这几天看到不少网友提到自己的WordPress网站出现被植入后门木马的问题,通过一一排除解决,大部分问题是因为网站使用的盗版、破解的主题或者插件的,因为我们在下载的所谓的破解主题插件很可能当时已经被植入后门的,待到网站有一定的气色的话然后就会利用植入后门,而且如今的黑客还是比较有职业道德的不会直接的删除数据,而是利用网站或者服务器对外发包或者挖矿等作业。
包括前一段时间看到有网友的WordPress被利用发布很多的英文文章,实际上应该也是被利用后门漏洞然后利用你的发布作者权限在你网站发布文章,用来发布软文提高推广网站权重的目的。那这些出现WordPress问题的网站到底是什么问题引起的呢?我们需要做点什么来杜绝这些问题?
在这篇文章中,老左简单的记录几个方法,帮助有需要的网友来解决这类问题,至少我们可以排查这些问题。如果我们有类似的问题,可以检查看看是不是属于其中之一,以及我们在有准备做网站的时候尽量的杜绝这些问题的出现。
第一、及时的更新升级程序
这几天我们有看到WordPress已经升级至5.5版本,除非我们特殊的主题和插件兼容问题,一般我们是会及时的升级到最新版本。当然我们在升级之前最好先备份,以免出现不兼容的问题。一般我们还是会兼容的,再说了如果不兼容我们也要去设配兼容最新版本。
同时,我们在使用WordPress主题和插件的时候,也需要升级最新的插件,比如前几天老左也有记录到One In All seo 插件是有漏洞的(All in One SEO Pack插件存在安全问题需要及时更新版本),我们就需要遇到最新版本及时的更新。
第二、无采用盗版破解主题插件
老左个人也能理解我们为什么要使用盗版主题和插件,一来是可能预算不足,二来可能有些主题居然需要绑定域名感觉不爽。但是确保安全的考虑,我个人建议是要么就用免费主题,要么用商业主题的时候尽量使用官方正版,不适用破解版或者盗版的。
因为我们看到有不少的WordPress主题破解版是被加入后门加密进来的,可能开始使用的没有什么问题,但是后面确实是会有遇到一些问题。比如比较知名的RIPRO资源类主题,有看到有网友反馈到是有后门的,包括知更鸟主题之前破解版也是有问题的。
第三、确保账户的强密码安全
包括老左在给有些网友解决服务器的问题时候,他们的使用服务器密码或者面板的密码,包括网站的密码真的很简单。有的只用五六个数字作为密码,而且有些密码真的可以随意猜到。尤其是我们在是会用的WordPress网站被植入管理员权限的,可能是因为我们的账户密码不强,导致被软件猜测到密码,然后作为管理员权限发布文章。
同时,我们需要注意服务器的安全。包括我们在使用面板管理网站的时候也需要确保面板软件最新版本。
最后,还有一个奇特的问题我之前也有遇到过,有些虚拟主机商本身安全不是很强,可能是因为主机商的安全问题导致我们网站不安全,遇到这个问题我们只能去更换服务器商家,一般云服务器是不会的,服务器是我们自己配置的环境。