PHP的93个WordPress插件有后门

因为93 个 WordPress 主题和插件包含后门，从而使得攻击者可以完全控制网站。攻击者总共入侵了 AccessPress 的 40 个主题和 53 个插件，AccessPress 是 WordPress 插件的开发者，用于超过 360,000 个活动网站。

成都创新互联公司是一家网站设计公司，集创意、互联网应用、软件技术为一体的创意网站建设服务商，主营产品：响应式网站、高端网站设计、全网营销推广。我们专注企业品牌在网站中的整体树立，网络互动的体验，以及在手机等移动端的优质呈现。网站设计制作、网站设计、移动互联产品、网络运营、VI设计、云产品.运维为核心业务。为用户提供一站式解决方案，我们深知市场的竞争激烈，认真对待每位客户，为客户提供赏析悦目的作品，网站的价值服务。

该攻击是由 Jetpack 的研究人员发现的，Jetpack 是 WordPress 网站安全和优化工具的创建者，他们发现 PHP 后门已被添加到主题和插件中。

Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以破坏软件并感染更多的 WordPress 网站。

一旦管理员在他们的网站上安装了一个受感染的 AccessPress 产品，就会在主主题目录中添加一个新的“initial.php”文件，并将其包含在主“functions.php”文件中。该文件包含一个 base64 编码的有效负载，它将 webshel l 写入“./wp-includes/vars.php”文件。恶意代码通过解码并将其注入“vars.php”文件来完成后门安装，实质上是让攻击者远程控制受感染的站点。

检测这种威胁的唯一方法是使用核心文件完整性监控解决方案，因为恶意软件会删除“initial.php”文件释放器以掩盖其踪迹。

我受到影响吗？

如果您在您的网站上安装了其中一个受感染的插件或主题，则删除/替换/更新它们不会根除任何可能通过它植入的 webshel l。

因此，建议网站管理员通过执行以下操作来扫描他们的网站是否存在入侵迹象：

Jetpack 提供了以下 YARA 规则，可用于检查站点是否已被感染并检测 dropper 和已安装的 webshel l：

原文链接：PHP的93个WordPress插件有后门

怎么查找wordpress后门

至此我们已经知道了后门程序一般会隐藏在哪里，那么现在开始要设法找到他们，然后清除他们像删除任何一个文件一样简单，但是难度就在于如何没有遗漏的找到他们，这里给大家介绍一款不错的恶意代码扫描软件，当然是收费的，大家可以有个参考，Sucuri。

你也可以使用 Exploit Scanner插件来扫描。

搜索 Uploads 目录

如果你对SSH命令行熟悉的话，可以通过SSH登陆进去，然后执行以下命令行：

1

find uploads -name "*.php" -print

通过以上命令行扫描出任何.php的文件都是可疑文件，因为Uploads目录不应该有任何.php的文件存在，所以尽管删除这些可疑的文件就是了。

删除任何没启用的模版文件

.htaccess 文件

有时候一些跳转代码被加入到了.htaccess文件，仅仅删除那些后门程序文件并没有用，一会就通过.htaccess文件重建出来了，因此需要在这个文件中彻底清除不该存在的代码。

wp-config.php 文件

将这个文件与 wp-config-sample.php 作对比，删除任何除了自己确认有用的多余的代码。

数据库扫描

厉害的黑客一般都会用多种方式来隐藏他们的行踪，而数据库则是一个非常好的场所，他们可以存储破坏性的PHP函数，隐藏的管理员账号，恶意链接等等，当然如果你不够熟悉SQL，那么上边介绍过的Sucuri将是你不错的选择，尽管付费，但是相信恢复你被黑的站点值得这点付出。

至此你可能觉得已经彻底清除干净了，别高兴太早了，试试打开一个浏览器，确保你站点未登陆状态下打开站点看看是否恶意代码还会回来？因为好多聪明的黑客很巧妙的让这些恶意代码对登陆过的用户隐身，而只对未登陆访客有效，这样好多时候让时刻在线的管理员无处查找。

wordpress怎么查看自己的文件有没有被下马、留后门

如果只是纯粹的ddos攻击，那么都只是流量攻击，只会导致你网站无法访问，不涉及到你的网站数据安全。

不过既然被攻击了，最好还是检查检查文件和数据库。

分享题目：WordPress查后门 wordpress 查询功能
文章分享：http://chengdu.cdxwcx.cn/article/dophhej.html