这是一般安全的情况。至少应执行以下步骤:
删除您在wp admin中找到的文件删除htaccess文件从wordpress下载官方wordpress。org并将其上载到服务器,覆盖找到的任何内容。如果可能,请删除根文件夹中的wp admin和wp includes文件夹以及以wp开头的任何文件
对任何插件或主题执行相同操作,如果它们不是来自存储库,请使用本地备份为您的文件夹设置正确的权限very importantall 查看Timthumb的最新版本,如果您使用它,请考虑改用WordPress API,如果您不使用,请确保您使用的是最新版本WordPress theme check plugin, 修复尽可能多的警告和弃用通知,检查插件是否存在安全漏洞。有些人使用的插件设计有很大的安全漏洞,例如在帖子中嵌入PHP代码,对安装的任何非WordPress软件执行适当的检查如果您有备份,请记住,简单地恢复它们并不能使一切正常,因为您仍然会受到相同的攻击。你需要堵住让恶意软件进入的漏洞。
为了更好地衡量,您还应该:
使用FTP或shell更改文件系统,并进行手动wordpress/插件更新,只有wp content/uploads文件夹应该是可写的wp_WordPress filesystem API 在使用本机PHP文件API编写上载程序或写入/读取文件时,不要重新发明轮子,而是禁用eval 在php中。ini始终使WordPress保持最新,并避免使用不推荐的API
