一个用户网站出现了莫名的广告弹窗,很是烦恼。
WordPress网站被黑症状:woocommerce产品打开后几秒跳转弹窗广告。
随机出现如下域名的广告地址。
我们来进行分析和修复
第1步:备份
1、利用控制面板文件管理器打包全部文件,PhpMyAdmin导出数据库,或者弄个备份插件,整站打包。
2、禁用 MySQL 远程访问(如果有开放)
第2步:扫描异常文件
1. 安装插件wordfence,扫描文件,查看结果,如提示不是Wordpress自带核心文件且高危异常的,全可以删除掉。
2、记录哪些主题,插件被串改文件。一般主题的functions.php也会被串改。
第3步:重建站点
1、除了wp-content文件夹,配置文件wp-config.php(留意是否被串改过),清空根目录下所有文件
2、下载最新的 WordPress 副本
3、解压缩 到根目录覆盖。
4.、在 /wp-content/plugins/ 和 /wp-content/themes/ 中重新添加插件和主题(如果被串改过的)
第4步:重新扫描
再次使用wordfence扫描文件,直到全部正常。
做了以上操作,问题还是没解决,那就很可能是数据库被黑了。
第5步:修复数据库
进入PhpMyAdmin,查找一些可疑字符串
WordPress数据库重点查找:注入通常针对 wp_posts 和 wp_options 表
搜索“String.fromCharCode”字符,或者搜索弹窗出现的域名
被恶意添加的JS
到此,基本可以判断是哪个插件的问题了,把这些值全删除,然后到Wordpress后台重新配置插件即可。
总结:
这种污染会影响数据库和 Web 文件,因此建议:
a) 检查在同一主机帐户上托管的其他站点。
如果恶意软件感染很普遍,则应隔离每个站点,以防止跨站点感染。
b) 为每个 WordPress 实例执行站点重建,手动添加来自官方来源的插件、主题和核心文件。