WordPress网站中木马病毒从百度进来跳转到恶意网站的解决办法

最近网站的流量突然少了很多,而且来的关键词也是与本网站无关的,于是site:hellyhua.com查了下网站,发现很多都是与网站无关的信息,访问网站或搜索域名点击进去却跳转到了不健康网站。出了什么问题呢,先去百度站长看下信息,https://ziyuan.baidu.com/site/index/,反复查了很久,还是找到了一些问题,现将WordPress网站被黑的解决方案,希望给有同样问题的朋友有所帮助!

病毒状态

这种恶意跳转的病毒本身对网站数据并没有什么直接的损害,只不过插入了恶意脚本让你网站无法打开,通过劫持你网站的流量,实现跳转到其他网站,然后欺骗用户允许浏览器通知之后,通过给浏览器弹广告来盈利。

病毒原理

这个病毒的原理就是,通过某些漏洞篡改了网站的部分文件数据(部分木马还会插入数据库),插入恶意脚本。当用户访问网站时,脚本运行,自动劫持流量跳转到恶意网站上面。

黑客给网站挂马主要的目的是为了,增加其他网站流量。为了不让SEOer发现网站被挂马,使得用户输入网址时可以正常访问网站,当用户通过搜索引擎(如百度)搜索打开网站时,则跳转到其他网站。这样即实现了“引流”,又做的比较隐蔽。原理很简单,通过程序或者JS,判断访问网站来路,如果是搜索引擎,则跳转到指定的其他网址;如果不是搜索引擎,则不做跳转(网站正常打开)。

解决方法

1、备份数据

不管是不是有问题的数据,还是先给整体备份一下。

2、清理插件和主题

这里不清楚他的问题在哪里,是主题问题还是插件问题。我先将他的全部插件删除,但是确保先保持几个常用的插件,至少我认识的插件名称,然后下载最新的版本。主题他是用的付费主题,直接从官方下载最新版本。

3、手工替换最新WP

这里通过删除 wp-admin、wp-includes,保留 wp-contents,保留根目录的wp-config.php,其他文件都删除。然后替换最新的WP程序,通过手动更新WP的更新到最新。

网站被劫持,打开会跳转到另一个网站,怎么办呢?

网上建议以下解决办法:

1、网站域名泛解析

域名被劫持后,会产生大量的垃圾页面,这对网站优化很不利。所以必须在页面举报内容处写上网站被恶意泛解析。出现这种劫持的解决办法是要关闭域名的泛解析,进入域名管理后台之后点击我们的域名找到带*号的域名解析,删除掉。把泛解析修改为404页面,抓取并整理二级域名泛解析死链提交到百度站长平台,将其删除。

2、浏览器劫持

网站浏览器域名劫持,会出现一个浏览器的广告新闻。这种情况可以直接卸载,然后去官网下载一个新的浏览器安装即可。

3、黑客攻击种植木马程序

这个一般是指网站被植入木马程序,本来想进入A网站,却跳转到了B网站,出现这种情况基本及时被黑客攻击劫持了。这种劫持很容易发现。对于备份文件,找到被修改的文件,清理木马程序即可。

最后建议网站用户,在防止网站被劫持方面,一定要安装使用SSL证书,能有效起到保护网站的作用,能最大限度的保护用户及网站的数据信息。

免费版SSL证书,可以体验试用:https://link.zhihu.com/?target=https%3A//www.joyssl.com/certificate/select/free.html

网站是否被黑

1、网站被恶意跳转到其他地址,尤其是一会跳转一会不跳转,或者从百度进来跳转,正常进来有不跳转,那也极有可能;

2、网站被搜索引擎收录了非自己添加的异常内容,也有可能被黑;

3、如果是其他异常情况,建议可以进入网站目录,看下是否有其他新增的异常文件(非wp系统文件,也非自己上传,具体可以自己下载原版wordpress解压看下里面的文件列表对比);

4、如果您对PHP有一定的了解,那么可以对网站文件根据时间排序,看下近期修改的PHP文件,随机打开一些看下里面是否有被混淆加密的代码或者其他异常代码。

解决百度打开自己的网站却跳转到其他网站方法

1、快速寻找木马文件的方法

登陆网站的FTP,看文件的修改日期,如果有最近修改的文件,那么一般木马就在这些文件里,仔细检查这些文件即可快速找到木马文件。

2、普通寻找木马文件的方法

如果百度搜索网站网址打开网站首页却跳转到其他网站,而在浏览器上输入网址却网站首页能正常打开。那么说明,网站首页被挂了木马。
浏览器输入网址打开网站首页,鼠标右击查看源文件,看源码里面是否有可疑的JS代码。如果有则删除,看从百度上访问网站是否正常了,如果正常了说明该代码就是木马文件;如果没有可疑JS代码或者删除可疑JS代码从百度打开网站依然有跳转,那么则,检查首页上调用的所有JS文件,特别是网站通用的JS文件,检测里面是否有可疑JS代码,有则删除,检测从百度打开网站是否还有跳转。

如果检测所有JS文件没有发现木马文件,则说明木马文件在程序脚本里面。检测首页程序文件(如index.php)以及和该文件有关联的文件,看是否有可疑的代码,有则删除,检测从百度打开网站是否还有跳转。

就这样找可疑代码,发现就删除,测试从百度打开网站是否还有跳转,又不了多久就能将木马文件揪出来。
注意:在删除可疑文件的时候,记得做备份,防止误删,更重要的是记下该文件的修改日期。

3、寻找黑客留下的后门

删除木马文件,网站可能正常使用了,并非万事大吉了。黑客攻下你的网站后,为了方便“管理”你的网站,会留下N多后门木马。所以,我们必须清除掉这些后门木马,才算万事大吉。
找到木马文件,后门木马文件就很容易找了。可以通过修改日期寻找,如果木马文件的修改日期是“2028-10-12 08:55”,那么后门文件的修改日期也会是一样。我们只要找修改日期是“2028-10-12 08:55”的文件即可,发现可疑就删除掉。


被黑解决办法

目前常见的后门恶意代码不会仅出现在一个文件,而是会感染很多文件,并且生成很多新的恶意后门文件,他们可能放在任何一个目录,所以人工检查成本很高,并且还会有遗漏,我们一般建议直接对网站重装,再恢复备份,操作如下:

  1. 首先备份网站根目录所有文件,如果对wordpress操作熟悉并且确认没有其他需要备份的文件也可以仅备份上传的附件目录(正常应该是wp-content/uploads目录);
  2. 删除网站所有文件;
  3. 从官网下载最新版wordpress,重新上传到网站根目录;
  4. 找到之前的备份数据,单独将备份数据里面的上传附件目录恢复到网站目录(正常应该是wp-content/uploads目录,建议再随机检查下目录里面是否有PHP后缀的文件,如果有的话可能连附件目录都有后门文件,需要删除这些PHP文件);
  5. 访问网站地址,会进入安装页面,按提示配置好数据库信息后会提示已经安装过了,然后使用网站帐号密码登录后台;
  6. 再依次从主题/插件官网渠道安装之前使用的主题和插件

日常预防措施

  1. 管理员账号密码尽量设置复杂一点,用户名不建议使用默认的admin;
  2. wordpress、主题、插件建议保持更新到最新版,较低版本可能存在安全漏洞;
  3. 从正规官网渠道下载安装wordpress、主题、插件,尤其不建议使用破解盗版资源;
  4. 定期备份网站文件和数据库,以便出现问题及时恢复;
  5. 可以安装一些安全防护类插件;

标签

发表评论