更新了我的所有插件,拥有有效的安全备份并清除了所有垃圾邮件并且没有未经授权的用户后,我的WordPress网站再次被黑客入侵。我的HP上的主徽标下面有一个垃圾邮件URL。关于如何解决这个问题的任何建议?在.php文件中查看编辑器后,我注意到我的'Theme functions.php'文件中的这段代码(粘贴在下面)。这是垃圾邮件还是正常的?不幸的是我不编码,也不知道该找什么!!
<?php
$wp_function_initialize = create_function('$a',strrev(';)a$(lave'));
$wp_function_initialize(strrev(';))"=owOp
[hacking code removed]
'g42bpR3YuVnZ"(edoced_46esab(lave'));?><?php
/*** Theme setup ***/
答案 0 :(得分:0)
首先。关注this guide
但是,以下内容对我有用:
当你最初被黑客攻击时;对核心WordPress文件进行了更改,如果每次加载页面时都不存在该行,则会将该行添加到functions.php文件中。
我的建议是转到/wp-admin/update-core.php并点击立即重新安装重新安装WordPress
任何一个活动插件中也可能存在此问题。重新安装它们。
答案 1 :(得分:0)
是的 - 你被黑了,这段代码被剪掉似乎是错误的代码&#34;那是黑客插入的。你使用MailPoet / wysija-Newsletters吗?这个插件上个月被黑了两次。
分析代码需要花费几个小时,因此很难说出它的真正含义,但显而易见的是,由于作者试图&#34;隐藏&而不是很好#34;真正的代码非常好;)Wordpress没有做任何事情来回答这个问题:它不正常,很可能它不仅仅是垃圾邮件。
因此,您需要确保清除每个受感染的文件。由于代码在你的主题中,重新安装WP不会有帮助(我猜你不会使用默认主题)。
如果插入的代码分布在许多.php文件中且它们相同,则可以使用小的Python脚本检查所有.php文件是否出现代码。否则完全删除它会变得有点困难。
答案 2 :(得分:0)
strrev(&#39 ;;)a $(lave&#39;)部分代码会反转文本以隐藏它。你会注意到&#34; a $(lave&#34;反转是&#34; eval($ a&#34;。
在您网站上的每个文件中搜索&#34; eval(&#34;以及&#34;(lave&#34;。
有效代码很少使用the eval function。滥用它是如此开放,以至于在Wordpress和其他编写良好的PHP脚本中都可以避免它。
如果你看到&#34; lave&#34;在strrev函数中,你可以非常肯定这是恶意代码。
我只是以与你所描述的非常相似的方式被黑客入侵。我在搜索更多信息时发现了你的问题,我可以传授我学到的东西。
修复这个特殊问题:
为了将来更容易,请始终在您的个人计算机上保留您网站的完整副本。我使用a tool called Beyond Compare将显示我网站上的文件与计算机上的文件之间存在差异的所有文件。它还将显示每个文件中的差异。这样可以轻松比较和修复被黑客攻击的文件。我实际上使用Beyond Compare作为我的FTP工具将我的非WordPress更改上传到我的网站。
这是我的WordPress网站多年来第一次被黑客入侵。我的经验和希望是,这可能是一次飞行的一次性事情,在我回到预先被黑客攻击的代码之后将会被修复。一般来说,WordPress保持其代码清洁并修复漏洞,以便旧的黑客不会再次发生。但是你可能有插件或主题,黑客已经进入,并可以在将来再次进入。值得尝试研究漏洞利用方法并修复后门以防止它。我不确定这项研究的最佳方式,但我发现这个问题是我研究的一部分。
我希望这些想法可以帮助您或任何其他与我们有同样问题的路人。