3.9开始，网站就一直不太正常，一直到今天才找到原因T_T。于是发现Chrome真是个好东西！

2012年3月9日，某个有本站外链的网站在用户使用Chrome访问时出现警告提示。

根据Google的提示，分别查看header.php、footer.php、index.php均找不到可疑代码，浏览下js代码，应该正常，找不到原因唯有把所有外链给撤了。并且暂时停止使用原来的主题，向Google申请解封。几天之后Google不再显示gjkiss.info域名下的文件有问题了。换回原来的主题，使用了几天，正常。于是估计是误判。

前两天突然发现网站又有异常，Chrome提示包含turnitupnow.net的内容，打开页面，查看源文件，没有相关的字段啊！？继续下载主题文件查看header.php、footer.php、index.php均找不到可疑代码。

再认真看看网站，发现打开页面跳转时会先出现几秒钟的乱码，然后再正常显示。

于是在打开页面出现乱码时速度按停止载入，查看源文件，果然出来了。

再仔细看看主题代码文件，还是没有任何收获。
没什么头绪之下就准备整站下载来找。先看看网站的根目录，发现3个文件比较可疑：w38884684w.php、w40735987w.php、wp-config.php。前两个文件名很陌生，应该不是wordpress自带的。下载来看，是一堆看不明白的代码。还有就是wp-config.php这个系统配置文件，修改日期是2012年3月16日，最近我没有进行过配置上的修改。下载一看，果然在这。文件被加入了一段全局代码以及加密的js代码（找了几个网站都解密不到），删除代码和两个未知文件。网站基本恢复正常，继续观察几天再看看有没其他异常。

下面就是那个未知文件的内容。。真看不明白。

2012.3.22补充，情况再次出现，暂时清楚掉，且把无用插件关闭。
找到几个国外的相同情况的，马克一下，迟点再看。
http://wordpress.org/support/topic/site-hacked-24
http://wpquestions.com/question/show/id/3341
http://stackoverflow.com/questions/8068871/got-hacked-anyone-know-what-this-php-code-does

2012.3.30.
再次发现站点会偶尔跳转到http://deposit-peter.ru/mnp/index.php页面中。检查文件，发现.htaccess文件被修改，该文件主要是为站点伪静态提供支持的。
加入如下信息：

且存在在多个目录里面。
于是只能手动清除T^T。
还没找出漏洞在哪。。。。