Làm Thế Nào Tìm Backdoor Trong WordPress [NEW]

Hết lần này đến lần khác, chúng tôi đã giúp người dùng sửa các trang web WordPress bị tấn công của họ. Hầu hết khi họ tiếp cận chúng tôi, họ dọn dẹp các trang web nhưng tin tặc có thể quay lại. Điều này xảy ra nếu bạn không làm sạch nó đúng cách hoặc bạn không biết mình đang làm gì. Trong hầu hết các trường hợp chúng tôi tìm thấy, có một cửa sau do hacker tạo ra cho phép họ bỏ qua bước xác thực thông thường. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách tìm một cửa sau trong một trang WordPress bị tấn công và cách khắc phục nó.

Backdoor là gì?

Backdoor được biết đến là một phương pháp bỏ qua bước xác thực thông thường và giành quyền truy cập máy chủ trong khi vẫn không bị phát hiện. Hầu hết các hacker thông minh luôn tải lên backdoor trước. Điều này cho phép họ lấy lại quyền truy cập ngay cả sau khi bạn đã tìm thấy và gỡ bỏ plugin bị khai thác. Backdoor thường tồn tại sau khi nâng cấp, vì vậy trang web của bạn vẫn dễ bị tấn công cho đến khi bạn dọn dẹp đống hỗn độn.

Một số cửa hậu chỉ cho phép người dùng tạo tên người dùng quản trị ẩn. Trong khi đó, các backdoor tinh vi hơn có thể cho phép tin tặc thực thi bất kỳ mã PHP nào được gửi từ trình duyệt. Những người khác có giao diện người dùng đầy đủ cho phép họ gửi email như từ máy chủ của bạn, thực hiện các truy vấn SQL và bất kỳ điều gì khác mà họ muốn làm.

cửa sau

Mã ẩn này ở đâu?

Các cửa hậu trên trang cài đặt WordPress thường được lưu trữ nhất ở các vị trí sau:

  1. Chủ đề – Tin tặc thường biết rất rõ các lỗ hổng bảo mật của các theme cũ nên nếu bạn có theme Kubrick cũ trong thư mục theme của mình hoặc một theme không hoạt động khác, tin tặc sẽ rất dễ đưa backdoor vào trang web của bạn. Tôi đã giải thích trong một bài viết khác trên web, về cơ bản với các chủ đề cũ đã bị hacker tấn công, chúng gần như có thể tự động tấn công các trang đó.
  2. bổ sung – plugin là một nơi tuyệt vời để tin tặc ẩn backdoor vì ba lý do. Một là vì mọi người không thực sự nhìn vào mã của họ (vì họ thường chỉ quan tâm đến khả năng sử dụng của plugin). Thứ hai, bởi vì mọi người không muốn nâng cấp plugin của họ, không cập nhật plugin và chủ đề hoặc sử dụng plugin miễn phí từ các nguồn không rõ nguồn gốc là cực kỳ nguy hiểm vì tính bảo mật của chúng rất kém và rất dễ bị tấn công. điểm yếu cho trang web của bạn.
  3. Thư mục tải lên – một blogger thường không bao giờ kiểm tra thư mục tải lên vì họ chỉ quan tâm đến việc làm nội dung cho trang web và thường bỏ qua các vấn đề bảo mật. Bạn có thể có tới hàng nghìn hình ảnh trong thư mục tải lên. Sẽ rất dễ dàng cho tin tặc tải một backdoor vào thư mục tải lên vì nó sẽ bị ẩn trong hàng nghìn hình ảnh khác. Thêm vào đó, bạn không kiểm tra nó thường xuyên. Hầu hết mọi người không có một plugin giám sát như Sucuri.
  4. wp-config.php – Đây cũng là một trong những tập tin có khả năng cao là mục tiêu của tin tặc. Đây cũng là một trong những nơi đầu tiên mà hầu hết mọi người được khuyên nên xem xét.
  5. Bao gồm Thư mục – / wp-bao gồm / thư mục là một nơi khác mà chúng tôi tìm thấy các cửa hậu. Một số tin tặc sẽ luôn để lại nhiều hơn một cửa sau của tệp. Sau khi tải lên một tệp backdoor, họ sẽ thêm một tệp sao lưu khác để đảm bảo quyền truy cập của mình. Bao gồm Thư mục là một thư mục khác mà hầu hết mọi người không bận tâm.

Trong tất cả các trường hợp chúng tôi tìm thấy, backdoor đã được ngụy trang để trông giống như một tệp WordPress.

Ví dụ: trong một trang web mà chúng tôi đã dọn dẹp, backdoor nằm trong thư mục wp-include và nó được đặt tên là wp-user.php (điều này không tồn tại trong cài đặt thông thường). Có user.php, nhưng không có wp-user.php trong thư mục / wp-include /. Trong một trường hợp khác, chúng tôi tìm thấy một tệp php có tên hello.php trong thư mục tải lên. Nó được ngụy trang dưới dạng một plugin Hello Dolly. Nhưng làm thế quái nào mà nó lại nằm trong thư mục tải lên?

Nó cũng có thể sử dụng các tên như wp-content.old.tmp, data.php, php5.php hoặc tương tự như vậy.

Nó không kết thúc với PHP chỉ vì nó có mã PHP trong đó. Nó cũng có thể là một tệp .zip. Trong hầu hết các trường hợp, các tệp được mã hóa bằng mã base64, thường thực hiện tất cả các loại hoạt động (ví dụ: thêm liên kết spam, thêm trang bổ sung, chuyển hướng trang web chính đến các trang). thư rác, v.v.).

Bây giờ bạn có thể nghĩ rằng WordPress không an toàn vì nó cho phép các cửa hậu tồn tại. Bạn đã mắc một sai lầm lớn. Phiên bản hiện tại của WordPress không có lỗ hổng nào đã biết. Backdoor không phải là bước đầu tiên của quá trình hack. Nó thường là bước thứ hai. Thông thường, tin tặc tìm thấy một nơi có thể khai thác trong một plugin hoặc tập lệnh của bên thứ ba, sau đó sẽ cấp cho họ quyền truy cập để tải lên các cửa hậu. Gợi ý: Hack TimThumb. Nó có thể là tất cả các loại. Ví dụ: một plugin được lập trình kém có thể cho phép người dùng nâng cấp đặc quyền. Nếu trang web của bạn đang mở đăng ký, hacker chỉ cần đăng ký một tài khoản miễn phí.

Khai thác một tính năng để có được nhiều đặc quyền hơn (sau đó cho phép họ tải tệp lên). Trong các trường hợp khác, rất có thể thông tin quan trọng của bạn đã bị xâm phạm. Cũng có thể là bạn đang sử dụng một nhà cung cấp dịch vụ lưu trữ không tốt. Xem danh sách lưu trữ web được đề xuất của chúng tôi.

Làm thế nào để tìm Backdoor?

Đến đây chắc bạn đã biết backdoor là gì và có thể tìm thấy nó ở đâu. Bạn cần bắt đầu tìm kiếm nó. Dọn dẹp nó cũng dễ dàng như xóa các tệp hoặc mã. Tuy nhiên, phần khó là tìm ra nó. Bạn có thể bắt đầu với một trong các plugin WordPress quét phần mềm độc hại sau đây. Trong số đó, chúng tôi khuyên bạn nên sử dụng Sucuri, với phiên bản trả phí, Sucuri là một công cụ rất hữu ích để ngăn chặn hacker và backdoor, tuy nhiên nếu bạn không giàu có thì có thể sử dụng một số plugin bảo mật. bí mật khác.

Bạn cũng có thể sử dụng Exploit Scanner, nhưng hãy nhớ rằng mã base64 và eval cũng được sử dụng trong các plugin. Vì vậy, đôi khi nó sẽ gặp một số vấn đề với việc tìm ra mã độc hại trong plugin là gì. Nếu bạn không phải là một nhà phát triển plugin thì bạn sẽ rất khó để biết được đâu là đoạn mã không ở đúng vị trí của nó trong hàng nghìn dòng mã. Cách tốt nhất bạn có thể làm là xóa thư mục plugin và cài đặt lại plugin từ đầu. Đúng, đây là cách duy nhất bạn có thể chắc chắn, trừ khi bạn có nhiều thời gian để thực hiện.

Tìm kiếm Thư mục Tải lên

Một trong những plugin máy quét sẽ tìm thấy tệp giả mạo trong thư mục tải lên. Nhưng nếu bạn đã quen với SSH, thì bạn có thể chỉ cần viết lệnh sau:

find uploads -name "*.php" -print

Không có lý do chính đáng nào để tệp .php nằm trong thư mục tải lên của bạn. Các thư mục được thiết kế cho các tệp phương tiện trong hầu hết các trường hợp. Nếu có tệp .php trong đó, hãy xóa nó ngay lập tức.

Xóa các chủ đề không hoạt động

Như chúng tôi đã đề cập ở trên, các chủ đề không hoạt động thường là mục tiêu. Điều tốt nhất bạn có thể làm là xóa chúng (vâng, điều này bao gồm các chủ đề mặc định và chủ đề cổ điển). Nhưng chờ đã, tôi đã không kiểm tra xem liệu cửa hậu có ở đó hay không. Nếu nó ở đó, nó đã biến mất ngay bây giờ. Bạn vừa tiết kiệm thời gian không phải tìm kiếm, vừa loại bỏ được một điểm tấn công bổ sung.

tệp .htaccess

Đôi khi mã chuyển hướng được thêm vào đó. Chỉ cần xóa các tệp và nó sẽ tự tạo lại. Nếu không, hãy truy cập bảng điều khiển quản trị WordPress của bạn. Cài đặt »Permalinks. Nhấp vào nút Lưu ở đó. Nó sẽ tạo lại file.htaccess.

Tệp wp-config.php

So sánh tệp này với tệp wp-config-sample.php mặc định. Nếu bạn thấy điều gì đó không phù hợp, hãy xóa nó.

Quét cơ sở dữ liệu để tìm lỗ hổng bảo mật và SPAM

Một hacker khôn ngoan sẽ không bao giờ cài đặt chỉ một cửa sau. Nhắm mục tiêu vào một cơ sở dữ liệu đầy dữ liệu là một thủ thuật rất dễ dàng. Họ có thể lưu trữ các chức năng PHP xấu, tài khoản quản trị mới, liên kết SPAM, v.v. trong cơ sở dữ liệu. Có, đôi khi bạn sẽ không thấy người dùng quản trị trong trang của người dùng. Bạn sẽ thấy rằng có 3 người dùng và bạn chỉ có thể xem 2 người trong số họ. Có thể bạn đã bị hack.

Nếu bạn không biết mình đang làm gì với SQL, bạn có thể muốn để một trong những máy quét này thực hiện công việc cho bạn. Plugin Exploit Scanner hoặc Sucuri (phiên bản trả phí) đều có thể làm được.

Bạn nghĩ rằng bạn đã làm sạch nó? Nghĩ lại!

Được rồi, bây giờ hack đã biến mất. Phù. Chờ đã, đừng chỉ thư giãn. Mở trình duyệt của bạn ở chế độ ẩn danh để xem liệu vụ hack có quay lại hay không. Đôi khi những tin tặc này rất vô đạo đức. Họ sẽ không hiển thị hack cho người dùng đã đăng nhập. Chỉ những người dùng đã đăng xuất mới thấy nó. Hoặc tốt hơn hãy thử thay đổi người dùng của trình duyệt, ví dụ như Google. Đôi khi, tin tặc chỉ muốn nhắm mục tiêu vào các công cụ tìm kiếm. Nếu tất cả đều ổn thì bạn có thể rời đi.

FYI (thông tin cho bạn): nếu bạn muốn chắc chắn 100% rằng không có hack thì hãy xóa trang của bạn. Và khôi phục nó đến điểm mà bạn biết là không có hack. Đây có thể không phải là một lựa chọn cho tất cả mọi người, nhưng cách triệt để nhất mà tôi vẫn khuyên mọi người là sao lưu toàn bộ nội dung của web và cài đặt lại để nó là cách chắc chắn nhất để xóa các tập tin. Cửa hậu có thể vẫn còn trong trang web.

Làm thế nào để ngăn chặn các vụ hack trong tương lai?

Mẹo ở đây là luôn chuẩn bị sẵn một bản sao lưu (sử dụng VaultPress hoặc BackupBuddy) và bắt đầu sử dụng dịch vụ giám sát. Giống như chúng tôi đã nói trước đó, bạn không thể theo dõi mọi thứ hoạt động trên trang web của mình khi bạn còn quá nhiều việc phải làm. Đây là lý do tại sao chúng tôi sử dụng Sucuri. Còn nhiều plugin bảo mật khác nhưng mình thấy Sucuri có vẻ hiệu quả hơn nhưng đây chỉ là ý kiến ​​cá nhân của mình và nếu trang của bạn không có cấu trúc giống như của mình thì sử dụng plugin khác có thể hiệu quả hơn. Tất nhiên, đối với những người dùng Sucuri và đã viết một vài đánh giá về nó, tôi khuyên bạn nên sử dụng Sucuri. Để biết thêm chi tiết, hãy đọc bài viết của chúng tôi về 5 lý do tại sao chúng tôi sử dụng Sucuri để cải thiện bảo mật cho WordPress.

Một số điều khác bạn có thể làm:

  1. Sử dụng mật khẩu mạnh – Buộc người dùng của bạn sử dụng mật khẩu mạnh. Bắt đầu sử dụng tiện ích quản lý mật khẩu như 1Password.
  2. Xác nhận 2 bước – Nếu mật khẩu của bạn đã bị xâm phạm, tài khoản của bạn sẽ vẫn cần mã xác minh từ điện thoại của bạn.
  3. Giới hạn số lần đăng nhập– Plugin này cho phép bạn khóa người dùng sau khi họ có X lần đăng nhập thất bại nhất định.
  4. Tắt trình chỉnh sửa Chủ đề và Trình cắm – Điều này ngăn chặn sự cố leo thang của người dùng. Ngay cả khi các đặc quyền của người dùng đã tăng lên, họ không thể thay đổi chủ đề hoặc plugin bằng WP-Admin của bạn.
  5. Đặt mật khẩu để bảo vệ WP-Admin – Bạn có thể đặt mật khẩu bảo vệ toàn bộ thư mục. Bạn cũng có thể giới hạn quyền truy cập bằng IP.
  6. Tắt thực thi PHP trong một số thư mục WordPress – điều này vô hiệu hóa việc thực thi PHP trong thư mục tải lên và các thư mục khác mà bạn chọn. Về cơ bản, ngay cả khi ai đó có thể tải tệp lên thư mục tải lên của bạn, họ sẽ không thể làm điều đó.
  7. Tiếp tục cập nhật mặc dù – Khởi động phiên bản mới nhất của WordPress và nâng cấp các plugin của bạn.

Cuối cùng, đừng quá keo kiệt khi nói đến vấn đề bảo mật. Chúng tôi luôn nói rằng các biện pháp bảo mật tốt nhất là các bản sao lưu tuyệt vời. Vui lòng giữ các bản sao lưu thường xuyên tốt cho trang web của bạn. Hầu hết các công ty lưu trữ KHÔNG làm điều này cho bạn. Bắt đầu sử dụng một giải pháp đáng tin cậy như BackupBuddy hoặc VaultPress. Bằng cách này nếu bạn từng bị tấn công, bạn luôn có điểm khôi phục. Ngoài ra nếu bạn có thể, chỉ cần có Sucuri và bảo vệ bạn khỏi mọi rắc rối. Họ sẽ giám sát trang web của bạn và dọn dẹp nó nếu bạn đã từng bị tấn công. Chi phí khoảng 3 đô la mỗi tháng cho mỗi trang web nếu bạn có kế hoạch 5 trang web.

Chúng tôi hy vọng rằng bài viết này đã giúp bạn. Vui lòng để lại bình luận bên dưới nếu bạn có điều gì cần bổ sung.