遭受黑客攻击可能是您在线之旅中令人沮丧的经历之一。然而,像大多数事情一样,采取务实的方法可以帮助您保持理智。同时也以尽可能小的影响来解决问题。
黑客攻击是一个非常模糊的术语,它本身并不能帮助我们了解到底发生了什么。为了确保您通过论坛获得所需的帮助,请务必了解导致您相信自己已被黑客攻击的具体症状。这些也称为妥协指标 (IoC)。
一些 IoC 是黑客攻击的明显指标,包括:
- 网站被Google、Bing等列入黑名单。
- 主机已禁用您的网站
- 网站已被标记为传播恶意软件
- 读者抱怨他们的桌面反病毒软件正在标记您的网站
- 联系您的网站正被用来攻击其他网站
- 注意未经授权的行为(即创建新用户等……)
- 当您在浏览器中打开您的网站时,可以明显看到您的网站已被黑客入侵
并非所有黑客都是一样的,因此在参与论坛时请记住这一点。如果您能够更好地了解症状,团队将能够更好地提供帮助。
下面您将看到一系列旨在帮助您开始完成黑客攻击后流程的步骤。它们并不包罗万象,因为考虑到每种情况是不切实际的,但它们旨在帮助您思考整个过程。
需要采取的一些步骤
保持冷静。
在解决安全问题时,作为网站所有者,您可能会承受过度的压力。这通常是您自上线以来发现的脆弱的情况,并且与每个人告诉您的相反,“嘿,WordPress 很简单!”
好消息是一切并没有失去!是的,您可能会损失一些钱。是的,您的品牌可能会受到打击。是的,你会从中恢复过来。
所以,是的,退后一步,让自己平静下来。这样做将使您能够更有效地控制局势并恢复在线状态。
文档。
入侵后您应该采取的第一个可行步骤是记录。花点时间记录您所经历的事情,如果可能的话,记录几次。您需要记住以下几点:
- 您看到什么让您相信自己被黑客入侵了?
- 您什么时候注意到这个问题的?什么时区?
- 您近采取了哪些行动?是否安装了新插件?您更改了主题吗?修改小部件?
您正在为被识别为事件报告的内容创建基线。无论您是计划自己执行事件响应,还是聘请专业组织,随着时间的推移,该文档都将证明是非常宝贵的。
建议花点时间注释您的主机环境的详细信息。在事件响应过程中的某个时刻将需要它。
扫描您的网站。
扫描您的网站时,您有几种不同的方法可以执行此操作,您可以使用外部远程扫描仪或应用程序级扫描仪。每个都旨在查看和报告不同的事物。没有任何一种解决方案是好的方法,但在一起可以大大提高你的胜算。
基于应用程序的扫描仪(插件):
基于远程的扫描仪(爬虫):
WP 存储库中还提供了许多其他相关的安全插件。上面注释的这些已经存在很长时间了,并且每个背后都有强大的社区。
扫描您的本地环境。
除了扫描您的网站之外,您还应该开始扫描您的本地环境。在许多情况下,攻击/感染源始于您的本地机器(即笔记本电脑、台式机等)。攻击者在本地运行木马,允许他们嗅探 FTP 和 /wp-admin 等的登录访问信息,从而允许他们以站点所有者的身份登录。
确保在本地计算机上运行完整的防病毒/恶意软件扫描。有些病毒擅长检测反病毒软件并隐藏它们。所以也许尝试一种不同的。此建议适用于 Windows、OS X 和 Linux 计算机。
请咨询您的托管提供商。
黑客攻击可能不仅仅影响您的网站,特别是如果您使用共享主机。值得与您的托管提供商核实,看看他们是否正在采取措施或需要采取措施。例如,您的托管提供商还可能能够确认黑客攻击是否是真正的黑客攻击或服务丢失。
如今,黑客攻击的一个非常严重的影响是电子邮件黑名单。这种情况似乎越来越多地发生。由于网站被滥用来发送垃圾邮件,电子邮件黑名单当局正在标记网站 IP,而这些 IP 通常与用于电子邮件的同一服务器相关联。当涉及到您的业务需求时,您能做的好的事情就是查看Google Apps等电子邮件提供商。
注意网站黑名单。
Google 黑名单问题可能会损害您的品牌。目前,他们每天将 9,500 至 10,000 个网站列入黑名单。这个数字每天都在增长。警告有多种形式,从警告用户远离的大型启动页面,到搜索引擎结果页面 (SERP) 中弹出的更微妙的警告。
尽管 Google 是突出的实体之一,但还有许多其他黑名单实体,例如 Bing、Yahoo 和各种桌面防病毒应用程序。了解您的客户/网站访问者可能会利用任意数量的工具,其中任何一种工具都可能导致问题。
建议您使用各种在线网站管理员控制台注册您的网站,例如:
改善您的访问控制。
您经常会听到人们谈论更新密码等内容。是的,这是一个非常重要的部分,但它只是一个更大问题中的一小部分。我们需要改善访问控制方面的整体状况。这意味着对于初学者来说,使用复杂、长且的密码。好的建议是使用密码生成器,例如1Password和LastPass等应用程序中的密码生成器。
请记住,这包括更改所有接入点。当我们说访问点时,我们指的是 FTP / SFTP、WP-ADMIN、CPANEL(或您与主机一起使用的任何其他管理员面板)和 MYSQL 等。
这也超出了您的用户范围,并且必须包括有权访问该环境的所有用户。
还建议考虑使用某种形式的双因素/多因素身份验证系统。在其基本的形式中,它在登录 WordPress 实例时引入并需要第二种形式的身份验证。
一些可帮助您完成此操作的插件包括:
重置所有访问权限。
一旦发现黑客行为,您要做的第一步就是锁定事物,以便大限度地减少任何额外的更改。首先从您的用户开始。您可以通过强制所有用户(尤其是管理员)重置全局密码来实现此目的。
这是一个可以帮助完成此步骤的插件:
您还需要清除可能主动登录 WordPress 的所有用户。您可以通过更新 wp-config 中的密钥来完成此操作。您需要在此处创建一个新集:WordPress 密钥生成器。获取这些值,然后用新值覆盖 wp-config.php 文件中的值。这将迫使任何可能仍处于登录状态的人退出。
创建备份。
您希望拥有网站的备份,但如果没有,这将是创建网站的好时机。备份是您持续运营的关键部分,并且应该是您积极计划的未来工作。您还应该询问您的主机他们与备份相关的政策是什么。如果您确实有备份,您应该能够执行恢复并直接进行取证工作。
旁注:定期备份数据库和文件非常重要。如果再发生这种事的话。
无论如何,在进入下一阶段的清洁之前,建议您再拍摄一张环境快照。即使它被感染,根据黑客攻击的类型,其影响也可能会导致很多问题,并且在发生灾难性故障时,您至少会有那个错误的副本可供参考。
找到并删除黑客。
这将是整个过程中令人畏惧的部分。查找并删除黑客行为。您采取的具体步骤将取决于许多因素,包括但不限于上面提供的症状。您如何解决该问题将取决于您自己使用网站和网络服务器的技术能力。
为了帮助您完成此过程,我们提供了许多不同的资源,可以帮助您完成此过程:
清除一切并重新开始可能很诱人。在某些情况下这是可能的,但在许多情况下这是不可能的。但是,您可以做的是重新安装网站的某些元素,而不会影响网站的核心。您始终希望确保重新安装网站正在使用的相同版本的软件,如果您选择较旧或较新的软件,您可能会毁掉您的网站。重新安装时,请确保不要使用 WP-ADMIN 中的重新安装选项。使用 FTP / SFTP 应用程序拖放版本。从长远来看,这将证明更加有效,因为这些安装程序通常只会覆盖现有文件,而黑客通常会引入新文件……您可以安全地替换以下目录:
- /wp-admin
- /wp-includes
从那里开始,建议您在浏览 wp-content 时更加勤于更新和替换文件,因为它包含主题和插件文件。
您肯定想查看的一个文件是 .htaccess 文件。无论感染类型如何,它都是常见的文件之一,常更新并用于恶意活动。该文件通常位于安装文件夹的根目录下,但也可以嵌入到同一安装的几个其他目录中。
无论感染类型如何,在修复过程中您都需要密切关注一些常见文件。他们包括:
- index.php
- header.php
- footer.php
- function.php
如果被修改,这些文件通常会对所有页面请求产生不利影响,使其成为不良行为者的高目标。
利用社区
我们经常忘记,我们是一个基于社区的平台,这意味着如果您遇到麻烦,社区中的某个人可能会伸出援手。如果您手头拮据或只是寻求帮助,那么WordPress.org 黑客或恶意软件论坛是一个非常好的起点。
更新!
一旦你干净了,你应该将你的 WordPress 安装更新到新的软件。旧版本比新版本更容易受到黑客攻击。
再次更改密码!
请记住,在确保您的网站干净后,您需要更改网站的密码。因此,如果您只是在发现黑客行为时更改了它们,请现在再次更改它们。再次记住使用复杂、长且的密码。
您可以考虑更改数据库用户帐户和密码。当您更改它们时,不要忘记将它们增强到 wp-config.php 文件。
鉴定。
取证是了解所发生事件的过程。袭击者是如何进入的?目标是了解不良行为者使用的攻击向量,以确保他们无法再次滥用它。在许多情况下,由于缺乏技术知识和/或可用数据,网站所有者很难执行此类分析。如果您确实有所需的元数据,那么OSSEC和splunk等工具可以帮助您合成数据。
保护您的网站。
现在您已成功恢复站点,请通过实施一些(如果不是全部)建议的安全措施来保护站点。
无法登录 WordPress 管理面板
有时,不良行为者会劫持您的管理员帐户。这不是恐慌的理由,您可以采取一些不同的措施来重新获得对帐户的控制权。您可以按照以下步骤重置您的密码
诸如phpMyAdmin和Adminer之类的工具通常可以通过您的托管提供商获得。它们允许您直接登录数据库,绕过管理屏幕并在用户表中重置您的用户wp_users
。
如果您不想弄乱密码哈希值或无法弄清楚,只需更新您的电子邮件并返回登录屏幕,单击忘记密码,然后等待电子邮件。
使用版本控制?
如果您使用版本控制,则可以非常方便地快速识别已更改的内容并回滚到网站的先前版本。从终端或命令行,您可以将您的文件与官方 WordPress 存储库中存储的版本进行比较。
$ svn diff .
或者比较特定文件:
$ svn diff /path/to/filename