什么不时检查已安装的插件是个好主意的原因。 如果您看到尚未安装的插件,则可能是恶意软件被用作后门进入您的 WordPress 网站。

2. 上传目录

作为 WordPress 用户,您可以使用 Uploads 目录上传要在帖子或网络文章中使用的图像。 如果uploads 目录包含数千个媒体文件,黑客会发现很容易在此文件夹中上传和隐藏他们的后门。 此外,Uploads 目录是可写的,因此很容易成为黑客的目标。

3. eval、 base64_decodepreg_replace等函数,位于wp-config.php文件中

wp-config.php 文件是黑客用来插入恶意软件代码的最常见文件之一。

4. .htaccess 文件和 wp-includes 目录

wp-includes 目录是黑客攻击的另一个常见文件夹,他们大多在此文件夹中留下多个后门以方便访问。

主要有两种类型的扫描方法,可用于定位计算机上的恶意软件和后门程序:

  • 手动扫描
  • 自动扫描

查看最佳 WordPress 反恶意软件插件列表

手动扫描 - 需要注意什么

手动扫描程序的第一步是查找位于 wp-includes、wp-admin 和其他根文件夹中的核心 WordPress 文件的完整性。 您还可以删除任何未使用或不活动的 WordPress 插件或主题。

被入侵网站的典型标志是找到诸如 eval、base64_decode 之类的代码。 网站所有者只需查找它们即可验证网站是否已被黑客入侵。 但这些也被 WordPress 插件用作其常规代码的一部分。 因此,使用手动扫描极难分析代码是干净的还是恶意的。

此外,黑客足够聪明,可以使用不同的代码组合和其他方法来防止恶意代码的轻松检测。

您还可以使用手动扫描来查找最近在网站被黑客入侵时修改过的任何文件。 您可以通过完成以下说明来完成此操作:

  1. 通过 SSH 终端或 FTP 客户端登录您的 WP 服务器
  2. 使用 SSH 终端,通过运行以下命令查找最近修改的文件列表:$ find。 / -type f -mtime -15
  3. 如果您使用的是 FTP,请查看在服务器上修改文件的最后日期。 虽然最后修改日期是数据是否被黑客入侵的一个很好的指标,但它可能会产生误导,因为大多数黑客可以重置受感染文件的日期和时间戳。

由于上述限制,实施手动扫描,尤其是检测后门,​​可能不是网站所有者的最佳选择。 过去,当大多数黑客将恶意软件插入选定的文件夹和文件时,手动扫描方法非常有效。 大多数手动扫描将能够检测到文件之间的任何不匹配并报告相同的情况。

自动扫描 - 您应该知道的

当今聪明的黑客开发了更复杂的技术,可以在 WordPress 站点的任何位置插入无法检测的恶意软件代码。 他们还可能添加包含恶意代码但以任何插件文件名命名的其他文件,例如 Adm1n.php 或 Hell0.php。 这需要部署自动扫描方法,这些方法在检测和修复恶意软件和后门代码方面更有效。

大多数可用的自动扫描程序使用以下恶意软件检测技术:

1. 基于签名的扫描

这是识别恶意软件的最常见和最有效的方法。 大多数恶意软件代码包含一系列指令,供计算机执行以操作病毒。 通常称为病毒签名,基于签名的扫描程序会在文件中查找这些签名模式,如果找到,则将其标记为受感染。

请记住:在基于签名的扫描的典型限制中,它不适用于所有类型的计算机病毒,尤其是那些签名模式在可用签名数据库中不可用的未知病毒。

2. 基于插件的扫描

由于大多数恶意软件代码都插入到 WordPress 插件和主题中,因此基于插件的扫描仪可用于每天扫描和检测 WordPress 插件和主题中的任何恶意代码。 它们中的大多数还具有病毒警报机制,以通知您任何恶意软件条目。

请记住:基于插件的扫描程序的一个重要限制是它们只能扫描当前安装的 WP 插件和主题中的恶意软件。 不检查未使用或不活动的插件和主题; 因此,这种技术只有在您从 WordPress 安装中删除了所有非活动插件和主题时才有效。

此外,还有恶意软件扫描程序,它仅通过比较文件更改并在检测到不匹配时发出病毒警报来检查核心 WordPress 文件的文件完整性。

深度恶意软件扫描程序(例如 MalCare)对于检测恶意软件和后门非常有用,因为它们会对您的整个 WordPress 安装进行深入扫描,并确保您的系统中没有隐藏的可导致安全相关问题的讨厌代码。

在使用深度恶意软件扫描程序之前,您必须确保记住并遵循以下关键点:

  1. 某些恶意软件代码可能需要反复扫描才能从您的系统中完全删除。
  2. 确保在启动深度扫描仪之前备份当前数据。 除有害的恶意软件和病毒外,恶意软件清除工具可能会导致某些数据丢失或操作系统损坏。 尽管这种情况很少见,但请确保在启动深度扫描仪之前备份所有重要信息。

结论

没有任何 WordPress 托管的网站可以完全避免被专业黑客入侵。 但是,您可以通过遵循 WordPress 网站的所有最佳安全实践来减少安全威胁。

如果您的网站不幸遭到黑客入侵,有一些技术工具可以帮助检测和修复您的受感染网站。 值得注意的是,尽管具有强大的功能,但没有任何恶意软件扫描工具可以被评为足以处理所有类型的恶意软件和后门感染。 因此,建议遵循“预防”而不是“治愈”的政策。

免责声明:这是MalCare的客座帖子。 此处表达的观点和想法是作者自己的,绝不反映 Cloudways 的立场。