WordPress官方推荐的4款恶意软件扫描插件

建网站被挂马是一件非常让网站管理员闹心的事情，如果你的WordPress网站被挂马了怎么办？不用惊慌，来试试WordPress官方推荐的这4款恶意软件扫描WordPress插件，看看哪些文件被修改了，然后替换成正常文件就行了。

Quttera Web Malware Scanner

Quttera Web Malware Scanner插件将扫描您的网站，查找恶意软件，特洛伊木马，后门程序，蠕虫，病毒，shell，间谍软件和其他威胁，以及JavaScript代码混淆，漏洞利用，恶意iframe，恶意代码注入，恶意代码混淆，自动生成恶意内容，重定向，隐藏的评估代码等。此外，它还会检查您的网站是否被Google和其他黑名单当局列入黑名单。使用免费的Quttera Web恶意软件扫描程序插件，帮助您保护自己的网站，网站用户和在线声誉。

特征：

一键扫描
未知的恶意软件检测
外部链接检测
黑名单状态
没有签名或模式更新
人工智能扫描引擎
云技术
详细调查报告
调查WordPress文件
检测受PHP恶意软件感染的文件
检测注入的PHP shell

Quttera Web Malware Scanner扫描模式分为外部扫描和内部扫描两种，外部扫描是通过Quttera官方的扫描接口对你网站做一个整体扫描，比如检测是否被Google提示危险网站就需要外部扫描。

内部扫描主要就是扫描你本地的php/js/css这些文件是否存在恶意软件。

奶爸测试了下，这款插件对同类型的安全插件会误报，所以一次装一个插件扫描就行了。

插件安装地址：https://wordpress.org/plugins/quttera-web-malware-scanner/

Anti-Malware Security and Brute-Force Firewall

特征：

运行完整扫描以自动删除已知的安全威胁，后门脚本和数据库注入。
防火墙阻止SoakSoak和其他恶意软件利用Revolution Slider和其他已知漏洞的插件。
升级timthumb脚本的易受攻击版本。
下载定义更新以防范新威胁。
高级功能：

修补您的wp-login和XMLRPC以阻止Brute-Force和DDoS攻击。
检查WordPress核心文件的完整性。
运行完整扫描时自动下载新的定义更新。

Anti-Malware Security and Brute-Force Firewall可以开速对WP核心文件、主题或者插件分开扫描，也可以全部扫描。自带一个简单的防火墙。

插件下载地址：https://wordpress.org/plugins/gotmls/

Wordfence Security – Firewall & Malware Scan

描述
最受欢迎的WORDPRESS防火墙和安全扫描仪
Wordfence包括一个端点防火墙和恶意软件扫描程序，它们是从头开始构建的，用于保护WordPress。我们的威胁防御Feed使Wordfence拥有新版的防火墙规则，恶意软件签名和恶意IP地址，以确保您的网站安全。Wordfence由2FA和一系列附加功能组成，是最全面的WordPress安全解决方案。

WORDPRESS防火墙
Web应用程序防火墙识别并阻止恶意流量。由一个大型团队建立和维护，100％专注于WordPress安全性。
[Premium]通过威胁防御源实时防火墙规则和恶意软件签名更新（免费版本延迟30天）。
[高级]实时IP黑名单阻止来自最恶意IP的所有请求，在减少负载的同时保护您的站点。
在端点保护您的站点，实现与WordPress的深度集成。与云替代方案不同，不会破坏加密，无法绕过并且无法泄露数据。
集成的恶意软件扫描程序阻止包含恶意代码或内容的请求。
通过限制登录尝试来防止暴力攻击。
WORDPRESS安全扫描仪
恶意软件扫描程序检查恶意软件，坏URL，后门，SEO垃圾邮件，恶意重定向和代码注入的核心文件，主题和插件。
[Premium]通过Threat Defense Feed进行实时恶意软件签名更新（免费版本延迟30天）。
将您的核心文件，主题和插件与WordPress.org存储库中的内容进行比较，检查其完整性并向您报告任何更改。
通过使用原始版本覆盖它们来修复已更改的文件。删除Wordfence界面中不容易归属的任何文件。
检查您的站点是否存在已知的安全漏洞，并向您发出任何问题的警报。当插件关闭或放弃时，还会提醒您潜在的安全问题。
通过扫描危险URL和可疑内容的文件内容，帖子和评论来检查您的内容安全。
[Premium]检查您的网站或IP是否因恶意活动被列入黑名单，产生垃圾邮件或其他安全问题。
登录安全
双因素身份验证（2FA），是通过任何基于TOTP的身份验证器应用程序或服务提供的最安全的远程系统身份验证形式之一。
登录页面CAPTCHA阻止机器人登录。
禁用或添加2FA到XML-RPC。
使用已知的受损密码阻止管理员登录。
WORDFENCE CENTRAL
Wordfence Central是一种在一个地方管理多个站点的安全性的强大而有效的方法。
在一个视图中有效评估所有网站的安全状态。查看详细的安全性调查结果，无需离开Wordfence Central。
功能强大的模板使Wordfence的配置变得轻而易举。
免费使用无限的网站。
安全工具
使用实时流量，实时监控访问和黑客尝试未在其他分析包中显示; 包括来源，他们的IP地址，一天中的时间和在您的网站上花费的时间。
通过IP阻止攻击者或根据IP范围，主机名，用户代理和推荐人构建高级规则。
使用Wordfence Premium可以阻止国家/地区。

这款插件之前奶爸介绍过，给WordPress装一个防火墙吧！试试 Wordfence

插件下载地址：https://wordpress.org/plugins/wordfence/

Sucuri Security – Auditing, Malware Scanner and Security Hardening

Sucuri Inc.是一家全球公认的权威机构，负责与网站安全相关的所有事务，并专注于WordPress安全。

所有WordPress用户都可以免费使用Sucuri Security WordPress插件。它是一个安全套件，旨在补充您现有的安全状况。它为用户提供了一系列针对其网站的安全功能，每个功能都旨在对其安全状况产生积极影响：

安全活动审计
文件完整性监控
远程恶意软件扫描
黑名单监控
有效的安全加固
后黑客安全行动
安全通知
网站防火墙（高级版）

使用Sucuri Security需要先申请一个免费的API，然后防火墙是收费项目，不会直接出现扫描过程，当你打开插件首页的时候就会后台扫描，速度很快，然后前台给你症断信息。

插件下载地址：https://wordpress.org/plugins/sucuri-scanner/

建网站过程中，网站数据是最重要的东西，所以平时需要定时备份，可以使用插件给WordPress网站自动备份，当你网站被挂马后也可以直接用之前备份的数据还原，减少被挂马造成的损失。