後門程式（Backdoor）防護

本文為「惡意軟體防護」的延伸技術文件，專注解析 Backdoor 後門程式 在 WordPress 中的實際入侵方式、隱藏手法，以及可落地的偵測與清除策略。

什麼是後門程式（Backdoor）？

後門程式是一種隱藏於網站內部、可讓攻擊者在未授權的情況下反覆存取系統的惡意程式碼。

與一般惡意程式不同的是：

後門通常 不會立即破壞網站功能
即使你刪除了表面感染檔案，也可能再次被植入
許多網站「已經被入侵很久」卻完全沒有察覺

👉 對 WordPress 站點而言，Backdoor 是最危險、也最常被忽略的一種惡意程式。

WordPress 後門程式常見藏匿位置

📁 核心與設定檔案

wp-config.php
functions.php
index.php

特徵：

使用 base64_decode()、eval()、gzinflate()
程式碼被刻意壓縮、混淆

📁 uploads 目錄（高風險）

wp-content/uploads/2024/xxx.php
偽裝成 .jpg.php、.png.php

原因：

uploads 預設可寫入
許多網站未禁止 PHP 執行

📁 外掛與佈景主題資料夾

已停用但未刪除的外掛
被植入單一檔案的正版外掛

👉 攻擊者最愛利用「管理者忘了刪」的資源。

後門程式的實際行為特徵

建立隱藏管理員帳號
定期自動下載遠端惡意程式
注入 SEO Spam 頁面
依訪客來源動態顯示（只對 Google Bot 生效）

這也是為什麼：

管理者「看起來正常」，但搜尋引擎卻已經判定網站遭入侵。

為什麼刪掉惡意檔案卻還會再中？

因為：

只刪除了「症狀」，沒有移除「入口」
後門仍存在於其他檔案
原始漏洞（弱密碼 / 漏洞外掛）未修補

👉 Backdoor 的清除，一定要搭配完整溯源。

WP Securely 的後門防護與清除流程

🔍 第一步：全面檔案掃描

比對 WordPress 核心原始檔案
搜尋常見後門函式與混淆特徵
檢查 uploads 是否存在 PHP 檔

🧹 第二步：後門清除與修復

移除惡意程式碼與隱藏帳號
重建被污染的核心檔案
確認沒有殘留自動下載機制

🔐 第三步：封鎖再入侵路徑

強制更換所有帳號密碼
移除高風險外掛與主題
uploads 目錄禁止執行 PHP
限制 wp-admin 與 REST API 存取

WordPress 實務防護建議

uploads 目錄僅允許圖片與媒體格式
停用 XML-RPC 或加入驗證
啟用檔案完整性監控（File Integrity Monitoring）
建立異動即時通知機制
定期人工安全檢查（不只依賴自動掃描）

後門程式與 SEO 的隱性風險

後門最常造成的不是立即當機，而是：

被偷偷建立大量垃圾索引頁
Google Search Console 出現「遭入侵內容」警告
排名長期下滑卻找不到原因

👉 多數 SEO 災難，源頭其實是 未被發現的後門程式。

結語：後門不清，網站永遠不安全

只要後門仍存在，任何修復都只是暫時的。

真正有效的網站安全，必須做到：

找出後門
清除後門
封鎖入口
持續監控

這正是 WP Securely 在惡意軟體防護中最重視的一環。

🔗 延伸閱讀：

惡意軟體防護總覽
防火牆（WAF）如何阻擋後門再入侵
WordPress 漏洞掃描實務