如何修复 WordPress Pharma Hack
Pharma Hack是隐藏的。因此,搜索和删除 WordPress Pharma Hack可能是一个漫长而乏味的过程。
北京六翼信息技术有限公司的开发工程给出以下建议:
1.备份您的网站
为确保您不会丢失您在站点中所做的所有工作,请下载相关插件并对您的核心文件、数据库、主题和插件文件进行完整备份。是的,甚至是恶意软件。相信我们,如果在清理过程中出现任何问题,您会很高兴。
- 扫描漏洞、已知恶意软件和您的 Google 黑名单状态
使用相关插件对您的网站进行全面扫描。站点扫描功能扫描您的 WordPress 核心版本、插件和主题,以查找可能为攻击打开后门的任何已知漏洞。此外,Site Scan 与 Google 安全浏览集成,后者指示 Google 是否在您的网站上发现了任何已知的恶意软件。如果是这样,您的网站将被添加到 Google 的黑名单中。插件将显示您的 Google 黑名单状态。
3.删除受感染的文件
使用 FTP 客户端连接到您的托管服务器。或者,您可以使用文件管理器。
导航到/wp-content/文件夹并查找被黑的插件和文件。被黑客攻击的文件将包含诸如.cache、.class或.old之类的词,用于将它们伪装成合法的插件文件。
请记住,放在文件名开头的点会使它们隐藏。因此,请确保在执行此操作时选择了“显示隐藏文件”选项。
当您归档这些文件时,请删除它们。
- 清理你的 .htaccess 文件
.htaccess文件是服务器的高级配置文件,用于定义服务器请求的处理方式。
黑客能够使用此文件创建网站后门。在 .htaccess 文件中,查找如下所示的任何代码:
重写引擎开启
重写条件 %{ENV:REDIRECT_STATUS} 200
重写规则 ^ - [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] #checks for Google, Yahoo, msn, aol and bing 爬虫
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ somehackfile.php?$1 [L] #redirects 到 hack 文件
重命名当前的 .htaccess 文件。然后,要完全重新生成 .htaccess 文件,只需前往您的 WordPress 仪表板,导航至“设置”,然后选择“固定链接”并单击“保存”。
5.删除数据库中的恶意代码
在使用 BackupBuddy 插件完成完整站点备份之前,您不应执行此步骤。
完成后,您可以通过以下步骤手动清理数据库:
前往phpMyAdmin
选择数据库
单击wp_options表
使用“搜索”选项卡查找恶意条目
要搜索的可能恶意条目的示例是:
fwp
wp_check_hash
class_generic_support
widget_generic_support
ftp_凭证
切记要格外小心,不要从wp_options表中删除任何重要内容。这可能会导致您的网站出现严重故障或完全崩溃。
当然,如果您不愿意深入了解您的网站,最好寻求专家的帮助。
- 查找并删除可疑代码
可疑代码是 WordPress 网站被黑客攻击的主要原因。可疑代码类似于:
- Something2 像这样的代码会将您的站点重定向到由攻击者控制的域。检查网站代码中不应存在的任何域非常重要。 大多数情况下,黑客会将他们的代码隐藏在 base64 中。这有助于他们避免被发现。这意味着,它不会看到他们的网站 URL (hackerdomain.com),而是看起来像YXR0YWNrZXJkb21haW4uY29t。 当然,这会使可疑代码更难检测。要在文件中搜索这些 base64 编码,使用 grep 命令会很有帮助: 寻找 。-name "*.php" -exec grep "base64"'{}'\; -print &> b64-detections.txt 此代码搜索您为 base64 编码选择的 .php 文件。之后,结果存储在 b64-detections.txt 中。 获得该文件后,搜索将对其进行解码的在线资源,以便您可以了解幕后网站上发生的事情。 7.扫描内容差异 有一些插件可用于监控您网站上的任何文件更改,并将比较您的 WordPress 核心文件和 WordPress 存储库中的第三方文件,以查找异常或可疑的条目和文件名。 在确定您的哪些文件被黑客入侵后,您可以删除受感染的代码或恢复您的插件文件。彻底清理您网站的代码非常重要。留下的恶意代码可能会很快导致您的网站再次被感染。 8. 恢复您网站的声誉 现在您已经清理了您的网站,您需要对您的网站在 Google 中的声誉进行分类。 简单地清理和恢复被黑的 WordPress 网站不会自动恢复网站的声誉。事实上,您需要做几件事来确保 Google 和其他搜索引擎在您的网站被黑客入侵和清理后不会继续惩罚您的网站。 通常,您的网站被黑客入侵的第一个迹象是 Google 通知您这种情况。要查看 Google 当前如何查看您的网站,请前往Google Search Console。 如果您在 Search Console 中发现任何不应该存在的无关站点地图,或者似乎在放置垃圾链接,您需要立即删除这些站点地图。在此之后,您需要查看 Search Console 中存在的任何安全问题。如果当前显示来自 Google 的厄运和忧郁的大红色屏幕,您将在安全问题下的 Search Console 中看到一些大标志。 您可以在此处请求 Google 审查您的网站,因为它已被清理。 ![image.png](https://ucc.alicdn.com/pic/developer-ecology/mzggqnrzm5tyo_1390f8d259474efea976a086be4e24ce.png)