wordpress 经常被上传PHP文件木马病毒文件

你好，自己站点中防卫是：

成都创新互联是一家专注于网站设计制作、成都做网站与策划设计,沙河网站建设哪家好?成都创新互联做网站,专注于网站建设10余年,网设计领域的专业建站公司;建站业务涵盖:沙河等地区。沙河做网站价格咨询:13518219792

1、将上传目录设置成只允许上传文件，不允许执行文件。这样可以保证DOC，JPG等文件能正常读取，而ASP等程序无法运行。

2、将除上传的目录以外的目录都设置不允许更改、删除、添加文件。可以运行程序。

3、将数据库文件设置成可以修改，但不能删除、新增文件。

一般能防范住通过上传漏洞对站点的攻击。

比较彻底防范：

1.在上传文件时要用户自己选择一下文件类型，可提供.jpg/.gif/.bmp几种格式。

2.文件上传后将文件名由你的程序改成 基本名+Request到的文件类型做扩展名。（普通程序是文件名= 基本名+原文件的扩展名 ）

这样不管原文件的扩展名如何做文章，上传后的扩展名都是符合定义规范的了。

3.如果有条件，可以配置站点文件夹的NTFS权限（右键－属性－点击“安全”），将everyone的执行权限勾掉。

腾讯电脑管家企业平台：

如何为Wordpress做安全防护

是需要做什么样的安全防护呢？这个需要多个方面的来做才能做好，

一、服务器安全

选择一个安全稳定的服务器这个比较重要，一个是服务好二个是数据的安全，保证数据的定时备份。

二、程序的安全

这里包括，我们博客的主题是否是经过检测的，有没有含有木马后门等程序，这个尤其是网上下回来的主题，还有就是插件安全，不要随意去网上下载插件来安装，最好是直接用后台去收索插件的名字来安装。

三、管理员的习惯

这个主要是人工层面的东西，比如用户口令是否是弱口令，是不是定期修改，还有及时重要的信息要保管好。我自己的，熊照旭博客，就是严格按照这些来做的，都没出过什么问题。

如何提高Wordpress的安全性

为了不让你的博客哪天被人挂了个木马链接，适当的防范工作还是要做的。这里，我列举了几个常用的防范措施。 隐藏Wordpress的版本号 虽然Wordpress本身的安全性已经很好了，但多少还是会有些Bug（不然就不会有那么多的补丁发布了），一不小心就可能会被黑客利用。除了经常更新Wordpress之外，最好还是将Wordpress的版本号隐藏掉。 很多Wordpress主题，包括Wordpress默认的主题，都会把Wordpress的版本号加在网站的头部。在模板文件夹的header.php文件里你经常会看到这样一句话： meta name="genrator" content="WordPress php bloginfo('version'); ? / 这样就直接泄露了你的Wordpress版本号，于是可能导致在你没有来的及更新Wordpress时，被黑客利用旧版本中的Bug攻击你的博客。 禁止用户浏览目录 有些主机默认会允许用户访问目录列表，你可以尝试在浏览器中访问“/wp-includes”目录，看文件是否有被列出来。 Options All -Indexes 更多关于.htaccess的使用技巧可以参考我的另一篇文章： 《Wordpress中.htaccess的使用技巧》。 另外在Wordpress中，有很多不必要的路径是不需要被搜索引擎抓取到的。比方以wp-开头的管理面板。这个你可以在.htaccess中修改（方法见上面给出的那篇文章），也可以完全不管。因为如今的搜索已经足够只能，可以分析出网站所用的框架，并自动过滤掉那边不必要的文件了。 修改admin管理员名 Wordpress默认会用admin做为管理员的名称。这样使得黑客可以暴力破解你的网站。所以你可以把管理员改为自己的用户名。Wordpress 3.0以上的版本已经原生支持修改管理员的功能了。另外，一个好的密码也是很重要的，最好的密码是大小写混杂数字，并毫无意义，当然，前提是你也要记得住才行哦~ 其实，我更建议你在管理员之外，再创建一个用户，只赋予编辑权限，专门用来发布、修改文章。只有在必要的时候（比方添加删除插件），再登陆管理员账号。 文件夹权限登陆Wordpress后台后，Wordpress经常会提醒你，你的XXX目录权限过低。很多时候，这条警告都会被用户忽略掉，但其实文件的权限设置非常重要，过低的权限可以会导致黑客以一个其它用户登陆系统，修改你的wordpress文件。 对于文件夹，一般755的权限就足够了。 修改表的前缀 Wordpress默认会经wp_做为数据库中表的前缀，笔者建议把它修改成一个随即的值。这个在你安装的时候可以选择。对于已经安装好的博客，如果你不想手动修改表和配置文件，可以用插件来帮你完成这项工作：Change DB Prefix。 利用插件提高安全性 Exploit Scanner： 扫描网站的中恶意代码。 WordFence Security或WordPress Sentinel: 检测Wordpress原文件是否被修改。 VIP Scanner：检测被插入到你模板中的广告信息。 最后，希望每个Wordpress站长都能拥有一个安全的博客。引用朋友的一句话做结束语：做站长，开心最重要。^_^

WordPress网站被挂木马怎么办

1、到官网上下载最新版本的WordPress将原先的直接覆盖

在进行覆盖式可以将wp-includes文件夹、wp-admin文件以及更目录的文件都进行直接覆盖掉。并且对数据库在重新连接，这样有助于数据不会被丢失，同时能够消除掉带有木马的文件。若进行覆盖之后还没有清除掉木马病毒，可以对插件进行逐一排查，找到其位置并进行彻底消除。

2.手动查询木马

使用ftp的工具对文件进行查看，能够看到最新的修改日期，若近期自己没有进行修改的话，哪些修改日期靠前的的文件就有最大的嫌疑被挂上了木马，只要将该文件下载下来删除木马后，在进行上传或者是到官网上重新下载并进行覆盖文件就可以了。

3.使用软件查杀木马

一些进行木马的查杀的软件在许多的服务器以及虚拟主机商都是存在的，若本身不存在可以自己进行安装这类的软件，之后用其查杀木马。

网站栏目：wordpress防木马 如何防范网页木马
本文地址：http://pwwzsj.com/article/dddheio.html