如何在您的 WordPress 網站上掃描惡意軟件和後門

已發表: 2018-05-10
在 WordPress 網站上掃描惡意軟件和後門程序
關注@Cloudways

您在使用 WordPress 或WordPress 網站時是否遇到以下任何問題?

  • 儘管 Internet 連接良好,但您網站的速度還是很慢。
  • 將訪問者從您的網站重定向到另一個網站。
  • 顯示非法內容或破壞您的主頁。
  • 網站流量突然下降或激增。
  • 在瀏覽器中打開網站時經常崩潰。

如果在上面提到的任何一點,您的回答都是肯定的,則可能表明您的 WordPress 網站已被黑客入侵並註入了惡意軟件,也稱為Malware

惡意軟件是指各種形式的有害軟件,包括計算機病毒、勒索軟件和特洛伊木馬,用於破壞您的網站或未經授權訪問您的計算機文件夾。

近年來,惡意軟件已被用於破壞政府和企業網站並收集關鍵信息。 一種加密貨幣挖掘惡意軟件被用於破壞英國 5,000 多個政府網站 2014 年 9 月,惡意軟件影響了建築用品零售商 HomeDepot 的 POS 系統,並竊取了該公司 5,600 萬客戶的信用卡和借記卡信息。

除了感染惡意軟件,黑客還會在他們入侵的網站中插入後門。 它允許黑客通過利用其安全漏洞獲得對被黑網站的未經授權的遠程訪問。 它通過繞過訪問任何遠程系統(包括其數據庫和網站文件服務器)所需的標準身份驗證程序來實現這一點。 後門是低劣的黑客攻擊形式之一,因為它可以保持未被發現,並且即使在掃描和恢復被黑客入侵的 WordPress 網站後仍會繼續影響它們。

如何掃描惡意軟件和後門程序?

大多數黑客在以下 WordPress 文件和文件夾中添加和隱藏他們的惡意軟件和後門,即:

1. WordPress 插件和主題

黑客將他們的惡意軟件代碼存儲在過時的插件和主題中,因為大多數用戶不會查看它們。 如果您的 WordPress 主題目錄中有任何舊的或不活動的主題,建議您刪除或升級它們。 此外,大多數用戶不會使用所有預裝的 WordPress 插件,也不會更新它們。 因此,惡意軟件更容易逃脫由軟件升級引起的破壞。

掃描惡意軟件和後門

黑客知道,一旦您意識到您的網站被黑客入侵,您就會清理它。 因此,清理後需要一個後門才能進入您的網站。 有時,黑客會將惡意軟件偽裝成插件。 這就是為什麼不時檢查已安裝的插件是個好主意的原因。 如果您看到尚未安裝的插件,則可能是惡意軟件被用作後門進入您的 WordPress 網站。

2. 上傳目錄

作為 WordPress 用戶,您可以使用 Uploads 目錄上傳要在帖子或網絡文章中使用的圖像。 如果uploads 目錄包含數千個媒體文件,黑客會發現很容易在此文件夾中上傳和隱藏他們的後門。 此外,Uploads 目錄是可寫的,因此很容易成為黑客的目標。

3. eval、 base64_decodepreg_replace等函數,位於wp-config.php文件中

wp-config.php 文件是黑客用來插入惡意軟件代碼的最常見文件之一。

4. .htaccess 文件和 wp-includes 目錄

wp-includes 目錄是黑客攻擊的另一個常見文件夾,他們大多在此文件夾中留下多個後門以方便訪問。

主要有兩種類型的掃描方法,可用於定位計算機上的惡意軟件和後門程序:

  • 手動掃描
  • 自動掃描

查看最佳 WordPress 反惡意軟件插件列表

手動掃描 - 需要注意什麼

手動掃描程序的第一步是查找位於 wp-includes、wp-admin 和其他根文件夾中的核心 WordPress 文件的完整性。 您還可以刪除任何未使用或不活動的 WordPress 插件或主題。

被入侵網站的典型標誌是找到諸如 eval、base64_decode 之類的代碼。 網站所有者只需查找它們即可驗證網站是否已被黑客入侵。 但這些也被 WordPress 插件用作其常規代碼的一部分。 因此,使用手動掃描極難分析代碼是乾淨的還是惡意的。

此外,黑客足夠聰明,可以使用不同的代碼組合和其他方法來防止惡意代碼的輕鬆檢測。

您還可以使用手動掃描來查找最近在網站被黑客入侵時修改過的任何文件。 您可以通過完成以下說明來完成此操作:

  1. 通過 SSH 終端或 FTP 客戶端登錄您的 WP 服務器
  2. 使用 SSH 終端,通過運行以下命令查找最近修改的文件列表:$ find。 / -type f -mtime -15
  3. 如果您使用的是 FTP,請查看在服務器上修改文件的最後日期。 雖然最後修改日期是數據是否被黑客入侵的一個很好的指標,但它可能會產生誤導,因為大多數黑客可以重置受感染文件的日期和時間戳。

由於上述限制,實施手動掃描,尤其是檢測後門,可能不是網站所有者的最佳選擇。 過去,當大多數黑客將惡意軟件插入選定的文件夾和文件時,手動掃描方法非常有效。 大多數手動掃描將能夠檢測到文件之間的任何不匹配並報告相同的情況。

自動掃描 - 您應該知道的

當今聰明的黑客開發了更複雜的技術,可以在 WordPress 站點的任何位置插入無法檢測的惡意軟件代碼。 他們還可能添加包含惡意代碼但以任何插件文件名命名的其他文件,例如 Adm1n.php 或 Hell0.php。 這需要部署自動掃描方法,這些方法在檢測和修復惡意軟件和後門代碼方面更有效。

大多數可用的自動掃描程序使用以下惡意軟件檢測技術:

1. 基於簽名的掃描

這是識別惡意軟件的最常見和最有效的方法。 大多數惡意軟件代碼包含一系列指令,供計算機執行以操作病毒。 通常稱為病毒簽名,基於簽名的掃描程序會在文件中查找這些簽名模式,如果找到,則將其標記為受感染。

請記住:在基於簽名的掃描的典型限制中,它不適用於所有類型的計算機病毒,尤其是那些簽名模式在可用簽名數據庫中不可用的未知病毒。

2. 基於插件的掃描

由於大多數惡意軟件代碼都插入到 WordPress 插件和主題中,因此基於插件的掃描儀可用於每天掃描和檢測 WordPress 插件和主題中的任何惡意代碼。 它們中的大多數還具有病毒警報機制,以通知您任何惡意軟件條目。

請記住:基於插件的掃描程序的一個重要限制是它們只能掃描當前安裝的 WP 插件和主題中的惡意軟件。 不檢查未使用或不活動的插件和主題; 因此,這種技術只有在您從 WordPress 安裝中刪除了所有非活動插件和主題時才有效。

此外,還有惡意軟件掃描程序,它僅通過比較文件更改並在檢測到不匹配時發出病毒警報來檢查核心 WordPress 文件的文件完整性。

深度惡意軟件掃描程序(例如 MalCare)對於檢測惡意軟件和後門非常有用,因為它們會對您的整個 WordPress 安裝進行深入掃描,並確保您的系統中沒有隱藏的可導致安全相關問題的討厭代碼。

在使用深度惡意軟件掃描程序之前,您必須確保記住並遵循以下關鍵點:

  1. 某些惡意軟件代碼可能需要反复掃描才能從您的系統中完全刪除。
  2. 確保在啟動深度掃描儀之前備份當前數據。 除有害的惡意軟件和病毒外,惡意軟件清除工具可能會導致某些數據丟失或操作系統損壞。 儘管這種情況很少見,但請確保在啟動深度掃描儀之前備份所有重要信息。

結論

沒有任何 WordPress 託管的網站可以完全避免被專業黑客入侵。 但是,您可以通過遵循 WordPress 網站的所有最佳安全實踐來減少安全威脅。

如果您的網站不幸遭到黑客入侵,有一些技術工具可以幫助檢測和修復您的受感染網站。 值得注意的是,儘管具有強大的功能,但沒有任何惡意軟件掃描工具可以被評為足以處理所有類型的惡意軟件和後門感染。 因此,建議遵循“預防”而不是“治愈”的政策。

免責聲明:這是MalCare的客座帖子。 此處表達的觀點和想法是作者自己的,絕不反映 Cloudways 的立場。