被入侵的WordPress网站很少会自我暴露。攻击者希望尽可能长时间地保持隐形,因为每多一天的访问权限,就多一分发送垃圾邮件、滥用你的主机或借你的域名做排名的机会。越早发现入侵,损失就越小。以下是十二个实用的危险信号,值得在你拥有或管理的任何WordPress网站上逐一检查。
1. 网站根目录出现陌生页面或文件夹
WordPress把文件放在一组已知的文件夹里。根目录中凡是位于wp-admin、wp-content、wp-includes和标准核心文件之外的内容都应当调查。最近对悉尼一家代理公司网站的审计发现,根目录下多了五个新目录,每个目录的命名都模仿真实的WordPress页面。里面的文件就是整个攻击的本体,而这些文件夹本身就是破绽。
2. wp-content/uploads里出现.php文件
uploads文件夹是放媒体文件的,PHP不应该在那里运行。如果你在uploads目录树中发现.php文件,尤其是名称古怪或修改时间很新的文件,在证明无害之前都应视为可疑。例外是安全加固插件为阻止直接访问而有意添加的少量占位文件。除此之外的任何文件都值得调查。
3. 你没有创建过的新管理员账户
打开WordPress后台的”用户”页面,检查每一个拥有管理员角色的账户。如果列表中有你不认识的人、邮箱域名你不熟悉,或注册日期对不上你记忆中的任何入职安排,那就是危险信号。攻击者通常会创建一个后门管理员账户,即使最初的入侵入口被封堵,他们也能卷土重来。
4. Search Console数据骤降或骤升
Google Search Console是大多数站长忽视的预警系统。展示次数或排名突然下跌,可能意味着网站受到了人工处罚;与你业务毫不相关的搜索词展示量突然飙升,则可能意味着谷歌正在你的域名下收录伪装内容。无论哪种情况,都要深入排查。
5. 陌生的已收录网址
在Search Console中,覆盖率报告列出了谷歌在你域名下收录的每一个网址。如果看到你没有创建过的网址,尤其是外语内容或路径异常的网址,那是你的域名正在托管伪装内容的强烈信号。前面提到的悉尼案例,最初就是通过站长从未见过的已收录网址暴露的。
6. 主机账单异常
主机账单上的带宽或存储用量突然跳升,而网站的流量和内容并无相应变化,可能意味着服务器正被用于你的网站之外的用途。攻击者有时利用被入侵的WordPress网站托管钓鱼页面、恶意软件或垃圾内容,这些带宽都会体现在你的用量统计里。
7. 开了过滤仍出现垃圾评论或注册
如果你安装了垃圾过滤,垃圾内容却照样出现——尤其是被自动批准的评论,或绕过你设置的用户注册——说明有东西绕开了WordPress的正常流程。这可能是插件配置错误,但也可能是入侵者禁用或绕过了你的防护。
8. WordPress核心文件被修改
wp-admin和wp-includes里的文件属于WordPress核心。站长永远不应编辑它们,常规更新也应让它们保持已知的完好状态。像Wordfence这样信誉良好的安全插件可以将你的核心文件与官方版本比对,告诉你哪些被改动过。任何你无法解释的改动都是危险信号。
9. 活动日志中的异常记录
如果你的安全插件或主机商提供活动日志,请认真阅读。来自你业务范围之外国家的登录、与团队作息完全不符的登录时间、你没有做过的设置变更、在常规维护窗口之外安装或启用的插件——每一项都值得调查。
10. 从搜索结果点击后被意外跳转
从谷歌搜索结果点击你自己的网站,最好用全新的浏览器会话或移动设备。如果你最终到了另一个域名、陌生的落地页,或与点击标题不符的页面,说明有东西在拦截搜索流量。攻击者常写只对来自搜索引擎的访客生效的跳转规则,所以直接输入同一网址时一切看起来正常。
11. 浏览器对你的网址发出警告
如果Google安全浏览已将你的域名标记为传播恶意软件或钓鱼,Chrome、Firefox和Safari会显示红色警告页。如果有人报告在你的网站上看到这种警告,在证明无害之前应视为已确认的入侵。绝大多数情况下这种警告不是误报。
12. 客户反馈看到奇怪内容
有时最可靠的探测器是一位困惑的客户。如果有人问你的网站为什么显示无关内容、宣传你不卖的产品,或在陌生表单里索要凭据,请认真倾听。客户是在你可能没有测试过的环境下看到网站公开一面的。
发现这些信号该怎么办
一旦出现上述任何危险信号,不要慌,也不要在弄清范围之前急着清理。最重要的第一步是给当前状态拍快照,包括文件和数据库的完整备份,让取证审计能看清攻击者做了什么。然后更换所有凭据。之后再开始系统性清理,最好请有经验的人协助。
清理得太快会毁掉找到入侵入口所需的证据。找不到入口,攻击者几天内就会回来。
需要帮助?
如果你的WordPress网站出现了上述任何危险信号,Defyn 团队可以进行取证审计、定位入侵入口,并指导你完成彻底恢复。一旦发现异常请尽快联系,时间至关重要。
