上个月我一个客户的WordPress站被挂马了——所有页面底部被插了一段隐藏的赌博链接。从发现到完全清理,花了大概3个小时。事后把流程整理了出来,给你备用。
第一步:立即做3件事(头5分钟)
1. 把网站设置成维护模式,避免Google/百度抓取到被篡改的页面。如果是WordPress,最快的办法是在wp-content目录下建一个.maintenance文件。
2. 改掉所有密码——服务器SSH密码、数据库密码、WordPress管理员密码、FTP密码,全改。
3. 检查最近24小时的文件修改记录:find /www/wwwroot/ -type f -mtime -1 -ls。把输出的文件列表抄下来,后面分析用。
第二步:找到入口
90%的情况是被通过以下三个入口之一攻进来的:
一、过期的插件/主题(占比最高,大概60%)。用wp plugin list --status=active --format=csv导出所有插件,逐一检查更新状态。任何超过3个月没更新的插件都是风险点。
二、弱密码。如果管理员密码是admin/123456这种组合,被暴力破解是迟早的。
三、服务器层面的漏洞。比如开放了不安全的端口、Redis没设密码直接暴露在公网上。
第三步:清理恶意代码
被篡改的文件通常有几个特征:eval(base64_decode(...))、奇怪的iframe、不知来源的外部JS链接。
用grep扫一遍:grep -r "eval(base64_decode" /www/wwwroot/ --include="*.php",以及grep -r "iframe" /www/wwwroot/ --include="*.php" | grep -v "youtube\|vimeo\|bilibili"。后者会输出所有包含iframe的文件,但排除正常的视频嵌入。
找到后不要直接删——先把文件备份一份,然后删除或替换为原始版本。WordPress核心文件可以直接从官网重新下载覆盖。
第四步:恢复和加固
确认清理干净后,做以下几件事:安装Wordfence或Sucuri安全插件、把wp-admin目录加HTTP Basic Auth、设置文件权限(目录755、文件644、wp-config.php设600)、开启自动备份(至少每天一次)、提交Google/百度的安全审核请求通知它们网站已恢复。
如果自己搞不定
别硬撑。付费找专业的安全清理服务(国外Sucuri、国内如知道创宇),几百到一两千块钱,比自己越搞越乱划算。
标签: 网站安全 挂马清理 WordPress安全 故障排查 运维指南
还木有评论哦,快来抢沙发吧~