Php 如何安全地测试网站中注入的恶意代码？

最近一个客户的网站遭到黑客攻击，他们注入了大量恶意代码（超过256个文件），我知道如何解码恶意代码并检查它的功能，但我想知道如果客户想知道代码对他的网站做了什么，以及黑客拥有什么类型的信息，该怎么办？我不完全确定如何为测试目的设置一个安全的环境，以向客户端显示发生了什么以及它显示的信息类型

这个问题的一个更简洁的说法是：

• 如何设置一个环境来测试PHP恶意代码而不危及任何人
• 我应该建议客户端安装什么来防止此类攻击

就我个人而言，我在强化WordPress之后安装了WordPress，安装了Wordfence，我从来没有遇到过这个问题，我应该为客户端做同样的事情，还是有其他步骤来进一步保护WordPress站点

---

注意：我知道这是StackOverflow中的一个“常见”问题，尽管他们都问如何阻止它或它做什么，但我更感兴趣的是知道如何为演示目的安全地运行它，以及我当前的方法是否足以阻止（或使其更难实现）这种类型的攻击

最安全的方法是拍摄生产数据库的快照，并将生产环境中的所有文件复制到其他服务器，然后将其加载到与生产环境精确匹配的测试环境中，但该环境不能处理生产数据，并且公众无法访问。还可以对其设置防火墙，以便在恶意代码的目的是向远程用户发送数据的情况下无法访问internet。然后运行代码，检查服务器日志和显示的任何错误消息，并对代码运行前后的测试站点和代码运行前后的数据库映像进行比较。

如果您觉得您的网站受到某些漏洞的影响。下面你可以找到一些有用的提示，使你的网站安全

• 更改管理员的WordPress（以及所有具有管理员访问权限的用户）

• 更改FTP和CPanel凭据以确保将来的安全

• 替换来自最新WordPress源代码的wp admin和wp includes文件夹

• 为WordPress配置一个安全插件。例如：

• 确保网站安全后，安装并查找受影响的文件

• 您可以手动删除这些受影响的代码并使其干净

• 如果您使用WordPress目录中的免费插件，只需将受影响的插件替换为新的更新版本

• 对于主题，请遵循相同的过程

• 确保所有插件和主题都更新到最新版本

• 您必须将WordPress版本更新为最新版本，以将安全风险降至最低

---

注意：-可能还有很多其他的解决方案，每次面对同样的情况，我都会分享我的想法。

这不是OP要求的。@AndyLester，那你为什么不回答OP要求的？