Wp antivirus site protection настройка
Система управления контентом WordPress, в силу своей громадной популярности, также привлекает к себе и недоброжелателей. Кроме того, “движок” распространяется бесплатно, поэтому еще больше подвержен риску нарушения безопасности. Сам WordPress является довольно безопасным программным продуктом. “Дыры” начинают открываться, когда пользователь устанавливает плагины и темы.
Проверьте сайт в этих сервисах:
Даже если вы точно знаете, что сайт взломали, проверьте его еще раз в этих сервисах. Вы можете найти еще какие-то вирусы, кроме тех, которые вы уже нашли.
-
— довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан. — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков. – сканер сайта от Norton. – сканирует сайт на наличие вредоносного ПО. — проверяет на вирусы и включение в черные списки Яндекса и Гугла. – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл. – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет. – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее. – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.
Проверьте сайт во всех сервисах, так как они сканируют немного по-разному и находят разные типы инфекций. Также просканируйте свой компьютер.
В статье Как проверить и вылечить от вирусов Вордпресс сайт описан способ найти вредоносный код в файлах сайта, используя команды в SSH терминале.
Начните с поиска файлов, измененных в течение последних 2-х дней:
Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке, и пройдите поиском по каждой папке.
Если вы ничего не нашли, увеличьте поиск до 5 дней:
Если вы снова ничего не нашли, увеличивайте интервал поиска, пока не найдете изменения. Не забывайте, что обновления ПО тоже изменения.
Еще одна команда, которую вы можете использовать для поиска — «grep». Эта команда поможет найти вредоносный код, который добавил хакер.
После того, как вы нашли файлы, в которых хакер сделал изменения, вы можете попробовать найти в них повторяющиеся фрагменты, например, base64 или hacker was here .
Замените base64 на повторяющееся сочетание, которое вы нашли в измененных файлах. Результат покажет вам список файлов, в которых встречается это сочетание.
Хакеры часто используют эти функции:
- base64
- str_rot13
- gzuncompress
- eval
- exec
- create_function
- system
- assert
- stripslashes
- preg_replace (/e/)
- move_uploaded_file
Если вы хотите увидеть содержание этих файлов, используйте этот запрос:
Замените base64 на значение, которое вы нашли в измененных файлах.
Более аккуратный запрос может быть таким:
Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.
Как удалить вредоносный код и вылечить сайт. Способ 2
Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):
Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:
Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.
Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:
Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.
Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.
Еще одна полезная команда в SSH — «grep». Чтобы найти файл, который содержит какое-нибудь сочетание, например, «base64», которое часто используется хакерами, используйте эту команду:
Эта команда покажет список файлов, в которых встречается сочетание base64 .
Вы можете убрать «l» из запроса, чтобы увидеть содержание файлов, в которых встречается это сочетание.
Хакеры часто используют эти функции:
- base64
- str_rot13
- gzuncompress
- eval
- exec
- create_function
- system
- assert
- stripslashes
- preg_replace (/e/)
- move_uploaded_file
Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.
Более аккуратный запрос может быть таким:
Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.
Попробуйте использовать команду grep в комбинации с командой find . Вам нужно найти файлы, которые были недавно изменены, выяснить, что было изменено, и если вы нашли какое-то повторяющееся сочетание, например, «base64_decode» или «hacker was here», с помощью команды grep попробуйте найти это сочетание в других файлах:
Эта команда покажет все файлы, в которых встречается фраза hacker was here .
Хакеры часто внедряют код в папку /uploads . Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.
Используйте запросы find и grep, они помогут вам очистить сайт от заразы.
Сервисы, на которых вы можете проверить сайт на наличие вредоносного ПО
-
— довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан. — хороший сервис для поиска заражений на сайте. Кроме сканера показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков. – сканер сайта от Norton. – сканирует сайт на наличие вредоносного ПО. — проверяет на вирусы и включение в черные списки Яндекса и Гугла. sTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл. – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет. – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее. – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.
Вредоносные редиректы
Хакер вставляет скрипт в файл .htaccess или другие главные файлы сайта, который перенаправляет посетителей на другие страницы или другой сайт. Это называется вредоносный редирект.
Не заметить такой взлом очень сложно, потому что вместо загрузки вашего сайта загрузится другой сайт.
Иногда редирект может быть не таким очевидным, если взломанный файл использует стили вашей темы. Тогда вы увидите большое количество рекламы на странице, которая выглядит похожей на ваш сайт.
Редиректы могут быть настроены только с некоторых страниц сайта или со всего сайта целиком.
Сделайте бэкап
После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.
Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.
Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.
Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.
Убедитесь, что сайт взломан
Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.
Ваш сайт взломан, если:
Что можно безопасно удалить с любого взломанного сайта
- Обычно можно удалить все содержимое папки wp-content/plugins/ . Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins , но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
- Оставьте только одну тему в папке wp-content/themes/ , все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
- В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс.
- Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old или /backup . Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.
Базовые требования к безопасности сайта
Эти требования — необходимый минимум для безопасности сайта.
- Регулярно обновляйте Вордпресс, скрипты, плагины и темы.
- Используйте сложные логины и пароли.
- Установите плагин для ограничения попыток авторизации.
- Выбирайте плагины и темы от проверенных авторов.
- Используйте надежный хостинг.
- Настройте автоматический бэкап всех файлов и базы данных.
Как хакеры взламывают сайты
4 основных способа, которыми хакеры взламывают сайты:
- Слабые пароли
- Устаревшее ПО
- Небезопасные темы и плагины
- Уязвимости в ПО хостинга
Существует много других способов, но эти способы самые распространенные.
Как удалить сайт и IP из черных списков
После того, как вы очистили сайт, он все еще может находиться в списках сайтов, содержащих вредоносное ПО или в спам списках. Сначала нужно узнать, на каких сайтах ваш сайт или IP занесены в черный список.
Здесь вы можете узнать, занесен ли ваш сайт в списки malware или phishing сайтов Гугл.
Замените 123.45.67.890 на IP сайта. Узнать IP.
Spamhaus покажет сайты, которые занесли ваш IP в список вредоносных.
Когда какой-то сайт заносит IP в черный список, он отображается красным.
Откройте красные ссылки в новом окне и следуйте инструкциям. У всех сайтов инструкции могут быть разными, поэтому читайте внимательно.
Обычно запрос проверки делается в несколько кликов, и занимает около 2 дней. Некоторые сайты не предупреждают о переносе IP из черного списка в белый список, поэтому вы можете вернуться на Спамхаус через несколько дней, и проверить снова.
На некоторых сайта можно запросить проверку только один раз, поэтому убедитесь, что сайт полностью очищен, иначе ваш IP может остаться в черных списках надолго.
Бэкдоры
Хакер сохраняет файл со специальным скриптом на сервере, который позволяет ему заходить на сайт в любое время, при этом хакер не пользуется стандартной страницей входа, а заходит на сайт через созданный им бэкдор.
Чтобы замаскировать созданный файл, хакеры называют его так, чтобы он выглядел как часть ядра Вордпресс, например, users-wp.php, php5.php, sunrise.php или что-нибудь подобное.
Если у вас не установлен какой-нибудь плагин, который предупреждает об изменениях в файлах, может быть довольно трудно определить, что вредоносный файл был добавлен. Есть несколько признаков, которые могут дать понять, что сайт был взломан.
Еще один признак — е-мейлы, которые вы отправляете с сервера, возвращаются обратно с SMTP ошибкой 550. От некоторых серверов, которым вы отправляли е-мейл может вернуться более подробное описание проблемы. Например, ссылка на сайты, которые поместили ваш сайт или ваш IP в список сайтов, содержащих вредоносное ПО.
Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3
Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.
Обновите ПО, смените пароли, ключи и соли
После того, как вы удалили вредоносный код, обновите Вордпресс, плагины и темы. Смените пароли на сайте и на хостинге. Подумайте о смене пароля к е-мейлу и базе данных (в файле wp-config.php и на хостинге).
Генератор ключей и солей находится на сайте Вордпресс. Скопируйте новые ключи и вставьте их в файл wp-config в этом месте:
Перед изменением файла wp-config сделайте его бэкап. Сохраните файл, закачайте обратно на сервер.
Устаревшая версия ПО
Описания уязвимостей устаревших версий Вордпресс, плагинов и тем находятся в Интернете. У ботов есть эти описания. Когда они находят сайт с устаревшей версией ПО, они взламывают этот сайт по уже имеющемуся алгоритму.
Чтобы обезопасить сайт от таких атак, всегда используйте последнюю версию софта.
Типичные взломы сайтов
Хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. В большинстве случаев сайты взламываются автоматически хакботами.
Тестирование и очистка сайта после взлома
Перед тем, как вы начнете что-то делать, сделайте полный бэкап всего сайта и базы данных. Даже несмотря на то, что сайт взломан, позже вам может понадобиться какая-то информация.
Чтобы не допустить заражения других сайтов, некоторые хостинги могут отключить или удалить ваш сайт, когда узнают, что сайт взломан, особенно на дешевых тарифах виртуальных хостингов.
Если логи событий находятся не в основной папке сайта, то сохраните их на компьютер, так как они хранятся на сервере несколько дней, после чего заменяются новыми.
После того, как вы сохранили бэкап и логи на компьютер, можно начинать лечение сайта.
WP Antivirus Site Protection
Антивирус Нажмите, пожалуйста, на одну из кнопок, чтобы узнать понравилась статья или нет.
WP Antivirus Site Protection is the security plugin to prevent/detect and remove malicious viruses and suspicious codes.
It detects: backdoors, rootkits, trojan horses, worms, fraudtools, adware, spyware, hidden links, redirection and etc.
WP Antivirus Site Protection scans not only theme files, it scans and analyzes all the files of your WordPress website (theme files, all the files of the plugins, files in upload folder and etc).
This plugin will be especially useful for everybody who downloads WP themes and plugins from torrents and websites with free stuff instead of purchase the original copies from the developers. You will be shocked, how many free gifts they have inside 🙂
Main features:
- Deep scan of every file on your website.
- Daily update of the virus database.
- Heuristic Logic feature.
- Quarantine & Malware removal feature
- Alerts and Notifications in admin area and by email.
- Daily cron feature.
- Scanner can detect a wide list of malware types.
- Whitelist solution after manual review.
- Possibility to upload suspicious files for review by experts.
- View Security reports online
- Bruteforce protection
Protect your website before the problems come. Monitor your website and minimize incident time with our automated scans.
WP Antivirus Site Protection plugin is a great solution for all website owners. It was developed by our engineers who has a many years experience in website security. Our plugin intelligently crawl your website and identify all possible infections and backdoors on your website. Every day we update database and add new logics and functions (Heuristic Logic feature) to keep your website safe.
Here is the list of malware types what our scanner can detect:
- MySQL and JavaScript injections (There is a lot of different attacks on your website but the most popular type and the easiest is probably MySQL injection. Our scanner will help you detect all possible issues with JavaScript and MySQL)
- Website Defacements (When hackers break in to your website they can change the appearance of your website or a webpage. We have set up a feature that can help you prevent any changes on your website)
- Hidden iFrames (If hacker gets an access to your website Ftp they usually set up a hidden iFrame. That way they can use your website to get the viruses on your visitors computers)
- PHP Mailers (Sometimes hackers use your website to send a SPAM emails from your web server. Our smart scanning module was made to detect all possible PHP mailing scripts on your website and prevent your website from sending SPAM)
- Social Engineering Attacks (There are a lot of social engineering methods to get an access to your website. Our scanning software will help you to protect your website)
- Phishing Page Detection (Hackers can install a phishing page on your website without you knowing it. Sometimes they can use your website)
- Redirects
- Website Backdoors (Allow to get full control on website and server)
- Website Anomalies
- Drive-by-Downloads
- Cross Site Scripting (XSS)
- .htaccess (Hack Detection)
- Rootkits and variants of this type of malware
- Trojan horses
- Internet worms
- Fraudtools
- Adware and spyware scrips
and much more…
WordPress security Scanner
The malware scanner checks all the files of your website.
- Basic scanning using more than 1000 signatures.
- Advanced scanning.
- Scan schedules – daily, monthly, and custom.
- Automatic update malware signatures in real time through a threat protection channel.
- Recover modified files by overwriting them with the original version.
- Delete unknown and unwanted files.
- Checks the content security by scanning the contents of files, messages and comments for dangerous URLs and suspicious content.
WordPress Firewall
Our web application firewall (WAF) detects and blocks malicious traffic to your WordPress website.
- Protection brute force attacks by restricting login attempts.
- Advanced firewall rules and malware signatures
- Real-time IP Block List blocks all requests from malicious IP addresses, protecting your site and reducing load.
- Advanced malware scanner blocks requests containing malicious code or content.
- Block intruders by IP address or create advanced rules based on a range of IP addresses, hostname, user agent, and referrer.
How it works:
1) Registration. To communicate with API server, your website has to get session access key.
Plugins sends information about your website (domain and email) to server. After successful
registration your website will get uniq access key. Please note: This action requires your permission
and confirmation (nothing will be sent to server without your permission).
2) Scan process. During the scanning process, plugin will read all the files of your website and will analyze
them. Information about the files with suspicious codes will be sent to server for extra analyze
and for report generation. Generated report will be sent back to you (the copy of the report you will get by
email)
WP Antivirus Site Protection is the security plugin to prevent/detect and remove malicious viruses and suspicious codes.
It detects: backdoors, rootkits, trojan horses, worms, fraudtools, adware, spyware, hidden links, redirection and etc.
WP Antivirus Site Protection scans not only theme files, it scans and analyzes all the files of your WordPress website (theme files, all the files of the plugins, files in upload folder and etc).
This plugin will be especially useful for everybody who downloads WP themes and plugins from torrents and websites with free stuff instead of purchase the original copies from the developers. You will be shocked, how many free gifts they have inside 🙂
Main features:
- Deep scan of every file on your website.
- Daily update of the virus database.
- Heuristic Logic feature.
- Quarantine & Malware removal feature
- Alerts and Notifications in admin area and by email.
- Daily cron feature.
- Scanner can detect a wide list of malware types.
- Whitelist solution after manual review.
- Possibility to upload suspicious files for review by experts.
- View Security reports online
- Bruteforce protection
Protect your website before the problems come. Monitor your website and minimize incident time with our automated scans.
WP Antivirus Site Protection plugin is a great solution for all website owners. It was developed by our engineers who has a many years experience in website security. Our plugin intelligently crawl your website and identify all possible infections and backdoors on your website. Every day we update database and add new logics and functions (Heuristic Logic feature) to keep your website safe.
Here is the list of malware types what our scanner can detect:
- MySQL and JavaScript injections (There is a lot of different attacks on your website but the most popular type and the easiest is probably MySQL injection. Our scanner will help you detect all possible issues with JavaScript and MySQL)
- Website Defacements (When hackers break in to your website they can change the appearance of your website or a webpage. We have set up a feature that can help you prevent any changes on your website)
- Hidden iFrames (If hacker gets an access to your website Ftp they usually set up a hidden iFrame. That way they can use your website to get the viruses on your visitors computers)
- PHP Mailers (Sometimes hackers use your website to send a SPAM emails from your web server. Our smart scanning module was made to detect all possible PHP mailing scripts on your website and prevent your website from sending SPAM)
- Social Engineering Attacks (There are a lot of social engineering methods to get an access to your website. Our scanning software will help you to protect your website)
- Phishing Page Detection (Hackers can install a phishing page on your website without you knowing it. Sometimes they can use your website)
- Redirects
- Website Backdoors (Allow to get full control on website and server)
- Website Anomalies
- Drive-by-Downloads
- Cross Site Scripting (XSS)
- .htaccess (Hack Detection)
- Rootkits and variants of this type of malware
- Trojan horses
- Internet worms
- Fraudtools
- Adware and spyware scrips
and much more…
How it works:
1) Registration. To communicate with API server, your website has to get session access key.
Plugins sends information about your website (domain and email) to server. After successful
registration your website will get uniq access key. Please note: This action requires your permission
and confirmation (nothing will be sent to server without your permission).
2) Scan process. During the scanning process, plugin will read all the files of your website and will analyze
them. Information about the files with suspicious codes will be sent to server for extra analyze
and for report generation. Generated report will be sent back to you (the copy of the report you will get by
email)
Если ваш сайт взломали — не паникуйте.
В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.
В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.
Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.
В третьем способе вы установите плагин.
Wordfence Security
Sucuri Security
Бесплатный плагин Sucuri Security является лидирующим инструментом в области безопасности, благодаря чему используется огромным количеством WordPress-пользователей. Решение обеспечивает сайтам несколько видов и уровней защиты, среди которых можно выделить следующие:
- сканирование всех файлов на наличие вредоносного кода;
- слежение за целостностью файлов;
- протоколирование всех операций, связанных с безопасностью;
- выявление и уведомление о риске попадания сайта в черные списки ESET, Norton, AVG и др.;
- автоматическое выполнение определенных действий в случае обнаружения взлома.
Плагин в целом зарекомендовал себя как надежная защита для всего сайта.
Фармацевтические взломы
Если вы видите на своем сайте ссылки на другие сайты, которые вы не добавляли, или вас или ваших посетителей перенаправляет на другие сайты, это называется фармацевтические или фарма хаки.
Текст или ссылки указывают на полулегальные спам сайты, которые продают поддельные часы, кошельки, Виагру и тому подобное.
Хакер добавляет скрипты в файлы сайта, обычно в хедер, иногда в другие части страниц. Эти ссылки или текст могут быть скрыты или незаметны для посетителей, но видны поисковым системам.
В поисковой выдаче вы должны видеть только название страниц и их описание. Если вы видите что-то подобное, значит, ваш сайт взломали.
Попробуйте вставить ссылку на какую-нибудь страницу вашего сайта в Фейсбук, ВКонтакте или Вотсапп. Если вы увидите что-то постороннее в описании или названии, это значит, что ваш сайт взломан.
Как хакеры взламывают сайты
Существует много способов взломать сайт. Простые способы — подбор логина и пароля и известные уязвимости в устаревшем ПО, описание которых находится в открытом доступе. Более сложные — бэкдоры, фишинг, xss-атаки, sql-инъекции и многие другие.
В данный момент на Вордпрессе работает более 43% всех сайтов в Интернете, это более 100 млн. сайтов. Около 65% всех сайтов, использующих CMS, используют Вордпресс. Такая популярность привлекает хакеров, то есть, если они найдут какую-то уязвимость в Вордпресс, они смогут получить тот или иной контроль над большим количеством сайтов.
Обычно после взлома взломщики публикуют свою рекламу на сайте, начинают рассылать спам по своим базам или спискам подписчиков взломанного сайта, или взломанный сайт работает в качестве редиректа посетителей на сайты хакеров.
Тогда ссылка на взломанный сайт появляется в интернет-спаме, поисковики это видят и понижают сайт в поисковой выдаче.
Хакеры не используют свои сайты для рассылки спама или для создания сети редиректов на свои сайты, потому что их сайты попадут в спам-фильтры и под санкции поисковых систем.
Вместо этого они взламывают чужие сайты и используют их. После того, как взломанные сайты попадают в фильтры и под санкции, хакеры оставляют эти сайты, взламывают другие и пользуются ими.
Плагины, которые помогут очистить сайт
Если вы хотите найти хак с помощью плагина, попробуйте использовать эти плагины:
Некоторые большие плагины могут помочь найти место взлома, но обычно бесплатные версии предназначены только для защиты сайта.
Удаление вредоносного кода
- Если вы нашли файл бэкдора, в котором находится только скрипт хакера, удалите этот файл.
- Если вы нашли вредоносный код в файле Вордпресс, темы или плагина, удалите этот файл и скачайте новый из репозитария Вордпресс или с сайта разработчика.
- Если вы нашли вредоносный код в файле, который вы создавали, удалите хакерский код и сохраните файл.
- Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
Очистите сайт и просканируйте его еще раз на интернет сервисах проверки.
Подбор логина и пароля
По умолчанию в Вордпресс нет ограничений на количество попыток ввести логин и пароль. Если вы оставите как есть, хакер может пробовать подбирать правильную комбинацию неограниченное количество раз. Это называется brute force attack, атака грубой силой или атака методом перебора паролей.
Небезопасность плагинов и тем
К сожалению, не всегда можно быть уверенными в безопасности и безобидности тем или плагинов. Их платные версии имеют вполне конкретных разработчиков, которые дорожат своей репутацией. В итоге их продукты более высокого качества, и вероятность получить вместе с ними какой-либо зловредный код довольно низка. Но, как подсказывает наш жизненный опыт, из любого правила есть исключения. Некоторые добавляют вполне безобидный код для обеспечения обратной связи, а другие делают это совсем для других целей. Даже в самом “движке” иногда выявляют уязвимости, которые позволяют злоумышленнику внедрить свой код в ее ядро.
Что случилось с сайтами
На первом сайте хакеры взломали устаревшую версию Вордпресс. Хотя на сайте были сложные логин и пароль, на нем не был установлен плагин безопасности, который мог бы предупредить об изменении в файлах.
На втором сайте хакеры создали бэкдор, создали еще одного пользователя, опубликовали несколько статей со ссылками на что-то фармацевтическое и начали рассылать спам по своим базам.
На первом сайте удалось найти инфицированные файлы и вылечить их, на втором сайте сделали бэкап и восстановили сайт до состояния, которое было до заражения.
На обоих сайтах после восстановления были заменены пароли к сайту, FTP, хостингу и ключи и соли.
Более простой способ:
Скопируйте сайт с сервера, удалите все что можно безопасно удалить, заархивируйте целиком или разделите на архивы и проверьте архивы на VirusTotal или 2ip. Также можно проверить на компьютере антивирусом. Перенесите все зараженные файлы из архива в отдельную папку.
После того, как вы нашли файлы с внедренным код, их можно восстановить или удалить.
Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?
Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее.
Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting.
Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.
Плагины для защиты от вирусов
К счастью, для WordPress существует и целый ряд полезных решений, способных полностью просканировать Ваш ресурс на предмет всякого рода уязвимостей и зловредного кода и в случае обнаружения указать конкретное место их “обитания” или полностью обезвредить. Рассмотрим несколько довольно качественных и надежных плагинов для защиты Вашего WordPress-сайта.
Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?
Там же вы можете проверить субдомены вашего сайта, если они есть. На этой странице вы найдете детальную информацию о вашем сайте, находится ли он в списках malware или phishing сайтов, и что делать, если содержится.
Вы не ожидаете этого, и затем это — Бум! — случается. Ваш сайт взломали. Это может случиться с каждым, и однажды это случилось со мной.
В одном случае IP, на котором находился сайт, был занесен в списки вредоносных и е-мейлы не доходили до адресатов. В другом случае хостинг изолировал сайт и отключил возможность отправлять е-мейлы.
В случае взлома страдает не только зараженный сайт, но и другие сайты на том же IP, все сайты теряют репутацию у поисковиков. Компьютеры посетителей оказываются под угрозой заражения. Настоящий кошмар.
В этой статье вы узнаете, как найти заражение и удалить его с сайта, и как удалить сайт из списков вредоносных сайтов.
Что делать с зараженными файлами
В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.
- Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
- Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
- Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
- Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.
- Если ничего не помогло — обратитесь к профессионалам в платный сервис.
Как очистить Вордпресс сайт от заражения. Способ 1
- Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
- Скачайте на компьютер файл wp-config.phpиз корневой папки сайта, папку /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
- Полностью удалите сайт и базу данных с сервера.
- Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
- Перенесите настройки связи с базой данных из сохраненного файла wp-config.php в новый из этой части файла:
После очистки сайта Гугл Хром продолжает показывать предупреждение о том, что сайт опасен и содержит вредоносное ПО. Что делать?
Вам нужно удалить свой сайт из списка зараженных сайтов Гугл.
- Зайдите в Инструменты вебмастера Гугл
- Добавьте свой сайт, если вы его еще не добавили
- Подтвердите владение сайтом
- На главной странице вашего аккаунта Инструментов вебмастера Гугл выберите ваш сайт
- Кликните Проблемы безопасности
- Нажмите Запросить проверку
Читайте также: