时间:2024-08-02
安装安全插件
定时扫描和备份
定时更新插件和主题
使用SSL证书
接下来就用我自己的经历给大家讲一下网站被黑怎么自救。
“被黑中毒”的网站
曾遇到过有两个站突然不正常,一个老站,一个新站,症状如下:
1 登陆后台速度变慢,特别是用Elementor编辑页面的时候;
2 谷歌搜索品牌词,出现网站结果一堆“日文”结果的TD(标题和描述),跳转到卖乒乓球的,卖男性zhuang*yang的——显然是被植入不良代码了。(谷歌后发现日文病毒原来很常见)
为了让大家理解,我在网上找了张图(避免被同行“不小心”抄袭,还是不放自己的了)
大概就是上面这张图的样子,很明显http://example.com应该是展示英文结果的,但确是显示了日文title和discription。专业术语叫“Japanese Keyword Hack”, 大家可以谷歌一下。
3 谷歌搜索品牌词,出现网站结果几个网站“西班牙”的博客文章——查询后显然被人破解录入文章。
4 服务器后台网站时不时出站流量激增——貌似被爬虫之类攻击了,其实我是上了CDN了,应该不会这么容易被攻击的,所以很诡异。
首先我是用wordpress建站的,这个方法适用于wordpress。
但其实更重要的一个原因是,wordpress做SEO真的是YYDS,不接受反驳,懂的都懂。
曲折的解决过程
结果肯定是解决了,否则我不会这么轻松给大家分享,我写文章的风格一般都是直接了当,但这件事困扰了我差不多1周,所以这次写多几行字,希望大家也可以闭坑,所以重点讲一下我的解决过程,要解决上面的问题,主要需要做以下几件事:
1 清除不良代码或者“病毒”(严格意义来说这种植入的代码不能叫病毒,但为了让大家理解,我把这种攻击都叫做病毒吧)
2 Ban掉不良IP,避免不良攻击,影响访问。
3 刷新谷歌收录结果,把日文,西语的结果统统去掉,免得影响品牌调性,还可能让我网站SEO排名下降。
然并卵的杀毒插件
说干就干,我直接搜索了几个wordpress的杀毒插件:
这上面红框的几个我都全试过了,包括排第一的著名杀毒软件wordfence,还有ninjia,确实也扫描出问题的问题文件和病毒,wordfence还一度被我折腾得死机......
一堆wordpress主程序不相关的文件被发现,比如正常的叫做index.php, 然后多出了一个index2343.php,很明显是马甲,打开也发现里面有一堆乱码,甚至index也是乱码。
抓到攻击机器人
然后看下有没有人攻击我的网站后台,用wordfence看了一下下我一跳:好多个乌克兰登陆的有木有!!!我觉得没这么黑吧?我再仔细观察了和验证了一下,虚惊一场——发现原来是上网的梯子伪装而已,实际登陆ip是自己,都不知道梯子的哪个程序员这么恶趣味要伪装乌克兰...
但我继续深挖,发现了有好几个同意前缀的加拿大ip多次用没注册的账户登陆后台或者用admin用户名,这引起了我的注意,全部失败但,其中有一个还成功了,查看行为记录,果然发西班牙语哪个zhuang yang (防和谐)药广告贴就是你吧!行为属性提示是“bot”(机器人),果然,抓到你了,果断拉入黑名单!
野火烧不尽
正当我沾沾自喜以为终于搞定的时候,过不到2小时,那些被杀掉的文件又死灰复燃了,甚至我把index文件更新写死都没用,保存重新打开前面仍然是一堆乱码,就算改为只读也没用,有完没完!显然,病毒未能彻底被清除。
然后我觉得不行了,我得求助谷歌了,(大家千万别用度娘,因为结果都是一堆自媒体搬来搬去的东西,绝对会误导你,直接英文谷歌),但我发现我也错了,英文谷歌老外也是和中文一样是搬运的,都是那些乱七八糟“10招教你解决网站被黑”的一堆没用的为了SEO的软文!!
我恼火了,自己来吧,我偏不信,没有杀毒软件能搞定的,在我尝试了N个杀毒软件之后,皇天不负有心人有心人,终于找到一个云端的杀毒帮我把问题搞定了,这个工具他们客服回复很及时,而且后面说如果我搞不定直接帮我进服务器杀,我觉得挺好的:简单易懂,一键杀毒是他最大的优势,反正为了避免被说打广告,我就不发名字的(M开头的),需要的可以私信我。绝对没套路,因为:
30天免费试用,杀完毒大家可以退款,绝对是白嫖党的福音;30天免费试用,杀完毒大家可以退款,绝对是白嫖党的福音;30天免费试用,杀完毒大家可以退款,绝对是白嫖党的福音;
重要的事情说三遍,老外的东西就是这点好,不过建议大家还是预防胜于治疗,不贵,最低配99美金一年,用着也安心,这种软件大家就别用盗版了;
重要:杀毒前一定全盘备份,特别是数据库重要:杀毒前一定全盘备份,特别是数据库重要:杀毒前一定全盘备份,特别是数据库
杀毒过程也比较简单:
1 可以恢复的文件恢复为官方wordpress文件
2 可疑的文件单独备份后直接删掉
3 可疑的插件先暂时停掉
4 再用ninjia等几个速度还可以的软件监测也没问题
5 最后用wordfence找出的几个ip/ip段屏蔽掉
完成后观察了2小时,基本没有问题了,我认为算是告一段落了——直到发推文的今天差不多2周了,算一直都很安全了,期间一直开着杀毒,设置每天定时同步。过了几天site网站,还有有零星日文东西没去除(可恶的小/日/本),但基本80%的页面消失了,只能等谷歌更新了。
Last but not least
最后一步,别忘了把所有受影响的谷歌页面,重新在google search-console手动提交,让谷歌尽快更新收录!
才几个月大的小站,这个表现好还可以了,没有花一分钱广告
总结和10条建议
1 当然期间也在fiver上搜过有没有达人可以帮忙杀,果然不少,还便宜(印度,巴基斯坦,孟加拉哥们为了生活不容易),但想了下,最珍贵的是数据,客户信息,和产品机密,还是能自己弄就自己弄好了,除非最后没办法;
2 大家尽量别用不明来路的插件和主题;
3 别省几百块一年,买个正版杀毒安心,当然屌丝可以继续盗版杀毒,也能抵挡一部分坏人,前提是你的杀毒没有毒(好拗口,哈哈);
4 修改后台唯一登陆链接,只有你知道的独立链接,放机器破解;
5 上CDN,网站ip地址不外泄;
6 严格控制员工登陆权限
7 安装用户行为log记录插件
8 没有那么可怕,胆大心细,中毒被黑杀杀杀就是了;
9 找像Alan一样的人做朋友,相信群众的智慧!!(这条纯凑数)
10 最后一条也是最重要的,网站和数据库要,备份!备份! 备份!
Copyright © 2019-2024 2543.cn