Портал Mz-Don

Меню
  • Контакты
  • Статьи
  • Блог

Function php wordpress вирус


В 2017 году на разных сайтах появились сообщения о вирусе, который атакует сайты под управлением WordPress.
Тогда вирус использовал различные уязвимости в плагинах WordPress.

Но, уязвимости закрыли, некоторые плагины убрали из официального репозитория WordPress и в срочном порядке были выпущены обновления безопасности для действующих плагинов. И в принципе, проблему решили. Но, не надолго. Вирус вдруг снова появился и продолжает наводить ужас на владельцев сайтов.

Сегодня вирус внедряется в ключевые файлы сайта и вставляет свой include для включения зловредного кода в PHP-файлы WordPress.

Основная причина заражения сегодня – это установка плагинов и шаблонов WordPress из неофициальных источников. Др. словами, установка шаблонов скачанных из паблика.

На что способен вирус Wp-vcd?

Возможные последствия от заражения

Как диагностировать заражение

  • Проверяйте сообщения на хостинге – на какие зараженные файлы указывает хостинг.
  • Самостоятельно проверьте файлы сайта (об этом дальше).
  • Регулярно мониторьте сайт, его позиции, поведенческие факторы, посещение и т.д.
  • Добавьте свой сайт в Яндекс вебмастер и в Search Console, чтобы вовремя получать важные уведомления о состоянии сайта.

Какие файлы нужно проверять и чистить?

Удалите немедленно на своем сайте шаблоны и плагины WordPress скачанные из паблика (из открытых источников) и которые могут быть причиной заражения.

После этого выполните следующие рекомендации:

Используя FTP или файловый менеджер хостинга перейдите в корень установки WordPress, в папку /wp-includes/

Обратите внимание на следующие файлы:

Если вы у себя видите файлы, которые внизу на скриншоте обведены красным, я Вас поздравляю – Ваш сайт заражен!

Но, не стоит сразу выпивать весь флакон успокоительного или сердечного, решение вашей проблемы есть и мы пошагово его рассмотрим.

1. Откройте файл post.php – это родной файл WordPress, но с него все и начинается.

Вы должны удалить этот код и сохранить файл:

В первой строке файла должно остаться:

2.Удалите эти файлы: wp-feed.php, wp-tmp.php, wp-vcd.php

В каждом шаблоне, который присутствует в папке /wp-content/themes/ вы должны открыть файл functions.php

Вот пример начало кода темы WordPress по умолчанию:

В зараженной теме перед этим фрагментом будет большой кусок чужого кода. Ваша задача – этот код удалить. Вот ссылка на код вируса в файле functions.php.

В шаблоне или плагине, который был скачан из паблика может присутствовать файл class.theme-modules.php. Его необходимо удалить. Вообще, лучше полностью удалить сомнительные шаблоны и плагины.

Чтобы спать спокойно, рекомендую проверить базу данных сайта на наличие скрытого администратора.

В админке, в разделе Пользователи, как правило мы не увидим скрытого админа. Но, на его наличие может указывать счетчик админов во вкладке Администраторы. Например, цифра будет 2, хотя настоящий админ один. А может быть, что цифра будет 1, хотя админов 2.

На скриншоте один админ, а в БД их 2:


Пользователи

В любом случае, нужно проверять Базу данных.

Для этого перейдите в phpmyadmin на вашем хостинге. Откройте нужную базу данных, перейдите на вкладку SQL и выполните следующий запрос:

В результате выполнения этого запроса вам будут показаны все пользователи, которые имеют права Администратора.


Пользователь с ID 1 – это вы. А второго, у которого могут быть разные ID можете удалить. Чтобы удалить пользователя, отметьте его и нажмите на красный крестик ниже.

Если после этой операции, через некоторое время снова появился скрытый админ, значит у вас в файлах темы есть чужой код, который инициирует появление скрытого админа. Удалите сначала этот код, потом удалите скрытого админа.

Профилактика заражения вирусом Wp-vcd

  • Пользуйтесь хостингом с функцией изоляции сайтов друг от друга.
  • Регулярно обновляйте CMS WordPress, шаблоны и плагины WordPress.
  • Устанавливайте шаблоны и плагины WordPress из официальных источников.
  • Для теста шаблонов и плагинов взятых из открытых источников используйте локальный вебсервер, например OpenServer.

Во время написания этой статьи, ни один пушистый сайт не пострадал.

WordPress вирусы — это проблема, с которой встречаются многие владельцы сайтов на ВордПресс, при этом, некоторые могут и не знать о ее существовании. Причина, возможно в том, что Malware может быть незаметным, а именно, сайт будет работать, но при этом совершать какие-то действия выгодные для злоумышленника, не привлекая внимания владельца сайта. Также не все владельцы могут WordPress проверить на вирусы, по причине того, что просто не знают, как это сделать.

Хотите узнать, как проверить сайт ВордПресс на вирусы и самостоятельно удалить распространенное вредоносное ПО из WordPress CMS? – в этой статье вы найдете некоторые решения данной проблемы.

WordPress вирусы: причины попадания на сайт и симптомы заражения

Поскольку WordPress является чрезвычайно открытой системой (данная CMS с открытым исходным кодом). Одной из часто встречающихся проблем из-за этого, является вредоносное ПО, которое может попасть на сайт различными путями:

  • От фрилансеров, выполняющих какую-то работу за вас, но, возможно, испытывающих недостаток в бдительности, чтобы неосознанно вызвать заражение вашего проекта.
  • Из-за использования плагинов и шаблонов, скачанных из непроверенных источников. Зачастую это касается премиальных платных продуктов, которые вы скачиваете бесплатно.
  • По причине беспечности самих владельцев сайтов, например небеpопасное использование FTP, не надежный пароль и тд.

Это знакомая история, и обычно она звучит так: вы нанимаете кого-то, чтобы внести некоторые изменения в ваш проект WordPress — может быть, даже какую-то разработку, и тогда все кажется просто отлично, но через некоторое время ваш сайт WordPress начинает работать, занимая больше системных ресурсов, чем следовало бы, иногда сбои с внутренними ошибками сервера 500 или отображение какого-либо неправильного поведения.

Другой ситуацией может быть обнаружение исходящих ссылок с вашего сайта, в панели webmaser.yandex.com, на ресурсы, которые вы видите впервые. Бывает, что при переходе на ваш сайт, например с мобильного устройства срабатывает редирект на сторонний ресурс, при этом с ПК сайт работает в штатном режиме.

И тогда вы могли бы даже обвинить в этом хостинг и недостаток ресурсов. При этом, казалось бы код был уже проверен и оптимизирован, меры предосторожности были приняты, верно? Что может быть не так тогда?

WordPress вирусы: как проверить, есть ли в вашем е WordPress сайте вредоносная программа wp-vcd?

Также быстро проверить сайт на наличие вредоносных скриптов и вирусов можно при помощи специальных онлайн сервисов. Данный способ подойдет больше новичкам, потому что он наиболее простой, достаточно ввести адрес своего сайта WordPress, вирусы на котором вы считаете могут быть. К таким сервисам относятся:

Следует отметить, что бесплатная проверка на данных ресурсах имеет ряд ограничений, но для экспресс анализа вполне подойдут.


Если вы не предпочитаете использовать плагин, который может создать дополнительную нагрузку на ресурсы вашего сервера, и предпочитаете делать это вручную, вот пошаговое руководство. Если у вас есть базовые навыки работы с UNIX / Linux, ниже проведен для вас весь процесс, начиная с терминала командной строки.

Прежде всего, откройте сеанс терминала в SSH-оболочке. Если вы работаете на компьютере Mac или Linux / UNIX, просто запустите окно терминала и SSH на ваш сервер. В Windows вы можете использовать бесплатное приложение, такое как PuTTy или, что еще лучше, установка и использование GitBash — это предпочтительный способ запуска команд UNIX / Linux в Windows.
В любом случае, следующий шаг — проверить, существуют ли какие-либо наиболее типичные файлы, созданные вредоносным ПО wp-vcd, скрывающиеся в файловой системе.

Теперь, находясь в Терминале, измените каталог на корневой каталог вашей установки WordPress, т.е. cd/path/to/your-wordpress, и выполните следующую команду:


Забавно иногда выпадают события в жизни. Мне попался классный курс на Udemy по современным способам защиты и взломов сайтов. Повышая свой уровень квалификации, я проворонил заражение вирусами своего блога. Скорее всего, пользователи WordPress так или иначе сталкивались с симптомами, которые я дальше опишу. Если нет – то вы везунчики. Я сам очень долгое время ничего не цеплял на сайты, думая о том, как все же умудряются заражать свои веб-ресурсы. Еще в 2014 году меня удивляли сообщения на форумах о том, что их сайт с отличной посещалкой просто заразили и увели.


И вот, сегодня утром на почту от моего хостера прилетело письмо, которое меня и озадачило. Да, я был приятно удивлен, что ihc мониторит сайты на наличие малвари, но сообщение, которое гласило о том, что один файл был измен ночью без моего ведома и это подозрение на вирусную активность, вызвало сумбурные эмоции. Фактически, это было подтверждением моих подозрений.

Некоторое время назад я обнаружил, что в метрике есть переходы на сайты, которые у меня просто никак не могут быть прописаны в постах. Когда я попытался найти эти ссылки тупо через поисковик блога, меня редиректило на Apache с сообщением об ошибке. Уже тогда заподозрив неладное, я полез в файл search.php активной темы, в котором увидел обфусцированный код. Тогда это меня поставило в ступор, но в силу нехватки времени не стал копаться дальше. Как оказалось зря. Ведь это и был один из признаков заражения.


Вот тут было в пору хвататься за голову, думая о том, как вообще подобное могло произойти. Само собой, что имел место эксплойт. Но об этом потом.


Честно скажу, что подобного азарта и интереса я давно не испытывал. Да, мне во многом помог антивирус с хостинга, указав, в каких файлах он нашел изменения. Но и даже он не все смог обнаружить полностью, так как код чередовался обфускацией и банальным hex-кодированием посредством вредоносного js. Нужно было много ручками делать, используя все сторонние инструменты всего лишь в качестве помощников.

Расчистив очевидные файлы, можно переходить на уже не такие очевидные – к файлам тем WordPress. Вот тут обфускация не используется, нужно рыть код. На самом деле, если не знать, что изначально задумывал разработчик, то эта задача весьма творческая, хотя и достаточно быстро решаема. Если не меняли код темы, проще заменить зараженные файлы (антивирус их точно опознал) и идем дальше. Либо можете покопаться как я и найти, что очень часто такого рода вирусы приписывают в файл function.php абсолютно левую функцию, в которой наверняка будет код обращения к sql. В моем случае он выглядит так (форматирование оставил без изменения):

Куда эта выборка идет мы уже вычистили. Поэтому спокойно смотрим, в какой функции находится этот код и удаляем всю эту функцию – ее приписала малварь. Но, повторюсь, гораздо проще и лучше перезаписать весь файл из готовой темы, если боитесь что-либо сломать.

Ну и финальный штрих – проверяем число пользователей сайта. Все свои сайты я всегда вел сам. Соответственно, никаких иных пользователей быть не может и не должно. Однако учитывая заражение, легко догадаться, что сайт попытаются умыкнуть и создать своего пользователя с админскими правами. В моем случае это оказался wp.service.controller.2wXoZ. Удаляем его.

Работы проведено много, но есть ли выхлоп? Проверим снова антивирусом, который сообщает о том, что вирусов больше не обнаружено. Все, сайт вылечен.

Итоги

Как видите, вылечить сайт достаточно просто, хотя и время затратно. После лечения нужно предупредить подобные ситуации в дальнейшем. Тут нужно сделать всего несколько шагов:


Если ваш сайт взломали — не паникуйте.

В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.

В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.

Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.

В третьем способе вы установите плагин.

Убедитесь, что сайт взломан

Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.

Ваш сайт взломан, если:

Сделайте бэкап

После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.

Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.

Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.

Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.

Что можно безопасно удалить с любого взломанного сайта

  • Обычно можно удалить все содержимое папки wp-content/plugins/ . Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins , но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
  • Оставьте только одну тему в папке wp-content/themes/ , все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
  • В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс.
  • Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old или /backup . Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.

Как очистить Вордпресс сайт от заражения. Способ 1

  1. Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
  2. Скачайте на компьютер файл wp-config.phpиз корневой папки сайта, папку /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
  3. Полностью удалите сайт и базу данных с сервера.
  4. Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
  5. Перенесите настройки связи с базой данных из сохраненного файла wp-config.php в новый из этой части файла:

Как удалить вредоносный код и вылечить сайт. Способ 2

Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):

Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:

Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.

Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:

Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.

Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.

Хакеры часто используют эти функции:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (/e/)
  • move_uploaded_file

Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.

Более аккуратный запрос может быть таким:

Эта команда покажет все файлы, в которых встречается фраза hacker was here .

Хакеры часто внедряют код в папку /uploads . Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.

Использование запросов find и grep поможет вам очистить сайт от заразы.

Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3


Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.

Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО

Что делать с зараженными файлами

В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.

  • Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
  • Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
  • Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
  • Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
  • Если ничего не помогло — обратитесь к профессионалам в платный сервис.

Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.

  1. Зайдите в Инструменты вебмастера Гугл
  2. Добавьте свой сайт, если вы его еще не добавили
  3. Подтвердите владение сайтом
  4. На главной странице вашего аккаунта Инструментов вебмастера Гугл выберите ваш сайт
  5. Кликните Проблемы безопасности
  6. Нажмите Запросить проверку

Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее. Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting. Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.

Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.

Что делать, чтобы сайт не заразился снова?

  • Регулярно обновляйте версию Вордпресс, тем и плагинов по мере выхода новых версий. Автообновление Вордпресс.
  • Используйте сложные логины и пароли. Рекомендация для пароля: пароль должен быть не менее 12 символов, содержать заглавные и строчные буквы, цифры и символы.
  • Выбирайте темы и плагины от проверенных авторов.
  • Используйте надежный хостинг. Обзор хостинга Бегет.
  • Установите плагин безопасности. 7 Лучших плагинов защиты Вордпресс.
  • Настройте автоматический бэкап всех файлов и базы данных. Бэкап Вордпресс.
  • Удалите все старые версии сайта с сервера.
  • Читайте Безопасность Вордпресс. Подробное описание.

Читайте также:

Надеюсь, статья была полезна. Оставляйте комментарии.

По всей видимости, Ваш сайт был взломан. Такой диагноз я получила сегодня… Пришлось отложить все дела и целенаправленно заняться решением данной задачи!

Так что же было и что делать?

ИТАК хостинг оператор констатировал, что размещение вредоносного содержимого могло произойти несколькими способами:
— через уязвимости в скриптах размещенных на аккаунте сайтов;
— из-за утери данных для FTP-доступа (в последнее время широкое распространение
получили вирусные программы, производящие хищение данных для работы по FTP с
компьютера администратора сайта).

Какие действия я предпринимала и могу рекомендовать для решения проблемы:

1. Сразу нужно проверить антивирусом все компьютеры, с которых ведется работа с аккаунтом.
На этих компьютерах вероятно имеется вирус, с помощью которого злоумышленники смогли получить данные для FTP-доступа к хостинг аккаунту. У меня на одном из компьютеров так и оказалось, я очень редко его задействую, но вот случилось… Оказывается срок лицензии антивируса истек…

2. Далее следует сменить пароль доступа к основному аккаунту а также пароли к дополнительным FTP-аккаунтам (если они есть).

4. Проверяйте всю домашнюю директорию Вашего аккаунта на предмет присутствия в ней посторонних папок и файлов, явно не имеющих отношения к размещаемым Вами данным. Удалите подобные папки или файлы в случае обнаружения. При проверке следует ориентироваться на файлы с подозрительными именами а также недавней датой изменения.

5. Так же проверяйте содержимое Ваших файлов на предмет наличия вставок постороннего кода, удалить эти вставки в случае обнаружения. Посторонний код часто обнаруживается в индексных страницах сайтов либо же в файлах с расширениями .php .html .htm, размещенных в папке public_html/ сайта.

Комментарии к пунктам 4 и 5: Я поступила проще, для начала восстановила недельную копию сайта — вирус ушел. Хорошо что я установила ранее плагин wordpress database backup, он нужен для восстановления базы данных. Можно так же воспользоваться услугой backup, если она предоставляется вашим хостинг оператором.

6. В корневой папке аккаунта я так же создала файл с именем ftp.allow и указала в нём IP-адреса, с которых в дальнейшем будут производиться работы с аккаунтом по FTP.

С помощью лога посещений сайта есть возможность определить запросы, которые могли использовать уязвимости. По этим запросам можно будет узнать проблемные скрипты. Я запросила у хостинг оператора логи с информацией по работе с моим аккаунтом по FTP, а также информацию о
посещениях сайтов за предыдущие дни — сижу изучаю…

…………………..Продолжение следовало……………………..
Да, восстановить информацию удалось, но вирус посещал меня снова и снова, причем я поймала его на 5 сайтах, один из которых был на друпале. Этот снежный ком нужно было остановить. Описанное ниже решение не умаляет всей вышеперечисленной информации, потому саму статью сохраняю, считая ее полезной…
(с друпала вирус ушел после обновления версии, если кому интересно).

РЕШЕНИЕ КАК ОБЕЗВРЕДИТЬ Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress, БЫЛО НАЙДЕНО ПОЗЖЕ И ВОТ ОНО ПРОСТОЕ СОВЕРШЕННО!

Необходимо восстановить файл functions.php на хостинге (я просто беру оригинал темы, в нем нахожу functions.php и перезаливаю его на хостинг в соответствующую тему). Только проверьте не делали ли вы еще каких-то дополнительных изменений в этом файле. Тогда придется выверять вручную эти изменения. Я например использовала удаление записей рубрики с главной страницы WordPress и потому пришлось еще восстанавливать эти настройки, поскольку в панике о них совсем забыла, но все лучше чем перепахать все php-файлы.
Обязательно поставьте на файл functions.php, после всех изменений защиту на хостинге, у меня было 775, стало 444. Только имейте в виду, что теперь и Вы из редактора на wordpress не сможете вносить изменения в этот файл, только предварительно сняв защиту.

Все это необходимо делать после того, как вы проверите компьютер, с которого будете выходить на хостинг антивирусом и удалите все вредоносные файлы с него.

Так же советую проверить наличие вирусов в других местах блога используя данные сайты:

У меня не нашлось вирусов, Ура, а так пришлось бы перезаливать и их.
Видела на просторах интернета совет просто почистить код… я несколько раз пробовала, получается криво, потому если вы новичек, лучше восстанавливать, чем править.

Если у Вас есть еще какие-нибудь идеи, буду рада увидеть их в комментариях.

Предлагаем небольшой лайфхак по безопасности сайтов на Wordpress. Как одна из самых популярных CMS в мире, она подвержена большому количеству хакерских атак, взломов и троянов. Надеемся, предложенное решение проблемы с вирусами на Wordpress Вам поможет. Более того, решение можно использовать и для других систем. Единственное исключение — предложенные модули и плагины по безопасности WP сайта. Мы не будем говорить о смене паролей и других элементарных вещах. Основной акцент на поиске зараженных файлов и предотвращении заражения сайта в будущем.

Если Ваш сайт внешне не изменился, сраницы открываются все так же быстро — это не значит, что сайт не взломан.

С момента взлома сайта до очевидных свидетельств взлома может пройти от нескольких недель до пары месяцев.


Как понять, что сайт взломан?

Есть очень много сервисов и программ, которые проверяют сайты и отдельные файлы на вирусы. Идем с наименее сложных до более точных способов:

Еще один момент. Компании, которые предоставляют хостинг могут только указать на зараженные файлыы или наличие вирусов. Они не будут сами лечить Ваш сайт и востанавливать удаленные/поврежденные файлы.

5. Просмотреть файлы сайта вручную. Если вы видите странные файлы, это первый признак того, что сайт взломан. Примеры таких файлов в WordPress:


Способ непростой, и требует понимания файловой структуры WordPress. При этом, это довольно действенно и позволяет устранить вирус или его последствия. Например, довольно часто наблюдаются лишние папки в корне сайта:

Еще одна особенность зараженного сайта — в обычных файлах можно найти конструкции следующего характера:

Подобные фрагменты кода легко обнаружить в index.php, wp-config.php, header.php и так далее. Три безобидные строчки подключают на ваш сайт, а точнее — все страницы сайта вредоносный файл в виде скрипта или иконки сайта! Да, именно .ico файл может быть зараженным. Эта уязвимость называется WordPress SoakSoak Favicon Backdoor. И многие сайты были взломанны именно из-за нее. Она распространяется в установочных архивах плагинов и создает в самых разных папках сайта файлы иконок favicon_****.ico. Вместо **** могут быть любые символы и цифры.

Использование терминала (SSH) для поиска уязвимостей

Самым действенным является проверка кода сайта на содержание условно опасных конструкций. Именно в этом нам помогает SSH доступ к сайту и знание консольных команд Linux. Даный способ сработает, если вы знаете зараженные файлы и можете посмотреть их код. Это нужно для того, чтобы обозначить уникальные фрагменты или идинтификаторы переменных. Так как CMS WordPress написана на PHP, нужно хотя бы базовое знание языка и понимание синтаксиса.

В преведенном выше примере рекомендую искать код используя следующую команду:

Это команда выведет список всех файлов, которые содержат фрагмент кода @include «\. Таким же образом можно искать и другие фрагменты кода, например:

Плагины безопасности сайта для WordPress


Мы протестировали свыше десяти различных плагинов для безопасности сайта на WordPress. Несколько наблюдений:

  • Бесплатная версия Wordfence Security не решает проблему с вредоносными .ico файлами.
  • Мало пользы принес WordPress File Monitor, так как его функционал легко заменяется комплексными плагинами по безопасности.
  • Наиболее функциональным, на наш взгляд, оказался All In One WP Security.

У плагина есть метрика безопасности. Изначально, она ровна 0 и в процессе настройки плагина ее нужно увеличить. Вот так выглядит дашборд плагина:


Алгоритм действий по повышению безопасности сайта:

  • заменяем имя пользователя admin на другое, менее распространенное и более уникальное;
  • защищаем авторизацию (несуществующий пользователь, ограничение попыток, блокировка по IP). В целях безопасности залогиненого пользователя без активных действий, через час после авторизации будет выбрасывать с системы;
  • имзеняем префикс таблиц базы данных. Вместо wp_ устанавливаем что-то более безопасное;
  • включаем файрволл, ограничиваем доступ к XML-RPC и всем .log файлам. Защищаемся от просмотра директорий, XSS-атак и HTTP-трассировки;
  • меняем адрес для входа в админ-панель. Вместо /wp-admin ставим что-то запоминающееся, но не очевидное (admin, administrator, backoffice и .т.д не используем). Капчу не включаем, но если понадобиться — плагин позволяет это сделать;
  • есть утилита для отслеживания изменений в файлах с автооповещением и настраиваемой частотой сканирования. Сканирование вредоносных программ (malware) отсутствует, потому не ожидайте, что плагин сам укажет все файлы, которые содержат вирус;
  • плагин рекомендует настроить права на файлы и папки, что поможет еще больше обезопасить сайт.

Сразу после изменений имеем картину:



При этом, использованы около половины самых очевидных и простых функций плагина.


Еще один довольно популярный плагин для обеспечения безопасности. Среди явных преимуществ следует выделить следующее:

  1. детальные логи пользователей и статистика вызовов Iframe и Javascript;
  2. мониторинг сайта в списках вирусных баз Google, Yandex, SpamHaus и так далее;
  3. выдает рекомендации по настройке Apache;
  4. сканер показывает Scheduled Tasks, которые выполняются системой автоматически. Иногда, можно найти много интересного;
  5. функциональная и очень настраиваемая система уведомлений;
  6. из минусов — Website Firewall Protection это платна услуга.

Это далеко не все плагины, которые были нами протестированы и опробваны. Возможно, эта статья будет дополнена и улучшена со временем. Старайтесть не подвергать свои сайты опасности.

Читайте также:

  • Где в подмосковье грипп
  • Мультики по профилактике гриппа и орви
  • Как прописывается вирус в автозагрузке что это такое
  • Сдать анализы на гепатит с в королеве
  • Группа риска для вакцинации против гриппа
  • Контакты
  • Политика конфиденциальности