wordpress网站被劫持的原因及解决方案

起因：

将懒人网安和本站全站启用https后，便查看下搜索引擎的收录有么有更换成https的，也因此让我发现了一个非常震惊的事情！

网站莫名其妙的被劫持了：

这到底是什么情况？按理说如果要劫持我，肯定需要在网站上面添加劫持代码才行，而添加就需要网站权限，虽然我已经很久没有搭理过这个网站，但是我不可能网站被入侵了还一直没有发现吧？。。。果断检查下。

排查问题：

通过搜索文件发现了问题所在，根据上图可以简单的回溯一下：

1.攻击者通过软件自动搜索wordpress站并且自动爬文章URL然后自动评论。

2.评论时提交的自己的网站URL，图中之所以是本站的URL是因为我启用了外链自动转换内链的功能。

3.wordpress本身是不会存在这种问题的，但是因为网站使用了WP Super Cache缓存插件，将页面缓存成了html文件，也就是图2中的文件，所以导致了评论中凡是出现的外站URL，都将被搜索引擎抓取如图1的结果一般。

解决方案：

通过查看其它几个专注于wordpress的博客的收录发现，他们即便使用了wordpress+WP Super Cache缓存插件，也没有出现我这种情况，也就是说其实他们很早就发现并且解决了。

检查懒人网安的robots.txt文件：

在其中添加对网站外链的禁止抓取：

添加规则，禁止外链被抓取。然后就过段时间在观察收录了。

总的说来，还是防垃圾评论没有做好，不过本博客应该不会出现垃圾评论这类问题，因为启用了滑动评论外加后端代码对评论内容的过滤。