說說最近WordPress網(wǎng)站被“釣魚網(wǎng)站”被大規(guī)模掛馬的問題，被感染的WordPress網(wǎng)站通常都是被重定向至詐騙、抽獎(jiǎng)活動(dòng)這類網(wǎng)站上，細(xì)查會(huì)發(fā)現(xiàn)這些滲透方式：

• 網(wǎng)站打開變別人的網(wǎng)站，多為抽獎(jiǎng)或者博彩的網(wǎng)站

• WordPress theme被安裝上一個(gè)新的主題

• 自建站主題文件內(nèi)有新的陌生文件
• 插件內(nèi)會(huì)自動(dòng)預(yù)裝一個(gè)網(wǎng)站地圖插件

而這些被攻擊的WordPress網(wǎng)站都有一個(gè)共同點(diǎn)：WordPress版本為6.0.2。這種情況下，有些人會(huì)誤認(rèn)為自己的網(wǎng)站需要清空重建，或者直接棄用網(wǎng)站。這種做法對(duì)“釣魚網(wǎng)站的”黑客程序來說就像“魚離開了摩托車”、“樓下小賣鋪停止供應(yīng)萬達(dá)廣場的商品”–沒啥用，你只需要簡單幾步就能從根本上解決問題。

不及時(shí)處理“釣魚網(wǎng)站”攻擊的危害

• 您的網(wǎng)站會(huì)無法訪問（被禁）
• 你正在幫助小偷賺錢（所有釣魚網(wǎng)站都是詐騙的）
• 搜索引擎優(yōu)化受損，谷歌SEO排名直接消失
• 谷歌廣告直接封停，被廣告懲罰
• 您將逐步被互聯(lián)網(wǎng)供應(yīng)商阻止，顯示不安全的頁面
• 訪問您的網(wǎng)站時(shí)，垃圾軟件提示會(huì)顯示告警

升級(jí)WordPress網(wǎng)站版本，刪除惡意文件

WordPress網(wǎng)站被“釣魚網(wǎng)站”滲透攻擊至代碼文件了，該如何從根源上拯救？進(jìn)入文檔處理惡意篡改后的文件！要快。

• 刪掉名為Wp-skeleton的文件
• 在后臺(tái)-插件中找到Core Sitemaps這個(gè)插件，并把它永久刪除
• 建議用全新的 wordpress 安裝替換根文件夾中的 wp-admin 和 wp-include，以確保核心文件沒有被更改
• 他們在你的函數(shù) php 中注入了一些代碼，打開它并查看如下內(nèi)容：

• 你需要?jiǎng)h除的內(nèi)容是：include_once(ABSPATH . WPINC . ‘/header.php’);

• 截止發(fā)稿時(shí)止，WordPress最新版本為6.0.3，可到網(wǎng)站管理員后臺(tái)確認(rèn)WordPress版本，一定要更新

影響面積巨大，是否說明WordPress網(wǎng)站安全性能“日落西山”？

目前全球有超過 4.55 億人在使用WordPress，如果有任何漏洞空子被挖出來，黑客的程序總是會(huì)比曹操還快，所以這個(gè)黑客滲透活動(dòng)總是大面積發(fā)生的，但這對(duì)于所有建站程序來說，風(fēng)險(xiǎn)都是均等的。這就是為什么讓要您的網(wǎng)站保持最新很重要的原因，而早前我們在WordPress插件與網(wǎng)站安全性能共存有哪些妙招一文中提到過，WordPress版本及插件版本升級(jí)可以讓網(wǎng)站更持久穩(wěn)定。

WordPress網(wǎng)站防范“釣魚網(wǎng)站”滲透攻擊的實(shí)用提示

• 經(jīng)常更新插件和主題
• WordPress core 保持更新
• 使用安全插件（如Loginizer 或 Wordfence）保護(hù)您的管理員登錄頁面免受程序攻擊
• 在您的 wp 管理員中使用雙層因素身份驗(yàn)證
• 嘗試不要安裝沒有人使用的插件（看評(píng)分和用戶數(shù)）
• 如果您不使用 xmlrpc，我們還建議停用它，只需在您的 functions.php 中添加： add_filter(‘xmlrpc_enabled’, ‘__return_false’);