虽然基本的安全措施都做到了, 可以让黑客多花点时间和功夫, 但是主机上的所有PHP文件还是让黑客加上了连接到恶意网站的代码, 数据库完好无缺. 黑客的手法很卑劣, 所有PHP文件头部都加上了反编译加密过的PHP代码;
要找出Wordpress是否已经被黑过, 用FTP登录时可以看到所有文件的最后修改日期和时间, 一般Wordpress除了升级之后核心等文件都不会有变化, 也就是日期和时间都会显示在升级的那个时间上. 如果你的Wordpress更新时间和你看到的日期和时间都不一样, 那就要看一下文件是否已经被修改了.
Linux主机首先要查看主机根目录下的.htaccess文件是否有被修改.
一般黑客都会将代码加密后加入到文件之中, 所以我们可以看看是否有加密过的PHP代码来判断.
如果很不幸, PHP文件的修改日期都显示为某一可疑的日期和时间, 检查一些文件发现所有主机上的PHP文件和EI的情况一样, PHP文件的头部都已经被黑客批量修改了, 表示Wordpress已经遭到黑客的入侵了.
发现已经被黑, 第一件事情就是修改密码了, 既然可以在PHP文件上动手脚, Mysql的密码也是唾手可得, 将主机登录的密码, Mysql密码, WordPress密码均需要修改, 检查Wordpress的帐号是否有隐藏帐号, 自己登录帐号的资料是否包含其他脚本.
密码搞定之后就是修复工作就开始了, 登录Wordpress (如果黑客没有破坏Wordpress, 只是在Wordpress挂马的话), 点击升级, 因为是最新版本, 所以我们可以选择重新安装最新版本Wordpress. 升级之后, 剩下的被修改过的文件不多了, wp-config.php等文件不受升级影响, 所以我们要手动删除插入的代码, 加密过的PHP代码很容易区分, WordPress的原PHP文件是没有经过任何加密.
用重新安装的方法恢复Wordpress程序文件之后, 插件和主题也是需要我们手动清理的, 我们可以将插件删除了在安装即可, 主题就重新上传吧, 相信用Wordpress的都有自己修改主题, 所以都应该有主题的备份.
最后就是重新导入之前备份过的数据库了, 当然, 如果确认过数据库并没有遭到入侵, 可以忽略.
全部搞定之后就刷新自己的网站, 看看源代码中是否还包含恶意代码, 如果已经干净了, 恢复工作也就完成了.
因为不确定是否为Wordpress最新版未发现的bug所导致被入侵, 查看主机的日志, 看文件遭到批量修改的时间主机上有哪些IP在请求什么文件, 必要时可以用htaccess封掉一些非法请求的IP.
此外, 还需要经常备份数据库和主机上的文件以备不时之需.