如何在我的 Wordpress 站点中找到恶意代码

Question

直到今天我才注意到我的 wordpress 网站中注入了一个恶意链接。

该链接仅在orphicpixel.com的主页上，这里是html中的完整代码

<div class="toggle-search"><div id="5221f63">Learn how to extend your penis size using <a href="http://vigrx-plus-buy.com" title="vigrx reviews">vigrx reviews</a>.</div><script type="text/javascript">document.getElementById("36f1225".split("").reverse().join("")).style.display
= "none"</script><i class="fa fa-search"></i></div>

这是我尝试过的修复方法。

1. 将主题更改为默认主题 - 代码仍然存在。
2. 关闭所有插件 - 代码不见了。
3. 我已经确定了 5 个插件，打开时会出现代码。但插件是官方的插件，如 Jetpack、WP-pagination 等。
4. 我已经搜索了我的数据库，但什么也没找到。
5. 我下载了主题文件并搜索了代码，没有
6. 我下载了所有的插件文件并搜索了代码，没有

所以我最后的办法是在这里发布这个问题。

Answer 1

不幸的是，它可能隐藏在 eval 语句之类的东西中，它可以隐藏在十六进制中。 Wordpress 可能很有用，但插件是安全噩梦。很可能某些插件允许对您的网站进行某种上传访问，并且它们可以运行自己的 PHP 脚本或其他任何东西。

使用查看您的文件

find . -type f -mtime -1

-1 是几天前的，您可以尝试 -2、-3 等。如果这是最近的问题，希望这将显示最近修改的文件。当你打开一个坏的文件时，它看起来很像乱码。

不幸的是，如果他们很聪明，他们会将文件上的时间调整为几周前或以前的时间，从而使文件更难找到。

Answer 2

您是否自己购买了 WordPress 主题并从原始提供商处购买？我会下载 Theme Authenticity Checker 并运行插件——它会在主题中找到恶意代码。我知道你检查了主题文件，但最好是安全而不是抱歉。通常，购买的主题没有问题，但下载的主题通常有这样的恶意代码。