Очистка блога от последствий взлома и защита wordpress
Опубликовано: 01.09.2018
Как часто вы редактируете свои старые статьи? Думаю, что очень редко. Я тоже редко это делал. А зря. Как то понадобилось мне отредактировать ссылку в старой статье. Открываю в редакторе и вижу лишний скрипт, который к ссылке не имеет никакого отношения.Так же код был в некоторых местах перед закрывающим тегом </p>.
Здрасьте, приехали. А как же защита wordpress, которую я применял до этого момента и считал её надежной? Выражаясь словами героя известного мультфильма оказалось, что "Маловато будет!"
OSE antivirus. Как проверить сайт на Joomla на вирусы
Последствия взлома
В коде ссылки присутствовал следующий код
Причем этот код виден только в редакторе в режиме кода. В визуальном режиме, так же как и при просмотре сайта, код не виден. Открыв рандомно несколько старых статей, в каждой в коде ссылок обнаружил этот странный скрипт.
Для поиска других вариантов использовал плагин Search Regex. В итоге нашел еще
Был еще четвертый вариант, но я его удалил без сохранения. Причем левая часть "<script src=" была ссылкой
В некоторых файлах движка были строки
Антивирус хостинга Virusdie определил как зараженные файлы
header.php custom-header.php admin-footer.php admin-header.php menu-header.php index.htmlТак же был заражен файл плагина UpdraftPlus. В итоге данный плагин был удален. Либо дыра в плагине, либо не его вина. Проще снести и не рисковать.
Антивирус хостинга обозначил вирус как PHP.BlacoleRef. Все файлы были вылечены антивирусом хостера.
Как уже написано выше, в коде статей был обнаружен посторонний скрипт. В сети пишут, что скриптов появляется несколько вариантов
Просматривать код всех статей блога - дело не благодарное и долгое. С учетом того, что скрипты попадаются не только в ссылках, но и просто в тексте, есть риск пропустить заразу. У себя на блоге удалял этот мусор плагином Search Regex, который позволяет искать нужный текст и заменять его на другой.
Достаточно в первое поле ввести код скрипта, а следующее поле оставить пустым.Нажать поиск-замена. Таким образом плагин найдет все вхождения этой гадости и заменит на пустое место. Для поиска разных вариантов этой гадости можно в поле поиска ввести часть скрипта "src="//" и плагин найдет все варианты этих скриптов в ваших статьях.
В общем весь мусор из статей блога был удален. Однако через дней пять он снова появился. Повторное сканирование блога антивирусом хостера результатов не дал. В ручную просматривать все папки сайта на предмет лишних файлов дело муторное. Сайт был дополнительно проверен антивирусами Aibolit и Manul (от Яндекса). Оба антивируса обматерили файл index.2.php в папке "webstat.none" с шеллом внутри. Написал хостеру, что их антивирус не нашел файл с шелом. Файл удален - пока тихо.
Отслеживание попыток взлома
Попытки взлома идут постоянно. Если вы думаете, что ваш блог мало посещаем и хакерам не нужен, вы глубоко ошибаетесь.
Это лог плагина SEO Redirection Free. На скрине только первая страничка лога. Запросы на наличие определенных плагинов, тем и файлов на сайте. Так что хватает козлов, желающих воспользоваться плодами вашего труда в своих целях. Этот лог очень облегчает поиск "левых" файлов на вашем сайте, особенно сразу после заражения.
Защита wordpress
Если у вас еще не установлены плагины для защиты wordpress, обязательно сделайте это. Иначе будете чистить сайт от вирусни до бесконечности. Вот некоторые из популярных плагинов
Acunetix Secure WordPress Lockdown WP Admin Wordfence SecurityИ не забывайте обновляться. Защита и своевременное закрытие уязвимостей - залог здоровья ваших блогов.
С уважением Денис Иванов, автор блога dendrblog.ruСтатья помогла? Поблагодари автора, он ведь старался