虽然用了最著名的Akismet 反垃圾评论插件,但是还是会出现几千条垃圾留言。
我已经删除过一次了,我记得大概3000多条,这次又来了近2000条,特点还是来自.ru后缀,也就是俄罗斯的垃圾评论群发软件搞得。
好了,打开phpMyAdmin,登录数据库,点击SQL,粘贴以下SQL,点击执行,搞定!
DELETE FROM `cuiwenyuan_com`.`wp_comments` WHERE `wp_comments`.`comment_author_email` LIKE '%.ru%'
如果还想对内容筛选并自动删除,可以使用如下SQL
DELETE FROM `cuiwenyuan_com`.`wp_comments` WHERE `wp_comments`.`comment_author_email` LIKE '%.ru%' OR `wp_comments`.`comment_content` LIKE '%.ru%' 
我这个站的WordPress位于主域名下的/shanghai/下面,原来国外主机用的Apache,现在这个是Nginx主机,所以伪静态的规则要重新改下。
宝塔可以很方便生成WordPress的顶级目录下的伪静态代码,但对于二级目录就的自己写了。
代码如下,把其中的/shanghai/改为你的目录即可。
location /
{
try_files $uri $uri/ /index.php?$args;
}
rewrite /wp-admin$ $scheme://$host$uri/ permanent;
location /shanghai/ {
index index.html index.php;
if (-f $request_filename/index.html){
rewrite (.*) $1/index.html break;
}
if (-f $request_filename/index.php){
rewrite (.*) $1/index.php;
}
if (!-f $request_filename){
rewrite (.*) /shanghai/index.php;
}
}
如果你部署在国内,你就知道升级的时候会不断地遇到升级失败,然后整站就不能访问了。
原因及重要性不必多说,那就说说关闭的方法吧:配置wp-config.php文件
全局配置文件wp-config.php位于wordpress程序根目录下的,在文件最后加入如下代码:
/** 关闭WordPress自动更新升级 */
define('AUTOMATIC_UPDATER_DISABLED', true);
11月17日,Tony微信告诉我博客不能访问了,我一看被植入了js木马。
回想了一下11月4日还写博客来的,当时没有什么问题的。
赶紧问服务商有没有备份,最近的备份是哪天的?得到的答复是只保留最近3天的备份,找到最早的是11月14日的,可惜那时候已经被黑了。数据库和程序都被动了。
看了一下本地的备份,最近的是3月份的,也就是说半年多的博客要丢了。
头大,但工作挺忙,也顾不上了。
第一个念头就是,搬回阿里云,只要有付费的每日备份。
碰到青云有个双十一的活动,就随手买了个Linux的上海主机。正好也需要备案,就没急着捣鼓。等到了周末暂时利用新主机上的MySQL数据,看了一下被植木马的数据库,发现规律就是每篇文章都在结尾加入了一串javascript代码,同时站点的home和site的配置项都被改为木马的网址。
于是心里一喜,果断的写了REPLACE替换,清除了木马。
此时有了信心,拿起我的BeyondCompare文件比较利器,对WordPress程序与原版程序作了对比,发现不少上传的php文件,还有无后缀的木马文件。同时发现了被修改的程序文件,就这样逐渐的把程序的木马也清理了。
此时备案还在进行中,就在原来的国外主机上进行了程序和数据库的覆盖,当然了本地也保存了备份。
果然,网站正常了。欣喜的告诉小伙伴们,大家非常期待我分享如何清除木马的。
我还是比较谦虚的,希望等几天看看,是否还有未清理的木马,不然分享就是给自己丢人。
果不其然,替换后的第二天,程序又被植入了木马。
干净对虚拟机下的其他站点目录都进行了清理,还删除了几个漏网之鱼。
这下基本上放心了,此时备案也快完成了。
于是在新主机上玩BT宝塔,对服务器安全、网站目录、端口放行、SSL证书、WordPress二级目录下的伪静态等全部研究了一遍。
昨天,改了DNS,指向到了新主机。
老主机的数据全部删除了,希望在新主机上,在宝塔的协助下,能够安全不被黑。
这篇作为流水账,下次分享详细的木马清理过程,还有WordPress文件目录安全设置和伪静态的相关内容。
有读者反馈说看我博客的时候,翻页到后面或者搜索的第一页就出现页面错乱,我以为是个别文章的问题,昨晚花时间研究了一下,原来是WP摘要显示的问题。
因为2018年以前的博客是ASP平台的ZBlog,转换WordPress过来的时候,原来的自定义摘要也自动带过来了,但有些图片并没有替换src地址,还带着<#ZC_BLOG_HOST#>字样的url,狠了狠心,索性把所有的自定义摘要都删除了,可能会丢掉一些重要的信息。
我翻页到很多页,终于没有页面错乱了。
国内访问WordPress官方下载站:https://cn.wordpress.org/download/会经常出现:429 Too Many Requests – nginx的报错,怎么办呢?
这里通过翻墙得到最新版wordpress下载地址:https://cn.wordpress.org/latest-zh_CN.zip
那么如果你用的国外或香港的主机,只需要直接远程下载上面的地址,就能成功。
才用了几天的WordPress,但已经开始琢磨插件的使用,因为发现很多自己想要的WordPress都没有自带的功能,于是不断体验,不断尝试,把每一个尝试的感触都写在这里,不定期更新本帖。
还在使用中的
1、Google Font Fix – 解决有些Google字体在国内被墙而不能顺利下载的问题
2、Google XML Sitemap Generator – Google站点地图自动提交
3、Page Views Count – 很好用,其实我就想要总记录,但还能统计每天的记录数,很方便导入Zblog的历史数据,直接将原来log_ID和log_ViewNums两列复制到Excel,然后批量生成SQL导入语句,如:INSERT INTO wp_pvc_total (postnum,postcount)VALUES (1394,37);很方便就导入了历史浏览量。(五星推荐)
4、Yoast SEO – 搜索引擎优化工具,还在摸索中
5、WordPress Database Backup – 数据库备份插件,配套Easy WP SMTP直接可以将备份文件发送到邮箱,很不错。
6、Simple Code Highlighter – 代码美化的,经常在博客里面增加一些C#, js,sql代码的时候,可以格式化,很需要。
体验过,但不是我想要的插件:
1、Post Views Counter – 虽然是知名团队dFactory开发,体验之后不是我想要的。数据库会生成一张表,每篇文章会产生几条记录,这种编程和记录数据的方式我就不喜欢,导入Zblog老浏览记录很麻烦,就删除了。