wp-config.php文件包含用于配置 WordPress 的敏感信息。它是黑客最常攻击的文件之一wp-includes文件夹包含 WordPress 正常运行所需的 PHP 文件。这是我们发现后门的另一个地方,因为大多数网站所有者不会检查文件夹包含的内容。
我们发现的后门示例
以下是黑客上传后门的一些示例。在我们清理的一个站点上,后门位于文件夹中wp-includes。该文件名为wp-user.php,看起来很无辜,但该文件实际上并不存在于正常的 WordPress 安装中。
hello.php在另一种情况下,一个名为的 PHP 文件。它被伪装成 Hello Dolly 插件。奇怪的是,黑客将它们放在了Uploads文件夹中,而不是Plugins文件夹中。
我们还发现了不.php使用文件扩展名的后门。一个例子是名为 的文件wp-content.old.tmp,我们还在扩展名为.zip.
正如您所看到的,黑客在隐藏后门时非常有创意。
在大多数情况下,文件使用 Base64 代码进行编码,可以执行各种 牙买加电话数据 操作。例如,他们可以添加垃圾邮件链接、添加其他页面、将主网站重定向到垃圾邮件页面等等。
那么让我们看看如何在被黑的 WordPress 网站中找到后门并修复它。
如何在被黑的 WordPress 网站中找到后门并修复它
现在您知道什么是后门以及它可能隐藏在哪里。困难的部分是找到它们!之后,消除就像删除文件或代码一样简单。
1. 搜索潜在的恶意代码
检查网站是否存在后门和漏洞的最简单方法是使用WordPress 恶意软件扫描器插件。我们推荐 Sucuri,因为它帮助我们在三个月内拦截了 450,000 次 WordPress 攻击,其中包括 29,690 次后门攻击。