Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Если ваш сайт взломали — не паникуйте.
В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.
В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.
Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.
В третьем способе вы установите плагин.
Содержание:
Что делать, чтобы сайт не заразился снова?
Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.
Ваш сайт взломан, если:
site:ваш-сайт.ru
в Яндексе или Гугле, и видите на страницах сайта контент, который вы не добавляли.После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.
Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владелец хостинга может удалить сайт, чтобы не заразились другие сайты.
Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.
Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.
wp-content/plugins/
. Вы не потеряете никакие данные и это не сломает сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins
, но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний. wp-content/themes/
, все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.wp-admin
и wp-includes
очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс. /old
или /backup
. Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами. /wp-content/uploads
и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.DB_NAME
, DB_USER
и DB_PASSWORD
. Оставшиеся 3 должны быть такие же, как в примере./wp-content/uploads
из свежей установки Вордпресс на сохраненную папку /wp-content/uploads
из п.2Реклама
Простой способ выгодно купить полис
Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd
в SSH терминале):
find . -mtime -2 -ls
Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:
find /путь/к/вашему/сайту/папка/ -mtime -2 -ls
Замените /путь/к/вашему/сайту/папка/
на путь к вашей папке.
Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:
find /путь/к/вашему/сайту/папка/ -mtime -10 -ls
Не забудьте заменить /путь/к/вашему/сайту/папка/
на путь к нужной папке.
Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.
Еще одна полезная команда в SSH — «grep». Чтобы найти файл, который содержит какое-нибудь сочетание, например, «base64», которое часто используется хакерами, используйте эту команду:
grep -ril base64 *
Эта команда покажет список файлов, в которых встречается сочетание base64
.
Вы можете убрать «l» из запроса, чтобы увидеть содержание файлов, в которых встречается это сочетание.
grep -ri base64 *
Хакеры часто используют эти функции:
Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.
Более аккуратный запрос может быть таким:
grep --include=*.php -rn . -e "base64_decode"
Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.
Попробуйте использовать команду grep
в комбинации с командой find
. Вам нужно найти файлы, которые были недавно изменены, выяснить, что было изменено, и если вы нашли какое-то повторяющееся сочетание, например, «base64_decode» или «hacker was here», с помощью команды grep попробуйте найти это сочетание в других файлах:
grep -irl "hacker was here" *
Эта команда покажет все файлы, в которых встречается фраза hacker was here
.
Хакеры часто внедряют код в папку /uploads
. Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.
find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-not-pictures.log
Используйте запросы find и grep, они помогут вам очистить сайт от заразы.
Если вы можете установить плагин, попробуйте Anti-Malware Security and Brute-Force Firewall:
Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.
Другие плагины — сканеры: NinjaScanner, Quttera Web Malware Scanner, AntiVirus, WP Antivirus Site Protection.
В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.
Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.
Подробнее о Запросе проверки.
Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее.
Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting.
Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.
Пройдите по этой ссылке, замените ваш-сайт.ru на ваш адрес:
https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru
Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Благодарю! Очень полезная статья!!!