WordPress首页被黑通常源于wp_options表被篡改，重点检查siteurl、home、theme_mods_开头及blogdescription字段，解码base64内容确认恶意代码后再清理，并同步修复wp_posts中ID=1的页面及数据库账户权限。

查 homepage 被改的根本位置：不是 index.php，是 wp_options 表

遇到WordPress首页被黑、显示乱七八糟的内容，先别急着去翻index.php文件。十有八九，问题根本不在那儿。真正的“病灶”往往藏在数据库的wp_options表里——黑客最喜欢往几个关键字段里塞恶意代码，比如siteurl、home，或者更隐蔽的、以theme_mods_开头的主题设置项。直接在phpMyAdmin里搜索这些字段，效率比大海捞针式地翻文件高得多。

• 操作路径：登录phpMyAdmin → 选择你的网站数据库 → 找到wp_options表 → 点击「搜索」标签 → 在option_name列里填入home或siteurl，检查它们的值是否被篡改成了一个包含外部JS加载链的奇怪URL。
• 隐藏陷阱：务必重点检查那些option_name以theme_mods_开头的记录（例如theme_mods_twentytwentyfour）。点击“编辑”，仔细查看option_value字段里是否混杂了base64_decode、document.write或eval这类可疑字符串。
• 易漏点：别忘了blogdescription这个字段。有些黑链会巧妙地藏在这里，然后通过主题模板调用bloginfo('description')函数，最终在网站头部输出。

删恶意代码时别乱清空 option_value：先 decode 再判断

如果在option_value里看到一长串毫无规律的字符，千万别手快直接清空。那大概率是经过Base64编码的Ja vaScript脚本。全删了，你主题的自定义设置（比如Logo、配色）可能就一起丢了；但留着，恶意页面又会持续加载。怎么办？先解码，看明白再动手。

• 解码确认：把那段可疑的option_value复制出来。在本地或一个安全的环境里，用PHP执行echo base64_decode('xxx');命令，看看解码后的真实内容。确认是document.write或页面跳转脚本后，再进行清理。
• 精细清理：如果解码后发现主体是正常的JSON数据（包含header_image、background_color等键值对），说明恶意代码只是被附加在了末尾。这时候需要手动删除末尾的恶意JS片段，同时保留前面完好的JSON结构。
• 安全备份：修改前，务必导出这一行数据做备份：选中该行 → 点击「导出」→ 格式选择SQL → 勾选“仅所选行”。万一修改后前台出现白屏，还能迅速回滚。

检查 wp_posts 表里的 page_id=1：首页可能被伪装成「静态页面」

还有一种更狡猾的攻击方式：黑客会把WordPress的首页显示设置改为“静态页面”，然后把真正的恶意首页内容，塞进wp_posts表里那个ID = 1的页面（post_type为‘page’），再向它的post_content字段注入iframe或加密脚本。这种情况下，你光修复wp_options表是没用的。

• 定位可疑页面：在phpMyAdmin的SQL执行窗口，运行：SELECT ID, post_title, post_status FROM wp_posts WHERE ID = 1 AND post_type = 'page';。如果查询到结果且post_status状态为publish（已发布），就需要重点检查它的post_content字段。
• 内容审查：点击编辑ID = 1的这行记录，仔细筛查post_content字段。重点查找