现在我没有进行网站设计,但几个月前我将一个现有的网站移植到了我的客户的wordpress。
我今天接到了客户关于他们网站的电话,以及某种安全问题。
网站首页加载正常,但如果您尝试导航到其他任何网页,它会将您带到 - http://secure.wheelerairservice.com/main.php。
导航似乎仍然链接到相应的页面(当您翻转联系我们时,链接在状态栏中显示为/ contact-us)但它会重定向到上面的URL。
只是想知道是否有人知道问题是什么,以及可能做了什么或者做了什么。
有关如何解决此问题的任何建议?
谢谢!
好的我已经更多地研究了这个问题,发现.htaccess文件已经被某种方式替换了。我只是想知道某人怎么会这样做?通过ftp访问,wordpess管理员帐户或wordpress中的一些漏洞,任何想法?
答案 0 :(得分:1)
通常情况下,当.htaccess文件被感染时,通常是被盗(受损)FTP凭据的结果。
这通常发生在具有FTP访问受感染网站的PC上的病毒。病毒以多种方式起作用,但通常是两种中的一种。
首先,病毒知道免费FTP程序存储其保存的登录凭据的位置。例如,在Windows XP PC上使用FileZilla,请查看:
C:\ Documents and Settings(当前用户)\ Application Data \ FileZilla \ sitemanager.xml
在那里你可以用纯文本找到用户使用FileZilla通过FTP访问的所有网站,用户名和密码。
病毒找到这些文件,读取信息并将其发送到服务器,然后服务器使用它们登录具有有效凭据的网站,下载特定文件,在这种情况下是.htacces文件,感染它们然后上传回网站。通常我们都会看到服务器也将后门(shell脚本)复制到网站的位置。即使在FTP密码更改后,这也使黑客能够远程访问网站。
其次,病毒通过嗅探传出的FTP流量来工作。由于FTP以纯文本形式传输所有数据,包括用户名和密码,因此病毒很容易以这种方式查看和窃取登录信息。
如果托管服务提供商支持,请切换到加密流量的SFTP,使其更难以嗅探。
另外,查看所有不属于那里的文件。找到后门是很困难的,因为有很多不同的后门。您不能使用日期时间戳,因为这些后门会修改文件的日期时间戳。我们已经看到受感染的文件与同一文件夹中的其他文件具有完全相同的日期时间。有时,黑客会将日期时间戳设置为某个随机的早期日期。
您可以在文件中搜索以下字符串:
这些是后门中常见的字符串。
答案 1 :(得分:0)
如果FTP已用于访问/修改此wordpress站点中的文件,那么有可能有人获得了FTP访问的用户名和密码并修改了.htaccess文件。 FTP根本不安全。我建议至少使用SFTP。
Wordpress并不完美(不是很多东西),但我非常怀疑会有这样的缺陷,有可能,但我非常怀疑它。
我建议您先更改您的FTP用户名/密码,将wordpress升级到最新版本,将默认管理员用户名更改为其他名称并更改管理员用户的密码,确保所有密码至少为8-10个字符长度
答案 2 :(得分:0)
更改密码。请参阅Hardening WordPress « WordPress Codex和FAQ: My site was hacked « WordPress Codex以及How to completely clean your hacked wordpress installation
答案 3 :(得分:0)
我们也为word press网站遇到同样的问题,一旦病毒被删除但又重新攻击,所以如上所述首先必须备份所有文件,然后更改FTP,Administrator和cPanel的密码,然后上传回网站。我为我们的网站做了以上步骤。