常见问题：我的网站被黑客入侵了

求助：我想我被黑了

遭遇黑客攻击可能是您在线旅程中最令人沮丧的经历之一。然而，像大多数事情一样，采取务实的方法可以帮助您保持清醒，同时以尽可能小的影响解决问题。

“黑客攻击”是一个非常含糊的术语，它本身并不能提供关于究竟发生了什么的具体信息。为了确保您通过论坛获得所需的帮助，请务必了解导致您认为自己被黑客攻击的具体症状。这些症状也称为“入侵指标 (IoC)”。

一些明确的入侵指标包括：

• 网站被 Google、Bing 等列入黑名单。
• 主机提供商已禁用您的网站。
• 网站被标记为分发恶意软件。
• 读者抱怨他们的桌面杀毒软件将您的网站标记为危险。
• 收到通知称您的网站被用于攻击其他网站。
• 发现未经授权的行为（例如，创建新用户等）。
• 当您在浏览器中打开网站时，能明显看到网站被黑。

并非所有黑客攻击都相同，因此在论坛中求助时请记住这一点。如果您能更好地理解症状，团队将能更好地提供帮助。

下面您将找到一系列旨在帮助您开始处理黑客攻击后流程的步骤。它们并非无所不包，因为考虑所有场景是不切实际的，但它们旨在帮助您思考整个过程。

可采取的步骤

保持冷静。

作为网站所有者，在处理安全问题时，您很可能承受着过度的压力。这通常是您上线以来发现自己最脆弱的时候，它与每个人告诉您的“嘿，WordPress 很容易！”完全相反。

好消息是，一切都还没有失去！是的，您可能会损失一些钱。是的，您的品牌可能会受到打击。是的，您会从中恢复过来。

所以，是的，后退一步，镇定下来。这样做将使您能够更有效地控制局面，并恢复您的在线存在。

记录。

妥协后您应该采取的第一个可操作步骤是记录。花点时间记录您正在经历的事情，如果可能的话，记录时间。您需要记住几件事：

• 您看到了什么，让您相信自己被黑了？
• 您是什么时候发现这个问题的？哪个时区？
• 您最近采取了哪些操作？是否安装了新插件？您是否更改了主题？修改了小工具？

您正在为被认为是事件报告的内容创建基线。无论您是计划自己执行事件响应，还是聘请专业组织，这份文档都将随着时间的推移证明其价值。

建议花点时间也注明您的主机环境的详细信息。在事件响应过程中，某些时候会需要它。

扫描您的网站。

扫描网站有几种不同的方法，您可以使用外部远程扫描器或应用程序级扫描器。每种都旨在查找和报告不同的内容。没有一种解决方案是最好的方法，但结合使用可以大大提高成功的几率。

基于应用程序的扫描器（插件）

• Quttera
• GOTMLS
• WordFence
• Sucuri

基于远程的扫描器（爬虫）

• VirusTotal
• Sitecheck

WP 仓库中还有许多其他相关的安全插件。上面标注的那些已经存在很长时间，并且每个都有强大的社区支持。

扫描您的本地环境。

除了扫描您的网站，您还应该开始扫描您的本地环境。在许多情况下，攻击/感染的来源始于您的本地设备（即笔记本电脑、台式机等）。攻击者在本地运行木马，允许他们嗅探 FTP 和 /wp-admin 等登录访问信息，从而以网站所有者的身份登录。

确保在您的本地计算机上运行完整的杀毒/恶意软件扫描。有些病毒擅长检测杀毒软件并隐藏起来。所以也许可以尝试不同的杀毒软件。此建议适用于 Windows、OS X 和 Linux 机器。

与您的主机提供商核实。

黑客攻击可能不仅仅影响了您的网站，特别是如果您使用的是共享主机。值得与您的主机提供商核实，以防他们正在采取措施或需要采取措施。您的主机提供商也可能能够确认黑客攻击是否是实际的黑客攻击或服务中断，例如。

如今，黑客攻击的一个非常严重的后果是电子邮件黑名单。这种情况似乎越来越多。由于网站被滥用发送垃圾邮件，电子邮件黑名单机构会标记网站 IP，而这些 IP 通常与用于电子邮件的同一服务器相关联。当涉及您的业务需求时，您可以做的最好的事情是考虑像 Google Workspace 这样的电子邮件提供商。

注意网站黑名单。

Google 黑名单问题可能对您的品牌造成损害。他们目前每天将大约 9,500 到 10,000 个网站列入黑名单。这个数字每天都在增长。有各种形式的警告，从警告用户远离的大型弹出页面，到在您的搜索引擎结果页面 (SERP) 中出现的更微妙的警告。

尽管 Google 是最突出的黑名单实体之一，但还有许多其他黑名单实体，如 Bing、Yahoo 和各种桌面杀毒应用程序。请了解您的客户/网站访问者可能会使用任何数量的工具，并且其中任何一个都可能导致问题。

建议您在各种在线网站管理员控制台注册您的网站，例如：

• Google Search Console
• Bing Webmaster
• Yandex Webmaster
• Norton Webmaster

改进您的访问控制。

您经常会听到人们谈论更新密码之类的事情。是的，这是一个非常重要的一环，但它只是一个更大问题中的一小部分。我们需要改进我们在访问控制方面的整体态势。这意味着首先要使用复杂、长且唯一的密码。最好的建议是使用密码生成器，例如在 1Password 和 LastPass 等应用程序中找到的那些。

请记住，这包括更改所有访问点。当我们说访问点时，我们指的是 FTP / SFTP、WP-ADMIN、CPANEL（或您与主机一起使用的任何其他管理员面板）和 MYSQL。

这不仅限于您的用户，还必须包括所有有权访问该环境的用户。

还建议考虑使用某种形式的双因素/多因素身份验证系统。其最基本的形式是在登录您的 WordPress 实例时引入并要求进行二次身份验证。

可帮助您实现此目的的一些插件包括：

• Rublon
• Duo

重置所有访问。

一旦您发现黑客攻击，您要做的第一步就是锁定一切，以便最大限度地减少任何额外的更改。首先要从您的用户开始。您可以通过强制所有用户，尤其是管理员进行全局密码重置来做到这一点。

以下是一个可以帮助您完成此步骤的插件：

• iThemes Security

您还需要清除可能已登录 WordPress 的任何用户。您可以通过更新 wp-config 中的密钥来做到这一点。您需要在这里创建一个新集：WordPress 密钥生成器。获取这些值，然后用新的值覆盖您的 wp-config.php 文件中的值。这将强制任何可能仍在登录的人下线。

创建备份。

您应该已经有网站备份，但如果没有，现在将是创建一个的好时机。备份是您持续运营的关键部分，应该成为您积极规划未来发展的内容。您还应该询问您的主机提供商关于备份的政策。如果您确实有备份，您应该能够执行恢复并直接进入取证工作。

旁注：定期备份您的数据库和文件非常重要。以防万一再次发生。

无论如何，在进入清理的下一阶段之前，建议您再对环境进行一次快照。即使它被感染，根据黑客攻击的类型，影响可能会导致很多问题，万一发生灾难性故障，您至少可以参考那个损坏的副本。

找到并移除黑客。

这将是整个过程中最艰巨的部分：找到并移除黑客。您所采取的具体步骤将取决于多种因素，包括但不限于上面提供的症状。您如何处理这个问题将取决于您自己使用网站和 Web 服务器的技术能力。

不过，为了帮助您完成此过程，我们提供了一些不同的资源，应该对您有所帮助：

• 您的 WordPress 网站被黑了吗？
• 如何清理被黑的安装
• 如何清理被黑的 WordPress 网站
• 如何应对被黑的网站
• 四种恶意软件感染
• 如何清理 WordPress 黑客攻击

您可能很想清除所有内容并重新开始。在某些情况下，这是可行的，但在许多情况下，这根本不可能。然而，您可以做的是重新安装网站的某些元素，而无需太多考虑对网站核心的影响。您总是需要确保重新安装网站正在使用的相同版本的软件，如果您选择更旧或更新的版本，您很可能会毁掉您的网站。重新安装时，请务必不要使用 WP-ADMIN 中的重新安装选项。使用您的 FTP / SFTP 应用程序拖放版本。从长远来看，这将被证明更有效，因为那些安装程序通常只覆盖现有文件，而黑客攻击通常会引入新文件……您可以安全地替换以下目录：

• /wp-admin
• /wp-includes

从那里，建议您在处理 wp-content 时更加细致地更新和替换文件，因为它包含您的主题和插件文件。

您绝对想查看的文件是您的 .htaccess 文件。无论感染类型如何，它都是最常更新并用于恶意活动的常见文件之一。此文件通常位于安装文件夹的根目录，但也可以嵌入到同一安装上的其他几个目录中。

无论感染类型如何，在修复过程中，您都会想留意一些常见文件。它们包括：

• index.php
• header.php
• footer.php
• function.php

如果这些文件被修改，通常会对所有页面请求产生不利影响，使其成为攻击者的主要目标。

利用社区力量

我们常常忘记，我们是一个社区驱动的平台，这意味着如果您遇到麻烦，社区中的某个人很可能会伸出援手。如果您手头拮据或只是寻求帮助，WordPress.org 被黑或恶意软件论坛是一个非常好的开始。

更新！

一旦您的网站被清理干净，您应该将您的 WordPress 安装更新到最新版本。旧版本比新版本更容易受到黑客攻击。

再次更改密码！

请记住，您需要在确认网站干净之后再次更改网站密码。因此，如果您只在发现黑客攻击时更改了密码，现在请再次更改。再次记住使用复杂、长且唯一的密码。

您可以考虑更改数据库用户帐户和密码。更改后，不要忘记在 wp-config.php 文件中增强它们。

取证。

取证是了解发生了什么的过程。攻击者是如何进入的？目标是了解恶意行为者使用的攻击向量，以确保他们无法再次滥用它。在许多情况下，由于缺乏技术知识和/或可用数据，网站所有者很难执行此类分析。如果您确实拥有所需的元数据，那么有像 OSSEC 和 splunk 这样的工具可以帮助您综合数据。

保护您的网站。

既然您已成功恢复您的网站，请通过实施一些（如果不是全部）推荐的安全措施来保护它。

无法登录 WordPress 管理面板

有时恶意行为者会劫持您的管理员帐户。这无需恐慌，您可以采取几种不同的方法来重新获得对帐户的控制权。您可以按照这些步骤重置密码：

phpMyAdmin 和 Adminer 等工具通常通过您的主机提供商提供。它们允许您直接登录数据库，绕过您的管理界面，并在用户表wp_users中重置您的用户。

如果您不想处理密码哈希或无法弄清楚，只需更新您的电子邮件并返回登录界面，点击“忘记密码”，然后等待电子邮件。

使用版本控制了吗？

如果您正在使用版本控制，那么快速识别更改并回滚到网站的先前版本会非常方便。从终端或命令行，您可以将您的文件与官方 WordPress 仓库中存储的版本进行比较。

$ svn diff .

或者比较特定文件

$ svn diff /path/to/filename

其他资源

• 被黑的 WordPress 后门 (OttoPress)
• WordPress 安全 – 破除迷思 (Sucuri)
• 安全帖子 (Perishable Press)