WordPress所有文章内容被恶意篡改加入外部js代码跳转解决方案

突然发现我们的一个流量还不错的网站,WordPress文章和页面内容后面全部被加入了恶意代码:

恶意篡改代码为:

<script src='恶意外部js地址'></script>

 

改代码会导致打开网站就被跳转到其他乱七八糟的网站;

 

找到这个恶意跳转代码也费了不少功夫;

 

首先排查了网站服务器和后台的所有文件,都没有发现恶意注入代码;

 

排查前端文章的时候发现代码加在文章末尾;

 

排查的时候wp-admin后台是可以进去的,只是打开网站和文章的时候会跳转,我们是在打开单篇文章查看源码的时候发现;

 

随后在后台编辑文章的时候发现恶意代码;

 

初步判断是管理员密码过于简单利用cookie数据登陆进去进行篡改,因为我们排查了后台文件,并未发现其他恶意弹窗或者代码;

 

WordPress被注入跳转代码

 

解决方案:

因为文章较多,无法手动排查;

因为只能

在数据库中批量查找替换,全部在wp_post表中,但是这种存在一个问题;

<script src='恶意外部js地址'></script>

替换代码中存在 '' 单引号,无法完全被替换。

 

最后利用Better Search Replace这个插件进行了替换,完美解决。

后面又开始反复感染文章或页面或主题设置文件,在数据库中修改后无法解决;

最后设置WordPress文件权限,查看sql log分析注入时间和来源;

从权限上把注入堵死才解决。

 

参考资源:

 

参考一

参考二

参考三

参考四

 

0