站長常常關注站內的流量狀況,但從最近開始我就有發現到異常,網站出現一種神秘的現象。首先先說明我是使用 WordPress 外掛「WordPress Popular Posts」作為站內流量統計用,因為要管理網站的關係,我常態性登入著自己的帳號,因此我都是在「有登入」的情況下瀏覽自己網站,而流量統計外掛也正常將我所瀏覽過的文章都有統計上去,但突然我發現整個網站在 6/6 這天竟然僅記錄了我自己的流量,訪客流量全部消失,因此我在 6/7 一大早就用訪客非登入狀態來瀏覽自己的網站,赫然發現只要瀏覽幾個頁面就會被跳轉到一串看起來像是俄文(西里爾字母)的網址(直接給[進去也不會中毒,單純一頁式詐騙廣告]:http://xn--c1anqe5e.xn--p1ai/
),接著跳轉到一看就知道是詐騙廣告的頁面,我就知道我網站被神秘力量安裝了不明的外掛程式!
所以我馬上從後台的「已安裝外掛」程式找陌生的神祕外掛,就被我找到這款「Page Builder Gutenberg Blocks – CoBlocks」,這是 GoDaddy 推出的外掛程式,我後來用了檔案傳輸程式去看我主機內 wp-content/plugins
之下,出現一個資料夾名「Builder」是近期被安裝,看來兇手就是這外掛沒錯,我根本沒印象裝過這款外掛,但它到底怎麼被安裝到我網站的?目前尚未查到可能原因,而且原來這款外掛應該是安裝在「coblocks」資料夾內的,名稱也很怪猜測大概是被竄改的外掛程式,總之我把它停用後上述的異常情形也通通得到解決,最後我當然就把這外掛刪掉了!這外掛看起來很正常,怎麼會被植入這種跳轉式詐騙廣告?而且還設計成不容易被管理者發現,實在可疑,以上供各位站主參考,希望能幫助到大家更注意自己網站的資訊安全。
▲ 我把一些截下來的畫面加上文字做成這張圖,看來外掛被植入惡意程式並安裝到我網站,竟然會發生這種事情我想都沒想過... 這位工程師啊~有點良心好嗎!萌芽站長可真的是用愛在經營網站,而這位神秘的工程師只想到詐騙別人的個資與錢?🤑
後續更新(6/16)
後來除了刪除造假的外掛外,我還將所有 WordPress 管理員帳號的密碼與跟 WordPress.com 的密碼通通更新過一次,且全部啟用兩步驟驗證,並登出其他已登入之裝置,徹底斷絕任何可能的入侵,就在事件發生後約十天的時間,WordPress.com 寄了一封安全問題通知信件,當中有提到他們修復了一個安全問題,安全系統識別出我帳號的異常行為,密碼疑似外洩,因此被上傳了惡意插件,看來我發現異常的速度快得多,已經提前好幾天做應變措施。信件也有提到可透過 FTP 從站點中刪除惡意插件,也就是 wp-content/plugins
之下找到這些插件。惡意插件目錄名稱有以下幾個:Plugin、plugs、Builder 或 log-http-requests。然後信件最後提到建議啟用兩步驟驗證機制,這樣大家知道要啟用了吧?除了 WordPress.com 可輕鬆設定兩步驟驗證外,自架的 WordPress 也能透過「Two-Factor」這款外掛設置兩步驟驗證,給大家參考看看啦!
留言區 / Comments
萌芽論壇