幾天前,服務器上開始出現大量 http 請求,隨后登錄嘗試失敗。天真,不要關注它。今天早上我醒來時發現所有服務器頁面都關閉了,并且可以正確訪問我的 Worpress 帳戶。我不知道該怎么辦。請問你能幫幫我嗎?
詳細資訊:服務器為 Hostinger 和防病毒 Wordfence
uj5u.com熱心網友回復:
如果我理解正確,暴力攻擊成功了,他們登錄到您的 wordpress 帳戶,您的頁面被洗掉或以某種方式關閉。
如果是這種情況,您現在可以做的不多,但是:
你有備份或從中恢復嗎?如果不打算為將來定期備份。
檢查防火墻日志中是否有高于正常請求的 IP。確定后,將它們添加到防火墻的阻止串列中。
將 2FA 添加到您的帳戶。
為您的登錄嘗試添加速率限制(每分鐘 3 次就足夠了,然后是 5 分鐘的登錄禁令)
阻止似乎對您的基礎設施進行 DDOS 攻擊的攻擊者用戶代理。
uj5u.com熱心網友回復:
處理持續的 DDOS 攻擊更針對 security.stackexchange.com,通常不是特定于 CMS 的,因此如果攻擊仍在發生,我建議您首先查看那里的幫助。這個答案假設攻擊已經結束,但您仍然無法訪問您的站點,并嘗試處理重新獲得訪問權限,然后防止未來的攻擊。
重新獲得訪問權限
既然你提到了 WordFence,我首先要指出的是,他們提供了一項網站清潔服務(付費,在最后一次檢查時顯示 490 美元的報價),并附有 1 年的高級服務訂閱。如果您想花錢解決問題以使其消失,那可能是一個不錯的選擇。您提到的托管服務提供商 (Hostinger) 也顯示了他們提供“托管 WordPress”服務的所有計劃,因此您應該聯系他們的支持團隊,看看他們也能做些什么來幫助您。這兩個選項可能是最快的解決方案,處于成本范圍的兩端。
關于自己恢復站點和防止未來的攻擊,有一些事情需要檢查。為了:
首先,獲取您的備份
- 如果您有現有的資料庫和檔案系統備份,請確保您知道它們的位置,并將它們的副本拉到您信任的未受到損害的系統上。如果其他一切都失敗了,這些將有助于恢復您的網站。
- 如果您沒有現有備份,請查看是否可以備份站點的當前狀態。應謹慎對待受感染站點的備份,但如果必須清除并重建站點,則仍可用于恢復丟失的資料。如果您無法登錄 WordPress 管理控制臺,這可能意味著登錄您的網路托管控制臺(見下文)并獲取包含您網站的檔案夾的 zip 存檔,以及使用 PHPMyAdmin 或其他界面database 以獲得完整的資料庫備份。您如何備份資料庫取決于您可以使用的內容,但WordPress 檔案對一些常見選項提供了很好的演練。
您可以登錄您的托管平臺嗎?
- 如果答案為“否”,那么您遇到了更大的問題,應立即聯系您的托管服務提供商尋求支持。您上面描述的問題聽起來不像會這樣,但請仔細檢查以確保。
- 如果可以,并且如果您有檔案系統訪問權限(通過 cpanel、ssh 或其他選項),請檢查您的 WordPress 檔案是否仍然在您期望的位置。如果它們已被洗掉或替換,則表明您的系統已受到損害,需要正確清潔。這超出了本問題的范圍,但如果您最近對所有內容進行了完整備份,您可能希望直接跳到完全重置您的托管環境,包括洗掉所有用戶和基于 API 的訪問以及從頭開始重建。請聯系您的托管服務提供商尋求幫助。
您的站點是否完全回應請求?
- 嘗試訪問您網站的網址,然后嘗試 ping 該網址。如果您有專用服務器,請嘗試 ping 該服務器的 IP 地址。如果您收到對 ping 的回應,但沒有任何嘗試連接網路瀏覽器的回應,則可能是網路服務器守護程式(實際處理對您網站的請求的程式,通常是 WordPress 網站的 Httpd、Nginx 或 LiteSpeed)具有崩潰,無法再次啟動。如果您可以控制服務器(虛擬機或物理硬體),您可以嘗試重新啟動它并再次檢查,但大多數托管服務提供商(如 Hostinger)不會給您這種級別的控制權。
- 如果您在站點 URL 上看到回應,但它不是您的站點,請檢查 DNS 以確保它仍然指向您的服務器。如果是,則您的服務器已受到威脅。如果不是,則您的 DNS 記錄和管理帳戶已被盜用。在任何一種情況下,您的情況都很糟糕,真的需要與您的托管服務提供商討論如何恢復訪問權限。在此期間,請重置所有密碼,并確保您使用的是密碼管理器而不是重復使用密碼。
- 您是否看到錯誤訊息或白屏?錯誤訊息會提示您出了什么問題——404 表示網路服務器已啟動并正在運行,但無法找到該頁面,404 頁面的內容將告訴您正在運行和回應的內容(無論是 WordPress 404,或者 Apache 或 Nginx 說它找不到您的 WordPress 檔案,或其他)。空白的白屏通常意味著您的 WordPress 站點中的某些內容導致了不可恢復的錯誤,您需要啟用除錯模式并查看除錯日志以獲取更多詳細資訊
- 如果您沒有從網路服務器收到錯誤或空白螢屏(很可能您的瀏覽器會說“無法聯系服務器”或類似的資訊),那么您的網路服務器沒有回應,您可能需要重新啟動它或檢查它的配置是有效的。這比這個答案要深入一點,并且會根據您擁有的網路服務器以及您擁有的訪問權限而有所不同。如果是這種情況,請咨詢您的托管服務提供商,他們是否可以幫助您。
您有 WordFence Central 帳戶嗎?
- 如果您在此之前設定了 WordFence Central 帳戶,并且已將其連接到您的站點,請登錄那里的儀表板并查看它告訴您的資訊(如果您之前沒有設定,請跳過此步驟,今天不會幫助你,但將來可能會幫助你)。這可能會為您提供有關站點狀態和發生了什么的更多資訊,或者它可能只是告訴您諸如“無法連接到站點”之類的資訊。無論哪種方式,了解更多有關 WF Central 所見內容的資訊都會有所幫助。
您的站點是否具有
.htaccess您可以訪問的檔案或其他權限設定機制?- If you can't get to your site, it's possible something has changed in one of these to prevent access. Permission controls are also very useful for prevention but more on that later. Check that the permission controls in your hosting environment haven't been changed. If they have, and you didn't make the change, you're compromised, so go talk to your hosting provider about getting help. You can try removing the
.htaccessfile (make sure you keep a copy, in case that's not it) to see if you regain access to your site. Put it back where it was if that doesn't fix it -- it was there for a reason.
- If you can't get to your site, it's possible something has changed in one of these to prevent access. Permission controls are also very useful for prevention but more on that later. Check that the permission controls in your hosting environment haven't been changed. If they have, and you didn't make the change, you're compromised, so go talk to your hosting provider about getting help. You can try removing the
Those are all the hypothetical causes that come to mind, but if you can answer some of those questions in edits to your question or in comments I can try to elaborate further. Now, on to prevention
DDOS Prevention
DDOS attacks rely on overwhelming a server through a couple of means. We'll focus on three attack types here: botnet swarms (a true DDOS), vulnerable server software (technically this may be a DOS, not a DDOS), and automated exploit kits (they may take your site down accidentally, or as a result of successfully breaking in). You should protect against all of these, regardless of what actually caused your problem, because you'll eventually face all of them anyway.
If you're targeted by a botnet, you're going to see a huge spike in traffic that's not actually legitimate. The best ways to handle this are to block it on the network before it gets to your server, or to have the webserver block it before it gets to WordPress. The less malicious traffic that reaches your server and your WordPress install, the better. WordFence won't do either of these, but if you have a CDN like CloudFlare in place, you may already have network-level blocking -- look for something in the dashboard that mentions firewall or (D)DOS prevention. If not, you may need to set up a Web Application Firewall (WAF) on your server, or as the entry point in the network that then routes to your server. Do your research on good WAF options -- there are likely lots of good answers here that explain what to look for regardless of what type of web application you have. Worth mentioning here that some of these tools (including CloudFlare) have an "under attack mode" where you can make the security rules more strict if you're experiencing frequent attacks. It may mean some legitimate traffic gets blocked or throttled but that could be the difference between a slightly degraded user experience and a site that goes down.
WAF 和 CDN 保護將有助于減少惡意流量,但您也希望阻止已知的不良行為者和已知/可疑的不良活動。WordFence 對此有很好的設定,其他安全插件也是如此,但您應該確保它們已啟用。檢查重復失敗的登錄是否被阻止(保持較低的數量——例如 2-5 次失敗的登錄)并確保啟用任何其他安全設定,除非您對為什么要禁用它們有很好的解釋。考慮要求管理員使用 2FA 作為額外的預防措施。
WordFence 將有助于防止來自已知惡意 IP 的攻擊,如果您有過時的插件和主題,它會抱怨,但如果您不更新這些插件和主題,那將無濟于事。漏洞利用工具包是(通常是免費的)軟體包,用于安全測驗和對網站的惡意攻擊,每次 WordPress 插件發現新漏洞時,不久這些漏洞就會被添加到許多漏洞利用工具包中。如果可能,將所有插件和主題設定為自動更新(與 WordPress 核心相同),并定期檢查它們是否都是最新的。如果您無法啟用自動更新,請確保您至少每周更新一次,并考慮訂閱一些 WP 安全博客(此處的 WordFence 時事通訊是一個不錯的選擇),這樣您至少會在出現時收到一些通知”
這涵蓋了很多方面,可能遺漏了一些細節。如果您分享有關您所看到的特定問題的更多資訊,我可以相應地更新此答案。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/396808.html
標籤:WordPress的 安全