不安全的WordPress模板造成网站被入侵

其实是更为严重，因为该帐号的Shell权限被盗取，入侵者把该帐号下的几个站点都修改了。

首先说一下，这种修改，让站长都没有觉察到，因为他的目的是盗取流量，而盗取的不是普通的流量，而是搜索引擎过来，以及输入的错误网址被直接重定向到他所设定的网址，当然这个网址会让用户下载一个有害的代码。

最初是Google Webmaster Tools通知我的，大概有几个月了，我都没有察觉到有这个问题。因为这几个站点都是我女儿在用，我几乎都很少去看，也就没有在意。昨天有看到通知，就特别的看了一下。

首先我看得是.htaccess文件，即刻看到那些代码。
.htaccess文件中被插入了有关的代码。
插入点不是在行首，行首是一大段空格，然后是代码。类似下面的截图。
第一段代码是，任何来自搜索引擎的流量，都被重定向到指定网址了。

第二段代码是，错误信息处理，当网址不存在时，也被重定向到指定网址。

这样的结果就是，当手工输入正确网址，就不会发现这些修改。显示正常。

当我进一步查找入侵的痕迹的时候，发现了下面的记录。
有黑客获取shell权限后，直接到了WordPress的模板目录，删除了部分目录，修改了.htaccess文件，等等很多操作。我推断所删除的文件就是其获取权限的途径。

被删掉的那个模板名字叫做StripedPlus，其中有个东东叫做colourmod。
现在，已经不记得当时是从哪个网站上下载的模板了。

为了避免不必要的时间花在查找被修改的代码，David Yin把这几个Blog的文章都导出，然后新建了一个shell帐号，在那个帐号下，重装了WordPress，导入文章。也只使用默认的模板。

WordPress虽然好用，但是模板中混杂了php文件，实在是有够危险，因此，只有到可靠的网站下载模板，才能减少潜在的风险。