WordPress惡意軟體刪除完整指南

由於WordPress的流行，它已成為網路攻擊的常見目標。事實上，Alexa Top100萬的40,000個WordPress網站中有70%容易受到黑客攻擊。

被黑網站的一些最常見跡象包括網頁被破壞、指向惡意網站的連結、谷歌黑名單警告和白屏宕機。如果這些跡象之一出現在您的WordPress網站上，則它可能已被入侵或感染了惡意軟體。

一旦您確認您正在執行一個被黑的WordPress網站，請儘快採取適當的措施來恢復它。繼續閱讀，因為我們將提供從被黑網站手動刪除惡意軟體的步驟。我們還將介紹一些可供選擇的最佳WordPress安全外掛。

• 如何手動刪除WordPress惡意軟體
  • 步驟 1：準備刪除WordPress惡意軟體
  • 步驟 2：重新安裝WordPress核心檔案
  • 步驟 3：比較受感染的和乾淨的WordPress安裝
  • 步驟 4：從上傳中清除PHP檔案
  • 步驟 5：在檔案中查詢後門
  • 步驟 6：檢查SQL資料庫檔案
  • 步驟 7：檢視每個頁面的程式碼併發布
  • 步驟 8：從URL攔截列表中刪除您的網站
• 最好的WordPress惡意軟體刪除外掛
  • 1. WordFence Security
  • 2. All In One WP Security & Firewall
  • 3. Sucuri Security
• 購買WordPress惡意軟體刪除服務

如何手動刪除WordPress惡意軟體

雖然可以恢復被黑的WordPress網站，但該過程需要在網站維護和託管方面具備良好的技術知識。

如果以下教學對您來說太具有挑戰性，我們建議使用WordPress惡意軟體清除外掛或聘請WordPress惡意軟體清除專家。

步驟 1：準備刪除WordPress惡意軟體

首先，請記住，您可以修復被黑的WordPress網站。雖然恢復它可能需要一些時間和精力，但要知道你可以克服這樣的事件。因此，保持冷靜並遵循適當的恢復程式非常重要。

在從您的WordPress網站中刪除惡意軟體之前，請執行以下準備步驟以確保您的資料安全：

1. 限制對網站的訪問

如果您的WordPress網站有惡意重定向到陰暗、不安全的網站，那麼它很可能已被黑客入侵。如果不加以檢查，受感染的WordPress網站可能會提示訪問者訪問危險網站並洩露他們的個人詳細資訊。

限制對您的WordPress網站的訪問將有助於防止當前感染它的隱藏惡意軟體的進一步傳播。通過主機控制面板的檔案管理器或FTP客戶端編輯.htaccess檔案來執行此步驟。在本教學中，我們將在寶塔面板的的檔案管理器。

這是如何做到的：

（1）導航到檔案選單下的檔案管理器。

（2）訪問/www/wwwroot/yourdomain目錄並向下滾動以找到.htaccess檔案。如果該檔案不存在，請建立一個新的.

（3）將此程式碼段新增到.htaccess檔案以阻止除您之外的所有訪問：

order allow,deny

deny from all

allow from [your_IP_address]

（4）儲存更改。

Tip：確保您的IP地址是靜態的。否則，您需要定期更新 .htaccess 檔案。

2. 建立備份

建立被黑站點的備份將更容易識別惡意軟體。通過將良好備份的WordPress檔案與破解後版本的WordPress檔案進行比較，您將能夠更快地找到惡意程式碼。

按照以下步驟使用寶塔面板提供的功能備份您的WordPress站點檔案和資料庫：

（1）導航到“網站”選單，找到對應的網站，點選“備份”列下方對應的操作項進行網站檔案備份。

（2）伺服器完成下載準備後，可以單擊下載將備份下載到本地計算機。

（3）備份您的網站檔案後，對您的WordPress資料庫執行相同操作。單擊“資料庫”選單，然後選擇你需要備份資料的網站的備份列對應的操作項，即可進行資料庫備份。

（4）如需要下載資料庫備份，可以選擇對應的備份檔案並點選下載。

3.檢查可用的備份

對於那些作為網站管理員完成盡職調查的人來說，這一步應該很容易。如果您無法使用受感染的備份檔案恢復WordPress站點，則舊版本可以作為您的B計劃，讓您恢復黑客攻擊前的資料並更快地重新開始。

否則，我們建議您聯絡您的主機服務商，看看他們是否有您網站檔案的備份。根據您的託管服務提供商，您可能會自動生成預破解備份檔案。

4.更新所有密碼和訪問金鑰

許多黑客使用惡意軟體進行暴力攻擊以破解管理員帳戶的登入憑據。更改密碼可以減慢它們的速度，並最大限度地減少另一個安全風險對您的 WordPress 網站造成嚴重破壞的可能性。

確保使用強密碼並避免一次在多個帳戶上重複使用它們。有很多線上密碼生成器，例如安全密碼生成器和隨機密碼生成器，它們可以幫助您建立具有各種字母和數字組合的不可預知的密碼。

以下是一些需要儘快重置密碼的帳戶：

• 託管賬戶——大多數託管服務提供商，都將密碼更改功能放在賬戶資訊頁面上。
• FTP帳戶– 讓您的FTP帳戶受到威脅，黑客可以發動FTP攻擊。通過更改主帳戶和輔助帳戶的密碼來最小化這種風險。
• SSH帳戶‒ 更改您的帳戶密碼和SSH金鑰，以防止黑客訪問您的網站資料。
• WP-Admin 憑據‒重置您的管理員密碼和有權訪問您網站後端的其他WordPress使用者帳戶的登入憑據。
• WP Salts——更改您的WordPress Salt金鑰將有助於保持您的登入詳細資訊經過雜湊處理，從而增強您的WordPress帳戶免受暴力攻擊。

重要的！如果您的個人帳戶與被黑WordPress網站的密碼相同，請同時更改它們。

5.更新WordPress

39.3%的被黑WordPress網站執行的是過時的WordPress版本。通過使您的CMS保持最新狀態，您將消除黑客可以利用來攻擊您的網站的漏洞。

以下是您需要更新的軟體和檔案的清單：

• WordPress版本‒通過WordPress管理儀表板的更新選項卡將您的WordPress更新到最新版本。
• 主題和外掛——過時的WordPress外掛和主題的更新提示應該出現在更新部分。不要忘記通過刪除未使用的主題和外掛來消除潛在的安全問題。
• PHP版本‒ 寶塔使用者可以的網站設定選單切換更新PHP版本。

6.檢查最近的更改和訪問

您的WordPress站點日誌會跟蹤伺服器上的所有流量和更改。在黑客入侵期間檢查日誌中的可疑活動可以更輕鬆地識別流氓帳戶和受感染檔案。

首先，通過在SSH上執行find命令來分析您的變更日誌：

find . -type f -name '*.file_extension' -ctime n

將file_extension值替換為您要檢查的檔案型別。我們建議搜尋JavaScript和PHP檔案，因為這兩個副檔名都是惡意軟體注入的常見目標。將正值或負值新增到n佔位符以確定搜尋範圍。

例如，以下SSH命令顯示三天前新增或修改的所有PHP檔案：

find . -type f -name '*.php' -ctime -3

至於訪問日誌，寶塔面板使用者可以通過儀表盤網站部分下的網站對應的設定，在彈出面板訪問網站日誌-響應日誌檢視它們。

7.刪除符號連結

符號連結或符號連結是指向另一個檔案或目錄的檔案型別，用作快捷方式。雖然它們提供了多個訪問點，但黑客可以利用它們發起符號連結攻擊並獲得對您的根目錄的訪問許可權。

通過SSH執行此命令以解鎖檔案和目錄中的符號連結：

find . -type l -exec unlink {} \;

8.重置檔案和資料夾許可權

限制具有管理員角色的使用者數量是防止黑客訪問機密站點檔案的重要安全措施。如果發生安全漏洞，我們建議將檔案和資料夾許可權重置為其預設值，以清除具有無效訪問許可權的WordPress使用者。

檔案許可權設定應該可以通過您的託管帳戶儀表盤訪問。您可以參考“WordPress檔案許可權”，恢復原本的檔案及資料夾許可權。

推薦的755資料夾許可權意味著這些資料夾中檔案的所有者可以讀取、寫入和執行它們，而其他 WordPress 使用者只有讀取和執行訪問許可權。

9. 使用防病毒軟體掃描您的PC

網路攻擊最初可能針對您的WordPress網站，但無法確定惡意軟體感染是否尚未傳播到您的 PC。使用防病毒軟體掃描您的 PC 將有助於消除潛在的惡意軟體感染並防止它損害您的硬體。

以下是一些帶有惡意軟體掃描功能的最佳防病毒解決方案：

• McAfee
• ESET
• Norton Antivirus
• Bitdefender

步驟 2：重新安裝WordPress核心檔案

完成先決條件後，是時候重新安裝WordPress了。如果您仍然可以訪問WordPress儀表盤，請導航到更新並單擊立即重新安裝按鈕。

否則，您可以使用FTP客戶端手動重新安裝WordPress核心檔案。以下參考步驟：

（1）與您的Web伺服器建立FTP連線。

（2）在根目錄中找到wp-content資料夾，右鍵單擊它，然後選擇Download。

（3）訪問wordpress.org網站下載最新版本WordPress。

（4）解壓最新版本的WordPress壓縮包，並上傳到伺服器覆蓋現有的檔案。

（5）返回您的FTP客戶端並重新整理目錄列表。將之前下載的wp-content資料夾重新上傳到根目錄。此步驟允許您保留外掛和主題檔案。

步驟 3：比較受感染和乾淨的WordPress安裝

此時，您將擁有受感染和乾淨的WordPress檔案。將這些檔案放在兩個單獨的資料夾中，並通過您的FTP客戶端比較內容。FileZilla具有目錄比較功能，您可以使用它來簡化流程。如果您有很多檔案要處理，請考慮使用Beyond Compare。

密切注意JavaScript和PHP檔案，因為它們是惡意軟體的理想宿主。然後，根據需要將盡可能多的乾淨WordPress檔案上傳到網站，並定期檢查網站是否正常工作。

或者，在SSH中使用diff命令比較受感染資料夾和乾淨資料夾：

diff -r wordpress-clean/ wordpress-infected/ -x wp-content

留意最近更改或新增的任何檔案。

步驟 4：從上傳中清除PHP檔案

由於惡意PHP檔案可能是您網站被黑的原因，因此從您的Uploads資料夾中刪除PHP檔案是受損WordPress網站清理過程的重要步驟。

您可以通過FTP客戶端手動執行此操作，方法是在wp-content資料夾中找到Uploads 。像FileZilla這樣的大多數FTP客戶端都提供了過濾功能，這將使這個過程變得簡單。另一種方法是在SSH中使用find命令：

find . -name "*.php"

步驟 5：在檔案中查詢後門

黑客可能會在檔案中嵌入後門，從而在您的WordPress網站中製造安全漏洞，因此刪除任何攜帶它們的被黑檔案非常重要。

後門通常看起來類似於WordPress核心檔案。wp-config.php和plugins、theme和uploads資料夾中的檔案是後門注入的最流行目標。

要識別潛在的後門，請檢查您的檔案中是否存在以下 PHP 函式：

• base64
• exec
• move_uploaded_file
• str_rot13
• gzuncompress
• eval
• stripslashes
• system
• assert
• preg_replace (with /e/)

使用以下SSH命令來檢測位於您的目錄中的任何被黑檔案：

find . -type f -name '*.php' | xargs egrep -i "(mail|fsockopen|pfsockopen|stream\_socket\_client|exec|system|passthru|eval|base64_decode) *("

以下命令將定位具有後門函式的影象檔案：

find wp-content/uploads -type f -iname '*.jpg' | xargs grep -i php

最後，使用以下命令定位受感染的iframe：

find . -type f -name '*.php'| grep -i '<iframe'

重要的！一些外掛在其操作中使用這些功能，因此請務必測試所做的任何更改。我們建議下載原始外掛檔案並將其程式碼與您從被黑站點下載的檔案進行比較，以避免刪除基本功能。

步驟 6：檢查SQL資料庫檔案

您的資料庫無法免受惡意軟體注入的影響。在確保您的WordPress核心和內容檔案是乾淨的之後，下一步是仔細檢視您的資料庫。

首先，使用phpMyAdmin將您的MySQL資料庫匯出為.sql備份檔案。使用像Sublime這樣的文字編輯器，檢查文​​件中的惡意內容。不要從資料庫備份檔案中刪除可疑條目。相反，請記下它們的位置並繼續下一步。

步驟 7：檢視每個頁面的程式碼併發布

在此步驟中，查詢您的問、頁面和評論部分中的惡意條目。檢查他們的修訂歷史以檢測任何可疑活動。

仔細檢視在第6步中發現可疑條目的位置。使用文字編輯器刪除所有惡意程式碼，並在需要時重新格式化內容。

當您使用它時，請刪除您在清理過程中發現的垃圾郵件。

步驟 8：從URL攔截列表中刪除您的網站

此時，您的WordPress網站應該沒有惡意程式碼。剩下要做的就是從Google的黑名單中刪除您網站的URL。

您可以通過Google Search Console執行此操作。導航到您的管理儀表板並開啟Security & Manual Actions -> Security issues選項卡。選擇I have fixed these issues -> Request a review以讓Google稽覈並重新索引您的WordPress網站。

請注意，Google可能需要幾天時間來處理黑名單刪除請求。

驗證您的網站

考慮檢視如何將域新增到Google Search Console以驗證您的網站所有權並請求稽覈。

最好的WordPress惡意軟體刪除外掛

您已經瞭解了手動從WordPress網站中刪除惡意軟體所需的步驟。如果您對自己的技術技能沒有信心，請考慮使用 WordPress 惡意軟體刪除外掛來簡化清理過程。

以下是三個可供選擇的最佳WordPress安全外掛。隨意選擇最適合您的需求和偏好的一種。

1. WordFence Security

WordFence Security的WordPress惡意軟體掃描程式可以輕鬆從您的WordPress站點中刪除惡意軟體。該外掛還包括一個計劃的安全掃描功能，以自動化該過程，確保您的WordPress網站安全，而無需對您進行過多的微觀管理。

該外掛帶有一個Web應用程式防火牆——它是對您網站安全性的重要補充，可以阻止惡意流量並防止暴力攻擊。它與惡意軟體掃描程式一起工作以阻止包含惡意指令碼的請求。

此外，WordFence Security還包括登入安全功能，例如雙因素身份驗證和reCAPTCHA。該外掛還允許您使用已知的洩露使用者密碼阻止登入。

以每年99美元至950美元的價格升級到WordFence高階版，您可以訪問實時IP攔截列表和國家/地區阻止功能，阻止來自您選擇的惡意IP地址或國家/地區的所有請求。

其他值得注意的高階功能包括實時惡意軟體簽名更新、調查和惡意軟體刪除、事件後黑名單刪除和搜尋引擎安全清理。

2.All In One WP Security & Firewall

這個WordPress安全和防火牆外掛提供了使用者帳戶安全功能，可以檢測預設的“管理員”使用者名稱以及相同的登入名和顯示名。它通過提供密碼強度工具停止使用者名稱列舉並促進強密碼。

登入和使用者註冊安全功能帶有暴力保護、自動強制登出和IP鎖定。您可以監控所有使用者的帳戶活動，包括失敗的登入嘗試，並將某些IP地址列入白名單。

其他WordPress安全功能包括新增自定義WP字首、計劃的自動資料庫備份、.htaccess和wp-config.php檔案備份以及檔案更改檢測掃描程式的能力。

簡而言之，All In One WP Security & Firewall是最好的免費外掛之一，可以從被黑網站中刪除惡意軟體並防止未來的惡意軟體攻擊。

3.Sucuri Security

與WordFence安全外掛一樣，Sucuri有免費和高階版本。免費外掛提供基本的WordPress安全功能，如檔案完整性監控、安全強化和活動審計、遠端惡意軟體掃描、黑名單監控和黑客攻擊後安全措施。不幸的是，網站防火牆是為高階使用者保留的。

高階版每年收費199.99至499.99美元，並由Sucuri安全專家提供無限制的惡意軟體和黑客清除功能。所有計劃都包括基於雲的Web應用程式防火牆、每30分鐘到12小時的網站安全掃描以及清理後的基本報告。

Sucuri還可以在您的WordPress網站被列入黑名單時通知您，並代表您提交刪除請求。CDN速度增強功能將在惡意軟體感染後提高您的搜尋引擎排名。

購買WordPress惡意軟體刪除服務

各種WordPress外掛提供一流的功能，可以從WordPress網站中刪除惡意軟體，並保護它們免受未來的惡意軟體感染。但是，在處理複雜的惡意軟體時，可能需要專業的幫助。

如果您缺乏執行上述流程所需的技術專長，建議您購買WordPress安全服務。

WordPress安全專家可以確保惡意軟體刪除過程正確完成。此外，您可以讓他們修補您的WordPress網站的安全漏洞，以確保其以最佳方式執行。

Upwork、Fiverr和Codeable等自由職業者平臺託管了大量的專業WordPress專家可供租用。以下是一些提示，可幫助您找到WordPress惡意軟體清除專家：

• 寫一份清晰的工作描述——這樣做將有助於設定期望、預算和所需技能。
• 仔細審查應聘者的作品集——深入瞭解應聘者的過往經歷將使您更好地瞭解他們的技能、專業知識以及他們是否能夠勝任這項任務。
• 瀏覽過去的客戶評論——確保候選人的職業道德和溝通方式符合您的偏好。一個好的承包商應該為您提供定期的狀態更新，並對整個過程保持透明。
• 使用參考‒ 請您的朋友或聯絡人推薦與他們合作過的值得信賴的專家。

保護您的網站

考慮檢視如何保護WordPress指南，以幫助您識別和修補站點中的安全漏洞。

小結

可以通過多種方式從您的WordPress網站中刪除惡意軟體。如果您具有執行清理過程所需的技術專長和時間，則可以手動執行此操作。

WordPress安全外掛可以簡化流程並新增額外的安全措施以防止未來的惡意軟體攻擊。如果一切都失敗了，您可以聘請WordPress安全專家為您完成工作。

無論首選方法如何，最好儘快採取行動。雖然可以恢復被黑的網站，但如果不加以修復，網路攻擊可能會損害其搜尋引擎排名和您的品牌聲譽。