WordPress恶意代码分析及排查方法

关于WordPress网站安全问题的讨论，明月总结分析称，几乎90%都来自于“不良代码”，而给网站带来不良代码的插件占了以上80%（有官方插件站、网上冲浪的插件等），其他的是主题（尤其是破解版和盗版主题）。事实上，“恶意代码”和“后门木马”在服务器上都有某种形式的代码。今天明月就告诉大家如何通过分析代码提前发现这些“脏”东西。

对 function.php 中的恶意代码进行分析和故障排除

WordPress 中“恶意代码”最有可能出现的位置是主题目录中的 function(s).php 中。一般来说，正常的 function.php 文件的结尾都会有这样的结束注释：

1. //全部结束
2. ?>

如果你看到没有结束注释，那么你就是。一般可以确定你的function.php文件已损坏，需要仔细检查，如以下几行：

1. function _checkactive_widgets
2. function _get_allwidgets_cont
3. function stripos
4. function stfunction scandir
5. 函数_getprepare_widget
6. 函数__popular_posts
7. add_action（“admin_head”，“_checkactive_widgets”）;
8. add_action（get_widgets）;
9. _check_isactive_widget
10. _get_allwidgetscont
11. _prepare_ widgets
12. __populate_posts

每行均可独立使用。如果你的functions.php中有任何上述代码，你可能会被抓住。其中，function和add_action通常是属于“坏代码”的代码，执行“准备动作”。

清理time.php脏病毒代码

清理也简单。只需在 function.php 文件中找到上面相同的代码并将其删除即可。不过，一旦被感染，你的主题文件夹中的所有主题都会被感染，所以删除当前使用的主题也不会生效。清除后很快就会出现。因此，在清理一个主题的代码后，将functions.php 文件设置为444，然后清理主题的其余部分。如果需要更改最后一个functions.php文件中的444权限，我个人推荐444非常好而且安全，想改的时候改就可以了。

当然，“脏代码”不仅限于function.php文件。明月在WordPress根目录、wp-include或wp-admin目录的index.php文件中发现了隐藏的PHP文件或缓存。此类具有读写权限等的目录，可谓多种多样、无处不在。这些都是按照【“光明下的黑暗”网站安全隐患：账户安全】一文所述实际获取的账户权限，因此此类产品是最难解决的问题。根据明月的经验，可以分为两种，如下：

手动排查和清除

所谓“手动”就是借助FTP软件进行“文件夹比较”、“同步浏览” ”来检查服务器端PHP文件的大小和最后修改日期进行分析和清理，因为一般情况下WordPress网站上的wp-include和wp-admin目录下的文件是固定的。当 WordPress 更新或更新时，这些更改只会被部分覆盖和替换。这些文件一般不会被修改。通过与本地同版本目录文件进行对比，可以快速找到它们。服务器上已修改的其他文件（大小、最后修改日期），以FileZilla FTP 软件为例，如下图：

可以看到“浏览已同步”和“浏览已同步”和“已同步”。浏览“FileZilla FTP软件”。“目录比较”可以快速找到修改过的服务器上的文件。当然，你也可以找到“多余”的PHP文件（你可以直接删除并清理这些文件。它们几乎100%是恶意创建的） ）只是告诉你这个方法，需要你自己去了解和尝试，这个方法比较适用于非WordPress平台的博客系统（WordPress有一个安全插件，可以扫描“恶意代码”） ). WordPress 安全性，包括防火墙和恶意代码扫描。由优秀团队构建和管理，100% 专注于 WordPress 安全性。虽然有付费模块，但我们可以使用免费的“扫描”模块来扫描我们的 WordPress 网站是否存在带有“恶意代码”的 PHP 文件。虽然有假成功率（尤其是实际的插件和主题隐藏元素会被发现是假的）。报告），但发现“恶意代码”其实事半功倍。需要注意的是，明月并不建议经常打开这个插件，因为防火墙及其安全防护会对数据造成一定的负载压力，影响网站的性能。基本上，在需要的时候，让插件运行“Scan”来进行扫描和故障排除。完成后，只需关闭插件并保存以备不时之需。

• Wordfence Security插件使用注意事项：

1.在启动“Scane”之前，为了保证扫描成功执行，最好禁用所有其他插件（仅启用Wordfence Security插件）。

2。由于Wordfence Security插件扫描会增加服务器CPU负载，建议选择上午晚些时候或网站流量最低时进行扫描。

3。我们仅依赖Wordfence Security的“扫描”恶意代码规则，因此请务必记录扫描结果生成的可疑php文件的路径，以便您可以手动检索它，然后清理和删除它。

其实，还有一个本地工具最适合查找PHP文件中的恶意代码，那就是微软的MSE。我们可以将PHP文件下载到本地，让微软的MSE扫描检测“恶意代码”。 、“木马后门”。不仅比国内的“侍卫”、“管家”、“XX霸”之类的还要好。

第三方工具有很多选项。您可以根据自己的情况自由选择。不得不说WordPress的生态系统是最好的。 Wordfence Security 等插件的可用性就是一个很好的例子。这就是问题。

最后，明月想再次强调，WordPress丰富的插件和主题是一个优势，也是一把“双刃剑”。选择和使用插件和主题时必须小心。 WordPress 不安全的主要原因是插件和主题。主题不受 WordPress 控制。毕竟，它们是由第三方开发和提供的。想要体验各种优秀插件和主题的网站管理员建议随身携带 Wordfence Security 插件。建议想要正常运营网站的站长从正规、免费或盗版渠道购买正版主题和插件。 ，破解版存在被“脏”的隐患。