Фото 10 Шагов от Поиска Уязвимости до Удаления Вредоносного Кода (ВИРУСА) с сайта WordPress — malware wordpress main1

10 Шагов от Поиска Уязвимости до Удаления Вредоносного Кода (ВИРУСА) с сайта WordPress

Очистка взломанного сайта WordPress — непростая задача. И теперь, когда Google и Яндекс применяют карантины (запреты на просмотр сайтов), чтобы предотвратить повторное нарушение правил распространения вредоносных программ, тщательная очистка взломанного сайта становиться важнее, чем когда-либо.

Вредоносный код на сайте Яндекс и сайт содержит нежелательное ПО Google

Как это выглядит в жизни:

Я настоятельно рекомендую воспользоваться услугами профессионалов для очистки сайта. Здесь Вы можете заказать, как диагностику сайта на наличие вирусов, так и воспользоваться услугами специалистов в области WordPress.

Советы по поиску уязвимостей и вредоносного кода на сайте WordPress

Если вы всё же решились очистить сайт самостоятельно, выполните следующие действия:

Шаг 1. Резервное копирование файлов и баз данных сайта.

  • Резервное копирование полной версии сайта, если у вас есть возможность использовать функцию создания моментальной копии сайта на вашем хостинге . Это будет самая полная резервная копия всего вашего сервера. Однако он может быть довольно большим, поэтому будьте готовы к тому, что загрузка займет некоторое время.
  • Используйте плагин для резервного копирования WordPress, если вы можете войти в админ панель сайта.
  • Если вы не можете войти на сайт, хакеры могут скомпрометировать базу данных, в этом случае вы можете воспользоваться услугами профессионалов, упомянутых выше.
    Сделайте отдельную дополнительную резервную копию базы данных, используя эти шаги.
  • Если вы можете войти в систему, также используйте «Инструменты»> «Экспорт» для экспорта XML-файла всего вашего контента.

Некоторые сайты могут быть довольно большими. Сам файл uploads может быть более 1GB. Папка wp-content является самой важной папкой на вашем сервере, так как она содержит все ваши загрузки. Если вы не можете запустить плагин резервного копирования, и ваш хостинг не имеет функции «моментального резервного копирования», вы можете использовать File Manager хостинга, чтобы сделать zip-архив вашей папки wp-content, а затем загрузить этот zip-файл.

Если у вас несколько версий WordPress на сервере, вам нужно создать резервную копию каждого из них.

Обратите внимание на файл .htaccess: создайте резервную копию вашего файла .htaccess и загрузите его. Это невидимый файл, поэтому вы можете видеть его только в Диспетчере файлов веб-хостинга. Переименуйте этот файл, для этого удалите точку в начале, чтобы вы могли видеть его на своем компьютере, иначе он будет невидим и на вашем компьютере. Затем загрузите его. Возможно, вам понадобится резервное копирование файла .htaccess, если он содержит код, который вам нужно будет скопировать обратно на ваш очищенный сайт. Некоторые хостинги используют .htaccess для определения используемой вами версии PHP, поэтому сайт не будет работать без этого. Некоторые люди делают 301-редиректы (переадресацию страниц) SEO используя свой файл .htaccess.

ЧИТАТЬ  Что такое Themeforest для обычного пользователя?

Шаг 2. Загрузите и изучите резервные файлы

После резервного копирования сайта загрузите резервную копию на свой компьютер, дважды щелкните zip-файл, чтобы открыть его.

Анализ уязвимостей сайта

Вам следует увидеть:

  • Все файлы Ядра WordPress. Вы можете загрузить WordPress с WordPress.org и проверить файлы в загрузке и сопоставить их с вашими. Вам не понадобятся эти файлы, но вы можете использовать их для дальнейшего расследования взлома.
  • Файл wp-config.php. Является одним из важных, поскольку он содержит имя пользователя и пароль для вашей базы данных WordPress, которые мы будем использовать в процессе восстановления.
  • .htaccess. Этот файл может быть не видим на Вашем компьютере. Единственный способ  — это просмотреть свою резервную папку с помощью FTP-программы (например, FileZilla), открыть файл модно через любое приложения для редактирования кода (например, Sublime).
  • Папка содержимого wp. В папке wp-content вы должны увидеть как минимум три папки: themes, uploads и plugins. Проанализируйте эти папки. Вы видите свою тему, плагины и загруженные изображения? Если это так, то это хороший знак того, что у вас есть хорошая резервная копия вашего сайта. Обычно это единственная критически важная папка, необходимая для восстановления вашего сайта (в дополнение к базе данных).
  • База данных. У вас должен быть файл SQL, являющийся экспортом вашей базы данных. Для экспорта используйте встроенное приложение для работы с базами данный, например PHPmyAdmin или другое. Мы не собираемся удалять базу данных в этом процессе, но хорошо иметь резервную копию.

Шаг 3: Удалите все файлы в папке public_html

После того, как вы подтвердили, что у вас есть полная и полная резервная копия вашего сайта, удалите все файлы в вашей папке public_html (за исключением папки cgi-bin и любых связанных с сервером папок, которые явно не были подвержены взлому файлов), используя диспетчер файлов веб-хоста. Я рекомендую File Manager, потому что это намного быстрее, чем удаление файлов по FTP. Не забудьте просмотреть невидимые файлы, чтобы удалить все взломанные файлы .htaccess.

Если у вас есть другие сайты, которые вы размещаете на одной учетной записи, то можете предположить, что все они были подвержены заражению. Перекрестное распространение вредоносного кода — распространенная проблема. Вы должны почистить ВСЕ свои сайты, чтобы все они были работоспособны, загрузите резервные копии и выполните следующие шаги для каждого из них. Проведите проверку и очистку каждого сайта тщательно. Учитывайте тот факт, что входе очистки файлов остается вероятность повторного заражения, т.к. некоторые коды, которые были внесены на ваш сайт могут генерировать свои скрипты в произвольных файлах, в том числе и в тех, в которых вы уже удалили вредоносный код. Поэтому, отнеситесь к этому процессу, как процессу лечения чумы. 🙂

Шаг 4: Переустановите WordPress

Используя установщик CMS в панели управления веб-хостинга, переустановите WordPress в каталог public_html, если это было исходное местоположение установки WordPress или в подкаталог, если WordPress был установлен в дополнительном домене. Если такой установщик отсутствует, то установите WordPress через FTP, классическим способом.

Используя  резервную копию вашего сайта, отредактируйте файл wp-config.php на хостинге, чтобы изменить учетные данные базы данных на данные вашего прежнего сайта. Это позволит подключить только что установленную версию WordPress к старой базе данных. Я не рекомендую повторно загружать старый файл wp-config.php, поскольку новый будет иметь новые шифры для входа в систему и, безусловно, не будет содержать никакого взломанного кода.

ЧИТАТЬ  Что такое Темы / Шаблоны для WordPress и Как Их Купить? +Видео

Шаг 5: Сброс паролей и перманентных ссылок

Войдите на свой сайт и сбросьте все имена пользователей и пароли. Если вы видите каких-либо пользователей, которых вы не знаеете (т.е. их не было ранее), ваша база данных была подвержена взлому, и вам необходимо обратиться к специалисту, чтобы убедиться, что в вашей базе данных не осталось нежелательного кода.

В админ панели WordPress откройте «Настройки»> «Постоянная ссылка» и нажмите «Сохранить изменения». Это восстановит ваш файл .htaccess, поэтому URL-адреса вашего сайта снова будут работать.

Обязательно поменяйте все пароли FTP и хостинга учетной записи.

Шаг 6: Переустановите плагины

Переустановите все свои плагины из репозитория WordPress или свежие загрузки от разработчика платных плагинов . Не устанавливайте старые плагины. Не устанавливайте плагины, которые больше не поддерживаются.

Шаг 7: Переустановка тем

Переустановите свою тему из новой загрузки. Если вы настроили свои файлы тем, используйте  свои резервные файлы и скопируйте изменения в новую копию темы. Не загружайте старую тему, так как вы можете не распознать, какие файлы были взломаны.

Шаг 8: Загрузка изображений из резервной копии

Сейчас сложная часть. Вам нужно вернуть ваши старые файлы изображений обратно в новую папку wp-content> uploads на сервере. Тем не менее, вы не хотите копировать взломанные файлы в процессе. Вам нужно будет тщательно изучить каждую папку в месяц / месяц в своей резервной копии и просмотреть каждую папку и убедиться, что в ней находяться ТОЛЬКО файлы изображений, а также файлы PHP или Файлы JavaScript или все, что вы не загрузили в свою медиа-библиотеку. Это утомительно. Как только вы проверите и убедитесь в отсутствии инородных файлов в каждой папке года / папке месяца, вы можете загрузить их на сервер с помощью FTP.

Шаг 9: Сканирование компьютера

Просканируйте собственный компьютер на наличие вирусов, троянов и вредоносных программ.

Шаг 10: Установка и запуск плагинов безопасности

Установите и активируйте плагин Shield WordPress Security  от iControlWP. Проверьте все настройки.

Поиск уязвимостей, сканирование и проверка на вирусы на сайте WordPress онлайн

Запустите Anti-Malware Security and Brute-Force Firewall и тщательно просмотрите сайт. Сканируйте сайт с Sitecheck Sucuri, чтобы убедиться, что вы ничего не упустили. Вам не нужны два плагины защиты, поэтому отключите плагин Anti-Malware после проверки и после того, как убедитесь, что ваш сайт не содержит вредоносного кода. Shield уведомит вас в будущем, если какие-либо файлы ядра изменились.

Фото 10 Шагов от Поиска Уязвимости до Удаления Вредоносного Кода (ВИРУСА) с сайта WordPress — sucuri site check1

 

Поиск причины взлома

Как только вы определили тип взлома, с которым вы столкнулись, вы можете более легко сузить, почему это произошло. Во многих случаях ИСТОЧНИКОМ ЗАРАЖЕНИЯ может выступать Ваш собственный компьютер.

У меня был один клиент, сайт которого был заражен расширением браузера, которое она случайно установила на своем компьютере. Она по сути заразила свой собственный сайт, производя загрузку JavaScript-кода в свой Visual Editor каждый раз, когда редактировала страницу на сайте! Этот код был невидим в Visual Editor (хотя он был виден на вкладке «Текст»), и даже если бы я его очистил, она снова взломала себя при следующем редактировании. Поиск Google по некоторому тексту, который я нашел в введенном коде, привел меня к статье на веб-сайте Сукури, которая помогла мне разобраться, почему произошел взлом и заставить клиента почистить свой компьютер от шпионского ПО.

ЧИТАТЬ  Чем отличается запись от страницы Wordpress

Кроме того, если вы переустановите тот же плагин или тему, которые уже были уязвимы ранее, а причина/источник взлома так и не выяснен, тогда ваш сайт с большой долей вероятности будет быстро взломан повторно. Поэтому знание причины заражения — это важный аспект, который позволит вам не повторить тех же ошибок после всех усилий, которые вы предприняли, чтобы очистить ваш сайт от вирусов.

Если вы хотите углубиться в причину взлома, выполните следующие действия:

  • Осмотрите свою резервную копию для взломанных файлов. Они будут иметь странные имена и выделяться из других файлов в вашей WordPress или могут иметь даты редактирования последние в списке. Если вы откроете эти файлы в редакторе кода, например Dreamweaver, TextWrangler, BBEdit, Sublime, Coda и т. д., Вы можете заметить довольно быстро с помощью цветового кодирования кода или огромного количества кода, что-то аномальное (специалисту сразу броситься в глаза такой кусок кода). Смотрите скриншоты ниже.
  • Выполняйте поиск Google по определенным фразам, включенным файлам в коде или именам самих файлов на хостинге. Иногда это может быть просто имя класса div, которое вы находите в взломанном коде, как на взломанном сайте моего клиента.
  • Изучите журналы Raw Access на хостинге cPanel, чтобы узнать, к каким файлам обращались хакеры (посмотрите инструкции POST в файлах журналов). Это будет ключом к тому, что именно было подвержено заражению и когда. Вы можете найти IP-адрес, доступ к этим файлам, чтобы узнать, откуда появился хакер.
  • Большинство хаков вызваны старыми плагинами и темами, поэтому найдите плагины, которые вы использовали на взломанном сайте, и посмотрите, был ли сайт взломан из-за более старой версии Gravity Forms, Revolution Slider, скрипта timthumb.php в теме или плагине и т. д. Многие сайты взломаны с помощью распространенных известных уязвимостей, которые хакеры и ищят среди сайтов WordPress.
  • Поиск в базе данных для скрытых пользователей admin и другого потенциального взломанного контента. Sucuri имеет отличные советы о том, как сканировать вашу базу данных для скрытого вредоносного кода. Если вы попытаетесь изменить свою базу данных, сначала создайте ее резервную копию!

Защита WordPress от вирусов

Настройте уведомления Google Search Console и Яндекс Вебмастер для своевременного реагирования в дальнейшем.

Также, вы можете использовать функцию Shield WordPress Security Plugin Audit Trail для отслеживания любых изменений в файлах или доступа к сайту.

Все вышеописанные советы не являются панацеей от всех заражений, они служат лишь руководством к действию при заражении сайта вирусом. Если данные советы не помогли, то рекомендую обратиться к специалистам, которые проведут профессиональную диагностику и смогут более точно выявить причину заражения и принять соответствующие меры для ее устранения. Также, следует учесть, что бывают случаи, когда зараженный сайт уже не подлежит полному восстановлению по причине заражения и удаления важных частей кода и файлов, которые отвечают за работоспособность сайта.

Поэтому, лучшее средство для защиты от вирусов не устанавливать взломанные плагины/шаблоны и РЕГУЛЯРНОЕ СОЗДАНИЕ РЕЗЕРВНЫХ КОПИЙ вашего сайта для возможности отката в случаи беды 😉

Задавайте Ваши вопросы в комментариях,  также здесь можно указывать проблемы с которыми Вы столкнулись в процессе диагностики сайта. 

ВСЕХ БЛАГ!

Отправить ответ

Оставьте первый комментарий!

Notify of
avatar
wpDiscuz