作為一個開源程序,WordPress 的代碼暴露在所有程序員眼中,任何bug或漏洞很快會被揪出來,解決掉,從各方面來說,WordPress的安全性足夠高,即便如此,基於WordPress 的站點還是免不了被黑的一天,漏洞可能出現在其他地方,比如:
服務器操作系統的漏洞;同一個服務器上其他站點的漏洞;管理員密碼,FTP密碼被暴力破解;主題或插件的漏洞;登錄信息被截取
WordPress 網站被黑最常見的情況是被插入廣告鏈接和惡意代碼。網站被黑了,我們肯定很生氣,很鬱悶,可這對解決問題沒有幫助。在這種情況下,我們最應該做的是控制一下情緒,清理惡意代碼,恢複網站。
怎麼徹底替換被感染的文件為幹淨的文件恢複網站正常運行
一旦網站被插入了惡意代碼,每一個文件或文件夾都可能被插入惡意代碼,最保險的辦法就是全部替換這些文件,如果網站有備份,直接恢複備份是最快捷的辦法。如果沒有備份,或者備份不可用,我們就需要逐個替換文件了。按照以下步驟逐個替換文件,建議執行下面的操作之前先把被感染的網站備份一下。
網站根目錄除了 `wp-config.php` 以外的其他文件,不包括文件夾
替換 `wp-admin` 和 `wp-includes` 文件夾,建議先徹底刪除這兩個文件夾,再上傳新的上去。
替換 `wp-content/plugin` 文件夾裏面所有的插件為從官方下載的版本。
刪除 `wp-content/uploads` 和 `wp-content/languanges` 文件夾裏面所有的 `.php` 文件。正常情況下,這兩個文件夾裏是沒有php文件的,如果有,肯定就是惡意代碼了。
如果你沒有修改主題,下載原版的主題,替換被黑的主題。如果你修改過主題,最靠譜的辦法就是查看一下每個文件和文件夾,把惡意代碼清除掉。
現在,網站裏面的惡意代碼已被清理完畢。
怎麼防範攻擊提高WordPress的安全性
沒有絕對的安全,只有讓別人攻擊我們的網站時更加困難。下面是提高WordPress網站安全性的幾點小建議,有興趣的朋友可以逐條對照一下自己的網站。
不要使用ftp,ftp密碼是明文傳輸的,很容易被嗅探到,使用sftp或ftps。
不要圖省事使用弱密碼,想更安全一點,開啟兩步驗證。
全站開啟SSL加密,避免登錄信息別同網絡中不懷好意的人截取。
不要下載來曆不明的主題或插件,特別不要使用網絡上分享的高級主題或插件,如果需要,就直接去購買一份,花費遠比網站被黑後帶來的各種損失小。
隨時更新服務器操作系統,WordPress內核,使用的主題和插件。
不要和容易被攻擊的站點放在一個服務器上。
打死也不要和 dede cms 放在一個服務器上。
經常看看網站訪問日志,看是否有異常訪問。
使用fail2ban限制暴力破解。
不要使用admin作為用戶名。
修改 wp-admin 和 wp-login. php 的默認地址。
其實,上面的注意事項大家都知道,很多人會抱著僥幸心理不去防範,直到被黑了才追悔莫及,如果你的網站很重要,請一定要做足安全防範,預防永遠比治療有效。以上是已經自己的經驗總結出來的一點心得,如果你覺得又遺漏的,或者錯誤的地方,方便在評論中指出,我將隨時保持文章更新,以方便又需要的朋友查看。