前几天我的2个Wordpress网站被黑了，会自动安装插件，删了又重装，还创建了一个 wadminw@wordpress.com 的管理员用户，还发布过一篇文章，最严重的一次是网站内容和模板全被替换了。登录到服务器查看wordpress目录，多了很多类似g2sdx4ssd.php 的这种文件。

下面我记录一下整个处理过程，因为开始不知道怎么处理，持续了几天时间。

12月16日，Google Console Search 提示网站上检测到社交工程内容，多了很多php的文件，我意识到网站被黑了。于是删除了当前的所以文件，把前几天的备份恢复了。

12月17日，其中一个网站自动发了一篇文章，登录wordpress后台，发现自动安装了两个插件：Protect Uploads 和 Wp File Manager，登录服务器网站目录，不出意外那些php文件又回来了。这时以为服务器被黑了，于是更改了ssh的端口号，还在宝塔中开启了登录提醒，又恢复了网站。但是不多久插件又自动安装上了。

12月18日，怀疑服务器上又木马病毒，于是在新的服务器上重新安装了wordpress，把数据库和uploads 恢复过来。不过又过没多久，插件又自动给安装上了。

12月19日，发现用户里，多了一个 wadminw@wordpress.com 的管理员用户，于是把它删了，不过它又会自动创建。怀疑是不是哪个插件或主题有漏洞，于是删除所有插件，使用默认的主题，结果依然如此。

不知道怎么处理，不管了，爱咋咋地。其实已经怀疑uploads里有问题，但是比较忙，就先放一边了。

12月22日，收到提醒，谷歌账号被人尝试登录，不过有二次验证。这时我意识到密码泄露了。晚上决定好好处理一下网站的问题。

1. 修改了wordpress后台登录的密码。

2. 重新安装wordpress，把原来uploads中的php文件和.htaccess都删除，覆盖新安装的。

3. 安装 WPS Hide Login 插件，修改后台登录地址

4. 在nginx配置文件中禁用访问 /xmlrpc.php

location /xmlrpc.php {
  deny all;
}

使用宝塔，可以在日志—>网站日志—> WEB日志分析中查看访问最多的IP和URL

/wp-login.php 和 /xmlrpc.php 是请求最多的，所以我修改了后台登录地址以及禁用了 /xmlrpc.php

ip请求多的有可能是搜索引擎的爬虫，除了正常爬虫外，结合日志详情分析出攻击者的ip，把ip屏蔽掉。

过程大致就是上面这些，不知道还会不会出现问题，至少昨天晚上处理完，到现在一切正常。

至于密码泄露，应该是前段时间下载了一个有病毒的软件，虽然一打开，杀毒软件就杀掉了，但可能还是泄露了，可能泄露的不只是密码，所以还要把一些重要的网站和服务的账号和密码修改，能开启二步验证的要开启。查杀电脑上的病毒，除了现在的QQ电脑管家，又下载了火绒，全盘查杀了。