对于wordpress恶意代码,学几招不再头疼

作者:david    发布于3周前 (2018-10-27)    阅读:  59  次

wordpress恶意代码是最让人头疼的事,也没有太好的办法。

所谓道高一尺魔高一丈,最基本的做法就是插件不要乱装,尽量从后台插件中心安装,就相对保险一点。

但是也不是绝对的安全,那个啥插件使得近20万网站中招,不就是从插件中心来的。所以只能尽人事,听天命了。

对于wordpress恶意代码,学几招不再头疼-投稿百科今天看了明月分析的一篇文章,在 WordPress 里“恶意代码”最容易出现的地方就是主题目录下的 function(s).php 里,一般正规的 function.php 文件结尾都会有类似下面这样的结尾注释:

//全部结束
2.?>

如果你发现没有这个结束注释的时候,那么基本可以判定你的 function.php 文件被篡改过了,就需要好好的检查了,比如下面这些代码行:

function _checkactive_widgets
2.function _get_allwidgets_cont
3.function stripos
4.function strripos
5.function scandir
6.function _getprepare_widget
7.function __popular_posts
8.add_action("admin_head", "_checkactive_widgets");
9.add_action(“init”, “_getprepare_widget”);
10._verify_isactivate_widgets
11._check_isactive_widget
12._get_allwidgetscont
13._prepare_widgets
14.__popular_posts

每行是独立存在的,如果你的 functions.php 中有上面任意一段代码,那么你可能就中招了。其中 function、add_action 这类一般都是属于“恶意代码”做“准备活动”的代码。

清理也很简单,直接在 function.php 文件里面找到上面的类似代码删除即可,但因为一旦感染会导致你 themes 主题目录所有主题都感染,因此你只清除当前使用主题是无效的,你清除后很快就会生成,因此你清除掉一个主题的代码后,把 functions.php 文件设置为 444 权限,然后再清理其他主题即可。至于最后 functions.php 文件的 444 权限是否需要改回去,个人建议 444 挺好挺安全的,等要修改的时候再修改就行了。

另外一种方法就是借助 FTP 软件的“目录对比”、“同步浏览”来排查服务器端的 PHP 文件大小和最后被修改日期来进行分析清理的,通过与本地同样版本的目录文件进行对比可以快速的找出服务器上多出来的文件、已经被修改过的文件(文件大小、最后修改日期),再做手工处理就行了

最后一种方法就是借助第三方工具,WordPress 推荐 Wordfence Security 插件的,这是一个集防火墙和恶意代码扫描为主的 WordPress 安全插件,由一个大型团队建立和维护,100%专注于 WordPress 安全性,缺点是文件较大,而且对网站访问速度有影响,犹豫再三还是没有装。另外一个工具是微软的的 MSE,我们可以将服务器端的 PHP 文件下载到本地,让微软的 MSE 扫描检测也可以找到“恶意代码”、“木马后门”的,可惜没有win10的版本,只有win8和32位的版本。

添加新评论