Поисковый редирект вирус wordpress
Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам - это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов.
В данной статье я рассмотрю основные варианты встраивания вирусных редиректов.
Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!
Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.
В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта
Все что связано с Rewrite стоит проверить, куда перенаправляет.
Ниже я приведу пару вредоносных вставок - которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами - тут много названий):
Если увидите что-то подобное - смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS - там не будет находиться вирус!
Обычно редиректы прописывают для запросов с мобильных и планшетов:
android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков
как и для переходов с поисковых систем:
Если этот пункт не помог, то стоит обратить внимание на код страницы - порой часто редирект добавляют через Javascript
Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.
Обязательно проверяйте индексные файлы и папку шаблона - это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php - в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.
Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.
К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка
Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php
не подскажите что это за папка
вот полный путь до папки
в файле .htaccess
order deny,allow
deny from all
в файле .htaccess.backup
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %
RewriteCond %
RewriteRule . /index.php [L]
order allow,deny
deny from all
в файле index.html
там пусто никаких записей нет
Подскажите пожалуйста если можно, что еще можно было бы поставить с связке с
All In One WP Security
какой нибудь сканер, если были изменения в файлах и автоматически сканировал сайт, буквально все что бы можно было бы обезопасить сайт?
Сделать такую связку чтобы они не конфликтовали между собой
Начала заниматься с вордпресс совсем недавно, и как этот движок самый распространенны й то ломают его часто, хотелось бы как сказать во все оружие встретить если что
Вроде бесплатных много есть плагинов, но не ставить же все подряд, чтобы конфликта не было
Если есть мысль было бы хорошо
Насчет крона это не про меня, не настолько понимаю
В любом случае спасибо что подсказали
Добрый день всем.
Пишу из за того что не знаю что уже делать. у меня на сайтах укакой то вирус который делает редирект с них. только в том случае если человек перрвый раз переходит из поисковиков путем нажатия на ссылку ведущую на мой сайт.
- Дело в том что эта "зараза" распростроняетс я и на поддомене.
Мы уже все снесли, все конструкторы и установили сайты заново, чистые аккуратно и без вируса, становится понятно что дело не в сайтах, не в их коде, Свои пк Ноутбук проверены разными антивирусами, но все ровно идет редирект, мы выходили специально даже от друзей, где они вообще ни имею отношения к нашим сайтам, но и там все происходит как на ролике выше. остается только один голый домен. помогите пожалуйста решить эту проблему, у меня весь трафик уходит налево, да ладно если бы просто уходил, так он ведет на проверенны лохотрон, люди страдают.
и так на всех моих сайтах и их поддоменах.
Я точно знаю что дело не в сайтах и не моих ПК.
Дело в самих доменах. Помогите прошу люди решить эту задачу.
По всей видимости, Ваш сайт был взломан. Такой диагноз я получила сегодня… Пришлось отложить все дела и целенаправленно заняться решением данной задачи!
Так что же было и что делать?
ИТАК хостинг оператор констатировал, что размещение вредоносного содержимого могло произойти несколькими способами:
— через уязвимости в скриптах размещенных на аккаунте сайтов;
— из-за утери данных для FTP-доступа (в последнее время широкое распространение
получили вирусные программы, производящие хищение данных для работы по FTP с
компьютера администратора сайта).
Какие действия я предпринимала и могу рекомендовать для решения проблемы:
1. Сразу нужно проверить антивирусом все компьютеры, с которых ведется работа с аккаунтом.
На этих компьютерах вероятно имеется вирус, с помощью которого злоумышленники смогли получить данные для FTP-доступа к хостинг аккаунту. У меня на одном из компьютеров так и оказалось, я очень редко его задействую, но вот случилось… Оказывается срок лицензии антивируса истек…
2. Далее следует сменить пароль доступа к основному аккаунту а также пароли к дополнительным FTP-аккаунтам (если они есть).
4. Проверяйте всю домашнюю директорию Вашего аккаунта на предмет присутствия в ней посторонних папок и файлов, явно не имеющих отношения к размещаемым Вами данным. Удалите подобные папки или файлы в случае обнаружения. При проверке следует ориентироваться на файлы с подозрительными именами а также недавней датой изменения.
5. Так же проверяйте содержимое Ваших файлов на предмет наличия вставок постороннего кода, удалить эти вставки в случае обнаружения. Посторонний код часто обнаруживается в индексных страницах сайтов либо же в файлах с расширениями .php .html .htm, размещенных в папке public_html/ сайта.
Комментарии к пунктам 4 и 5: Я поступила проще, для начала восстановила недельную копию сайта — вирус ушел. Хорошо что я установила ранее плагин wordpress database backup, он нужен для восстановления базы данных. Можно так же воспользоваться услугой backup, если она предоставляется вашим хостинг оператором.
6. В корневой папке аккаунта я так же создала файл с именем ftp.allow и указала в нём IP-адреса, с которых в дальнейшем будут производиться работы с аккаунтом по FTP.
С помощью лога посещений сайта есть возможность определить запросы, которые могли использовать уязвимости. По этим запросам можно будет узнать проблемные скрипты. Я запросила у хостинг оператора логи с информацией по работе с моим аккаунтом по FTP, а также информацию о
посещениях сайтов за предыдущие дни — сижу изучаю…
…………………..Продолжение следовало……………………..
Да, восстановить информацию удалось, но вирус посещал меня снова и снова, причем я поймала его на 5 сайтах, один из которых был на друпале. Этот снежный ком нужно было остановить. Описанное ниже решение не умаляет всей вышеперечисленной информации, потому саму статью сохраняю, считая ее полезной…
(с друпала вирус ушел после обновления версии, если кому интересно).
РЕШЕНИЕ КАК ОБЕЗВРЕДИТЬ Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress, БЫЛО НАЙДЕНО ПОЗЖЕ И ВОТ ОНО ПРОСТОЕ СОВЕРШЕННО!
Необходимо восстановить файл functions.php на хостинге (я просто беру оригинал темы, в нем нахожу functions.php и перезаливаю его на хостинг в соответствующую тему). Только проверьте не делали ли вы еще каких-то дополнительных изменений в этом файле. Тогда придется выверять вручную эти изменения. Я например использовала удаление записей рубрики с главной страницы WordPress и потому пришлось еще восстанавливать эти настройки, поскольку в панике о них совсем забыла, но все лучше чем перепахать все php-файлы.
Обязательно поставьте на файл functions.php, после всех изменений защиту на хостинге, у меня было 775, стало 444. Только имейте в виду, что теперь и Вы из редактора на wordpress не сможете вносить изменения в этот файл, только предварительно сняв защиту.
Все это необходимо делать после того, как вы проверите компьютер, с которого будете выходить на хостинг антивирусом и удалите все вредоносные файлы с него.
Так же советую проверить наличие вирусов в других местах блога используя данные сайты:
У меня не нашлось вирусов, Ура, а так пришлось бы перезаливать и их.
Видела на просторах интернета совет просто почистить код… я несколько раз пробовала, получается криво, потому если вы новичек, лучше восстанавливать, чем править.
Если у Вас есть еще какие-нибудь идеи, буду рада увидеть их в комментариях.
Уроки разработки из собственного опыта
Я буду больше обращать внимание на WordPress, но многие советы будут полезны и людям, работающим на других движках.
Часто ко мне обращаются люди с вопросом чистки сайта на WordPress и как определить что сайт был взломан. Я расскажу вам какие бывают вирусы и насколько сложно с ними бороться.
Это сообщение появляется, если google подозревает, а точнее почти уверен, что ваш сайт был взломан. Что делать и куда бежать в таком случаи? Действий не так много их всего 5:
- Почистить сайт от шелов и разных вирусов, об этом чуть позднее;
- обновить WordPress и все плагины со старых версий до самых последних (лучше делать ручное обновление);
- настроить защиту сайта, тоже позднее расскажу немного об этом;
- проверить насколько хороший хостинг и перенести на более надежный, я советую хостинг ukraine как и раньше;
- проверить, не лежат ли вирусы в базе данных;
Не забывайте делать бекап перед каждым действием, а также после всех 5 этапов, тоже сделайте бекап, в том случаи, если вам не удалось с первого раза почистить и надо искать более изощренные методы сканирования сайта.
Я бы советовал зайти в Webmaster Google и запросить повторную проверку сайта. Скорость проверки Webmaster Google будет зависеть от степени заражения.
Бывают 2 степени сложности заражения:
- Если вам залили вредоносный код через который получают доступ к сайту, публикуют ссылки … Вообщем ломают только вас и вредят только вам.
- Если ваш сайт взломали и пытаются разослать спам или ломать других.
В первом случаи сотрудники Google даже не проверяют сайт, так как это может сделать система на автомате (у меня было от 10 минут до нескольких часов).
Во втором случаи для того чтобы убедится что с вашего сайта нет угроз которые могут нанести вред другим сайтам Google отправляет специального человека который выверяет сайт. Во втором случаи проверка может длиться 1-2 недели.
Советую не затягивать с чисткой сайта, так как чем дольше будите оттягивать, тем хуже буду ваши позиции в поисковых системах.
Такие вирусы встречаются сплошь и рядом. Искать такие вирусы необходимо в файле htaccess в корне сайта, если там нет, то можно поискать файл htaccess и в других папках сайта. Еще можно перебрать функции редиректов которые могут использоваться на разных языках программирования. Я бы советовал сканировать сайт на наличие бекдоров, ведь вам же этот код как-то внедрили. Начинайте сканировать WordPress на вирусы, чистить, и менять пароли.
Более сложный вирус с редиректом. Часто редирект ставиться под определенную поисковую систему, так он менее заметен для администратора, а вот пользователи, которые заходят с поисковых запросов попадают на сайт какой-то ерунды, которую им пытаются продать.
Редирект с мобильного устройства IPhone или Android это еще круче спрятанный редирект, который перенаправляет только мобильный трафик. К щастью поисковые системы в своих вебмастерах хорошо видят это, но в любом случаи иногда полезно зайти на сайт с любого мобильного устройства и посмотреть как он работает.
Редирект со всех ссылок это еще один до простого деревянный, но очень вредный симптом. В перву очередь вредный для продвижения сайта. Такое случалось раньше на заре интернета, когда хакеры ломали много и дальше часто не знали толком что делать со взломанными сайтами. Первое что приходило на ум, просто перенаправить весь трафик на какую-то партнерку или попытаться втюхать товар, вдруг кто-то что-то купит. Проблема у них была в том, что трафик был не целевой и продажи получались крайне редко, в этом я как SEO специалист могу вас заверить.
Такой вирус увидеть вообще сложно было, клиент случайно нажал на свою рекламу и попал на какой-то левый сайт. Очень удивился и попросил меня удалить все угрозы.
Вирус по симптомам показался сложным, но разобравшись поподробнее, я увидел, что код там был простой. Хакер оказался гениальным программистом. Удалив вирус пришлось еще находить кучу зашифрованного кода который был раскидан по всем файлам сайта. Сложно, но уже все поправлено.
Ох уж этот спам, трепет он нервы людям, а вот отдачи для хакеров от такого вида рекламы особо можно не ждать, так как аудитория чаще всего не целевая.
Какие же проблемы возникают при постоянном заражении сайта и рассылке спама?
- У хостингов это головная боль с нагрузкой на серверах,
- сайтам проседание в выдаче поисковых систем.
Все плохо, но лечить можно. Простые методы, такие как обновить все плагины и WordPress тут не помогут, все сложнее. Нечего прикладывать подорожник к экрану и ждать когда заживет! :-). Используйте все советы по выявлению и обезвреживанию вирусов, описанные в первом симптоме. Кстати наверное большая часть хостингов не обеспечивают должной защиты, заражение может быть через их сервисы, а при заражении ругаться такие хостинги будут на владельцев (себя же не обвинишь!). Про хостинги поговорим чуть позднее.
Весело так получается, например вы вставляете в админке в новую статью картинку или какой нибудь медиафайл, а с ним вставляется код, который в скрытом виде подставляет зараженный файл. Для удаления такого вируса мне пришлось перебрать те куски кода которые вставлял вирус найти схожие места в коде, по ним найти все фрагменты вируса в базе и удалить его. В общем чистить было весело и задорно, все сотрудники сидевшие рядом узнали массу новых слов.
- Выбирайте только надежный хостинг с разграничениями прав между доменами, так чтобы взломав один сайт на хостинге злоумышленник не смог добраться до остальных.
- Закрывайте логины пользователей так, чтобы их нельзя было найти. Часто всякие WordPress плагины форумов, соцсетей, магазинов их очень хорошо отображают.
- Пользуйтесь только проверенными плагинами и темами, я бы советовал качать плагины и темы из официального репозитория. Можно также покупать темы на известных маркетплейсах на которых есть контроль качества кода. Я обычно если покупаю то использую маркетплейс evanto.
Если тема старенькая и ее не как достать из надежного источника, то лучше ее даже не использовать и выбрать другую. Как альтернатива можно дать тему на чистку специалиту, но цена может быть почти такой же как купить новую. - Купили хостинг, создали сайт и настраивайте сложные пароли это залог защиты, по крайней мере от 90% взломов. Внушительно, не правда ли?
- Ставьте капчу везде где есть формы. Форма логина, регистрации, восстановления пароля, комментарии. Так можно отсеять часть роботов, которые могут перебрать пароли.
- Блокируйте запросы в строке адреса, которые могут привести к ошибкам.
- Скрывайте на сервере вывод ошибок.
- Хорошо скрывайте версию движка и сам движок, насколько это возможно.
- Время от времени делайте ручную копию сайта на внешний носитель.
- Вовремя обновляйте все плагины после создания дампа базы и копии файлов (причем ели давно не обновляли, то лучше обновлять версию за версией).
Если WordPress сайт постоянно заражают вирусами значит, пропустили дыру или бекдор
- Если сайт был заражен, то делайте только ручное обновление системы.
- Удаляйте все неактивные плагины и темы, весь хлам, где могут быть вирусы.
- Чистите все найденные вредоносные коды.
- Только когда все вычистите, начинайте ставить защиту.
От всех взломов защититься невозможно, все что было сделано человеком им же может быть и взломано, но хорошая защита может оттянуть такой взлом лет на 100.
Все виды вирусов ухудшают показатели сайта в поиске, а владелец может о них даже и не знать, пока хакер просто не начнет обрабатывать его сайт. Вообще очень желаю всем хакерам найти свою нишу, так как люди, которые делают такой замечательный и крутой код могли бы делать его с пользой для других и себя, не зарабатывать на взломах сайтов, а предлагать крутые сервисы которые приносили бы им постоянный доход.
Если так случилось что ваш сайт был заражен и нарушена его работоспособность, то напишите мне и я постараюсь вам помочь.
Если ваш сайт взломали — не паникуйте.
В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.
В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.
Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.
В третьем способе вы установите плагин.
Убедитесь, что сайт взломан
Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.
Ваш сайт взломан, если:
Сделайте бэкап
После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.
Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.
Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.
Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.
Что можно безопасно удалить с любого взломанного сайта
- Обычно можно удалить все содержимое папки wp-content/plugins/ . Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins , но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
- Оставьте только одну тему в папке wp-content/themes/ , все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
- В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс.
- Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old или /backup . Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.
Как очистить Вордпресс сайт от заражения. Способ 1
- Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
- Скачайте на компьютер файл wp-config.phpиз корневой папки сайта, папку /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
- Полностью удалите сайт и базу данных с сервера.
- Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
- Перенесите настройки связи с базой данных из сохраненного файла wp-config.php в новый из этой части файла:
Как удалить вредоносный код и вылечить сайт. Способ 2
Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):
Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:
Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.
Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:
Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.
Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.
Хакеры часто используют эти функции:
- base64
- str_rot13
- gzuncompress
- eval
- exec
- create_function
- system
- assert
- stripslashes
- preg_replace (/e/)
- move_uploaded_file
Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.
Более аккуратный запрос может быть таким:
Эта команда покажет все файлы, в которых встречается фраза hacker was here .
Хакеры часто внедряют код в папку /uploads . Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.
Использование запросов find и grep поможет вам очистить сайт от заразы.
Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3
Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.
Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО
Что делать с зараженными файлами
В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.
- Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
- Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
- Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
- Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
- Если ничего не помогло — обратитесь к профессионалам в платный сервис.
Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.
- Зайдите в Инструменты вебмастера Гугл
- Добавьте свой сайт, если вы его еще не добавили
- Подтвердите владение сайтом
- На главной странице вашего аккаунта Инструментов вебмастера Гугл выберите ваш сайт
- Кликните Проблемы безопасности
- Нажмите Запросить проверку
Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее. Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting. Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.
Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.
Что делать, чтобы сайт не заразился снова?
- Регулярно обновляйте версию Вордпресс, тем и плагинов по мере выхода новых версий. Автообновление Вордпресс.
- Используйте сложные логины и пароли. Рекомендация для пароля: пароль должен быть не менее 12 символов, содержать заглавные и строчные буквы, цифры и символы.
- Выбирайте темы и плагины от проверенных авторов.
- Используйте надежный хостинг. Обзор хостинга Бегет.
- Установите плагин безопасности. 7 Лучших плагинов защиты Вордпресс.
- Настройте автоматический бэкап всех файлов и базы данных. Бэкап Вордпресс.
- Удалите все старые версии сайта с сервера.
- Читайте Безопасность Вордпресс. Подробное описание.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
В 2017 году на разных сайтах появились сообщения о вирусе, который атакует сайты под управлением WordPress.
Тогда вирус использовал различные уязвимости в плагинах WordPress.
Но, уязвимости закрыли, некоторые плагины убрали из официального репозитория WordPress и в срочном порядке были выпущены обновления безопасности для действующих плагинов. И в принципе, проблему решили. Но, не надолго. Вирус вдруг снова появился и продолжает наводить ужас на владельцев сайтов.
Сегодня вирус внедряется в ключевые файлы сайта и вставляет свой include для включения зловредного кода в PHP-файлы WordPress.
Основная причина заражения сегодня – это установка плагинов и шаблонов WordPress из неофициальных источников. Др. словами, установка шаблонов скачанных из паблика.
На что способен вирус Wp-vcd?
Возможные последствия от заражения
Как диагностировать заражение
- Проверяйте сообщения на хостинге – на какие зараженные файлы указывает хостинг.
- Самостоятельно проверьте файлы сайта (об этом дальше).
- Регулярно мониторьте сайт, его позиции, поведенческие факторы, посещение и т.д.
- Добавьте свой сайт в Яндекс вебмастер и в Search Console, чтобы вовремя получать важные уведомления о состоянии сайта.
Какие файлы нужно проверять и чистить?
Удалите немедленно на своем сайте шаблоны и плагины WordPress скачанные из паблика (из открытых источников) и которые могут быть причиной заражения.
После этого выполните следующие рекомендации:
Используя FTP или файловый менеджер хостинга перейдите в корень установки WordPress, в папку /wp-includes/
Обратите внимание на следующие файлы:
Если вы у себя видите файлы, которые внизу на скриншоте обведены красным, я Вас поздравляю – Ваш сайт заражен!
Но, не стоит сразу выпивать весь флакон успокоительного или сердечного, решение вашей проблемы есть и мы пошагово его рассмотрим.
1. Откройте файл post.php – это родной файл WordPress, но с него все и начинается.
Вы должны удалить этот код и сохранить файл:
В первой строке файла должно остаться:
2.Удалите эти файлы: wp-feed.php, wp-tmp.php, wp-vcd.php
В каждом шаблоне, который присутствует в папке /wp-content/themes/ вы должны открыть файл functions.php
Вот пример начало кода темы WordPress по умолчанию:
В зараженной теме перед этим фрагментом будет большой кусок чужого кода. Ваша задача – этот код удалить. Вот ссылка на код вируса в файле functions.php.
В шаблоне или плагине, который был скачан из паблика может присутствовать файл class.theme-modules.php. Его необходимо удалить. Вообще, лучше полностью удалить сомнительные шаблоны и плагины.
Чтобы спать спокойно, рекомендую проверить базу данных сайта на наличие скрытого администратора.
В админке, в разделе Пользователи, как правило мы не увидим скрытого админа. Но, на его наличие может указывать счетчик админов во вкладке Администраторы. Например, цифра будет 2, хотя настоящий админ один. А может быть, что цифра будет 1, хотя админов 2.
На скриншоте один админ, а в БД их 2:
Пользователи
В любом случае, нужно проверять Базу данных.
Для этого перейдите в phpmyadmin на вашем хостинге. Откройте нужную базу данных, перейдите на вкладку SQL и выполните следующий запрос:
В результате выполнения этого запроса вам будут показаны все пользователи, которые имеют права Администратора.
Пользователь с ID 1 – это вы. А второго, у которого могут быть разные ID можете удалить. Чтобы удалить пользователя, отметьте его и нажмите на красный крестик ниже.
Если после этой операции, через некоторое время снова появился скрытый админ, значит у вас в файлах темы есть чужой код, который инициирует появление скрытого админа. Удалите сначала этот код, потом удалите скрытого админа.
Профилактика заражения вирусом Wp-vcd
- Пользуйтесь хостингом с функцией изоляции сайтов друг от друга.
- Регулярно обновляйте CMS WordPress, шаблоны и плагины WordPress.
- Устанавливайте шаблоны и плагины WordPress из официальных источников.
- Для теста шаблонов и плагинов взятых из открытых источников используйте локальный вебсервер, например OpenServer.
Во время написания этой статьи, ни один пушистый сайт не пострадал.
Читайте также: