背景

近5500个WordPress站点遭恶意脚本感染，该脚本不仅能够记录键击，甚至有时还会加载一个浏览器密币挖矿机。这个恶意脚本加载自 “cloudflare.solutions” 域名，不过它跟Cloudflare之间并不存在任何关联。只要用户离开输入字段，恶意脚本就能记录用户输入表单字段中的任何内容。这脚本加载在网站的前端和后端，也就是说它还能在登录到网站的管理面板时记录用户名和密码。

这个脚本在前端运行时也会带来危险。虽然在多数WordPress站点上，它能窃取的唯一来源是从评论字段窃取用户数据，但一些WordPress站点经过配置后还能作为在线商店运行。在这种情况下，攻击者能够记录信用卡数据和用户个人详情。

发生这些事件是因为黑客通过多种渠道攻陷了WordPress站点，并且将恶意脚本隐藏在functions.php中。后者是可从所有WordPress主题中找到的一个标准文件。

攻击者活跃于4月份

攻击者并非新面孔。Sucuri公司追踪了三个托管在cloudflare.solutions域名上的恶意脚本。第一个样本出现在4月份，攻击者通过恶意JavaScript脚本将横幅广告内嵌在被黑网站上。到了11月份，这个攻击组织更改策略，加载伪装成虚假jQuery和谷歌Analytics JavaScript文件的恶意脚本，而这些jQuery和谷歌Analytics JavaScript文件实际上是对浏览器密币挖矿机Coinhive的拷贝。截止11月22日，攻击已触及1833个站点。在最新一轮攻击中，黑客已准备好密币劫持脚本同时增加了按键记录组件。

脚本至少活跃于5500个WordPress站点上

PublicWWW指出，这个恶意脚本目前活跃于5496个站点中，这些站点多数排在Alexa的20万名之外。

Sucuri公司专家提供了一些缓解措施：如之前所述，这个恶意代码存在于WordPress主题中的function.php文件中。你应该删除add_js_scripts函数以及所有提到add_js_scripts的add_action语句。鉴于这款恶意软件存在按键记录功能，你应该考虑所有WordPress密码遭攻陷这个可能性，因此下一个必须采取的措施就是更改密码（实际上所有网站被黑后都强烈建议这么做），不要忘了再检查下网站是否还遭受其它感染。