WordPress 被黑客入侵挂马后应该怎么办？

11/09/2024更新
19 条评论
网站建设
2210 字
2,804 阅读

昨天（2022.08）发现博客后台莫名其妙多了两个主题，并提示我更新，若非如此我甚至都察觉不到它的存在…当然，我没理会直接将其删了，只是隐隐约约察觉不对。刚才，腾讯云发来短信：

果不其然，检查系统发现又多了两个主题，几个插件…一看都是那种可以使用基础版本，须付费才能使用高级版的程序，给我的感觉是我这 WordPress 里面植入了一个类似于 2345 浏览器的那种流氓软件，它自动给我安插件、安推广程序，甚至会恶意修改我的文件——我 WordPress 系统下边所有文件的权限都被自己改成了 0777（可读、执行、写）！
——Wordpress 主机疑似被黑客入侵

思前想后，是怎样造成的呢？暂时没想起来啊…以及 WordPress 被黑客入侵、挂马后怎么办呢？我先备份下数据库，观察观察再说吧。

关于为何中病毒、被挂马之后的现象以及应对方案，本文评论区的各位朋友已经例举了部分可能和思路，我个人推荐的做法是：

如果可以，回退快照，删除或尽量避免安装来路不明的程序；然后更新各种程序，并合理规划权限，修改密码
若无法回退，那就重装 WordPress，注意先备份你的关键文件：wp-content 目录、根目录下的 wp-config.php 等，当然，这些文件也要按 3 检查一遍
若不想重装，请首先删除那些恶意的主题、插件、文件；时间排序检查代码，查看最新的被修改过文件，若里面有奇奇怪怪的字符串请务必删除，它们一般会影响各个根目录下的 index.php 文件
清理完毕后回退数据库，更新权限、账户名密码、Wordpress 程序和服务器相关程序
推倒重来？我不推荐这么干，浪费时间

现在我来说说牧羊人本次中病毒的可能原因。

我手头目前有 4 台 vps，用的最长时间的是位于杭州的阿里云，也是本博客之前使用长达五年的主机；第二是上个月花了六十块撸的腾讯云特惠主机，在上海；另外有两台都在北美，分别是 RackNerd 和 Linode 的轻量级主机。前不久我在调配网站的时候，把这几个服务器都换了操作系统，并且安装了宝塔的破解版面板，是这个：

然后安装 WordPress，且除阿里云之外都安装了新的、英文的主题和插件程序。当然，我这些主题和插件都是正版的，大部分是可从 WordPress 官方直接安装的，且四台主机上的主题和插件以及应用之间没有完全重合，甚至有完全不一样的。最后，如你所见这四台服务器里边，除阿里云外，全部都中了病毒，多个网站后台出现了雷同的恶意插件、主题和乱码文件，并且网站会自动发布推广文章。

另外 WordPress 后台多了一个超级管理员：wadminw@wordpress.com，按此为关键词搜索，发现近期有歪果仁也中了它的道，你怎么看？我推测啊，本次中病毒的可能性从高到低有：

境外的黑客组织，暴力漏扫攻破了我的服务器系统——多年前我也遇到过
使用了带后门的服务器控制面板
使用了带后门的 WordPress 主题和插件
还有其他可能？

2024.11.10 更新，时间已经过去了两年多了，我感觉磁盘里的脏东西至今为止都没有弄干净！以前在 WordPress 里写了一篇草稿，用来记录我关于中木马之后的一些被攻击和整改记录，现在不想发新帖了，故把相关内容转过来。

我后来尝试过很多方法，包括上问题到的重装系统、软件、还原等等，然后还在面板上装了 Waf、漏扫、IPS、木马扫描等等。这些个工具中，我个人认为宝塔的 Waf 是最有效且也最直观的，正是它帮我发现并阻止了不少攻击。现在它长这样：

上图中宝塔网页应用防火墙的攻击报表是最直观的，它还有其他很多功能和页面，甚至有个攻击地图做的很漂亮很酷炫，就像电影里演的那样。可能你会问啊，你咋还用宝塔呢？

是的，我还继续用着宝塔面板，而且我还继续用着破解版（目前已到 9.20）…因为我这两年下来发现本站中毒这事儿跟宝塔面板没关系，跟我密码强度过低也关系不大，纯粹是因为腾讯云太垃圾了！2022 年学生优惠买来装上不到一个月就出了本文这些事儿，后来迁回阿里云，逐渐把病毒清理干净之后就没出过啥事儿了。

最后的最后，我强烈推荐您各位安装一款 WordPress 安全插件 Wordfence，它真的很棒，即便用免费版也完全满足咱大部分网站用户了。Wordfence 是一个功能强大的 WordPress 安全插件，旨在保护网站免受恶意攻击和安全漏洞的侵害。它提供实时的威胁防护，包括防火墙、恶意软件扫描、登录安全、双重身份验证和 IP 阻止等功能，帮助管理员检测并阻止潜在威胁，确保网站安全稳定运行。

此外，Wordfence 还具有安全分析功能，能够检测文件更改、识别恶意流量源，并定期发送安全报告，使网站管理员能够及时了解网站的安全状况并采取措施。该插件操作简单且易于配置，是 WordPress 网站常用的安全防护工具之一。

https://www.shephe.com/wp-content/uploads/2020/11/wordpress.jpg 1920 1280 Kevin's Kevin's https://www.shephe.com/wp-content/uploads/2020/11/wordpress.jpg 08/22/2022 11/09/2024

「WordPress 被黑客入侵挂马后应该怎么办？」有 19 条评论

孤斗-伍子蛇
09/22/2022 at 17:29 回复

宝塔这种东西本身就一堆漏洞?
非常不懂博友圈为什么非常推崇宝塔，这就是最大的安全隐患
除了80，443其他例如3306都不要开放外网访问
当然如你所说改成777就是脱了裤子等别人注马
服务器定时更新
wordpress定时更新
- 孤斗-伍子蛇
  09/22/2022 at 17:33 回复
  
  哦，你用的是VPS，那就是你选的VPS提供商没有定时更新服务器
IronChan
09/10/2022 at 11:46 回复

破解版的寶塔面板？寶塔不是免費的嗎，為什麼要用破解版，是否實現了免費版寶塔沒有的功能？
我也一直使用寶塔面板，且有幾台服務器還買了 VIP 版本的寶塔面板，實現多重防護，對在運營的網站也起到很好的保護。主題和插件你使用了正版，想來肯定不會是單獨為了貪便宜使用破解面板。
對了，新主題功能也許更多，預製的界面樣式更多，但目前看到的的確不是一個很好的內容輸出站所想看到的體驗，想必還在優化中，邊走邊調整吧，祝好！
UI柒
08/27/2022 at 23:07 回复

嗯，安全性还是值得注意
老麦
08/27/2022 at 13:18 回复

我暂时未遇到过这样的问题，不过我要是遇到这样的问题，估计我会将其一切还原重装，哈哈哈，排查实在是太难了。
Lvtu
08/25/2022 at 14:50 回复

我之前也遇到过，里面的一些文件都被加上了一些数字，当时怀疑是用安装某款破解过的主题造成的，删除后就没事儿了。。。
老刘
08/25/2022 at 09:30 回复

备份数据库和图片，重装系统，用干净的wordpress程序，最好别用宝塔，ssh使用密钥验证，不装破解的主题和插件
一般就没事了
Mr.Chou
08/24/2022 at 19:11 回复

WP用户群多，也许是批量扫到你的ip段…
今年我的博客程序也经历黑客篡改…
懿古今
08/24/2022 at 14:30 回复

WordPress插件和主题都不要使用破解版，然后把后台地址隐藏起来，这样相对来说会安全一些。
秦大叔
08/24/2022 at 09:31 回复

要是我的话，就直接删数据，全部重装。
我的腾讯云也报警过两次说有什么恶意程序，第一次按邮件给的地址删了，第二次被腾讯云自动删了。
子痕
08/23/2022 at 22:15 回复

文件变成777，那应该不是通过wordpress登陆后台操作了，先改服务器密码吧。
S̆̈
08/23/2022 at 18:49 回复

是不是装的网上的主题里面有些什么。
小元
08/23/2022 at 15:32 回复

腾讯的安全提醒还是挺牛的啊
平顶山
08/23/2022 at 11:51 回复

一项一项排除
本身电脑安全
管理账号密码
插件是否有问题
服务器
......
叶开
08/23/2022 at 11:11 回复

应该是暴力破解登录了吧？

我之前的站点天天被人扫，暴力破解当然它没成功哈哈，因为我后台地址改了。
灰常记忆
08/23/2022 at 10:28 回复

防火墙防篡改搞起来
1900
08/23/2022 at 09:50 回复

如果浏览器默认填写了评论框的名称、邮件地址，标签名字会和输入框的内容重叠。
---
wordpress这种用户量多的平台被黑的概率也要高一些。
大峰
08/23/2022 at 08:57 回复

黑客太厉害了，尽然能让人不知觉的情况下安装主题和插件，如何防黑客，还真不知道怎么办。
三棵树人
08/22/2022 at 22:37 回复

我去年也遇到过这些烂人，还把我的主页都修改了，主目录下面多了好多php文件，定期备份一定要做，相当重要。