WordPress最近出现未知漏洞

这篇文章只是做一下记录，有猜测，但不一定对。

最近WordPress网站出现安全问题，安全问题是阿里云云盾提醒的。

主要问题就是：wordpress IP验证不当漏洞，还有WordPress SQL注入漏洞，这两个问题会向WordPress网站的根目录，wp-admin目录，wp-includes目录植入恶意代码，恶意代码的名称有以下：

根目录植入的恶意代码：custom.php；wp-register-5bc980916f6e15bc980916f741.php；wp-reset-5bc9808dae2445bc9808dae2cf.php；N.php；

wp-admin目录植入的恶意代码：com.php;com.txt;users.php；

wp-includes目录:http.php的漏洞问题；

因为遇到了好几个网站都出现类似的恶意代码，在网站根目录生成的恶意代码最多，而且名称不规范，除了上面备注的，还有其他的。

目前的解决办法：

1，检查插件/主题；

2，备份数据库，备份uploads目录，备份插件和主题；

3，删除网站程序，然后重新安装WordPress网站，导入数据库，插件安装从wordpress官方，确定主题没问题以后也可以恢复，检查uploads目录每个目录，确认没有.php文件；

4，修复IP验证不当漏洞和SQL注入漏洞。

然后开始观察，是否会再次出现安全问题。

至于是否这两个漏洞，还不知道，只是备注一下。