一个用户网站出现了莫名的广告弹窗，很是烦恼。

WordPress网站被黑症状：woocommerce产品打开后几秒跳转弹窗广告。

随机出现如下域名的广告地址。

我们来进行分析和修复

第1步：备份

1、利用控制面板文件管理器打包全部文件，PhpMyAdmin导出数据库，或者弄个备份插件，整站打包。

2、禁用 MySQL 远程访问（如果有开放）

第2步：扫描异常文件

1. 安装插件wordfence，扫描文件，查看结果，如提示不是Wordpress自带核心文件且高危异常的，全可以删除掉。

2、记录哪些主题，插件被串改文件。一般主题的functions.php也会被串改。

第3步：重建站点

1、除了wp-content文件夹，配置文件wp-config.php（留意是否被串改过），清空根目录下所有文件
2、下载最新的 WordPress 副本
3、解压缩 到根目录覆盖。
4.、在 /wp-content/plugins/ 和 /wp-content/themes/ 中重新添加插件和主题（如果被串改过的）

第4步：重新扫描

再次使用wordfence扫描文件，直到全部正常。

做了以上操作，问题还是没解决，那就很可能是数据库被黑了。

第5步：修复数据库

进入PhpMyAdmin，查找一些可疑字符串

WordPress数据库重点查找：注入通常针对 wp_posts 和 wp_options 表

搜索“String.fromCharCode”字符，或者搜索弹窗出现的域名

到此，基本可以判断是哪个插件的问题了，把这些值全删除，然后到Wordpress后台重新配置插件即可。

总结：

这种污染会影响数据库和 Web 文件，因此建议：
      a) 检查在同一主机帐户上托管的其他站点。
如果恶意软件感染很普遍，则应隔离每个站点，以防止跨站点感染。
      b) 为每个 WordPress 实例执行站点重建，手动添加来自官方来源的插件、主题和核心文件。

最后该客户购买了我们的安全加固服务，就可以有效避免再次受到攻击了