如何清理WordPress恶意代码

先别慌，发现WordPress网站不对劲时，比如突然弹出奇怪广告或被浏览器标记为不安全，大概率是中了恶意代码。第一步用FTP或文件管理器登录服务器，把wp-content/themes和plugins文件夹下载到本地备份——动刀前留个底子总没错。

重点检查主题文件！打开正在用的主题文件夹（比如twentytwentythree），挨个翻header.php、footer.php和functions.php。恶意代码常像这样藏在footer：

<?php
// 正经代码...
eval(base64_decode("d2luZG93LmxvY2F0aW9uPSdodHRwczovL3NwYW0uc2l0ZSc=")); 
// 看起来像base64加密的执行代码
?>

见到eval或base64_decode裹着乱码字符串，直接删掉整行，记得留备份再动手。

插件也不省心。去wp-content/plugins把最近安装的插件文件夹扫一遍，特别留意名字乱码的。有时候正常插件会被插入这种代码：

add_action('wp_head', 'malicious_function');
function malicious_function() {
echo '<script>document.cookie="stolen_data="+escape(document.cookie);</script>';
}

这种会偷用户cookie的脚本要连函数带hook一起删干净。

数据库也得清理。进phpMyAdmin找wp_posts表，查post_content字段里是否有