WordPress 해킹 – 이 두 단어는 사이트 관리자의 마음에 두려움과 혼란을 줍니다.
해킹된 WordPress 웹사이트는 다음과 같은 손실을 초래할 수 있습니다.
- 교통;
- 수익;
- 브랜드 가치
그리고 그것을 정리하려고 노력하고 실패하는 데 며칠간 고생했습니다.
이는 대시보드에서 상점의 손실을 문자 그대로 볼 수 있는 WooCommerce 사이트의 경우 특히 그렇습니다!
가장 혼란스러운 부분은 WordPress 사이트가 실제로 해킹되었는지 여부조차 이해할 수 없다는 것입니다. 워드프레스는 꽤 많이 오작동할 수 있습니다.
따라서 대부분의 사람들은 논리적인 작업을 수행하고 맬웨어 스캐너 플러그인을 설치합니다. 그런 다음 그들은 대부분이 현장 청소를 제대로 하지 않는다는 것을 깨닫게 됩니다.
최악의 부분은?
당신이 일상을 되찾기 위해 고군분투하는 동안 해커는 당신이 실패할 것으로 예상합니다. 귀하의 사이트를 청소할 때.
리셋 버튼을 누를 시간입니다.
이 기사에서는 다음과 같은 도움을 드릴 것입니다.
- 웹사이트가 해킹되었는지 확인하십시오.
- 어떤 종류의 맬웨어가 WP 해킹 웹사이트를 감염시켰는지 파악합니다.
- 3분 안에 WordPress 해킹 사이트를 청소하세요.
- 해킹의 결과 이해
- 해킹을 당하는 방법과 방지하는 방법에 대해 알아보세요.
어떤 상황에서도 정상 궤도에 오를 수 있도록 도와드리겠습니다.
자세히 살펴보겠습니다.
틀;DR: 해킹된 WP 웹사이트를 수정하는 가장 효율적인 방법은 WP 웹사이트 해킹 정리 플러그인을 사용하는 것입니다. . 다른 방법이 있지만 수동 정리 방법을 사용하면 사이트가 완전히 망가질 수 있으므로 사용하지 않는 것이 좋습니다.
해킹된 웹사이트가 정말로 있습니까?
우리는 당신이 혼란스러워한다는 것을 알고 있습니다.
해킹된 웹사이트가 있습니까?
워드프레스의 특성상 오작동이 상당히 많이 일어날 수 있습니다. 대부분의 경우 사이트는 해킹되지 않습니다. 그냥... 정기적인 문제가 있습니다.
그렇다면 귀하의 웹사이트가 해킹되었음을 쉽게 알 수 있는 방법은 무엇입니까?
MalCare의 무료 멀웨어 스캐너를 설치하세요.
소요 시간:
- 설치하는 데 1분,
- 사이트를 스캔하는 데 1분이 소요됩니다.
2분 안에 해킹된 웹사이트가 있는지 여부를 확실히 알 수 있습니다.
MalCare의 맬웨어 스캐너는 해킹된 WP 웹사이트의 복사본을 전용 서버에 생성하는 초경량 플러그인입니다. 사본이 만들어지면 MalCare는 복잡한 검사 알고리즘을 실행하여 사이트의 악성 코드를 찾아냅니다.
이렇게 하면 다른 어떤 맬웨어 스캐너 플러그인보다 더 깊고 정확합니다.
가장 좋은 점은?
서버에 부하가 전혀 없습니다. 또한 완전히 무료입니다.
MalCare는 학습 알고리즘을 사용하여 더 많은 맬웨어에 직면하여 시간이 지남에 따라 더 똑똑해집니다.
사이트에서 맬웨어를 검사하려면 다음을 수행해야 합니다.
- 1단계:사이트에 MalCare 설치
- 2단계:맬웨어 스캐너가 사이트에서 자동으로 실행되도록 합니다.
그게 다야!
전체 프로세스는 기껏해야 몇 분이 걸립니다. MalCare에서 제안하는 경우 – 해킹된 WP 사이트가 없다면 대신 WordPress 문제 해결 조언이 필요합니다.
그러나 MalCare에서 WordPress에 해킹된 사이트가 있다고 말하면 나중에 정리 프로세스를 따라야 합니다.
어느 쪽이든 MalCare로 먼저 사이트를 스캔해야 합니다.
일부 WordPress 해킹 웹사이트의 일반적인 증상
해킹된 WordPress 사이트를 지금 진단해 보겠습니다.
문제를 정확히 찾아내고 해결 방법을 찾아 다시 수익을 창출할 수 있도록 하겠습니다.
이러한 증상 중 하나 이상으로 인해 이 기사를 찾았을 가능성이 큽니다.
걱정하지 마세요.
일반적인 해킹을 정리하는 방법에 대한 기사가 있으며 문제를 정확히 찾아내면 솔루션에 대해 이야기할 수 있습니다.
WordPress 해킹 사이트에 흔하지 않은 멀웨어가 있더라도 좋은 소식이 있습니다.
“거의 모든 멀웨어는 다른 멀웨어의 변종입니다. 맬웨어는 결국 코드일 뿐입니다. WordPress 사이트를 해킹하는 방법과 이를 감염시키는 방법은 여러 가지가 있습니다. 그러나 해커가 작동하는 방식은 거의 항상 일정합니다. 결과를 이해하는 것이 해킹을 이해하고 제거하는 가장 좋은 방법입니다."
– Akshat Choudhary, MalCare CEO
요약: 해커를 막고 삶을 다시 장악하려면 사이트를 정리할 방법을 찾아야 합니다.
WordPress 해킹 사이트의 가장 일반적인 증상을 살펴보겠습니다.
1. 웹사이트를 방문할 때 Chrome에서 경고를 표시합니다.
사이트가 해킹되었다는 가장 확실한 신호 중 하나는 Chrome에서 방문자에게 '앞에 있는 사이트에 멀웨어가 포함되어 있습니다'라고 알리는 것입니다.
WordPress 해킹 사이트에 대한 브라우저 알림은 Google 세이프 브라우징에서 제공됩니다.
실제로 Opera, Chrome, Firefox 및 Safari는 모두 Google의 블랙리스트를 사용하여 손상된 사이트를 확인하고 사용자에게 멀웨어를 알립니다.
이와 같은 알림은 귀하의 평판과 트래픽을 즉시 파괴할 수 있습니다. WooCommerce 사이트의 경우 비즈니스를 완전히 종료할 수 있습니다.
이것이 당신이 겪고있는 일이라면 심호흡을하십시오. 우리는 당신이 지금 얼마나 화가 났는지 이해합니다. 이것은 가장 모호한 알림 중 하나입니다. 귀하의 웹사이트가 해킹당했다는 매우 공개적인 통지입니다. 동시에 실제로 무엇이 잘못되었는지에 대해서는 아무 것도 말하지 않습니다.
그런 다음 WordPress 해킹된 웹사이트를 청소하는 방법을 읽으십시오.
2. Google Search Console에서 웹사이트가 해킹되었거나 맬웨어가 있다는 메시지를 보냅니다.
비즈니스의 주요 부분이 SEO 중심이라면 Google Search Console이 낯설지 않습니다. Google이 WordPress 해킹 사이트에서 악성 콘텐츠를 감지하면 Search Console에 다음과 같은 메시지를 보냅니다.
구글은 악성 코드를 찾기 위해 'Fetch as Google'을 사용할 것을 권장합니다. 그러나 이것은 좋은 생각이 아닙니다. 표면 수준 스캔에는 Google 스캐너를 사용하는 것이 좋습니다. 웹사이트의 HTML과 자바스크립트에서 명백한 악성 코드를 찾는 역할을 합니다.
그렇다면 무엇이 문제입니까?
문제는 워드프레스 해킹된 사이트가 대개 잘 숨겨져 있는 악성코드에 감염된다는 점이다. HTML 스캐너만으로는 해킹의 출처를 정확히 찾아낼 수 없습니다.
실제 문제를 파악하려면 서버 수준 스캐너를 사용하는 것이 좋습니다.
MalCare에 가입하여 클릭 한 번으로 검사하면 60초 안에 가장 복잡한 악성코드를 찾아드립니다.
추가 리소스:Google의 "이 사이트는 해킹되었습니다" 경고를 제거하는 방법
3. 귀하의 호스팅 회사가 귀하의 웹사이트를 비활성화했습니다
대부분의 호스팅 회사는 WordPress에 해킹된 웹사이트가 있는지 정기적으로 서버를 검색합니다. 호스팅 회사가 찾는 몇 가지 확실한 징후가 있습니다.
- 과도한 CPU 리소스 사용
- 스팸 이메일 대량 발송
- Google, Norton Safe Web, Spamhaus 등의 블랙리스트에 있는 도메인
그리고 그들은 일반적으로 매우 혼란스러운 이메일을 보냅니다.
경우에 따라 호스팅 회사는 정기적인 맬웨어 검사를 위해 호스팅 회사와 파트너십을 맺기도 합니다. MalCare가 Cloudways에 봇 보호를 제공하는 방법에 대한 이 기사를 확인하십시오.
이런 상황이라면 더 늦기 전에 빨리 행동해야 합니다.
GoDaddy와 같은 일부 호스팅 회사는 자체 보안 서비스를 제공하려고 합니다. 이것은 괜찮은 생각처럼 보이지만 실제로는 그렇지 않습니다. 이러한 서비스의 대부분은 해킹을 당할 때마다 많은 비용을 청구합니다. 서비스를 통해 사이트를 정리하는 데 몇 주가 걸릴 수도 있습니다.
그동안 귀하의 사이트는 트래픽, 수익 및 브랜드 가치를 계속 잃게 됩니다.
MalCare가 WordPress가 GoDaddy의 웹사이트를 해킹하는 데 어떻게 도움이 되었는지 자세히 읽어보세요.
4. 귀하의 계정에 대한 아웃바운드 포트 80, 443, 587 및 465가 차단되었습니다.
BigRock, GoDaddy 및 HostGator와 같은 호스팅 제공업체는 사이트를 삭제하기 전에 먼저 경고를 발행합니다. 경고 이메일을 보내면 아웃바운드 포트 80, 443, 587, 465도 잠가서 사이트의 맬웨어가 확산되지 않도록 합니다.
대부분의 계정은 공유 호스팅 계정입니다. .
따라서 그들의 최우선 과제는 멀웨어를 억제하고 WordPress 해킹 웹사이트가 동일한 서버의 다른 사이트를 감염시키는 것을 막는 것입니다.
다시 말하지만, 아직 하지 않았다면 즉시 사이트에서 맬웨어를 검사하십시오.
5. 고객이 신용 카드에 불법적으로 청구된 것에 대해 불평합니다.
우커머스 사용자: 해킹된 WordPress 웹사이트가 있다면 이것은 큰 도움이 됩니다.
고객이 승인 없이 신용 카드를 사용하는 것에 대해 불만을 제기하는 경우 사이트가 해킹되었음을 알 수 있습니다. WooCommerce 데이터베이스는 해커가 신용 카드 정보를 훔치는 데 필요한 모든 정보를 저장합니다.
일반적으로 이것은 해커가 원할 때 언제든지 파일과 데이터베이스에 액세스하는 데 사용할 수 있는 WordPress 해킹 웹사이트의 진입점인 코드의 백도어를 나타냅니다.
이러한 종류의 공격은 충분히 잘 작성된 모든 종류의 맬웨어에서 발생할 수 있습니다.
워드프레스 해킹 사이트를 정리하는 방법을 바로 알아보세요.
6. 귀하의 이메일은 스팸 폴더로 전송됩니다
이메일 받은편지함에서 스팸성 이메일을 너무 많이 보내는 경우 대부분의 이메일 받은편지함에서 향후 이메일을 스팸 폴더로 바로 보냅니다.
해커는 WordPress 해킹 웹사이트를 사용하여 전 세계 사용자에게 엄청난 양의 스팸 이메일을 보낼 수 있습니다.
'보낸' 폴더가 확실히 보내지 않은 이메일로 가득 차 있는 경우 웹사이트에서 스팸 이메일을 보내는 경우 취해야 할 조치에 대한 기사를 확인하세요.
7. 웹사이트가 매우 느려집니다
사이트 속도는 맬웨어의 좋은 지표가 아닙니다. 워드프레스 웹사이트 속도를 늦출 수 있는 많은 것들이 있습니다. 무슨 일이 일어나고 있는지 이해하는 가장 간단한 방법은 GTMetrix로 가서 사이트 속도 보고서를 생성하는 것입니다.
프로 팁: 폭포 차트를 사용하여 웹사이트의 어떤 구성요소가 로드되는 데 가장 오래 걸리는지 파악하세요.
여기에서 이상한 것이 보이면 멀웨어에 감염되었을 수 있습니다.
사이트 속도를 저하시키는 가장 일반적인 악의적인 공격은 다음과 같습니다.
- SQL 주입
- 동일한 공격
- 봇의 무차별 대입 공격
좋은 소식은 이러한 모든 해킹을 정리할 수 있다는 것입니다.
약간 길을 잃는 경우를 대비하여: 괜찮아요. 약간의 압도감을 느끼는 것은 지극히 정상입니다. 우리는 8년 넘게 이 사업을 하고 있습니다. 이것이 우리가 악성 코드와 다양한 종류의 해킹에 눈을 떼지 않는 이유입니다. 이 세계를 처음 접하는 사람에게는 이 내용을 많이 흡수할 수 있습니다. 특히 WordPress 해킹된 웹사이트를 처음 다루는 경우에는 더욱 그렇습니다.
이것이 바로 저희가 MalCare를 만든 이유입니다.
MalCare의 전체 보안 기능 제품군을 설치하여 연중무휴 24시간 사이트를 스캔, 정리 및 보호하세요.
8. 귀하의 웹사이트를 방문할 때 열리는 광고 및 팝업
스스로 설정하지 않은 일부 광고와 팝업을 발견했다면 지금 바로 도움이 필요합니다. 우리는 이와 같은 맬웨어를 꽤 자주 처리했습니다. 이것은 우리가 많이 볼 수 있는 또 다른 형태의 웹사이트 손상입니다.
애드웨어의 가장 나쁜 점은 트래픽의 상당 부분을 빨아들일 수 있다는 것입니다. 이러한 팝업이 귀하의 평판을 완전히 손상시킬 수 있다는 사실에서 장기적인 피해가 발생합니다. WordPress 해킹된 웹사이트는 불법 약물, 포르노 및 정치적 증오에 대한 광고를 표시할 수 있습니다.
멋지지 않습니다.
대부분의 광고 및 팝업은 SQL 주입 공격에서 발생합니다. 따라서 승인되지 않은 광고 및 팝업이 표시되면 데이터베이스를 정리해야 합니다.
중요: 데이터베이스 관리자로 경험이 많지 않은 경우 해킹된 WordPress 웹사이트가 있는 경우 데이터베이스를 정리하지 마십시오. 사이트를 완전히 망칠 수 있습니다.
9. 귀하의 웹사이트가 해킹된 사이트로 리디렉션되고 있습니다
우리는 이미 이것을 언급했지만 그보다 더 명확하지 않습니다:
WordPress에 해킹된 사이트가 있습니다.
이것은 다양한 방식으로 발생할 수 있습니다. 대부분 wp-config.php 또는 .htaccess 파일에 있는 리디렉션 코드입니다.
가능한 증상은 다음과 같습니다.
- 사이트에 빈 페이지가 표시되고 로드되지 않음
- 귀하의 사이트가 일부 악성 웹사이트로 리디렉션됩니다.
- 귀하의 사이트가 귀하를 Google로 리디렉션합니다.
- Google에서 귀하의 사이트에 액세스할 수 없습니다.
- .htaccess 파일이 계속 수정됩니다.
맬웨어 및 제거 방법에 대한 자세한 내용은 스팸으로 리디렉션되는 WordPress 사이트의 기사를 확인하십시오.
10. 때때로 존재하지 않는 페이지에서 트래픽 급증이 나타납니다.
해커는 해킹된 WordPress 웹사이트를 '스팸 광고'에 사용할 수 있습니다.
이로 인해 미친 트래픽 스파이크가 발생합니다. 스팸 이메일은 해커가 만든 기존 페이지나 새 페이지에 대한 링크가 포함된 서버에서 전송됩니다.
스팸 광고는 블로그, 웹사이트, 포럼 및 하이퍼링크가 있는 댓글 섹션을 파괴하여 해커 웹사이트의 검색 엔진 순위를 높일 수 있습니다.
물론 이것은 더 이상 작동하지 않습니다. SEO의 모든 사용자가 알려줄 것입니다 .
Google에서 완전히 무시하는 매우 구식의 블랙햇 기술입니다. 그러나 동시에 WordPress 해킹 웹 사이트를 채우는 해커는 이에 대해 별로 신경 쓰지 않습니다. 맬웨어는 사이트를 완전히 망가뜨릴 것입니다.
실행할 몇 가지 간단한 진단
이러한 증상 외에도 WordPress에 해킹된 웹사이트가 있는지 여부를 확인하기 위해 실행할 수 있는 4가지 간단한 진단이 있습니다.
1. 웹사이트 코드에서 이상한 모양의 JavaScript
웹사이트 코드에 이상하게 보이는 Javascript가 있고 그것을 이해할 수 있다면 당신은 상당히 기술적인 사람입니다.
기술 담당자가 아닌 경우 WordPress 해킹된 웹사이트에 대해 다음과 같이 할 수 있습니다.
고맙게도 이것은 조금 더 명확하게 지적할 수 있는 하나의 해킹입니다.
WordPress 해킹 사이트에 다음 멀웨어 중 하나가 있습니다.
- WordPress 해킹된 리디렉션
- XSS 스크립팅
- SQL 주입
각별히 주의하세요!
이러한 해킹은 결국 웹사이트 손상으로 이어집니다. 지금 조치를 취하지 않으면 해킹된 WordPress 웹사이트에 대한 통제권을 매우 빠르게 잃을 수 있습니다.
최악의 부분은 자바스크립트가 워드프레스 해킹된 웹사이트의 어느 곳에서나 발생할 수 있다는 것입니다.
2. 오류 로그에서 예기치 않은 오류 메시지를 찾았습니다.
모든 WordPress 사용자가 오류 로그를 확인하는 것은 아닙니다.
당신이 실제로 오류 로그를 읽고 이해할 수 있는 몇 안 되는 초능력자 중 한 명이라면 아직 모르는 것이 많지 않을 것입니다.
우리가 말할 수 있는 것은 해커가 귀하의 사이트에 무제한으로 액세스할 경우 해커가 얼마나 많은 피해를 입힐 수 있는지 이미 충분히 이해하고 있다는 것입니다.
WordPress 해킹된 웹사이트를 수정하는 방법을 배우는 부분으로 건너뛰세요.
3. 생성하지 않은 새 관리자 사용자 또는 FTP 계정을 찾습니다.
이것은 큰 사이트의 경우 까다로운 작업입니다. 의심스러운 관리자 계정과 FTP 계정을 감시하는 것은 정말 어려울 수 있습니다.
그러나 이것을 알아차렸다면 WordPress 핵심 파일을 확인할 때입니다. 해킹된 WordPress 사이트는 일반적으로 전체 사이트에 영향을 줄 수 있는 방식으로 감염됩니다. 이것은 WordPress 코어 파일을 이상적인 대상으로 만듭니다.
어떤 경우에는 무해해 보이는 파일에 숨겨진 실행 코드가 있습니다. 이상하게도 favicon.ico 파일에 숨길 수도 있습니다! WordPress 해킹 리디렉션 맬웨어에 대한 기사를 확인하십시오. 가짜 관리자 계정과 FTP 계정은 이러한 멀웨어에 매우 일반적입니다.
4. 파일이 최근에 수정되었습니다.
대부분의 멀웨어에서 해커는 먼저 정상적인 WordPress 코드와 혼합된 악성 코드로 WordPress 해킹 사이트를 감염시킵니다.
가장 간단한 방법은 해당 코드를 wp-config.php, .htaccess 등과 같은 WordPress 파일에 삽입하는 것입니다.
WordPress 해킹된 웹사이트에서 파일을 편집하는 것은 wp-vcd.php와 같은 맬웨어와 함께 반복되는 테마입니다. 간단한 예방 조치는 핵심 파일에 대한 편집 권한을 취소하는 것입니다. 하지만 워드프레스 웹사이트가 이미 해킹을 당했다면 즉시 사이트를 정리해야 합니다.
프로 팁: 악성이라고 100% 확신하지 않는 한 파일과 데이터베이스 테이블에서 어떤 것도 삭제하지 마십시오.
WordPress 해킹된 웹사이트를 청소하는 방법
WordPress 해킹된 웹사이트를 청소하는 방법에는 두 가지가 있습니다.
- 맬웨어 스캐너 및 클리너를 사용할 수 있습니다.
- 또는 수동으로 웹사이트의 코드를 살펴보고 정리할 수 있습니다.
모든 의도와 목적을 위해 수동 정리를 권장하지 않습니다.
이제까지.
왜요? 너무 위험합니다.
WordPress 해킹된 웹 사이트에는 일반적으로 웹 사이트가 작동하지 않는 무해한 코드 안에 악성 코드가 숨겨져 있습니다. 코드 스니펫을 수동으로 삭제하면 사이트가 영구적으로 손상될 수 있습니다.
백업에서 사이트를 복원할 수 있다고 생각할 수 있습니다. 그러나 백업도 감염되지 않았는지 어떻게 알 수 있습니까? 백업이 감염된 파일도 교체합니까?
What we do recommend, however, is to use a WordPress malware scanner and cleaner plugin.
How to Clean a Hacked WordPress Website Using MalCare
The purpose of a malware scanner and cleaner is to make it easy to find, pinpoint, and clean an infected website.
The sad thing is:
- Most malware scanners can’t pinpoint the origin of a complex malware;
- They resort to crude methods of scanning that raise false alarms;
- After the scan, most security plugins require a manual cleanup;
- Manual cleanups are expensive and you pay through your nose when you’re in a pinch;
- And then you get charged extra for repeat hacks.
요약: The security plugin that is supposed to protect your website holds you up for ransom and then provides you with a flimsy solution at best.
That’s exactly why we recommend that you scan your site using MalCare.
MalCare offers a complete suite of security features that will scan, clean, and protect your WordPress website from malware attacks by hackers.
With the most advanced learning algorithms to support it, MalCare is by far the best WordPress Security Plugin there is that keeps getting smarter over time.
We know that this can sound a bit biased, so here are a few important stats about MalCare to remember:
- One-click instant malware removal in 3 minutes or less;
- 99% of malware are automatically detected and cleaned without any manual cleanup;
- Less than 0.1% false positives flagged across a network of 250,000+ websites;
- No extra charges ever and no B.S.;
- All for $99/year!
If this sounds good to you, we can make it better with just two words:
True. Story.
If you haven’t already, install MalCare and clean your WordPress hacked website today.
Here’s how you can do it:
1단계:MalCare에 가입
저희 사이트에서 MalCare 플러그인에 가입하세요.
2단계:사이트 스캔
MalCare를 사용하여 사이트를 자동으로 스캔:
3단계:클릭 한 번으로 사이트 정리
즉시 청소하려면 '자동 청소'를 클릭하세요.
Once all this is done, you should definitely check out our guide on protecting your site from future attacks.
You get all this for just $89/year!
지금 250,000개의 다른 사이트에 가입하고 MalCare를 설치하십시오.
How to Clean a Hacked WordPress Website Manually (NOT RECOMMENDED)
Cleaning a hacked WordPress website manually is made of primarily three parts:
- Scanning the server for malicious code in files;
- Scanning the database for malicious code;
- Detecting backdoors and fake admin accounts;
And then, remove malware from your hacked WordPress website.
This is an oversimplification, though.
In many cases, you may well have been blacklisted by Search Engines and blocked by your web host. In such an instance, it’s not enough to just clean your site, but also take measures to remove the website from a blacklist.
But let’s just get started:
#1 Looking for Malicious Code in WordPress Files and Folders
The most obvious way in which malware can be injected into a WordPress hacked website by a hacker is by uploading a file straight up. This is rarely the case, but worth a try.
Look for files that have a suspicious name. Start with the WordPress folders such as:
- wp-content
- wp-includes
These are folders that should not contain any executable files. If there are any PHP or javascript files here, then that’s a bad thing.
프로 팁: Look especially for PHP files. PHP by itself cannot execute javascript code without an HTML view. Javascript typically injects content into the frontend. The first thing you would need to get rid of is the PHP code.
If this doesn’t work out, keep reading.
#2 Looking for Malicious String Patterns
Most malware leaves some common bits of code called string patterns across a WordPress hacked website.
So, the next step is to head over to WordPress files and search for these bits of code. Typically, you will find them in the core WordPress files such as:
- wp-config.php;
- .htaccess
- wp-activate.php
- wp-blog-header.php
- wp-comments-post.php
- wp-config-sample.php
- wp-cron.php
- wp-links-opml.php
- wp-load.php
- wp-login.php
- wp-mail.php
- wp-settings.php
- wp-signup.php
- wp-trackback.php
- xmlrpc.php
CAUTION: Do NOT attempt this unless you understand PHP deeply. As you can see, almost all the files in WordPress are PHP files with the exception of .htaccess. Many of these strings could be part of regular code. Deleting something based just on this list could break your site.
Look for snippets such as:
- tmpcontentx
- function wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- stripos($tmpcontent, $wp_auth_key)
If these two ideas didn’t work, we have some even more advanced ideas that you can try.
#3 Checking the functions.php File
The functions.php file is one of the most popular targets in any hacked WordPress website.
So, take a quick look at that file too.
It’s difficult to say exactly what you should be looking for here. Depending on the malware, you could have different types of malicious code in the file.
You may want to check if the functions.php code is adding unauthorized features into a theme or a plugin. This is agonizingly difficult to find at the best of times and it’s desperately tricky to get right.
A few simple ways to check if the functions.php file has been tampered with are:
- If the hack is a very visible one like a hacked redirect, try changing the theme and check if the problem persists.
- Check and see if updating the theme resolves anything. Mostly it won’t help at all, but it’s worth a shot.
- Try logging into your WordPress dashboard. If you can’t, it might be because of malicious code in the functions.php file.
If any of these ideas show even a slight change, then you know that functions.php is a good place to start looking.
#4 Run a Diffchecker Against WordPress Core Files
A diffchecker is a program that checks two pieces of code and spots the differences between the two.
Here’s what you can do:
- Download the original WordPress core files from the GitHub repository.
- Download the files from your server using cPanel.
- Run a diffchecker between the two files.
The worst part about this idea is that you would have to go through each file on a WordPress hacked site one at a time and check for differences. Of course, you would then have to find out if the different code is malicious or not.
If this seems too technical or sounds like it’s too much work, we recommend that you install MalCare.
It’s a quick, easy, and affordable fix.
Why Did Your Site Get Hacked?
They say that prevention is better than cure.
We agree. But honestly, it’s not that simple when you’re talking about WordPress hacked websites.
Hackers create 300,000 new pieces of malware daily. This means that almost all security software out there becomes obsolete or irrelevant within days, if not hours.
Most WordPress hacked sites have one or more of these vulnerabilities:
- Outdated WordPress Version: Lots of webmasters think that updating the WordPress version can break their site. This is true to a certain extent. But not updating WordPress on your site is a far worse idea. WordPress openly declares its vulnerabilities and outdated versions get easily exploited by hackers. We recommend using a staging site to test out the updates and then roll it out after fixing all the bugs.
- Outdated themes and plugins: Outdated WordPress themes and plugins usually have exploits that are very well document and easy for hackers to find. If there are updated versions out there, just update the software. It’s worth taking the time to do it.
- Pirated Plugins and Themes: If you’re using nulled or pirated plugins and themes, then 100% you have a WordPress hacked site on your hands. Use a free alternative if you don’t want to pay for a plugin or theme. It’s that simple.
- Unsecured WordPress Login Page: WordPress login pages are easy to find and highly susceptible to brute force attacks. There is no protection against bots by default. The best you can get in an off-the-rack WordPress installation is a Multiple Login Attempts blocker. Honestly, it’s way too easy to get past those plugins as well.
- Weak Passwords: You’d be shocked how often it’s your own fault that you got hacked. The most common passwords are something weak like ‘p@ssword’ or ‘Password@1234’. It takes less than 1 second for a brute force algorithm to get past something like that. Do NOT trust simplistic rules like including numbers and special characters to judge password strength. Those measures are grossly insufficient.
- WordPress Roles: Do NOT leave the default WordPress user role as an administrator. WordPress has multiple user roles for a reason. If too many people have admin access, you are more likely to get hacked. The worst part? You’ll get hacked time and again without realizing why that’s happening to you.
- Ability to Execute Codes in Unknown Folders: Executable code, especially PHP code should only stay within trusted folders. Ideally, folders containing the WordPress core files, theme files, and plugins are the only folders that should have executable code.
- Running Website on HTTP: If your website is still running on HTTP and not on HTTPS, then you are simply inviting hackers to gift you a WordPress hacked site. And if you’re running a WooCommerce site without an SSL certificate, then God help you. Install an SSL certificate or risk having all your information stolen.
- Setting Incorrect File Permissions: This may seem inconsequential, but incorrect file permissions can give hackers the option to write code into an unprotected file. All your WordPress files should have 644 value as file permission. All folders on your WordPress site should have 755 as their file permission.
- Unprotected WordPress Configuration wp-config.php File: The wp-config.php file loads up whenever someone tries to log in to your site and it contains all your database credentials. If left unsecured, a hacker can gain access to your database using the file. It’s a simple enough fix, though. Just add this little code snippet to your .htaccess file:
<files wp-config.php>
order allow, deny
deny from all
</files>
- Changing the WordPress Database Prefix: The default WordPress database prefix is ‘wp_’ and you can change this during the installation of WordPress on your site. Leaving this unchanged makes it really easy for hackers to guess your database names. So, we highly recommend changing the database prefix in the wp-config.php file.
As you can probably understand, there are way too many ways in which you can get hacked.
But as general rules:
- Install a powerful firewall and bot protection for your website
- Install an SSL certificate that will protect your site from further attacks
- Stop using nulled themes and plugins
- Do not trust any vendor implicitly – always check the URLs for everything you do
- If you ever suspect any foul play at all, scan and clean your website immediately
Honestly speaking, most malware doesn’t start damaging your WordPress hacked site immediately. If you can scan and find malware early on, you can successfully remove it without causing any damage at all.
For this purpose, we highly recommend that you scan your site for malware right away.
Post-Hack Measures:How to Prevent Your Site From Getting Hacked Again
The rest of this article is about stronger security measures that you can take to protect your website from malware attacks. We’ve also explained some of the most common security jargon so that you don’t feel lost with some other resources.
Feel free to go through them all and if you have any questions, drop us a line.
Install a Firewall to Keep Out Malicious Traffic from Your Site
A firewall is a layer of protection that shields your website from incoming traffic. It acts as a barrier between a trusted and untrusted network. In this case:a barrier between a bot and your site that prevents WordPress hacked sites from ever coming into existence.
In simple terms: if your website is getting any malicious traffic or attempted hacks, a firewall prevents the website from receiving such traffic.
A WordPress firewall is specifically designed to protect WordPress websites from getting hacked. It runs between your site and the internet to analyze all the incoming HTTP requests. When an HTTP request contains malicious payload the WordPress firewall drops the connection.
Just as a malware scanner looks for malicious malware signatures in WordPress hacked websites, a WordPress firewall will scan for malicious HTTP requests.
Some rare firewalls like the one we use in MalCare can actually learn from previous attacks and get smarter over time. MalCare can analyze incoming traffic and recognize a malicious IP from a huge database it has compiled by protecting 250,000+ sites.
Once an HTTP request is flagged by MalCare as suspicious or malicious, your website won’t even load WordPress. It’ll be as though there WAS no malicious traffic.
프로 팁: MalCare actually logs all attempted connections with your site in the traffic logs. So, if you’re using MalCare, try to keep tabs on the type of traffic you’re getting. Every login attempt is color-coded so that you can analyze it at a glance.
The two most common hacks that installing a firewall can protect against are brute force attacks and DDoS attacks. Let’s go over both in brief so that you know what to expect from them.
What is a Brute Force Attack?
A brute force attack is a way of guessing your access credentials by literally using every possible password there is. It’s a simple and inelegant hack. The computer does all the hard work and the hacker sits tight waiting for the program to do its job.
Typically, a brute force attack is used for two purposes:
- Reconnaissance: A bot uses brute force to find vulnerabilities that it can exploit
- Infiltration: A bot tries to guess the access credentials to gain control of the WordPress hacked website
The most primitive type of brute force attack is the dictionary attack where the program uses a list of password combinations based on certain assumptions about the password.
A weak form of dictionary attacks is credential recycling where it uses usernames and passwords from other successful hacks to try and break into your website.
But the more modern variant is an exhaustive key search. These kinds of brute force attacks literally try out every possible combination of all possible characters in a password.
Pro-Tip: An exhaustive key search brute force algorithm can crack an 8-character password with capital and lowercase letters, numbers, and special characters in two hours. Always create long, random passwords with a good mix of characters to make it more difficult.
Attackers also use brute force attacks to look for hidden web pages. Hidden web pages are live pages that are not linked to other pages. A brute force attack tests different addresses to see if they return a valid webpage, and will seek out a page they can exploit.
Bonus Pro-Tip: If you see a sudden uptick in traffic for no apparent reason, check your analytics. If you see a bunch of 404 errors from pages that don’t exist, you’re probably under attack by a brute force bot.
You can prevent a brute force attack by:
- Using longer passwords
- Using more complex passwords
- Limiting login attempts
- Implementing Login Page Captcha
- Setting up WordPress Two-Factor Authentication
This goes without saying, but you also need a seriously powerful firewall for your WordPress website. A firewall on top of all these preventive measures will help you protect your business from hackers trying to brute force their way in.
As an alternative to all this, you can install MalCare. MalCare comes with a built-in premium firewall that spots suspicious traffic and prevents your website from even loading the WordPress login page.
To learn more about Login Protection checkout our Guide on WordPress Login Security.
What is a DDoS Attack?
A distributed denial-of-service (DDoS) attack is a malware attack that sends too much traffic to your WordPress website for your server to handle.
Hackers don’t hack just one website or device. Instead, they establish an entire army of hacked devices and websites to direct focused DDoS attacks.
The collection of compromised devices used for a DDoS attack acts on an internet called a botnet. Once a botnet is established, the hacker remotely sends instructions to it and causes other servers to be overwhelmed by a huge surge of traffic.
Pro-Tip: If your website is loading very slowly or if your web host refuses to serve your website, check your analytics immediately. DDoS attacks work in patterns that can be discerned:
- Traffic originating from a single IP address or IP range;
- Traffic from users who share a single behavioral profile, such as device type, geolocation, or web browser version;
- An unexplained surge in requests to a single page or WooCommerce endpoint;
- Traffic spikes at odd hours of the day or a spike every 10 minutes;
These are all symptoms of a DDoS attack.
One of the major motivations behind a DDoS attack is extortion under the threat of destruction of property. The only way to prevent a DDoS attack is to use an effective firewall that can clamp down on suspicious traffic immediately.
Install an SSL Certificate to Secure Your Traffic
SSL Certificates are now the staple for almost all cPanel hosting providers and resellers. An SSL certificate is a small digital file that encrypts an organization’s details. Commonly, SSL certificates, when installed, binds:
- A domain name, server name, or hostname;
- And the organization’s identity and location.
This secure connection ensures that the traffic between the server and the browser is encrypted.
Before we get into the kind of security an SSL certificate provides, let’s understand how it works.
SSL certificates use a method of encryption called public key cryptography.
Public key cryptography uses two sets of keys for encryption – a public key and a private key. It’s in many ways similar in concept to WordPress Salts and Keys.
In this kind of encryption, if:
- Angelina sends Brad a message, then the message is locked using Brad’s public key.
- But for Brad to read the message, he must unlock it using his private key.
If a hacker intercepts the message without having Brad’s private key, they will only see encrypted code that not even a computer can decrypt.
What is Man-In-the-Middle Attack?
A MITM attack is when a third party intercepts a communication between two people. Here, the hacker is essentially a ‘man in the middle’.
This might sound all fun and frivolous, but this is a very dangerous attack. The hacker can effectively see every request coming in and out of your website including all transactions.
If the hacker can’t get admin access, they can send your users fake web pages that can grab their access credentials.
Imagine this for an instant:
The credit card, the phone number, the email address – everything your users submit on your WordPress hacked website is openly accessible to a hacker.
The simplest way to protect against attacks like this one is to install an SSL certificate.
Pro-Tip: Check all your web pages for the ‘https’ in the URL. If there are pages missing out on that, you may have a mixed content issue. Fix that as soon as possible. A brute force attack could find the vulnerable pages and push for a MITM attack.
Implement WordPress Hardening and Basic Hygeine
This segment is all about protecting your WordPress website from getting hacked again.
Now, the simplest thing you can do is to implement WordPress hardening measures. Hardening makes sure that even if your website gets hacked again, the hacker can’t really edit any files and databases.
Another major tip we have:stop using nulled themes and plugins. Nulled themes and plugins are essentially cracked versions of the plugin. The only problem is that nulled themes and plugins are usually chock full of malware.
Also, if you are using a lot of plugins, be careful of zero-day vulnerabilities. A zero-day vulnerability is essentially a security flaw that the developers and vendors know about, but haven’t really fixed. Many WordPress hacked websites have plugins with zero-day vulnerabilities.
The most troubling part about a zero-day vulnerability is that people assume that updating the plugin or theme can automatically fix the WordPress hacked website. That’s not true, though. You will have to clean up the website first and then update the software to prevent future hacks.
What Are The Consequences of Getting Hacked?
One of the major questions that we get all the time is – why does it matter if my website gets hacked? Unless it completely defaces the website, why should I even care?
Short answer: you really should care because a hacked website can severely damage your business even if it isn’t visibly defacing your website.
A WordPress hacked website can damage your traffic, revenue, and brand value (more on this soon).
But the biggest reason to care is:
Almost all malware is created with the intent to make money off your hard work.
In essence, you spend a lot of time and money on building traffic and revenue, and then because you have a WordPress hacked website, the hacker makes money instead of you.
멋지지 않습니다.
How Hackers Make Money Off Your WordPress Hacked Site
Hackers make money from your website by using your traffic and here’s how it works:
- Illicit ads and pop-ups redirect a huge portion of your traffic to other sites and the hacker gets paid for that traffic.
- URL redirections work in the same way – the hacker can redirect the traffic from your WordPress hacked website to make some quick cash.
- If a hacker gets into a WooCommerce website, they can steal the credit card information of your buyers.
- In some cases, a hacker can redirect to a page that looks like yours. When people buy something from the fake page, the hacker gets paid and you never get to know about it.
- A hacker can easily replace a bank account linked to your WooCommerce store. You’ll still make the sales number, but the hacker steals all the money.
Let’s put this into perspective:
It’s not just you who’s getting hacked. And it’s definitely not just you who’s unprepared for a WordPress hacked website.
People in America panic a lot more over cybersecurity than personal security:
A study of more than 4,000 organizations across the US, UK, Germany, Spain, and the Netherlands found that 73% of companies are not ready for a cyber attack. (Source:hiscox.co.uk)
We know this sounds bad. But honestly, this is just the tip of the iceberg with WordPress hacked websites.
Believe it or not, it actually gets much worse in the long term.
In the long term, a WordPress hacked website can:
- Completely stop traffic to your business because it got blacklisted
- Destroy your brand’s reputation because no one wants to be a victim of cybercrime
- Essentially destroy your revenue channels by destroying trust and stealing traffic
최악의 부분도 아닙니다.
The worst part is that the hack may not even have visible consequences. You might be getting robbed on a daily basis without ever knowing it.
Now, maybe a security plugin flags a malware along with 10 other false alarms. And maybe you do see it. How often do you take action and check out all the alarms?
And even if you do find the malware and clean it, even if you miss a single backdoor on your WordPress hacked website, you can get infected all over again.
The simplest way to get out of this vicious cycle is to install an automatic malware scanner and removal tool.
마무리
Now that you know how to scan and clean a WordPress hacked website, just take the time to set up security measures to prevent future hacks. You have successfully defeated the hacker. You can now go back to building your business after you set up the basic security measures.
Bonus Tip: You can set up WordPress hardening manually or install MalCare and do it in 3 minutes or less.
It’s time to take a sip of hot, steaming tea and relax – especially if you’re a MalCare user. You never have to worry about WordPress security again.
If you have any questions, feel free to drop a comment below. We have a team of WordPress security experts who can help you resolve any issue you might face.
Until next time!