爱刨根知识网

  1. 首页 > 经验知识 > >

WordPress杀毒全攻略,这篇文章可以帮你节省245刀

生活经验知识分享


本篇文章适合使用Wordpress建站有基础的人,如果你是新手,可以先收藏,等你有了基本的建站基础之后再来看也不迟 。同时本篇特别适合那些网站已经中过病毒的人操作 。
先说说为什么能节省245刀,Bluehost主机有个site doctor服务,你的网站中毒之后可以找bh官方技术清理,资本主义就是这个价格!
WordPress建站其实不难,选择一个趁手的主题,多使用你就会了 。
但是中毒这件事,虽然不是每个人都能遇到,遇到就很麻烦 。
最近一直跟踪的一个网站流量被腰斩,起初以为这个是这个网站垃圾外链,被谷歌惩罚,我都准备写垃圾外链的危害,但是仔细排查,发现这个网站中了病毒 。
在谷歌中输入【site:xxx.com】可以查看网站的收录详情,收录结果惨不忍睹!
显而易见这个站已经被病毒入侵,再通过semrush.com查看发现网站流量暴跌!几近腰斩 。
首先我们来分析一下为什么网站会中病毒,拿上面被灌满日文的网站举例,这个网站被黑客发现了一个后门,这个后门可以上传文件 。
黑客就疯狂的上传着垃圾文件,直到你发现自己网站不正常,我见过最多的网站被黑客传了8K个页面,把这些数据从谷歌记录清理掉整整花费了半个月时间!当然这里的黑客不一定是针对你,他们都是通过机器爬虫广撒网,只是你不小心中招了 。
至于怎么清理,各位看官不要着急,以下是实操干货时间 。
网站被病毒入侵了,第一件事肯定要排查网站的文件了!
排查文件,这里我们就要简单熟悉下Wordpress网站后台的文件结构 。
上面的图片就是Wordpress(以下简称wp)的核心文件,在主机后台的根目录下面可以找到,一般bluehost主机是public_html文件,而lnmp安装包的文件地址是/home/wwwroot/xxx.com 。
可以一一对照一下,如果你发现多了一些其他可疑的文件,就要小心是否中毒了 。
wp-content这个文件夹存放着wp几乎全部的静态文件,如主题,插件,图片等 。
wp-config.php是wp与数据库连接的文件,没了它,网站就无法运行,因为数据库存放着网站的所有动态数据 。
数据库我们后面简单说一下,因为这个需要一点代码基础 。
我们再说回wp后台文件,除了上述截图所示,wp的根目录还会有一些其他的文件,如:
1. sitemap.xml 站点地图
2. googlexxx.html Google Webmaster文件
3. robots.txt 爬虫设置文件
如果你的根目录也有这几个后面安装的文件,可以先备份起来 。
1.1 重新安装wordpress核心文件
那么接下来就是重装wp了,除了wp-content和wp-config.php,其他文件我们一一删除,特别是wp-include和wp-admin两个文件夹会藏匿很多病毒文件 。
这里分享一下我的做法,首先去 wp官网 下载一份最新wp安装包,解压后删除新安装包内的wp-content,新的安装包没有wp-config.php不用操作,然后打包其余的文件上传到wp网站根目录,这个就叫合并同类项 。
1.2 排查wp-content
wp-content里面有着众多wp主题插件和图片,所以病毒也最喜欢藏这里
通常wp-content里面会有三个文件夹最重要:
1. plugins 插件
2. themes 主题
3. uploads 媒体库
至于其他的文件,一般情况下不是很重要,而且里面的文件数量都比较少,鼠标点进去看看有没有可疑文件 。
plugins和theme是主宰着wp网站的功能和样式,但同时文件巨多,最简单粗暴的方式就是重装插件和主题!
但是,这里有个前提,你的主题和插件没有额外定制过!你没有动过主题和插件的任何内部代码,这样你就可以粗暴的重装了 。
如果你的网站是高度定制,主题核心代码修改过,我还是劝你只能慢慢排查吧!
还有一个uploads文件,这个是wp的图片和文档储存所在地,里面的文件都是按照年-月生成文件夹,那么好多的文件!请挨个点击,宁可错杀一千,也不可放过一个!
那么如果你的wp-content文件夹实在太多,还有没有其他更简单的方法呢?
有的,windows上的360杀毒可以试试,下面这个网站也不错,强烈推荐 。
virustotal.com 在线检测
virustotal.com是一个在线工具,可以上传可以文件检测,也可以直接输入网址检测,文件检测还是可以查出一些病毒,至于网址检测,只能大概告诉你哪里中病毒了 。
这个网站还有一个很霸气的功能,喜欢摸索的小伙伴请自行摸索!
1.3 排查sitemap.xml
sitemap站点地图,提交给站长工具,以方便搜索引擎快速收录网址 。
嗯!『快速收录网址』,黑客也是这么想的,他们也会伪造一个sitemap提交收录,我曾经遇到过的案例就是,黑客伪造了一个sitemaps.xml,我一直没找出什么原因,直到我玩起了找不同的游戏!
所以请不要忘记查看sitemap.xml这个文件,很容易忽视 。
1.4 Google webmaster 提交删除页面
网站中毒后:
1. 三流建站商:网站没问题
2. 二流建站商:您好,网站病毒我们已经帮你清理完毕
3. 一流建站商:您好,网站病毒清理完毕,谷歌收录恢复正常
4. 顶级建站商:谷歌排名和自然流量恢复正常
很多人的网站在清理网站病毒文件之后,就以为结束了 。而现实才刚刚开始 。
我们必须要清理搜索引擎的记录!
国内很多建站商不会帮着清理,并不怪他们,而是谷歌的确上不去啊!
很多建站公司都没有使用Google analytics和Webmaster的习惯,更谈不上使用Webmaster清理数据了 。
这里我们将使用到两个chrome插件协助清理:
1. SEOquake
2. Google Webmaster Tools Bulk
SEOquake批量收集病毒链接
SEOquake我们主要用他来下载SERP的垃圾数据,这个插件直接在chrome商店安装,装吧,以后的SEO部分还需要它 。
我们在谷歌里输入[site:xxx.com] 出现SERP界面,然后设置一下『每页搜索结果显示』为100,如下图:
再回到SERP界面,点击[Parameters],取消所有勾,我们不需要下载其他数据,只要链接 。
然后点击左边的SEOquake的[Export CSV],这个页面的所有链接就下载了 。
不过一个网站的病毒链接是不止100条的,所以我们需要下载所有的链接,这样会有几个csv文件,那么合并一下:
Windows合并CSV可以使用如下代码:
拷贝这个代码放到txt里面,保存后重命名格式为.bat,点击运行这个bat文件就可以在E盘中找到合并的all_file.csv文件了 。
注意:所有的csv文件要放在同一个文件夹内 。
Mac合并csv
Mac没有特别好的方法,命令行是最简单的 。
同样将所有csv保存到同一个目录,打开你的app『终端』 。
在终端内输入
回车后再输入
这样就搞定了,据说这个方法同样适合Win系统,只要你能找到CMD 。
合并好csv,我们来处理这个合并后的文件 。
用EXCEL打开,全选数据,然后点击『数据』-『分列』,选择『其他』,输入一个英文双引号 。
点击完成,链接就提炼好了,记得删除第一列 。
接着把不是病毒的链接删除,只需要病毒链接 。
Google Webmaster批量提交病毒链接
Google Webmaster(以下简称GW)是一款优秀的站长工具,好了,Google家的都优秀 。
上图是我安装https://github.com/noitcudni/google-webmaster-tools-bulk-url-removal 之后的效果,如果你没有安装这个chrome插件,只能逐条提交链接删除,家里有矿也不会一条一条提交吧!
在github下载好zip文件,打开chrome『更多工具』-『扩展程序』,把zip解压拖进去就可以了,再回到GW页面刷新下就出现『选择文件了』,提交前面处理过的csv文件吧,没你什么事了,这个时候去倒杯茶,仔细品茗,静看电脑自动化操作,成就感油然而生 。
经历过几次轰轰烈烈的病毒大追杀,我总结出了以上的WP杀毒攻略 。
几年前我也写过一篇关于WP杀毒安全措施,现在回头看去,都是小儿科,不过技术总是要进步的,人也一样,不能停留在过去 。
网站是自己含辛茹苦养起来的,然而一次病毒攻击就可能万劫不复,这个打击太可怕了 。
所以,我的杀毒核心思想是全面防御 。
2.1 选择合适自己的主机
我们从主机说起,如果你的技术不是很好,没有精力面对后门和病毒,请不要轻易使用VPS主机,VPS速度快,拓展多,操作起来有很强的成就感,但同时它也可能是一个裸奔的肉鸡 。
推荐新手就使用bluehost, siteground之类的虚拟主机,出了问题直接找客服就行!
2.2 定期升级主题和插件
WP是万能的,它的后门漏洞也不少,不过它也在不停的升级更新,那些不升级更新的网站,只是将后门敞开给黑客 。
同样,主题和插件务必做的及时更新,很多WP感染病毒都是插件未及时更新导致的,大家熟悉的Layerslider和Revslider是病毒重灾区 。
还有很多人使用付费主题在纠结是否要买正版,例如Avada可以不用激活都可以使用,我想说的是,这个正版主题的钱远远少于未来风险投入的钱,这是花小钱避免大麻烦啊 。况且黑色星期五快到了(2018.10),这时候买最划算 。
那也有人说,Wordpress这么容易中病毒,我还能用这个CMS吗?
中病毒对于大部分网站都是最头疼的话题,WP也不可避免,使用WP的人多,中毒的网站基数自然就大了,不过WP仍然是一款优秀的建站CMS,只要做好基本的防御工作,中毒的概率还是会小点的 。
安全插件
WP也有很多安全插件,这里推荐两个比较出名的:
1. Wordfence
2. Hide my wp
Wordfence官方描述可以检测扫描到病毒文件,然而个人使用情况是这个插件只能起到防御作用,如果你的网站已经中病毒,这个插件就没用了!
Hide my wp是一个付费工具,可以在themeforest.com购买,不过操作需要一些功夫,这个后期有时间再写一些 。
最后,总结一下wordpress杀毒攻略流程:
1. 通过[site:xxx.com]谷歌指令检查网站是否有病毒感染
2. 备份wp-content和wp-config.php,重装Wordpress
3. 检查wp-content文件,根据实际情况是否重装插件和主题
4. 检查sitemap.xml是否伪造
5. 使用SEOquake批量搜集病毒链接
6. 使用Google Webmaster批量提供删除病毒链接
预防网站中毒,你需要做到:
1. 选择有技术客服的主机
2. 使用正版主题和插件
3. 及时更新WP,以及主题和插件
希望你的网站在网络上平安运行,流量多多,订单多多!(内容来源:网站投稿者提供不代表本站言论)
以上内容属作者个人观点,不代表雨果网立场!本文经原作者授权转载,转载需经原作者授权同意 。
【WordPress杀毒全攻略,这篇文章可以帮你节省245刀】-- 展开阅读全文 --

    推荐阅读


    上一篇:朋克力量骷髅头耳机

    下一篇:教你如何拓展LinkedIn人脉圈?