扫描 WordPress 网站以查找潜在恶意代码(如 malware、后门程序、恶意脚本等)是维护网站安全的关键步骤。恶意代码可能导致网站被黑、数据泄露、跳转至钓鱼网站,甚至被搜索引擎拉黑。以下是3 种实用方法,从简单的插件扫描到专业的手动检查,覆盖不同技术水平的需求。
WordPress 作为全球最流行的 CMS,是黑客的主要目标。恶意代码通常通过以下方式入侵:
- 未更新的 WordPress 核心、主题或插件(漏洞利用);
- 弱密码或被盗的管理员账号;
- 第三方组件(如劣质插件、破解主题)内置的后门。
定期扫描可及时发现隐藏的恶意代码,避免损失扩大。
借助专业安全插件,可自动扫描文件、数据库和可疑行为,操作简单且覆盖全面。推荐两款行业标杆插件:
Wordfence 是 WordPress 最受欢迎的安全插件之一,内置强大的恶意代码扫描引擎。
-
安装与激活
-
后台进入「插件」→「安装插件」,搜索 “Wordfence Security”,点击「安装」→「激活」。
-
运行恶意代码扫描
- 激活后,进入「Wordfence」→「扫描」,点击「开始新扫描」。
- 扫描类型选择「完整扫描」(首次建议,后续可选「快速扫描」),插件会自动检查:
- 核心文件完整性(对比官方原版,检测被篡改的文件);
- 主题 / 插件文件中的恶意代码(如隐藏的后门函数、base64 加密脚本);
- 数据库中的恶意链接、注入代码(如 wp_posts 表中的垃圾内容);
- 可疑用户账号(如未授权的管理员账号)。
-
查看扫描结果并处理
- 扫描完成后,插件会列出 “严重”“警告”“注意” 三个级别的问题。
- 对标记为 “恶意代码” 的文件:点击「查看详情」,确认后选择「修复文件」(免费版支持自动修复核心文件,主题 / 插件文件可能需要手动替换)。
- 对数据库中的恶意内容:按提示删除或清理。
Sucuri 以网站安全监控和恶意代码清除闻名,免费版提供基础扫描功能。
-
安装与配置
-
安装并激活 “Sucuri Security” 插件,进入「Sucuri Security」→「Scanner」。
-
扫描设置
- 勾选需要扫描的内容:文件完整性、恶意代码、黑名单状态(是否被 Google 标记为恶意网站)等。
- 点击「Scan Website」开始扫描,过程会比 Wordfence 稍快,重点检测已知恶意代码特征库。
-
处理结果
- 扫描结果会显示 “感染文件”“可疑文件”“黑名单状态” 等。
- 若发现恶意代码,免费版会提供手动清理建议;付费版($199 / 年起)支持自动清除和专业团队协助。
如果暂时无法安装插件(如网站已无法访问后台),可通过在线工具快速扫描,适合初步排查。
Sucuri 提供在线扫描工具,无需登录网站后台即可检测恶意代码。
- 访问 Sucuri SiteCheck,输入你的网站 URL(如
https://example.com)。
- 点击「Scan Website」,工具会检查:
- 是否包含已知 malware、病毒或恶意脚本;
- 网站是否被 Google、Firefox 等列入黑名单;
- 是否存在恶意重定向、隐藏的 iframe 等。
- 结果解读:
- 绿色 “Clean”:未发现已知恶意代码(但不代表绝对安全);
- 红色 “Infected”:列出具体恶意代码位置(如
wp-content/themes/xxx/functions.php 中的可疑代码)。
Quttera 能检测更隐蔽的恶意代码(如加密脚本、零日漏洞利用)。
- 访问 Quttera 扫描页,输入网址并验证(防止机器人)。
- 扫描完成后,会生成详细报告,包括:
- 恶意文件路径、代码片段(如
eval(base64_decode(...)) 这类常见恶意加密代码);
- 可疑的服务器配置或异常请求。
插件和在线工具可能遗漏某些定制化恶意代码,手动检查可作为补充,重点关注以下位置:
WordPress 核心文件(如 wp-config.php、wp-includes/ 目录下的文件)被篡改是常见入侵方式。
- 下载官方最新版 WordPress(官网下载),解压后得到纯净文件。
- 通过 FTP 或主机文件管理器(如 cPanel 的 File Manager)下载网站的核心文件(路径:
/wp-includes/、/wp-admin/、wp-config.php 等)。
- 用文件对比工具(如 Beyond Compare、WinMerge)对比本地纯净文件与网站文件:
- 若发现差异(如额外的代码、函数),极可能是恶意代码(正常更新不会添加不明代码)。
主题的 functions.php、插件的主文件是恶意代码常藏身之处,尤其是:
- 长期未更新的插件 / 主题(漏洞多);
- 从非官方渠道下载的 “破解版” 插件 / 主题(可能内置后门)。
检查重点:
- 打开
wp-content/themes/你的主题/functions.php,查找可疑函数:
eval()、base64_decode()、gzinflate()(常用于解密恶意代码);fopen()、file_put_contents()(可能用于写入后门文件);- 不明的
add_action()(如钩子到 init 或 wp_head 加载隐藏脚本)。
- 查看是否有陌生文件(如
backup.php、update.php 等非主题 / 插件自带的文件,可能是后门)。
黑客可能在数据库中注入恶意链接(如文章内容、评论、选项表)。
- 进入主机后台的数据库管理工具(如 phpMyAdmin),选择你的 WordPress 数据库。
- 检查以下表:
wp_posts:查看文章 / 页面内容,是否有隐藏的 <script> 标签、iframe 或跳转链接;wp_comments:是否有大量包含恶意链接的垃圾评论;wp_options:搜索 siteurl、home 选项,是否被篡改指向陌生域名;检查 active_plugins 之外的不明选项(可能存储恶意配置)。
通过服务器访问日志,可发现异常请求(如批量尝试登录、访问后门文件)。
- 在主机后台(如 cPanel、Plesk)找到「访问日志」或「错误日志」(路径通常为
/logs/ 或通过主机面板查看)。
- 查找以下异常:
- 频繁访问
wp-login.php 且来源 IP 陌生(暴力破解尝试);
- 访问不存在的文件(如
wp-admin/backdoor.php);
- 带有
?cmd=、?exec= 等参数的 URL(命令注入尝试)。
- 隔离感染文件:立即通过 FTP 重命名可疑文件(如
functions.php 改为 functions.php.bak),阻止恶意代码执行。
- 恢复干净版本:
- 核心文件:用官方最新版替换被篡改的文件;
- 主题 / 插件:若为官方正版,卸载后重新安装;若为定制主题,删除可疑代码后备份。
- 清理数据库:删除
wp_posts、wp_comments 中的恶意内容,重置被篡改的 wp_options 选项。
- 修改所有密码:包括 WordPress 管理员密码、FTP 密码、数据库密码(防止黑客再次入侵)。
- 检查用户账号:进入后台「用户」,删除陌生账号,确保所有管理员账号都是可信的。
- 启用安全措施:安装防火墙插件(如 Wordfence Firewall)、开启 2FA 两步验证、定期自动备份(推荐 UpdraftPlus)。
- 及时更新:保持 WordPress 核心、主题、插件为最新版本(关闭自动更新的需手动检查);
- 只装正版:从 WordPress 官方插件库或主题作者官网下载组件,拒绝破解版;
- 定期备份:每天自动备份网站文件和数据库,确保被黑后能快速恢复;
- 限制权限:非必要不使用管理员账号,给编辑 / 作者分配最小权限;
- 启用防火墙:通过插件(如 Wordfence)或主机自带防火墙(如 Cloudflare)拦截恶意请求。
- 新手首选插件扫描:Wordfence 或 Sucuri 插件可自动化完成大部分检测,适合日常维护;
- 快速排查用在线工具:Sucuri SiteCheck 或 Quttera 无需安装,适合临时检测;
- 深度检查靠手动:技术用户可通过文件对比、数据库检查和日志分析,精准定位隐蔽恶意代码。
定期扫描(建议每周至少 1 次)+ 及时处理 + 预防措施,能最大限度降低网站被恶意代码入侵的风险。
发表评论 取消回复