遭受黑客攻击可能是你在网上旅行中最令人沮丧的经历之一。然而,像大多数事情一样,采取务实的方法可以帮助你保持理智。同时也要超越这些问题,尽量减少影响。
黑客是一个非常模糊的术语,它本身对实际发生的事情几乎没有什么见解。为了确保您通过论坛获得所需的帮助,请务必了解导致您认为自己被黑客攻击的具体症状。这些又称为妥协指标(IoC)。
一些IoC是黑客行为的明确指标,包括:
- 网站被谷歌、必应等列入黑名单。。
- 主机已禁用您的网站
- 网站已被标记为分发恶意软件
- 读者抱怨他们的桌面AV正在标记您的站点
- 已联系您,您的网站正被用于攻击其他网站
- 注意未经授权的行为(例如,创建新用户等)
- 当你在浏览器中打开网站时,你可以明显地看到你的网站被黑客攻击了
并非所有黑客都是平等创造的,所以在参与论坛时请记住这一点。如果你能更好地了解症状,团队将更有能力提供帮助。
下面您将看到一系列旨在帮助您开始完成黑客攻击后流程的步骤。它们并不是包罗万象的,因为对每个场景进行解释是不切实际的,但它们是为了帮助您思考整个过程。
保持冷静。
在解决安全问题时,作为网站所有者,你可能会承受过大的压力。这通常是你上网后发现自己最脆弱的地方,这与每个人告诉你的“嘿,WordPress很简单!!”正好相反
好消息是,一切都没有失去!是的,你可能会损失一些钱。是的,你的品牌可能会受到打击。是的,你会从中恢复过来的。
所以,是的,退一步,冷静下来。这样做将使您能够更有效地控制局势,并恢复您的在线状态。
文件。
妥协后您应该采取的第一个可行步骤是文档记录。花点时间记录下你正在经历的事情,如果可能的话,记录下时间。您需要记住以下几点:
- 你看到了什么让你相信自己被黑客入侵了?
- 你什么时候注意到这个问题的?什么时区?
- 你最近采取了什么行动?是否安装了新插件?你有没有改变主题?修改小部件?
您正在为识别为事件报告的内容创建基线。无论您是计划亲自执行事件响应,还是聘请专业组织,随着时间的推移,本文档都将证明是非常宝贵的。
建议您也花点时间注释主机环境的详细信息。在事件响应过程中的某个时间点将需要它。
扫描您的网站。
扫描网站时,有几种不同的方法可以做到这一点,可以使用外部远程扫描仪或应用程序级扫描仪。每个都是为了观察和报告不同的事情而设计的。没有一个解决方案是最好的方法,但你们一起可以大大提高几率。
基于应用程序的扫描仪(插件):
远程扫描仪(爬行器):
还有一些其他相关安全插件可在WP回购中获得。上面注释的那些已经存在很长时间了,它们背后都有强大的社区。
扫描您的本地环境。
除了扫描您的网站,您还应该开始扫描您的本地环境。在许多情况下,攻击/感染的来源始于您的本地盒子(即笔记本电脑、台式机等)。攻击者正在本地运行特洛伊木马,允许他们嗅探FTP和/wp-admin之类的登录访问信息,这些信息允许他们以站点所有者身份登录。
确保在本地计算机上运行完整的反病毒/恶意软件扫描。有些病毒擅长检测AV软件并对其进行隐藏。所以也许可以试试不同的。此建议适用于Windows、OS X和Linux机器。
请与主机提供商联系。
黑客可能影响的不仅仅是你的网站,尤其是如果你使用的是共享主机。如果您的主机服务提供商正在采取措施或需要采取措施,那么值得与他们联系。例如,您的主机提供商可能还能够确认黑客是实际黑客还是服务损失。
最近黑客的一个非常严重的影响是电子邮件黑名单。这似乎正在发生越来越多。由于网站被滥用发送垃圾邮件,电子邮件黑名单当局正在标记网站的IP,这些IP通常与用于电子邮件的同一服务器相关联。你能做的最好的事情就是看看电子邮件提供商,比如谷歌应用程序当涉及到您的业务需求时。
注意网站黑名单。
谷歌黑名单这些问题可能对你的品牌有害。他们目前每天大约有9500到10000个网站被列入黑名单。这个数字每天都在增长。有各种形式的警告,从大型启动页面警告用户远离,到搜索引擎结果页面(SERP)中弹出的更微妙的警告。
虽然谷歌是其中一个比较突出的,但还有其他一些黑名单实体,如必应(Bing)、雅虎(Yahoo)和广泛的桌面反病毒应用程序。了解您的客户/网站访问者可能会利用任何数量的工具,其中任何一个都可能导致问题。
建议您使用各种在线网站管理员控制台注册您的网站,如:
改进您的访问控制。
你会经常听到人们谈论更新密码之类的东西。是的,这是一个非常重要的部分,但它只是一个更大问题中的一小部分。在访问控制方面,我们需要改进我们的整体姿态。这意味着对初学者使用复杂、长和唯一密码。最好的建议是使用类似于以下应用程序中的密码生成器1密码和最后一次通过.
请记住,这包括更改所有接入点。当我们说访问点时,我们指的是诸如FTP/SFTP、WP-ADMIN、CPANEL(或与主机一起使用的任何其他管理员面板)和MYSQL之类的东西。
这也扩展到您的用户之外,并且必须包括所有可以访问环境的用户。
还建议考虑使用某种形式的双因素/多因素认证系统。在最基本的形式中,它引入并要求在登录WordPress实例时使用第二种形式的身份验证。
可用于帮助您完成此操作的一些插件包括:
重置所有访问权限。
一旦你发现了黑客,你要做的第一步就是锁定东西,这样你就可以最小化任何额外的更改。首先要从用户开始。您可以通过强制所有用户(尤其是管理员)重置全局密码来实现这一点。
下面是一个插件,可以帮助完成此步骤:
您还需要清除所有可能正在登录WordPress的用户。您可以通过更新wp-config中的密钥来实现这一点。您需要在此处创建一个新集合:WordPress密钥生成器。然后取这些值覆盖wp-config.php文件中的值用新的。这将迫使可能仍在登录的任何人退出。
创建备份。
希望你有网站的备份,但如果没有,这将是一个很好的时间创建一个。备份是您继续运营的关键部分,应该是您积极规划的内容。您还应该询问主机他们的策略是什么,因为它与备份有关。如果您确实有备份,您应该能够执行恢复并掌握取证工作的技能。
旁注:定期备份数据库和文件夹。如果这种情况再次发生。
无论如何,在进入下一个清理阶段之前,建议您再拍摄一张环境快照。即使它被感染了,这取决于黑客的类型,其影响也会导致很多问题,如果发生灾难性故障,您至少可以参考坏拷贝。
找到并删除黑客。
这将是整个进程中最令人畏惧的部分。找到并删除黑客。您采取的具体步骤将取决于许多因素,包括但不限于上述症状。你如何处理这个问题将取决于你自己处理网站和网络服务器的技术能力。
不过,为了在这个过程中有所帮助,我们提供了一些不同的资源,这些资源应该可以帮助您完成这个过程:
清除所有内容并重新开始可能很诱人。在某些情况下这是可能的,但在许多情况下,这是不可能的。然而,你可以做的是重新安装网站的某些元素,而不考虑对网站核心的影响。你总是想确保你重新安装的软件版本与你的网站使用的软件版本相同,如果你选择一个旧的或更新的,你很可能会杀死你的网站。重新安装时,请确保不要使用WP-ADMIN中的重新安装选项。使用FTP/SFTP应用程序拖放版本。从长远来看,这将证明更加有效,因为这些安装程序通常只覆盖现有文件,黑客通常会引入新文件……您可以安全地替换以下目录:
因此,建议您在浏览wp-content时更加努力地更新和替换文件,因为它包含您的主题和插件文件。
您肯定想查看的一个文件是.htaccess文件。无论感染类型如何,它都是最常见的文件之一,最常更新并用于邪恶活动。此文件通常位于安装文件夹的根目录下,但也可以嵌入同一安装上的其他几个目录中。
无论感染的类型如何,在补救过程中都会有一些常见的文件需要关注。它们包括:
如果修改,这些文件通常会对所有页面请求产生负面影响,使它们成为不良参与者的高目标。
利用社区
我们经常忘记,但我们是一个基于社区的平台,这意味着如果你遇到麻烦,社区中的人可能会伸出援手。如果你手头拮据,或者只是想找个帮手,一个很好的开始就是WordPress.org黑客或恶意软件论坛。
更新!
一旦你干净了,你应该更新WordPress安装到最新软件。旧版本比新版本更容易被黑客攻击。
再次更改密码!
记住,您需要更改站点的密码之后确保你的网站是干净的。所以如果你只是在发现黑客时才更改它们,现在再次更改它们。再次记住使用复杂密码、长密码和唯一密码。
您可以考虑更改数据库用户帐户和密码。当您更改它们时,不要忘记将它们增强为wp-config.php文件。
法医学。
法医学是理解所发生的事情的过程。袭击者是怎么进来的?目标是了解一个坏演员用来确保他们不能再次滥用它的攻击向量。在许多情况下,由于缺乏技术知识和/或可用数据,网站所有者很难进行此类分析。如果您确实有所需的元数据,那么有一些类似这样的工具美国证券交易委员会和泼溅的这可以帮助您合成数据。
保护您的站点。
既然您已经成功恢复了站点,那么通过实现一些(如果不是全部)建议的安全措施.
无法登录WordPress管理面板
有时,坏演员会劫持您的管理员帐户。这不是恐慌的原因,你可以做一些不同的事情来重新控制你的账户。您可以按照以下步骤重置密码
工具,如数据库管理和管理员通常通过您的托管提供商提供。它们允许您直接登录数据库,绕过您的管理屏幕并重置用户表中的用户wp_用户.
如果你不想弄乱密码散列或弄不清楚,只需更新你的电子邮件并返回登录屏幕,单击忘记密码,然后等待电子邮件。
使用版本控制?
如果您使用的是版本控制,那么可以很方便地快速确定更改的内容并回滚到网站的早期版本。从终端或命令行,您可以将文件与官方WordPress存储库中存储的版本进行比较。
$svn差异。
或比较特定文件:
$svn差异/path/to/filename