小编之前曾报道过,旗下有个 WordPress 网站,访问时经常会跳转至无关网站。经排查,是网站被注入了恶意代码。
但在将网站的 WordPress 核心目录、文件替换为 WordPress 最新版本,及重新安装主题文件后,没过两天仍发生了类似跳转情况。
我仔细查看网站文件,在插件目录(plugins)下多了 WPCode 文件夹,并在 languages 目录下多出了几个 .php 文件。回想起来,之前也是 WordPress 自动安装了 WPCode 插件,然后再发生访问网站出现跳转的情况的。
在清理了 WPCode 插件的相关文件后,我在思考该如何禁止 WordPress 自动安装 WPCode 插件呢?
网友给出的答案是,在网站根目录下的 wp-config.php 文件添加下面代码,禁止系统程序升级/安装/编辑 WordPress 主题和插件:
// 禁止安装/升级/编辑主题和插件
define('DISALLOW_FILE_MODS',true);
修改后,已经一周了,目前还没有被安装 WPCode 插件,作个记录,以后可以看明白这次修改的原因和内容。
查看相关介绍,WPCode 是一款强大的 WordPress 代码片段插件,它使用户可以轻松地使用代码片段添加自定义 WordPress 功能,而无需编辑主题的 functions.php 文件。只是不知它怎么会让我的网站无故跳转。
当然,经此修改后,在 WordPress 后台,你将看不到更新、安装插件、编辑插件、安装主题和编辑主题的选项,通过网址直接访问页面也会提示没有权限访问。
作为站长,你需要实时关注 WordPress 和插件的重大更新,然后手动给禁止修改的站更新,防止老版本有漏洞危害网站安全。
感谢分享,这种默认的安装也挺让人头疼
这玩意儿大概率是因为你中招了,我之前就因为中招了就出现了这个插件,过几天死灰复燃,后期会频繁被篡改首页,挂马.
@老孙 请教一下,你是如何处理的呢?
@maqingxi 开启WAF,因为据我观察我的站点每天都有很多SQL注入的拦截,大概率是被sql注入了.
我换typecho了.
@老孙 Typecho 程序轻便的多,被针对的可能性也小一些。