几天前,服务器上开始出现大量 http 请求,随后登录尝试失败。天真,不要关注它。今天早上我醒来时发现所有服务器页面都关闭了,并且可以正确访问我的 Worpress 账户。我不知道该怎么办。请问你能帮帮我吗?
详细信息:服务器为 Hostinger 和防病毒 Wordfence
uj5u.com热心网友回复:
如果我理解正确,暴力攻击成功了,他们登录到您的 wordpress 账户,您的页面被洗掉或以某种方式关闭。
如果是这种情况,您现在可以做的不多,但是:
你有备份或从中恢复吗?如果不打算为将来定期备份。
检查防火墻日志中是否有高于正常请求的 IP。确定后,将它们添加到防火墻的阻止串列中。
将 2FA 添加到您的账户。
为您的登录尝试添加速率限制(每分钟 3 次就足够了,然后是 5 分钟的登录禁令)
阻止似乎对您的基础设施进行 DDOS 攻击的攻击者用户代理。
uj5u.com热心网友回复:
处理持续的 DDOS 攻击更针对 security.stackexchange.com,通常不是特定于 CMS 的,因此如果攻击仍在发生,我建议您首先查看那里的帮助。这个答案假设攻击已经结束,但您仍然无法访问您的站点,并尝试处理重新获得访问权限,然后防止未来的攻击。
重新获得访问权限
既然你提到了 WordFence,我首先要指出的是,他们提供了一项网站清洁服务(付费,在最后一次检查时显示 490 美元的报价),并附有 1 年的高级服务订阅。如果您想花钱解决问题以使其消失,那可能是一个不错的选择。您提到的托管服务提供商 (Hostinger) 也显示了他们提供“托管 WordPress”服务的所有计划,因此您应该联系他们的支持团队,看看他们也能做些什么来帮助您。这两个选项可能是最快的解决方案,处于成本范围的两端。
关于自己恢复站点和防止未来的攻击,有一些事情需要检查。为了:
首先,获取您的备份
- 如果您有现有的数据库和档案系统备份,请确保您知道它们的位置,并将它们的副本拉到您信任的未受到损害的系统上。如果其他一切都失败了,这些将有助于恢复您的网站。
- 如果您没有现有备份,请查看是否可以备份站点的当前状态。应谨慎对待受感染站点的备份,但如果必须清除并重建站点,则仍可用于恢复丢失的资料。如果您无法登录 WordPress 管理控制台,这可能意味着登录您的网络托管控制台(见下文)并获取包含您网站的档案夹的 zip 存档,以及使用 PHPMyAdmin 或其他界面database 以获得完整的数据库备份。您如何备份数据库取决于您可以使用的内容,但WordPress 档案对一些常见选项提供了很好的演练。
您可以登录您的托管平台吗?
- 如果答案为“否”,那么您遇到了更大的问题,应立即联系您的托管服务提供商寻求支持。您上面描述的问题听起来不像会这样,但请仔细检查以确保。
- 如果可以,并且如果您有档案系统访问权限(通过 cpanel、ssh 或其他选项),请检查您的 WordPress 档案是否仍然在您期望的位置。如果它们已被洗掉或替换,则表明您的系统已受到损害,需要正确清洁。这超出了本问题的范围,但如果您最近对所有内容进行了完整备份,您可能希望直接跳到完全重置您的托管环境,包括洗掉所有用户和基于 API 的访问以及从头开始重建。请联系您的托管服务提供商寻求帮助。
您的站点是否完全回应请求?
- 尝试访问您网站的网址,然后尝试 ping 该网址。如果您有专用服务器,请尝试 ping 该服务器的 IP 地址。如果您收到对 ping 的回应,但没有任何尝试连接网络浏览器的回应,则可能是网络服务器守护程序(实际处理对您网站的请求的程序,通常是 WordPress 网站的 Httpd、Nginx 或 LiteSpeed)具有崩溃,无法再次启动。如果您可以控制服务器(虚拟机或物理硬件),您可以尝试重新启动它并再次检查,但大多数托管服务提供商(如 Hostinger)不会给您这种级别的控制权。
- 如果您在站点 URL 上看到回应,但它不是您的站点,请检查 DNS 以确保它仍然指向您的服务器。如果是,则您的服务器已受到威胁。如果不是,则您的 DNS 记录和管理账户已被盗用。在任何一种情况下,您的情况都很糟糕,真的需要与您的托管服务提供商讨论如何恢复访问权限。在此期间,请重置所有密码,并确保您使用的是密码管理器而不是重复使用密码。
- 您是否看到错误讯息或白屏?错误讯息会提示您出了什么问题——404 表示网络服务器已启动并正在运行,但无法找到该页面,404 页面的内容将告诉您正在运行和回应的内容(无论是 WordPress 404,或者 Apache 或 Nginx 说它找不到您的 WordPress 档案,或其他)。空白的白屏通常意味着您的 WordPress 站点中的某些内容导致了不可恢复的错误,您需要启用除错模式并查看除错日志以获取更多详细信息
- 如果您没有从网络服务器收到错误或空白荧屏(很可能您的浏览器会说“无法联系服务器”或类似的信息),那么您的网络服务器没有回应,您可能需要重新启动它或检查它的配置是有效的。这比这个答案要深入一点,并且会根据您拥有的网络服务器以及您拥有的访问权限而有所不同。如果是这种情况,请咨询您的托管服务提供商,他们是否可以帮助您。
您有 WordFence Central 账户吗?
- 如果您在此之前设定了 WordFence Central 账户,并且已将其连接到您的站点,请登录那里的仪表板并查看它告诉您的信息(如果您之前没有设定,请跳过此步骤,今天不会帮助你,但将来可能会帮助你)。这可能会为您提供有关站点状态和发生了什么的更多信息,或者它可能只是告诉您诸如“无法连接到站点”之类的信息。无论哪种方式,了解更多有关 WF Central 所见内容的信息都会有所帮助。
您的站点是否具有
.htaccess
您可以访问的档案或其他权限设定机制?- If you can't get to your site, it's possible something has changed in one of these to prevent access. Permission controls are also very useful for prevention but more on that later. Check that the permission controls in your hosting environment haven't been changed. If they have, and you didn't make the change, you're compromised, so go talk to your hosting provider about getting help. You can try removing the
.htaccess
file (make sure you keep a copy, in case that's not it) to see if you regain access to your site. Put it back where it was if that doesn't fix it -- it was there for a reason.
- If you can't get to your site, it's possible something has changed in one of these to prevent access. Permission controls are also very useful for prevention but more on that later. Check that the permission controls in your hosting environment haven't been changed. If they have, and you didn't make the change, you're compromised, so go talk to your hosting provider about getting help. You can try removing the
Those are all the hypothetical causes that come to mind, but if you can answer some of those questions in edits to your question or in comments I can try to elaborate further. Now, on to prevention
DDOS Prevention
DDOS attacks rely on overwhelming a server through a couple of means. We'll focus on three attack types here: botnet swarms (a true DDOS), vulnerable server software (technically this may be a DOS, not a DDOS), and automated exploit kits (they may take your site down accidentally, or as a result of successfully breaking in). You should protect against all of these, regardless of what actually caused your problem, because you'll eventually face all of them anyway.
If you're targeted by a botnet, you're going to see a huge spike in traffic that's not actually legitimate. The best ways to handle this are to block it on the network before it gets to your server, or to have the webserver block it before it gets to WordPress. The less malicious traffic that reaches your server and your WordPress install, the better. WordFence won't do either of these, but if you have a CDN like CloudFlare in place, you may already have network-level blocking -- look for something in the dashboard that mentions firewall or (D)DOS prevention. If not, you may need to set up a Web Application Firewall (WAF) on your server, or as the entry point in the network that then routes to your server. Do your research on good WAF options -- there are likely lots of good answers here that explain what to look for regardless of what type of web application you have. Worth mentioning here that some of these tools (including CloudFlare) have an "under attack mode" where you can make the security rules more strict if you're experiencing frequent attacks. It may mean some legitimate traffic gets blocked or throttled but that could be the difference between a slightly degraded user experience and a site that goes down.
WAF 和 CDN 保护将有助于减少恶意流量,但您也希望阻止已知的不良行为者和已知/可疑的不良活动。WordFence 对此有很好的设定,其他安全插件也是如此,但您应该确保它们已启用。检查重复失败的登录是否被阻止(保持较低的数量——例如 2-5 次失败的登录)并确保启用任何其他安全设定,除非您对为什么要禁用它们有很好的解释。考虑要求管理员使用 2FA 作为额外的预防措施。
WordFence 将有助于防止来自已知恶意 IP 的攻击,如果您有过时的插件和主题,它会抱怨,但如果您不更新这些插件和主题,那将无济于事。漏洞利用工具包是(通常是免费的)软件包,用于安全测验和对网站的恶意攻击,每次 WordPress 插件发现新漏洞时,不久这些漏洞就会被添加到许多漏洞利用工具包中。如果可能,将所有插件和主题设定为自动更新(与 WordPress 核心相同),并定期检查它们是否都是最新的。如果您无法启用自动更新,请确保您至少每周更新一次,并考虑订阅一些 WP 安全博客(此处的 WordFence 时事通讯是一个不错的选择),这样您至少会在出现时收到一些通知”
这涵盖了很多方面,可能遗漏了一些细节。如果您分享有关您所看到的特定问题的更多信息,我可以相应地更新此答案。
0 评论