WordPress独立站被黑了，紧急修复

又一个客户的客户网站被黑了，加急需要修复，经过初步检查，从代码上看到黑客赤裸裸的声明。

WordPress独立站被黑的主要原因是用户名和密码简直弱爆了。我没想到，有人会用admin的用户名，hello的密码！！！[奸笑][翻白眼]黑客不黑你真对不起这个密码[奸笑]

独立站的主要症状

前台无法正常打开，后台还可以登陆。

检测独立站

经过扫描检测网站，主要问题有以下5点

1. 根目录和wp-admin , wp-content, wp-includes 都被黑客给上传了一些恶意文件
2. wordpress核心程序文件被篡改
3. 主题和一些插件也被篡改
4. 独立站的配置文件也被篡改，导致主题和插件功能受限
5. 一些文件权限为只读，无法直接删除

修复过程

清除核心程序里面的病毒

1. 删除掉根目录下所有文件，除了wp-content目录，wp-config.php文件
2. 从wordpress官方下载一个最新安装包，上传到根目录全覆盖。

到这里基本可以灭掉核心程序里面的病毒文件了。此时网站依然不正常。我们再次扫描，发现根目录下面的index.php 没有覆盖掉，原因是他只有“只读”权限，在此，直接到主机上删除掉，然后上传官方文件即可。

到此，网站前台正常了。但后台的一些插件功能还是受限。比如安装插件的功能不见了。

继续找其它受感染的文件。

修复wp-config.php

黑客很喜欢修改配置文件，因为后台很多功能不见了，多是和配置文件有关，这样我们就删除掉根目录下的wp-config.php文件，然后打开网站前台，提示重新安装网站，这里只需要按提示运行重新安装即可，重新对接上数据库。

清除wp-content里面的病毒

继续运行扫描，根据提示，清除掉所有病毒文件即可。有问题的主题和插件都需要重新安装一遍。

总结

此次的主要原因是密码过弱，且无任何防护。我们需要做如下操作。

管理员修改为强密码

修改后台登陆入口，不要使用默认的wp-admin，因为全世界都知道你后台地址。

限制后台登陆错误次数

禁用XML-RPC

更多独立站建站教程，请看外贸独立站,跨境电商独立建站,外贸电商自建站,Wordpress建站公司

只允许管理员、编辑和作者角色进入WordPress后台，禁止默认注册用户的实现方法

我们搭建WordPress网站时，我们就需要限制部分用户进入后台，那么只允许管理员、编辑和作者角色进入WordPress后台，禁止默认注册用户的实现方法是什么，我们可以通过下面的代码帮助大家实现。

只允许管理员、编辑和作者角色进入后台

将下面代码添加到当前WordPress主题函数模板functions.php中：

add_action( \'init\', \'zm_redirect_wp_admin\' );
function zm_redirect_wp_admin() {
if ( is_admin() && is_user_logged_in() && !current_user_can( \'manage_options\' ) && !current_user_can( \'publish_pages\' ) && !current_user_can( \'publish_posts\' ) && ( !defined( \'DOING_AJAX\' ) || !DOING_AJAX )  ){
wp_safe_redirect( home_url() );
exit;
}
}

默认只允许作者以上角色可以进入WordPress后台，可将其中允许编辑和作者进入后台的代码删除：

 && !current_user_can(\'publish_pages\') && !current_user_can(\'publish_posts\')

只允许管理员登录。

禁止默认注册用户角色进入后台

默认注册用户角色指的是：WordPress后台→设置→常规，设置新用户默认角色中的角色。

if ( is_admin() && ( !defined( \'DOING_AJAX\' ) || !DOING_AJAX ) ) {
$current_user = wp_get_current_user();
if($current_user->roles[0] == get_option(\'default_role\')) {
wp_safe_redirect( home_url() );
exit();
}
}

如果你修改了新用户默认角色，对之前已注册的其他角色的用户将无效。

以上就是wpmee小编为大家分享的关于WordPress限制部分用户进入后台的方法。