1、如何查找木马：

如果能进后台，那么这里推荐的是使用 WordPress 上最知名的安全软件 Wordfence（直译中文名: 文字栅栏？有点中二，还是叫英文吧）。

Wordfence 是我们给客户装机必备的 WordPress 安全插件，当然还有其他同类型的安全插件，但就过去几年的表现来说，安全方面 Wordfence 是最好的选择，而且对于大部分网站免费版已经足够了，很多参数都能直截了当的显示出来。如下图：

而且在上个月更新的版本中已经添加了可翻译文件，所以薇晓朵也是第一时间对此插件进行了翻译处理，现在即便是小白用户也可以自行操作扫描和看懂操作提示，如果你的 WordPress 被黑可进后台，不妨安装试试。

2、如何清理木马：

对于清理，这里只能说如果你足够幸运，就只是几个简单的问题进行清理删除；如果不是，那么可能清理操作将会浪费掉你一整天的时间，不用深入问为啥，即便是我们最有经验的技术人员清理一个网站的木马这些也得花上三五个小时，更别说进行复查和监控。

清理木马没有捷径，如果有备份文件那么最简单，确定不影响数据的话就直接恢复回滚就行了。

没有备份文件就只能手动处理，删掉全部的垃圾木马文件，然后用最新的 WordPress 程序包、主题、插件、这些全部替换一遍，之后再查找 WordPress 的静态文件、图片、文档这些上传目录进行清理， 这一系列的操作处理完毕，再返回到网站后台进行二次扫描，处理发现的风险项。

差不多处理完这些后就可以进入最后一步，对已经清理过的程序、数据库进行备份，这里的备份不一定完全干净，所以你需要对自己上面的操作有足够多的信任，备份的目的是防止由于服务器漏洞或者什么东西泄露导致网站在未来几天二次被黑后，又重头再清理。

如果真要是 7 天内也就是一周里重复被黑，那么只能是证明安全性还是不够，得继续查找原因和修改。实在是没办法了，就请外援吧，找会处理和有经验的人来处理。

毕竟时间最贵，

长期或者有周期性的被黑被挂马的也就是你从来都没清理干净过。