之前遇到好多人,并不注重网站的安全性,一般都是出了问题了,网站被攻击被挂马等情况出现了才开始后悔莫及,wordpress网站一般来说是比较安全的,开源免费,有漏洞也会及时发现并且修复,但是正因为如此,很多人并不注重安全性,不升级wordpress版本等,导致漏洞被利用,网站被黑,从而导致了数据丢失网站挂马等情况的发生,今天就给大家分享一下网站挂马的防范。
何为“挂马”?
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。 ——摘自百度百科
由此可见,挂马一般是由于两方面原因造成的:其一,服务器环境不安全;其二,网站源码有漏洞。
常见的挂马手法?
js挂马(如iframe,html标签歪用(如< img src=”http://domain.com/getcookie.js” />)等)、PHP挂马(如用php的eval函数。要执行的邪恶代码可直接写出来,也可保存在数据库里面)、SQL注入等。
如何最大程度预防挂马?
防范措施主要有,强密码保护的服务器和网站后台,我们在设置密码的时候一定要尽量复杂一些吧,其次关闭一些不必要的端口,比如22端口日常不经常的登陆,那么就直接关闭吧。安装一些防火墙安全插件等工具,还有就是做定期备份的习惯,每天或者每周备份一次,如果是服务器,你就比较简单,设置磁盘快照,出现问题可以快速回滚操作,恢复问题。
1、尽量避免使用免费主机、劣质主机,建议购买像 阿里云 这样有实力的公司的主机服务。
2、尽量使用官方的WordPress源码包、主题和插件,或到主题作者那里下载或购买原版,避免各种”破解版“主题或插件。
3、定期备份数据库和网站资料,出现问题可以及时恢复。
4、不要随意将来历不明的代码贴进你的网站,特别是你不怎么懂代码的情况下。
5、安装一些安全插件保护你的网站,前提是,这些插件一定要去官方下载。
6、实时关注你的网站,如果你对你的网站不闻不问,那么挂马了自己也不知道。
常见的WordPress挂马及排查方法?
发现自己网站被挂马不要着急,先找到挂马的方式及挂马的位置,分析一下黑客是通过网站哪块的漏洞进入网站,是服务器的漏洞,还是网站程序漏洞,找到漏洞及时修复,清除木马程序或者木马链接,这就需要程序处理。这个有一定的技术性要求和门槛,说实话,并不好搞,但是也有一些蛛丝马迹可以寻找的,其次这类问题最好的方法还是备份备份备份啊,比如昨天网站是好的,今天就出现问题,那么基本可以锁定出现问题的时间节点,然后去恢复自己的备份或者磁盘快照就可以轻松解决。
1、WordPress主题,尤其是functions.php文件,可能会感染你主题目录下的所有主题(查看例子)。此外,查看网站源代码的头部和尾部,看看是否包含不明链接、js文件等。
2、WordPress插件,插件的执行权力比较大,排查难度也较大,一般是在插件的主要执行文件中。如果查不出来,建议删除所有插件,然后重新从官方安装。
3、wp-config.php,这是WordPress的主要配置文件,如果这个被改了,说明你的数据库信息应该已经完全泄露了。看看哪些代码比较可疑,删除之,前提是,你比较熟悉这个文件常有的设置选项。此外,检查你的数据库文件,更换数据库密码等信息。
4、.htaccess,该文件在文章根目录下,有时可能是隐藏的,最常见的就是设置域名的恶意转向。可以直接删除该.htaccess 文件,然后重新设置一下wordpress的固定连接,即可恢复网站的正常访问了。
如何检测是否被挂马?
目前网络上有不少工具,可以检测出大多数的挂马行为,比如:
1、在线工具类
Google Safe Browsing:http://www.google.com/safebrowsing/diagnostic?site=https://www.wpdaxue.com (后面换成你的域名)
onlinelinkscan:http://onlinelinkscan.com/
Unmask Parasites:http://www.unmaskparasites.com/
McAfee SiteAdvisor:http://www.siteadvisor.com/
360网站安全检测:http://webscan.360.cn/
安全宝:http://www.anquanbao.com/
2、WordPress插件
Exploit Scanner:http://wordpress.org/extend/plugins/exploit-scanner/
Exploit Scanner 是比较强大的安全扫描插件,可以比较全面检测你的WordPress源码文件。
Theme Authenticity Checker (TAC):http://wordpress.org/extend/plugins/tac/
Theme Authenticity Checker 是一个专门扫描WordPress主题的免费插件,它可以扫描你的WordPress主题文件中潜在的恶意或有害代码。
Hacklog Integrity:http://ihacklog.com/post/hacklog-integrity.html
该插件是 荒野无灯 大师折腾的,采用文件校验对比的方式检查出哪些文件被修改,从而方便我们排查。
写在最后:
网络安全一定要非常的注意,并且一定要得到广大站长的重视,做好网站防御,让黑客没有可乘之机,远离木马所带来的风险
关于WordPress挂马、WordPress安全,你有什么新的补充吗?欢迎和我们一起交流。
掘金网建议新手小白们不用太纠结有关技术层面的东西,这些技术自己如果实在无力拿下的话,完全可以付费来给你搞定的,掘金网目前就提供这样的付费技术支持服务《去付费》,花钱不多可以买个保障和安全,有需要的可以联系掘金网。
