资源宝分享wordpress主题后门检测清理技巧

富波光
2023-12-01

资源宝分享wordpress主题后门检测清理技巧

更多文章查看资源宝博客:www.httple.net

但是对于wordpress漏洞并不是所有人都很了解,往往在网站运营过程中没能注意网站的安全。
网站的安全除了空间服务商本身的安全控制外,那就是网站程序本身的安全问题。那我们该如何保障网站自身的安全呢?下面就以我的资源宝博客为例,来说说wordpress网站的安全问题。话说wordpress类网站的安全主要从两方面来讲:

一、wordpress程序本身安全

wordpress本身就存在一些漏洞,所以wordpress其实每一个新版本的升级,除了为了提高用户体验的界面更新,另一个就是wordpress程序本身漏洞的修复与补丁的升级。
所以,我们可以删除wordpress版本信息,以免网络痞子根据该版本出现的漏洞进行攻击,但是wordpress更新的时候,我们要手动保持更新到最新版本。

二、使用模板后门检测插件

只要安装进行检查就会显示漏洞位置,把相关恶意代码进行修改或删除就行,同时还有每天自动扫描功能,发现漏洞会第一时间发邮件通知。

1,AntiVirus防病毒插件(可以扫描主题恶意代码)

2,WP Authenticity Checker (WAC)

3,WP Website Antivirus Protection

使用在线检测后门

使用在线检测是目前为止最简单的方法之一,目前比较常用的
百度WebShell检测官网:https://scanner.baidu.com/
河马查杀官网:http://www.shellpub.com/、http://www.webshell.pub/

使用工具检测后门

D盾_Web查杀工具介绍:软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。引擎特别针对一句话后门,变量函数后门,${}执行 、preg_replace执行、call_user_func、file_put_contents、fputs等特殊函数的参数进行针对性的识别,能查杀更为隐藏的后门,并把可疑的参数信息展现在你面前,让你能更快速的了解后门的情况,还加入隔离功能,并且可以还原!
D盾_Web查杀工具下载:http://www.d99net.net/

PS:手动查看主题是否感染了恶意代码呢?

若你在转换主题时提示 “Fatal error: Cannot redeclare _check_isactive_widget()”、”_get_allwidgetcont” 等错误,那你的代码很有很可能已被污染。恶意代码在你启用不同主题的时候,会把同样的恶意代码复制到所有主题的 functions.php 中去,如果你的网站被莫名其妙的加入了黑链或者其他不明链接,那么应该也是主题中恶意代码搞的鬼。

怎么知道下载的主题是否有恶意代码呢?大家可以对functions.php文件进行检查。 查一下是否有以下代码,有的话基本确定是后门。

add_action(“admin_head”,

再查一下这个代码,这里是用来干坏事的,这才是这个恶意代码的目的,前面的感染是“准备活动”

add_action(“init”, “_getprepare_widget”);

以下几个是比较普遍会遇到的恶意大码,这并不是一整段代码,下面每行是独立存在的,如果你的functions.php中有以下任意一段代码,那么你可能就中招了。

_verify_isactivate_widgets

_check_isactive_widget
_get_allwidgetscont
_prepare_widgets
__popular_posts

新增一段代码,其中开头含有:

_verifyactivate_widgets

或者

_verifyactivate_widget

这是今天刚发现的,这段代码被添加后,主题看不出任意异常,只有在functions.php检查才能发现,刚才在后台编辑主题时发现unctions.php大小有点不对劲,一检查果然又中招了,防不胜防啊。

解决办法就是:

1、找到主题的functions.php原文件覆盖一下;
2、删除恶意代码,一般就是以上任意一段代码之后的所有代码(这段代码前面还有一个<?PHP,一起删掉)。

二、后门代码隐藏在什么地方?

通过我们实际接触及国外安全方面的介绍,一般后门代码隐藏在一下的位置:

主题 – 为了让后门代码更加隐蔽,黑客门不把代码放在当前主题中,他们可能把代码放在一些没有激活的主题中。如果你的wordpress站点中存在多个主题,请不未激活的主题删除。
插件 – 有三点足以说明插件是黑客们乐于放后门代码的地方。第一是因为我们不去看其代码,只管用;第二是因为我们不喜欢更新插件,担心更新后会失去设置;第三一些插件本身就藏有后面。
Uploads 目录 – 作为一名wordpress使用者,可能不愿意去看uploads目录,因为那里面存在许许多多上传的文件,有时显得很乱。然后这正被黑客们利用。由于这个文件夹是可写的,所以导致一些后面代码就存在这里。
wp-config.php – 这个文件也是被黑客们高度注意的一个文件。
Includes文件夹 – /wp-includes/文件夹也是黑客们喜欢上传文件的地方,因为这里面存在大量的PHP文件,他们上传一个php文件在这里很容易混淆视听,不易被发现。
在这些地方,他们会让他们的文件看上去像一个wordpress文件。

例如:在一个案例中,这个后门代码存在 wp-includes文件夹中,它叫wp-user.php,这个文件在正常的安装中没有的。还有叫 user.php,正常安装中也没有。在另一个案例中还有一个叫 hello.php,存在于uploads文件夹内,这与 Hello Dolly插件是不同的。

可能还有使用类似wp-content.old.tmp, data.php, php5.php这样的文件,甚至使用zip文件。在大多少案例中,这些文件采用了base64 代码加密,让你看不到内容而不敢删除。

现在可能然你认为wordpress是不安全的而不敢使用,这你就错了。我一开始就讲了,任何程序都存在安全隐患。而wordpress在安全方面做的足够好,而且一旦发现马上就会有更新,这一点大家不要担心。之所以出现这些,往往是大家设置不当导致的。

三、如何发现并清除后面?

现在已经知道后门是什么以及在哪里,接下来就是去找到它,一旦找到,清除就很简单,直接删除即可。难点是如何发现它的位置。不过我们可以借助上面插件来做。
当然如果你不愿意使用插件,也可手动来实现。

搜索 Uploads 目录

尽管上面的插件可以轻易做到这点,然后如果你属性SSH,则需要写下面的命令即可搜索到:

显然在uploads目录里如果存在php文件,我们应引起高度重视。一般这里是媒体文件。

删除未激活的主题

如上所述,这个未激活的主题也是黑客们的目标。最直接的办法就是删除它。因为不必要的无需放在那里,也不必花时间去找。

.htaccess 文件

前段时间,我发现一个用户的网站在这个文件里出现了重定向的代码,致使网站不能访问。所以我们可以直接删除这个文件,然后到后台设置固定连接保存一下就会重新生成.htaccess文件。

wp-config.php 文件

一般可以通过比较软件来比较这个文件与wp-config-sample.php的区别,一旦发现就清除。

扫描数据库

有一些黑客他们会在数据库里添加一些执行代码,让你不易发现。如PHP函数、新管理员帐户、垃圾链接等等。这个新管理员帐户在用户列表中不易看到的。如果不熟悉SQL或不知从何开始,则需使用Exploit Scanner插件或 Sucuri 插件。

再次检视一下网站

这些后面已经清除了吗?别急。登入时浏览没发现异常,请登录再浏览。因为有的后门非常的聪明,登入看不到,登出则会发现。

四、如何防范于未然?

显然,但发现了后门之后,损失已经造成。所以我们平时应该加强安全意识,做到防患于未然。下面一些提示比较重要,有利于加强网站的安全。

使用强密码 – 我们不建议使用纯数字的密码,也不建议使用少于6位的密码。建议大于6位,多字符混合,大小写混合。
2-步授权 –如果密码被攻破了,则进行第二步验证,通过手机验证。现在已经有这方面的插件。
限制登录尝试 – 通过插件来限制用户登录错误密码的次数。
关闭主题和插件编辑 – 即使被登录进去,他们也不能修改你的主题和插件。
密码保护 WP-Admin – 你可以设置密码保护此目录,限制登录IP。
关闭 某个目录下的PHP执行权限 –包括上传目录和其它选择的目录。T
保持更新 –使用最新的wordpress版本,保持插件更新。
以上2-6通过插件来实现。
至此本文完成,很多朋友喜欢使用破解版的主题,启用前最好用本文介绍的方法做个检查~希望本文能够帮助你,令你的站点固若金汤。

 类似资料: