WordPress е една от най-популярните системи за управление на съдържанието, използвана за всичко - от блогове до електронна търговия. Има широка гама от плъгини и теми за WordPress. Случва се някои от тези разширения да попаднат в ръцете на уеб администратори, след като някой нападател е работил върху тях.

За своя полза той би могъл да остави рекламни връзки в тях или код, с който ще управлява вашия сайт. Много потребители на WordPress нямат страхотно преживяванев уеб програмирането и не знаят как да действат в такава ситуация.

За тях прегледах деветте най-ефективни инструмента за откриване на злонамерени промени в кода на сайт на живо или инсталирани добавки.

1. Проверка за автентичност на темата (TAC)

Theme Authenticity Checker (TAC) е плъгин за WordPress, който сканира всяка инсталирана тема за подозрителни елементи като невидими връзки или Base64 криптиран код.

Когато бъдат намерени такива елементи, TAC ги докладва на администратора на WordPress, което му позволява самостоятелно да анализира и, ако е необходимо, да коригира изходните файлове на темата:

2. Скенер за експлоатиране

Exploit Scanner сканира целия изходен код на вашия сайт и съдържанието на базата данни на WordPress за съмнителни включвания. Точно като TAC, този плъгин не предотвратява автоматично атаки или се справя автоматично с техните последици.

Той показва само откритите симптоми на инфекция на администратора на сайта. Ако искате да премахнете злонамерения код, ще трябва да го направите ръчно:

3. Sucuri Security

Sucuri е добре познато решение за сигурност на WordPress. Плъгинът Sucuri Security следи файловете, качени на вашия WordPress сайт, поддържа свой собствен списък с известни заплахи и ви позволява да сканирате отдалечено сайта с помощта на безплатния скенер Sucuri SiteCheck. Срещу месечна такса можете допълнително да засилите защитата на сайта, като инсталирате мощна защитна стена Sucuri Website Firewall:

4. Анти-зловреден софтуер

Anti-Malware е плъгин за WordPress, който може да открива и премахва троянски коне, бекдори и друг злонамерен код.

Опциите за сканиране и изтриване могат да бъдат конфигурирани. Този плъгин може да се използва след безплатна регистрация в gotmls.

Плъгинът редовно осъществява достъп до уебсайта на производителя, като му изпраща статистика за откриване на злонамерен софтуер и получава актуализации. Ето защо, ако не искате да инсталирате плъгини на вашия сайт, които следят работата му, тогава трябва да избягвате използването на Anti-Malware:

5.WP Antivirus Site Protection

WP Antivirus Site Protection е плъгин, който сканира всички файлове, качени на сайта, включително теми на WordPress.

Плъгинът има собствена база данни с подписи, автоматично актуализирана през мрежата. Той може автоматично да премахва заплахите, да уведомява администратора на сайта по имейл и много други.

Плъгинът е инсталиран и функционира безплатно, но има няколко платени добавкизаслужава да се обърне внимание на:

6. Антивирус за WordPress

AntiVirus за WordPress е лесен за използване плъгин, който е в състояние редовно да сканира вашия сайт и да изпраща имейл сигнали за проблеми със сигурността. Плъгинът има персонализиран бял списък и други функции:

7. Quterra Web Malware Scanner

Скенерът Quterra проверява сайта за уязвимости, инжекции на код на трети страни, вируси, бекдори и др. Скенерът има такива интересни функции като евристично сканиране, откриване на външни връзки.

Основните функции на скенера са безплатни, докато някои допълнителна услугаще ви струва $60 на година:

8.Wordfence

Ако търсите цялостно решение на проблемите със сигурността на вашия сайт, не търсете повече от Wordfence.

Този плъгин осигурява постоянен Защита на WordPressот известни видове атаки, двуфакторна автентификация, поддръжка на „черен списък“ от IP адреси на компютри и мрежи, използвани от хакери и спамъри, сканиране на сайта за известни бекдори.

Този плъгин е безплатен в основната си версия, но има и първокласна функционалност, за която производителят изисква скромна абонаментна такса.

Wordfence сигурностизвършва задълбочена и задълбочена проверка на сайта за уязвимости както в самото ядро ​​на Wordpress, така и в темите и плъгините.

Той използва WHOIS услуги за наблюдение на връзките и е в състояние да блокира цели мрежи благодарение на вградена защитна стена. Когато бъдат открити нови атаки (дори и да ударят друг сайт с инсталиран WordFence), наборът от правила на защитната стена автоматично се актуализира, за да се противодейства най-ефективно на заплахите.

Wordfence Security е безплатна и с отворен код, но офертата за абонамент допълнително ще защити вашия сайт чрез актуализиране на вашата защитна стена, подписи за злонамерен софтуер и IP адреси в черния списък в реално време

Цена за премиум абонамент: до $99 на година (достъпни са значителни отстъпки за множество или по-дълги покупки)

Антивирус

Антивирусработи точно като обикновена антивирусна програма - извършва ежедневно сканиране на целия сайт (включително теми и бази данни), като изпраща отчет до определен имейл. Следите за сканиране и почистване се извършват и при деинсталиране на плъгините.

Когато се открият подозрителни или опасни дейности, известията за това се изпращат на същия имейл адрес и се показват в административния панел.

Quttera уеб скенер за злонамерен софтуер

много мощен скенер, който търси уязвимости като злонамерени скриптове, троянски коне, бекдори, червеи, шпионски софтуер, експлойти, злонамерени вградени рамки, пренасочвания, обфускиране и други нежелани или опасни промени в кода. Освен това плъгинът проверява дали сайтът ви е в черен списък.

Цена: Безплатни, но разширени функции като коригиране на известни уязвимости и почистване на злонамерени файлове са достъпни срещу заплащане (от $119 на година)

Анти-зловреден софтуер

Anti-Malware сканира и неутрализира известните този моментуязвимости, включително бекдор скриптове. Автоматично актуализира антивирусни бази данни, за да открие най-новите вируси и експлойти. Вградената защитна стена блокира въвеждането на вируса SoakSoak и други експлойти в плъзгачи и някои други плъгини.

WP Antivirus Защита на сайта

WP Antivirus Site Protection сканира всички свързани със сигурността файлове, включително теми, плъгини и качвания в папката за качване. Откритият зловреден софтуер и вируси ще бъдат незабавно премахнати или преместени в карантина.

Скенер за експлоатиране

Exploit Scanner не премахва подозрителен код - оставя "мръсната" работа на администратора. Но от друга страна, той върши добра работа при не по-малко важна и по-отнемаща време операция на своя Търсене. И бъдете сигурни, че той ще го намери, независимо дали е в базата данни или в обикновени файлове.

Centrora Security

Плъгинът Centrora Security е направен на принципа на "швейцарски нож" - той е цялостен инструмент за цялостна защита на сайта от всички видове заплахи. Той има вградена защитна стена, резервен модул и редица скенери, които проверяват правата за достъп, търсят зловреден код, спам, SQL инжекция и други уязвимости.

Системата за управление на съдържанието на WordPress, поради огромната си популярност, също привлича недоброжелатели. Освен това „двигателят“ се разпространява безплатно, така че е още по-застрашен от пробив в сигурността. Самият WordPress е доста сигурен софтуер. Дупките започват да се отварят, когато потребителят инсталира плъгини и теми.

Несигурност на приставки и теми

За съжаление, не винаги е възможно да сте сигурни в безопасността и безвредността на темите или плъгините. Техните платени версии имат много специфични разработчици, които ценят репутацията си. В резултат на това техните продукти са повече Високо качество, и вероятността да получите някакъв злонамерен код заедно с тях е доста ниска. Но, като нашите житейски опитИма изключения от всяко правило. Някои хора добавят безобиден код, за да предоставят обратна връзка, докато други го правят с напълно различна цел. Дори в самия „двигател“ понякога се разкриват уязвимости, които позволяват на нападателя да инжектира кода си в ядрото му.

Плъгини за защита от вируси

За щастие има редица полезни решения за WordPress, които могат напълно да сканират вашия ресурс за всякакви уязвимости и злонамерен код и ако бъдат открити, да посочат конкретното местоположение на тяхното „обитание“ или напълно да ги неутрализират. Нека да разгледаме някои доста висококачествени и надеждни плъгини за защита на вашия WordPress сайт.

Sucuri Security

Безплатният плъгин Sucuri Security е водещ инструмент за сигурност и се използва от огромен брой потребители на WordPress. Решението предоставя сайтове с няколко вида и нива на защита, сред които са следните:

• сканиране на всички файлове за злонамерен код;
• следене на целостта на файловете;
• регистриране на всички операции, свързани с безопасността;
• идентифициране и уведомяване за риска сайт да бъде в черен списък ESET, Нортън, AVGи т.н.;
• автоматично изпълнение на определени действия в случай на откриване на хакване.

Wordfence сигурност

Wordfence Security е решение, което извършва задълбочена проверка на уеб ресурс за уязвимости и злонамерен код не само във файловете на теми и плъгини, но и в самото ядро ​​на „двигателя“.

Плъгинът използва КОЙ Е-услуги за наблюдение на връзки. Благодарение на вградената защитна стена, той е в състояние да блокира цели мрежи. Веднага след като се открие мрежова атака, наборът от правила на защитната стена автоматично се актуализира незабавно, за да се противодейства най-ефективно на заплахите.

Антивирус

Приставката AntiVirus извършва ежедневно сканиране на всички файлове на сайта (включително теми, база данни) и изпраща електронна поща- докладвайте на посочения адрес. Освен това, Антивируссканира и почиства следи и при премахване на плъгини.

Quttera уеб скенер за злонамерен софтуер

Списъкът за сканиране и откриване на мощния Quttera Web Malware Scanner включва следните уязвимости:

• злонамерени скриптове;
• троянски червеи;
• шпионски софтуер;
• задни врати;
• подвизи;
• пренасочва;
• злонамерен вградени рамки;
• замъгляване и др.

В допълнение към този списък, плъгинът проверява дали сайтът е в черен списък.

Защита срещу злонамерен софтуер и защитна стена за груба сила

Добавяне Защита срещу злонамерен софтуер и защитна стена за груба сила l Проектиран да сканира и неутрализира познатите в момента уязвимости, включително скриптове задна врата. Антивирусните бази данни на приставката се актуализират автоматично, което ви позволява да откривате най-новите вируси и експлойти. Плъгинът има вградена защитна стена, която блокира мрежовите заплахи.

Характеристика на приставката е да осигури допълнителна защита на сайта (защита срещу груба сила, DDoSатаки, както и проверка на целостта на ядрото на WordPress). За да направите това, просто трябва да се регистрирате на уебсайта gotmls.net.

WP Antivirus Защита на сайта

WP Antivirus Site Protection сканира всички свързани със сигурността файлове на сайта, включително теми, плъгини и изтегляния в папка качвания. Откритият злонамерен код и вирусите ще бъдат незабавно премахнати или преместени в карантина.

Скенер за експлоатиране

Приставката Exploit Scanner се занимава единствено с идентифициране на подозрителен код (файлове на уебсайтове и база данни). Веднага щом нещо бъде открито, администраторът на сайта ще бъде незабавно уведомен за това.

Centrora WordPress сигурност

Цялостното решение Centrora WordPress Security е многостранен инструмент за защита на уеб ресурс от всички видове заплахи. Включва следните функции:

• търсене на злонамерен код, спам, SQL- инжекции;
• наличието на защитна стена;
• наличието на скенер за проверка на правата за достъп;
• извършване на архивиране.

Моля, кликнете върху един от бутоните, за да разберете дали статията ви е харесала или не.

Харесва ми не ми харесва

Ако вашият сайт е бил хакнат, не се паникьосвайте.

В тази статия ще научите 2 начина за ръчно почистване на сайт от зловреден код и спам и 1 начин с помощта на плъгин.

По първия начин експортирате базата данни и някои файлове. След това ще преинсталирате WordPress, ще импортирате базата данни обратно и ще импортирате няколко настройки от запазените файлове.

При втория метод ще изтриете някои от файловете и ще се опитате да намерите инжектирания код с помощта на команди в SSH терминала.

При третия метод ще инсталирате приставката.

Уверете се, че сайтът е хакнат

Ако смятате, че сайтът е хакнат, уверете се, че е вярно. Понякога сайтът може да се държи странно или може да си помислите, че сайтът е хакнат.

Вашият сайт е бил хакнат, ако:

• Виждате спам, който се появява на вашия сайт в горния или долния колонтитул, който рекламира казина, портфейли, незаконни услуги и т.н. Такава реклама може да е невидима за посетителите, но видима за търсачките, като например тъмен текст на тъмен фон.
• Правите заявка site:your-site.ru в Yandex или Google и виждате съдържание на страниците на сайта, което не сте добавили.
• Вашите посетители ви казват какво ги пренасочва към други сайтове. Тези пренасочвания могат да бъдат конфигурирани така, че да не работят с администратора на сайта, а да работят за нормални потребители и да са видими за търсачките.
• Получили сте съобщение от вашия хостинг доставчик, че вашият сайт прави нещо злонамерено или изпраща спам. Например, че вашият сайт изпраща спам или има връзка към вашия сайт в интернет спам. Хакерите изпращат спам, включително от заразени сайтове, и използват заразени сайтове, за да пренасочват потребителите към техните сайтове. Те правят това, защото искат да избегнат филтрите за спам, така че сайтовете им да не бъдат санкционирани от търсачките. Когато заразен сайт удари филтри за спам, хакерите го напускат и използват други.

Направете резервно копие

След като се уверите, че сайтът е бил хакнат, архивирайте целия сайт с помощта на плъгин, архивирайте приложението на хостинг или чрез FTP.

Някои хостинг доставчици може да премахнат сайт, ако им кажете, че сайтът е бил хакнат или ако хостинг доставчикът го определи. Собствениците на хостинг могат да изтрият сайт, за да предотвратят заразяването на други сайтове.

Също така направете резервно копие на база данни. Ако нещо се обърка, винаги можете да се върнете към хакнатата версия на сайта и да започнете отначало.

Отидете на Настройки за сканиране, Регистрирайте се в десния прозорец Актуализации и регистрациии натиснете Изпълнете Пълно сканиране.

Услуги, при които можете да проверите сайта за злонамерен софтуер

• Unmask Parasites е доста проста услуга за проверка на уебсайтове. Първата стъпка е да се определи дали сайтът е бил хакнат.
• Sucuri Site Check е добра услуга за намиране на инфекции в уебсайт. В допълнение към скенера, той показва дали сайтът е включен в списъците със злонамерени сайтове. В момента има 9 обяви.
• Norton Safe Web е робот за сайтове от Norton.
• Quttera - Сканира уебсайт за злонамерен софтуер.
• 2ip - проверява за вируси и включване в черните списъци на Yandex и Google.
• VirusTotal е най-готината услуга за сканиране на уебсайтове, която използва повече от 50 различни скенера - Kaspersky, Dr.Web, ESET, Yandex Safebrowsing и други. Можете да сканирате уебсайт, IP адрес или файл.
• Web Inspector е друга добра услуга, която проверява сайта за червеи, троянски коне, бекдори, вируси, фишинг, зловреден софтуер и подозрителен софтуер и т.н. В рамките на няколко минути той генерира доста подробен отчет.
• Премахване на зловреден софтуер – сканира сайта за злонамерен софтуер, вируси, вградени скриптове и т.н.
• Scan My Server - сканира сайта за злонамерен софтуер, SQL инжекции, XSS и т.н. Необходима е безплатна регистрация за използване. Доста подробни отчети идват на имейл веднъж седмично.

Какво да правя със заразени файлове

В зависимост от това, което намерите, можете да изтриете целия файл или само частта, която хакерът е добавил.

• Ако намерите бекдор файл, който съдържа само злонамерен скрипт, изтрийте целия файл.
• Ако откриете злонамерен код във файл на WordPress, тема или плъгин, изтрийте целия файл и го заменете с оригиналния от официалната страница.
• Намерили сте злонамерен код във файл, който вие или някой друг сте създали ръчно - изтрийте злонамерения код и запазете файла.
• Може би имате незаразена версия на сайта в архива си, можете да възстановите сайта от старата версия. След възстановяване, актуализиране на WordPress, плъгини и тема, променете паролата и инсталирайте плъгин за защита.

Посетителите на сайта получават предупреждения от защитни стени и антивирусни програми. Какво да правя?

Аналогично със списъка със заразени сайтове на Google, трябва да премахнете сайта от списъците на всички антивирусни програми: Kaspersky, ESET32, Avira и т.н. Отидете на уебсайта на всеки производител и намерете инструкции как да премахнете сайта си от списъка с опасни сайтове. Това обикновено се нарича бели списък. Въведете в търсачката eset whitelist website, avira site remove, mcafee false positive, това ще ви помогне да намерите правилната страница на тези сайтове, за да изключите вашия сайт от списъка със сайтове, съдържащи зловреден софтуер.

Как да разбера дали моят сайт е в списъка с опасни сайтове, съдържащи зловреден софтуер?

https://transparencyreport.google.com/safe-browsing/search?url=your-site.ru

Там можете също да проверите поддомейните на вашия сайт, ако има такива. На тази страница ще намерите подробна информация за вашия сайт, независимо дали е в списъците със зловреден софтуер или фишинг сайтове и какво да правите, ако е.

Какво трябва да направя, за да предотвратя повторното заразяване на сайта?

• Актуализирайте WordPress, темите и плъгините редовно с пускането на нови версии. .
• Използвайте сложни входове и пароли. Препоръка за парола: Паролата трябва да е дълга поне 12 знака, да съдържа главни и малки букви, цифри и символи.
• Изберете теми и плъгини от доверени автори.
• Използвайте надежден хостинг. .
• Инсталирайте приставката за сигурност. .
• Настройте автоматично архивиране на всички файлове и база данни. .
• Изтрийте всички стари версии на сайта от сървъра.
• Прочети.

Смешно е, че понякога се случват неща в живота. Попаднах на страхотен курс за Udemy за съвременните начини за защита и хакване на сайтове. Надграждайки нивото си на умения, пропуснах заразяването с вируси на моя блог. Най-вероятно потребителите на WordPress са изпитали симптомите по един или друг начин, които ще опиша по-нататък. Ако не, значи сте късметлия. Аз съм много за дълго времеНе прикачих нищо към сайтовете, мислейки си как те все още успяват да заразят своите уеб ресурси. Още през 2014 г. бях изненадан от съобщения във форумите, че сайтът им с отлична посещаемост просто е заразен и отнет.

И така тази сутрин по пощата пристигна писмо от моя хост, което ме озадачи. Да, бях приятно изненадан, че ihc следи сайтовете за злонамерен софтуер, но съобщението, че един файл е променен през нощта без мое знание и това подозрение за вирусна активност предизвика хаотични емоции. Всъщност това беше потвърждение на подозренията ми.

Преди време открих, че показателят има кликвания към сайтове, които просто не мога да напиша в публикациите си. Когато се опитах да намеря тези връзки глупаво чрез търсачката на блога, бях пренасочен към Apache със съобщение за грешка. Дори тогава, подозирайки, че нещо не е наред, влязох в файла Търсене.phpактивна тема, в която видях объркан код. Тогава ме вкара в ступор, но поради липса на време не задълбавах. Както се оказа напразно. В крайна сметка това беше един от признаците на инфекция.

Пример за кодиран зловреден софтуер

Глупаво разчитах на средствата за откриване на злонамерен код от различни услуги, които засипват интернет. Всички те "радостно" ме информираха, че обектът е чист като утринна роса.

Представете си парадоксална ситуация - има неработеща функция за търсене, има обфуциран php код, така че злощастният уеб администратор да не види "подаръка", а антивирусните услуги просто мълчат.

Но да се върнем към нашите овце, по-точно към сайтовете. На всички тези сайтове имам разрешение на две нива. Може би това спаси сайта от отнемане от хакер. Два дни след заразяването search.phpПолучих известие от ihc.ru, че някои файлове са променени и ако не съм направил нищо, препоръчително е да проверя с антивирусната програма, предоставена от самия хостинг. Е, сега се появи възможността да тествам тази антивирусна програма, жалко, че любимият ми сайт беше обект на тест 🙁

Резултатът от проверката, меко казано, доста ме озадачи. Антивирусът изрита сайта за около четиридесет минути и след това изпрати своята „присъда“. 42 файла бяха заразени...

Тук беше време да се хванете за главата и да помислите как е могло да се случи такова нещо. От само себе си се разбира, че е имало експлоат. Но повече за това по-късно.

Беше необходимо да се обработи мястото, но за това трябваше да бъде внимателно проучено. Да, можеше да се направи много по-лесно - обединете дъмп на базата данни, прехвърлете снимки от wp-съдържаниеи качете отново всичко това в току-що инсталиран WordPress двигател. Но „по-лесно“ не означава „по-добро“. Всъщност, без да се знае какво е променено, човек би очаквал дупката да се появи и на повторно качения сайт. И тогава беше правилно да се превърнете в новоизсечен Шерлок Холмс, за да извършите пълен одит на сайта.

Намирането на зловреден софтуер е като да си детектив

Честно казано, такава страст и интерес не съм изпитвал отдавна. Да, хостинг антивирусът ми помогна по много начини, като посочи в кои файлове намери промени. Но дори той не можа да открие напълно всичко, тъй като кодът се редува с обфускиране и банално шестнадесетично кодиране, използвайки злонамерен js. Беше необходимо да се направи много с химикалки, като се използват всички инструменти на трети страни просто като помощници.

И така, стартираме редактора на кода и разглеждаме заразените файлове. Всъщност в кода те се „изстрелват“ достатъчно бързо поради своето криптиране. Това обаче далеч не е така навсякъде. Случи се, че е необходимо да се анализира кода на php файла ред по ред и да се разбере какво не е наред с него. Трябва да кажа веднага, че беше с файловете с теми. В този случай оригиналните тематични файлове са много полезни за сравнение, ако не сте сигурни за какво точно служи тази или онази функция (а правилно написан вирус трябва да наследява възможно най-малко).

Но нека разгледаме всичко по ред. Вече публикувах екранна снимка на кода, обфуциран от вируса в началото на статията. Използвайки ресурса https://malwaredecoder.com/, можете да го декодирате в смилаема форма и да го изучавате. В моя случай някои файлове съдържаха инжекцията. Изтриваме всичко това по дяволите.

Въпреки това, понякога може да срещнете кратък код с включване. По правило те се заразяват индекс.phpи wp-конфиг.php. За съжаление не направих екранна снимка на такъв код, тъй като по това време не планирах да пиша статия. От този код стана ясно, че това е кодът за извикване на конкретен файл, кодиран чрез js. За да декодираме шестнадесетичния код, ще използваме услугата http://ddecode.com/hexdecoder/, с помощта на която ще определим, че файлът е извикан на адреса wp-includes/Text/Diff/.703f1cf4.ico(Пропуснах пълния път, важна е самата същност). Какво мислите, струва ли си да се кодира извикването на обикновен файл с икона, макар и относително просто кодиране? Мисля, че отговорът е очевиден и отворете тази "икона" през бележника. Естествено, това отново се оказа напълно кодиран php. Изтриваме го.

След като изчистите очевидните файлове, можете да преминете към не толкова очевидните - файловете с теми на WordPress. Тук обфускацията не се използва, трябва да изкопаете кода. Всъщност, ако не знаете какво първоначално е планирал разработчикът, тогава тази задача е много креативна, въпреки че може да бъде решена доста бързо. Ако не сте променили кода на темата, по-лесно е да замените заразените файлове (антивирусът ги идентифицира със сигурност) и да продължите напред. Или можете да разровите като мен и да откриете, че много често такива вируси се приписват на файла функция.phpабсолютно лява функция, в която със сигурност ще има код за достъп до sql. В моя случай изглежда така (форматирането остава непроменено):

$sq1="ИЗБЕРЕТЕ DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) КАТО com_excerpt-> ИЗ $comments-wdb JOPDB публикации ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\"1\" И comment_type=\"\" A ND post_author=\"li".$sepr."vethe". $comment_types."mes".$sepr."@".$c_is_approved."gm".$comment_auth."ail".$sepr.".".$sepr."co"."m\" И post_password=\ "\" И comment_date_gmt >= CURRENT_TIMESTAMP() ПОРЪЧАЙ ПО comment_date_gmt DESC LIMIT $src_count";

Къде отива тази проба, вече сме почистили. Затова спокойно разглеждаме в коя функция се намира този код и изтриваме цялата тази функция - тя беше приписана на злонамерения софтуер. Но, отново, е много по-лесно и по-добре да презапишете целия файл от готовата тема, ако се страхувате да не счупите нещо.

Е, последният щрих - проверете броя на потребителите на сайта. Всички мои сайтове винаги съм водил сам. Съответно не може и не трябва да има други потребители. Въпреки това, като се има предвид заразата, е лесно да се предположи, че те ще се опитат да откраднат сайта и да създадат собствен потребител с администраторски права. В моя случай се оказа wp.service.controller.2wXoZ. Изтриваме го.

Много работа е свършена, но има ли ауспух? Нека проверим отново с антивирусна програма, която съобщава, че не са открити повече вируси. Всичко, сайтът е излекуван.

Резултати

Както можете да видите, излекуването на сайт е доста просто, макар и отнема много време. След лечението е необходимо да се предотвратят подобни ситуации в бъдеще. Тук трябва да направите само няколко стъпки:

1. Актуализирайте самия WordPress до последна версия. Възможно е да са използвали експлойт за остарял двигател.
2. Проверете всички плъгини. Изтрийте всички ненужни (които сте сложили на "бъдеще" и не използвате) и проверете уместността на тези, които вече работят. Въпреки това, дори изтеглянето на плъгин от хранилището на WordPress не ви дава гаранция, че приставката ще бъде чиста. Зачестиха случаите, когато купуват този или онзи плъгин, правят злонамерен софтуер от него и при актуализиране на вашия сайт ще срещнете същите „радости“ като мен. В моя случай бях заразен точно така.
3. Винаги проверявайте темата. Ако е публичен - актуализирайте. Разбира се, по-добре е да го купите на същия templatemonster, въпреки че това не дава 100% защита.
4. Не пренебрегвайте инструменти като Wordfence. Въпреки че безплатната версия на приставката е много, много ограничена, поне ще знаете какво е подозрително на вашия сайт.
5. Веднъж месечно не бъдете мързеливи да стартирате сайта wpscan,за да видите какви уязвимости са се появили на него.
6. Обърнете внимание на корена на сайта. Може да има файл индекс.html.bak.bak. Това също показва, че имате заразен сайт (можете веднага да редактирате index.php, той е 100% заразен)
7. Не се доверявайте на антивирусите за публични сайтове. Има малко смисъл от тях.

Опитах се да покажа с моя пример как можете да излекувате WordPress сайт. Антивирусната програма на ihc.ru е просто скенер за злонамерен софтуер. Но той също направи нещата лесни. Независимо от това, дори ако вашият хостинг няма такава услуга, можете да идентифицирате и предотвратите инфекция, като използвате горния алгоритъм.