昨天，我在URL栏输入自己的网站时，发现了一个诡异的现象:网站首页一片空白，然后从Bing搜索结果点击进入进入被AdGuard拦截，显示跳转到bucg.uvicveen.click(页面看起来是售卖日本机械产品的)，这让我意识到，网站被劫持了。
通过安装Wordfence Security后运行扫描，发现了大量恶意文件，攻击者非常狡猾:后门藏在WordPress核心目录(wp-includes)、藏在主题目录深处(opt/fields/)、使用大小写混淆(.PhP7、.PHP)躲避检测、伪造wp-login.php窃取登录凭证。此外，还发现.htaccess配置文件被篡改，攻击者添加了规则，允许所有人访问.suspected等恶意文件，绕过正常访问控制。最后，防止再次被入，开启了防木马上传禁止php，phtml，suspected等后缀上传，还开启了参数过滤，过滤SQL注入和XSS攻击向量。
最后，切记不要选择下载来路不明的插件，以及不要选择admin这种愚蠢的账号和密码。