资源宝分享wordpress主题后门检测清理技巧

资源宝分享wordpress主题后门检测清理技巧更多文章查看资源宝博客：www.httple.net但是对于wordpress漏洞并不是所有人都很了解，往往在网站运营过程中没能注意网站的安全。 网站的安全除了空间服务商本身的安全控制外...

资源宝分享wordpress主题后门检测清理技巧

更多文章查看资源宝博客：www.httple.net

但是对于wordpress漏洞并不是所有人都很了解，往往在网站运营过程中没能注意网站的安全。
网站的安全除了空间服务商本身的安全控制外，那就是网站程序本身的安全问题。那我们该如何保障网站自身的安全呢？下面就以我的资源宝博客为例，来说说wordpress网站的安全问题。话说wordpress类网站的安全主要从两方面来讲：

一、wordpress程序本身安全

wordpress本身就存在一些漏洞，所以wordpress其实每一个新版本的升级，除了为了提高用户体验的界面更新，另一个就是wordpress程序本身漏洞的修复与补丁的升级。
所以，我们可以删除wordpress版本信息，以免网络痞子根据该版本出现的漏洞进行攻击，但是wordpress更新的时候，我们要手动保持更新到最新版本。

二、使用模板后门检测插件

只要安装进行检查就会显示漏洞位置，把相关恶意代码进行修改或删除就行，同时还有每天自动扫描功能，发现漏洞会第一时间发邮件通知。

1，AntiVirus防病毒插件（可以扫描主题恶意代码）

2，WP Authenticity Checker (WAC)

3，WP Website Antivirus Protection

使用在线检测后门

使用在线检测是目前为止最简单的方法之一，目前比较常用的
百度WebShell检测官网：https://scanner.baidu.com/
河马查杀官网：http://www.shellpub.com/、http://www.webshell.pub/

使用工具检测后门

D盾_Web查杀工具介绍：软件使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的WebShell后门行为。引擎特别针对一句话后门，变量函数后门，${}执行 、preg_replace执行、call_user_func、file_put_contents、fputs等特殊函数的参数进行针对性的识别，能查杀更为隐藏的后门，并把可疑的参数信息展现在你面前，让你能更快速的了解后门的情况，还加入隔离功能，并且可以还原！
D盾_Web查杀工具下载：http://www.d99net.net/

PS:手动查看主题是否感染了恶意代码呢？

若你在转换主题时提示 “Fatal error: Cannot redeclare _check_isactive_widget()”、”_get_allwidgetcont” 等错误，那你的代码很有很可能已被污染。恶意代码在你启用不同主题的时候，会把同样的恶意代码复制到所有主题的 functions.php 中去，如果你的网站被莫名其妙的加入了黑链或者其他不明链接，那么应该也是主题中恶意代码搞的鬼。

怎么知道下载的主题是否有恶意代码呢？大家可以对functions.php文件进行检查。 查一下是否有以下代码，有的话基本确定是后门。

add_action(“admin_head”,

再查一下这个代码，这里是用来干坏事的，这才是这个恶意代码的目的,前面的感染是“准备活动”

add_action(“init”, “_getprepare_widget”);

以下几个是比较普遍会遇到的恶意大码，这并不是一整段代码，下面每行是独立存在的，如果你的functions.php中有以下任意一段代码，那么你可能就中招了。

_verify_isactivate_widgets

_check_isactive_widget
_get_allwidgetscont
_prepare_widgets
__popular_posts

新增一段代码，其中开头含有：

_verifyactivate_widgets

或者

_verifyactivate_widget

这是今天刚发现的，这段代码被添加后，主题看不出任意异常，只有在functions.php检查才能发现，刚才在后台编辑主题时发现unctions.php大小有点不对劲，一检查果然又中招了，防不胜防啊。

解决办法就是：

1、找到主题的functions.php原文件覆盖一下；
2、删除恶意代码，一般就是以上任意一段代码之后的所有代码（这段代码前面还有一个<?PHP，一起删掉）。

二、后门代码隐藏在什么地方？

通过我们实际接触及国外安全方面的介绍，一般后门代码隐藏在一下的位置:

主题 – 为了让后门代码更加隐蔽，黑客门不把代码放在当前主题中，他们可能把代码放在一些没有激活的主题中。如果你的wordpress站点中存在多个主题，请不未激活的主题删除。
插件 – 有三点足以说明插件是黑客们乐于放后门代码的地方。第一是因为我们不去看其代码，只管用；第二是因为我们不喜欢更新插件，担心更新后会失去设置；第三一些插件本身就藏有后面。
Uploads 目录 – 作为一名wordpress使用者，可能不愿意去看uploads目录，因为那里面存在许许多多上传的文件，有时显得很乱。然后这正被黑客们利用。由于这个文件夹是可写的，所以导致一些后面代码就存在这里。
wp-config.php – 这个文件也是被黑客们高度注意的一个文件。
Includes文件夹 – /wp-includes/文件夹也是黑客们喜欢上传文件的地方，因为这里面存在大量的PHP文件，他们上传一个php文件在这里很容易混淆视听，不易被发现。
在这些地方，他们会让他们的文件看上去像一个wordpress文件。

例如:在一个案例中，这个后门代码存在 wp-includes文件夹中，它叫wp-user.php，这个文件在正常的安装中没有的。还有叫 user.php，正常安装中也没有。在另一个案例中还有一个叫 hello.php，存在于uploads文件夹内，这与 Hello Dolly插件是不同的。

可能还有使用类似wp-content.old.tmp, data.php, php5.php这样的文件，甚至使用zip文件。在大多少案例中，这些文件采用了base64 代码加密，让你看不到内容而不敢删除。

现在可能然你认为wordpress是不安全的而不敢使用，这你就错了。我一开始就讲了，任何程序都存在安全隐患。而wordpress在安全方面做的足够好，而且一旦发现马上就会有更新，这一点大家不要担心。之所以出现这些，往往是大家设置不当导致的。

三、如何发现并清除后面?

现在已经知道后门是什么以及在哪里，接下来就是去找到它，一旦找到，清除就很简单，直接删除即可。难点是如何发现它的位置。不过我们可以借助上面插件来做。
当然如果你不愿意使用插件，也可手动来实现。

搜索 Uploads 目录

尽管上面的插件可以轻易做到这点，然后如果你属性SSH，则需要写下面的命令即可搜索到:

显然在uploads目录里如果存在php文件，我们应引起高度重视。一般这里是媒体文件。

删除未激活的主题

如上所述，这个未激活的主题也是黑客们的目标。最直接的办法就是删除它。因为不必要的无需放在那里，也不必花时间去找。

.htaccess 文件

前段时间，我发现一个用户的网站在这个文件里出现了重定向的代码，致使网站不能访问。所以我们可以直接删除这个文件，然后到后台设置固定连接保存一下就会重新生成.htaccess文件。

wp-config.php 文件

一般可以通过比较软件来比较这个文件与wp-config-sample.php的区别，一旦发现就清除。

扫描数据库

有一些黑客他们会在数据库里添加一些执行代码，让你不易发现。如PHP函数、新管理员帐户、垃圾链接等等。这个新管理员帐户在用户列表中不易看到的。如果不熟悉SQL或不知从何开始，则需使用Exploit Scanner插件或 Sucuri 插件。

再次检视一下网站

这些后面已经清除了吗？别急。登入时浏览没发现异常，请登录再浏览。因为有的后门非常的聪明，登入看不到，登出则会发现。

四、如何防范于未然？

显然，但发现了后门之后，损失已经造成。所以我们平时应该加强安全意识，做到防患于未然。下面一些提示比较重要，有利于加强网站的安全。

使用强密码 – 我们不建议使用纯数字的密码，也不建议使用少于6位的密码。建议大于6位，多字符混合，大小写混合。
2-步授权 –如果密码被攻破了，则进行第二步验证，通过手机验证。现在已经有这方面的插件。
限制登录尝试 – 通过插件来限制用户登录错误密码的次数。
关闭主题和插件编辑 – 即使被登录进去，他们也不能修改你的主题和插件。
密码保护 WP-Admin – 你可以设置密码保护此目录，限制登录IP。
关闭 某个目录下的PHP执行权限 –包括上传目录和其它选择的目录。T
保持更新 –使用最新的wordpress版本，保持插件更新。
以上2-6通过插件来实现。
至此本文完成，很多朋友喜欢使用破解版的主题，启用前最好用本文介绍的方法做个检查~希望本文能够帮助你，令你的站点固若金汤。