PHP的93个WordPress插件有后门
因为93 个 WordPress 主题和插件包含后门,从而使得攻击者可以完全控制网站。攻击者总共入侵了 AccessPress 的 40 个主题和 53 个插件,AccessPress 是 WordPress 插件的开发者,用于超过 360,000 个活动网站。
该攻击是由 Jetpack 的研究人员发现的,Jetpack 是 WordPress 网站安全和优化工具的创建者,他们发现 PHP 后门已被添加到主题和插件中。
Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以破坏软件并感染更多的 WordPress 网站。
一旦管理员在他们的网站上安装了一个受感染的 AccessPress 产品,就会在主主题目录中添加一个新的“initial.php”文件,并将其包含在主“functions.php”文件中。该文件包含一个 base64 编码的有效负载,它将 webshel l 写入“./wp-includes/vars.php”文件。恶意代码通过解码并将其注入“vars.php”文件来完成后门安装,实质上是让攻击者远程控制受感染的站点。
检测这种威胁的唯一方法是使用核心文件完整性监控解决方案,因为恶意软件会删除“initial.php”文件释放器以掩盖其踪迹。
我受到影响吗?
如果您在您的网站上安装了其中一个受感染的插件或主题,则删除/替换/更新它们不会根除任何可能通过它植入的 webshel l。
因此,建议网站管理员通过执行以下操作来扫描他们的网站是否存在入侵迹象:
Jetpack 提供了以下 YARA 规则,可用于检查站点是否已被感染并检测 dropper 和已安装的 webshel l:
原文链接:PHP的93个WordPress插件有后门
使用汉化的wordpress国外主题有什么风险
汉化的方式
国外的主题如果支持多语言的,汉化中文,相当是在语言包文件夹里面添加一个中文语言翻译文件,主题的原始文件没有任何变化。
如果不支持多语言,那么如果要汉化,就要把所有页面的文字信息替换成我们要的中文信息,这种方式会把原始文件给改变。
风险相关
如果原始文件被添加了相关不明代码,那就有风险。
建议
自己下载原始的主题包,然后把汉化文件放到自己的主题去使用。
wordpress预防黑客攻击有哪些方面
1. 无法登录
这是显而易见的。如果无法登录到WordPress控制面板,这意味着已经被黑客攻击(除非是同事进行的恶作剧)。原因可能有很多,但最主要原因是使用以下之一的用户名:如果是这种情况,请立即更换用户名,因为使用这些用户名的WordPress账户经常成为黑客的目标。
2. 流量突然减少
如果网站本来表现得非常好,现在流量突然下降,那么WordPress网站有可能被黑客攻击了。这是因为恶意黑客创建了WordPress文件系统的后门,并将代码替换为自己的脚本和文件。这样,他们就会将访问网站的流量重定向到其他垃圾站点,窃取访问者的私人信息,并以其他方式造成破坏。此外,一旦谷歌发现网站已经被感染并且行为不端,它就会将网站列入黑名单,直到确保网站安全,所有这些问题都会导致流量突然下降。
3. 主页已被破坏
大多数黑客都是秘密行动,但有些黑客在成功劫持网站时,喜欢把自己的名字公布出来。如果主页被破坏,而且可以清楚地看到黑客的名字或某种形式的公告,说明网站被黑客攻击了,需要立即行动。之所以会出现这种情况,主要是黑客想挟持网站,以换取金钱或其他需求。
4. 看到没有投放的弹出窗口和其他广告
如果看到WordPress网站变得缓慢且无响应,而且现在有弹出窗口、侧边栏等广告,这可能是网站被黑客攻击的肯定信号。通常情况下,这种攻击不是由黑客完成的。相反,这是一种自动攻击,它通过保护薄弱的主题或不安全的插件进入了WordPress核心系统。让这种成为事实的是,广告不会显示为登录用户或用户能够直接访问网站。相反,广告只会显示给那些通过谷歌或其他推荐网站来到网站的访问者,这可能使自己实际上不可能知道网站已经被黑客攻击了很久。另外,广告会将访问者引向垃圾网站,这不仅会损害网站及其流量,还会损害声誉。
5. 网站服务器日志中存在异常活动
如果存在非常有效的方法来知道网站是否被黑客攻击,那就是查看网站服务器日志。它们位于cPanel控制面板中,可以通过登录到托管账户来访问,在cPanel中的统计数据下,会发现两种日志:
访问日志:这些日志显示谁通过哪个IP访问了WordPress。
错误日志:这些日志会显示在修改WordPress系统文件时发生了什么错误。
检测wordpress主题是否有后门
第一种使用工具检测(插件检测)主题方法:
安装插件方法:
wordpress后台——外观——TAC——启动Theme Authenticity Checker安全检测插件
然后就会自动检测,如果出现全部为绿色,则表示没有任何后门
如果有异常请点击Details产看,并按照路径进行相关处理
第二种使用手动检测主题方法:
使用ftp工具查看源码:找到fuctions.php这个文件
查看是否包含以下函数:
function __popular_posts
function stripos
function scandir
function _getprepare_widget
add_action("init", "_getprepare_widget");
function _get_allwidgets_cont
function strripos
function _checkactive_widgets
add_action("admin_head", "_checkactive_widgets");
3
第三种使用文件同步对比法检测主题方法:
首先在wordpress官网下载跟你源码相同版本的代码
找到下载源码中的fuctions.php与你的程序源码的fuctions.php进行对比
对比的时候请注意,如果对比出现红色的可以询问相关技术人员,或者在网上进行搜索
对比推荐使用软件Beyond Compare 4点击进行文本对比即可
怎么查找wordpress后门
至此我们已经知道了后门程序一般会隐藏在哪里,那么现在开始要设法找到他们,然后清除他们像删除任何一个文件一样简单,但是难度就在于如何没有遗漏的找到他们,这里给大家介绍一款不错的恶意代码扫描软件,当然是收费的,大家可以有个参考,Sucuri。
你也可以使用 Exploit Scanner插件来扫描。
搜索 Uploads 目录
如果你对SSH命令行熟悉的话,可以通过SSH登陆进去,然后执行以下命令行:
1
find uploads -name "*.php" -print
通过以上命令行扫描出任何.php的文件都是可疑文件,因为Uploads目录不应该有任何.php的文件存在,所以尽管删除这些可疑的文件就是了。
删除任何没启用的模版文件
.htaccess 文件
有时候一些跳转代码被加入到了.htaccess文件,仅仅删除那些后门程序文件并没有用,一会就通过.htaccess文件重建出来了,因此需要在这个文件中彻底清除不该存在的代码。
wp-config.php 文件
将这个文件与 wp-config-sample.php 作对比,删除任何除了自己确认有用的多余的代码。
数据库扫描
厉害的黑客一般都会用多种方式来隐藏他们的行踪,而数据库则是一个非常好的场所,他们可以存储破坏性的PHP函数,隐藏的管理员账号,恶意链接等等,当然如果你不够熟悉SQL,那么上边介绍过的Sucuri将是你不错的选择,尽管付费,但是相信恢复你被黑的站点值得这点付出。
至此你可能觉得已经彻底清除干净了,别高兴太早了,试试打开一个浏览器,确保你站点未登陆状态下打开站点看看是否恶意代码还会回来?因为好多聪明的黑客很巧妙的让这些恶意代码对登陆过的用户隐身,而只对未登陆访客有效,这样好多时候让时刻在线的管理员无处查找。
wordpress主题存在后门恶意代码该怎么办
找出代码删除
如果你知道主题存在后门的话 那么我相信你对于代码还是有点了解的
BanYuner回复
标签: