推荐一款WordPress网站安全扫描木马清理插件

Wordfence Security – Firewall & Malware Scan 是一个安全性的插件，简单而且好用，所以，可以在每安装一个插件或是主题后就扫瞄一下自已的WordPress看看是否安全。

Wordfence Security具备以下功能：

文件防篡改：可检测核心文件、主题文件、插件文件是否被篡改、挂马、插后门。

后门检测：可检测网站文件中是否包含已知的恶意脚本。

防火墙：可通过防火墙规则自动屏蔽正在从事危险行为的访客。具备一定的防DDOS能力。

防爆破：可防止黑客对后台密码进行暴力破解

防入侵：可检测当前站点是否含有已知漏洞。 （收费功能）

访客统计：可列出当前访客的IP及地理位置（支持中国，可精确到市），

可查看访客的来路及当前访问页面，若有可疑，可直接屏蔽之。

评论安全：可检测评论中是否包含钓鱼网站等危险URL

隐藏wordpress版本号：当指定版本出现漏洞时，此功能可防止黑客批量搜索到你并进行入侵。

密码安全：可检测用户的密码强度。

等等...

在后台 – 插件 – 安装插件，搜索“Wordfence Security”，或者进入官方WordPress插件下载（网址：https://wordpress.org/plugins/wordfence/）

安装并启用，启用之前会让你填写邮箱，填写之后进入插件界面：

进入扫描界面，找到开始扫描：

点击扫描之后，程序即可开始扫描整站所有文件：

扫描需要十几分钟的时间，耐心等待扫描结果：

可以看到，恶意的WordPress文件，会有一个修复的按钮，可以直接修复：

点击修复即可修复被污染的文件，那么新增加的文件则可以删除，点击放大镜即可看到删除按钮：

删除新增的文件即可删除这些木马文件。

扫描之后删除文件所需注意事项

一些文件比如WordPress的配置文件wp-config.php 是无法删除也无法修复的，你可以在ftp或者服务器文件管理中删除这个文件，然后访问网站进行重新配置

也可以打开文件删除木马病毒的代码

插件、主题的文件若遭受污染，也是无法修复的，但可以删除，但若删除污染的文件，就会引起插件和主题的错误，而无法使用，最好是重新上传插件和主题。

WordPress防止站内搜索被他人恶意利用

相信很多站长遇到过这种情况：网站内的搜索功能被不良分子利用，通过在站内搜索框中不断搜索敏感关键词，产生一大批TITLE上带有敏感关键词的垃圾搜索结果页（如下图）。由于Baiduspider对每个站点的抓取额是有限定的，所以这些垃圾搜索结果页被百度收录，会导致其它有意义的页面因配额问题不被收录，同时可能因百度处理垃圾页面而影响网站正常排名。

以上内容引自百度站长平台：http://zhanzhang.baidu.com/wiki/336

那么wordpress如何来预防这种恶意的利用呢？其实很简单在当前使用的wordpress主题的functions.php加入以下代码：

add_action(\'admin_init\', \'tiezhu_search_ban_key\');
function tiezhu_search_ban_key() {
add_settings_field(\'tiezhu_search_key\', \'tiezhu搜索关键词屏蔽\', \'tiezhu_search_key_callback_function\', \'reading\');
register_setting(\'reading\',\'tiezhu_search_key\');
}
function tiezhu_search_key_callback_function() {
echo \'<textarea name=\"tiezhu_search_key\" rows=\"10\" cols=\"50\" id=\"tiezhu_search_key\" class=\"large-text code\">\' . get_option(\'tiezhu_search_key\') . \'</textarea>\';
}
add_action(\'template_redirect\', \'tiezhu_search_ban\');
function tiezhu_search_ban(){
if (is_search()) {
global $wp_query;
$tiezhu_search_key =  get_option(\'tiezhu_search_key\');
if($tiezhu_search_key){
$tiezhu_search_key = str_replace(\"\\r\\n\", \"|\", $tiezhu_search_key);
$BanKey = explode(\'|\', $tiezhu_search_key);
$S_Key = $wp_query->query_vars;
foreach($BanKey as $Key){
if( stristr($S_Key[\'s\'],$Key) != false ){
wp_die(\'请不要搜索非法关键字\');
}
}
}
}
}

加入该代码后在wordpress的后台设置选项下的阅读设置里面就会出现一个文本域，如下图：

将需要屏蔽的关键词输入到文本域里即可，一行一个关键词。英文不区分大小写，下面是搜索效果测试：