Как удалить вредоносный код с сайта и защитить сайт от заражения. Как удалить вредоносный код с сайта


Как удалить вредоносный код с сайта и защитить сайт от заражения — Мир интернета

Сайт заражен вирусом

Сегодня Яндекс.Вебмастер сообщил мне неприятную новость, касающуюся одного из моих ресурсов. Cообщение информировало, что на страницах сайта обнаружен вредоносный код, который может быть опасен для компьютеров посетителей. При открытии страниц сайта вредоносный код на может привести к нежелательным для пользователя последствиям: заражению компьютера вирусами, несанкционированному использованию его ресурсов, порче и даже кражеличных данных.

(N.A. своевременное обновление версии браузера повысит безопасность работы в интернете)

Яндекс.Вебмастер сайт заражен

Вопрос, как и откуда появился вредоносный код на сайте, это был основной вопрос, ответ на который мне нужно было получить. Ведь администрированием ресурса я занимаюсь в одиночку, пароль для FTP доступа доступен только мне, да и нет тех людей, которые хотели бы внести изменения на страницы.

Я начал вспоминать, какие изменения и с какого компьютера производились по отношению к этому сайту в последнее время и вспомнил.

Несколько дней назад было обращение через FTP доступ с компьютера у которого была устаревшая антивирусная база. Им был рабочий компьютер, с которого я сейчас пишу этот пост.

Я скачал пробную тридцатидневную версию антивирусной программы и проверил систему. В ней действительно оказалось несколько файлов зараженных трояном. Позже мои выводы были подтверждены службой поддержки хостинг провайдера и разработчиками антивирусных программ.

После того, как была выяснена, локализована и устранена причина заражения, можно было перейти к следующему этапу и удалить вредоносный код с сайта. Я хочу подчеркнуть, что наиболее важным является выяснить источник заражения, а уж потом устранить последствие. Это сократит вероятность повторного появления проблемы, а в некоторых случаях, без устранения источника лечение сайта вообще не является возможным.

Вредоносный код на сайте содержал следующий скрипт:

Вредоносный код на странице сайта

Этот скрипт был размещен в конце каждой страницы между тэгами </body> и </html>.

Удалить скрипт можно было двумя способами:

  1. 1. восстановить сайт из бэкапа на сервере;
  2. 2. удалить вредоносный код вручную.

По причине небольшого количества страниц и знания их содержимого я выбрал второй вариант. Найти вредоносный код на сайте, удалить его и заменить зараженные страницы сайта на сервере чистыми не заняло много времени, безопасность сайта была восстановлена.

Более ужасным было последствие, которое в разы снизило численность посетителей и выражалось фразой: «Этот сайт может угрожать безопасности вашего компьютера», но с этим уже не поспоришь, раз уж оплошал, придется за это расплачиваться.

Как защитить сайт от заражения вредоносным кодом

Для того, чтобы обезопасить сайт от заражения вредоносным кодом, необходимо:

  1. Пользоваться качественным антивирусом. Установить официальную версию лидирующей на данный момент по рейтингу антивирусной программы.
  2. Поменять пароль для FTP доступа к сайту и панели управления. Если хостингом поддерживается отключение FTP доступа, отключить его из панели управления и включать по мере необходимости.
  3. Обращаться через FTP доступ к сайту только с компьютеров, имеющих хорошую антивирусную защиту с актуальной вирусной базой.
  4. Права доступа к файлам и папкам (Chmod) должны строго соответствовать тем, что рекомендует разработчик. В случае изменения прав доступа для редактирования файла, по окончанию работ, обязательно восстанавливать требуемые значения.

Выполняя эти четыре основных правила будет значительно сокращена вероятность заражения сайта вредоносным программным обеспечением.

На этом все, все вопросы и замечания оставляйте пожалуйста в комментариях.

 

comments powered by HyperComments

tdblog.ru

Ищем и убираем вредоносный код на Wordpress

От автора

Вредоносный код попадает на сайт по неосторожности или злому умыслу. Назначения вредоносного кода различны, но, по сути, он наносит вред или мешает нормальной работы сайта. Чтобы убрать вредоносный код на WordPress его нужно сначала, найти.

Что такое вредоносный код на сайте WordPress

По внешнему виду, чаще всего, вредоносный код это набор букв и символов латинского алфавита. На самом деле это зашифрованный код, по которому исполняется, то или иное действие. Действия могут быть самые различные, например, ваши новые посты, сразу публикуются на стороннем ресурсе. По сути это кража вашего контента. Есть у кодов и другие «задачи», например, размещение исходящих ссылок на страницах сайта. Задачи могут самые изощренные, но понятно одно, что за вредоносными кодами нужно охотиться и удалять.

Как попадают вредоносные коды на сайт

Лазейки для попадания кодов на сайт, также множество.

  1. Чаще всего, это темы и плагины скачанные с «левых» ресурсов. Хотя, такое проникновение  характерно для, так называемых, зашифрованных ссылок. Явный код так не попадает на сайт.
  2. Проникновение вируса при взломе сайта, самое опасное. Как правило, взлом сайта позволяет разместить не только «одноразовый код», но установить код с элементами malware (вредоносной программы). Например, вы находите код, и удаляет его, а он восстанавливается, через некоторое время. Вариантов, опять — таки множество.

Сразу замечу, борьба с такими вирусами трудная, а ручное удаление  требует знаний. Есть три решения проблемы: первое решение – использовать плагины анитвирисники, например, плагин под названием BulletProof Security.

Такое решение дает хорошие результаты, но требует времени, хотя и небольшого. Есть более радикальное решение, избавления от вредоносных кодов, включая сложные вирусы, это восстановить сайт из заранее сделанных резервных копий сайта.

Так как, хороший веб-мастер делает backup сайта периодически, то откатиться на не зараженную версию, получится без проблем.  Третье решение для богатых и ленивых, просто обращаетесь в специализированную «контору» или специалисту индивидуалу.

Далее, попробуем найти вредоносный код самостоятельно, без плагинов и «волшебников».

Как искать вредоносный код на WordPress

Важно понимать, что вредоносный код на WordPress может быть в любом файле сайта, и не обязательно в рабочей теме. Он может занестись с плагином, с темой, с «самодельным» кодом взятого из Интернет. Попробовать найти вредоносный код можно несколькими способами.

Способ 1. Вручную. Листаете все файлы сайта и сравниваете их с файлами незараженного бэкапа. Находите чужой код – удаляете.

Способ  2. С помощью плагинов безопасности WordPress. Например, плагин Wordfence Security. У этого плагина есть замечательная функция, сканирование файлов сайта на наличие чужого кода и плагин прекрасно справляется с этой задачей.

Способ 3. Если у вас, разумный support хостинга, и вам кажется, что на сайте «чужой», попросите их просканировать ваш сайт своим антивирусом. В их отчете будет указаны все зараженные файлы. Далее, открываете эти файлы в текстовом редакторе и удаляете вредоносный код.

Способ 4. Если вы можете работать с SSH доступом к каталогу сайта, то вперед, там своя кухня.

Важно! Каким бы способом вы не искали вредоносный код, перед поиском и последующим удалением кода, закройте доступ к файлам сайта (включите режим обслуживания). Помните про коды, которые сами восстанавливаются при их удалении.

Поиск вредоносных кодов по функции eval

Есть в php такая функция eval.  Она позволяет исполнять любой код  в ее строке.  Причем код может быть закодирован. Именно из-за кодировки вредоносный код выглядит, как набор букв и символов. Популярны две кодировки:

  1. Base64;
  2. Rot13.

Соответственно в этих кодировках функция eval выглядит так:

  • eval (base64_decode (...))
  • eval (str_rot13 (...)) //во внутренних кавычках, длинные не понятные наборы букв и символов..

Алгоритм поиска вредоносного кода по функции eval следующий (работаем из административной панели):

  • идёте в редактор сайта (Внешний вид→Редактор).
  • копируете файл functions.php.
  • открываете его в текстовом редакторе (например, Notepad++) и по поиску ищите слово: eval.
  • если нашли, не спешите ничего удалять. Нужно понять, что эта функция «просит» исполнить.  Чтобы это понять код нужно раскодировать. Для раскодирования есть онлайн инструменты, называемые декодеры.

Декодеры/Кодеры

Работают декодеры просто. Копируете код, который нужно расшифровать, вставляете в поле декодера и декодируете.

На момент написания статьи я не нашел у себя ни одного зашифрованного кода найденного в WordPress. Нашел код с сайта Joomla. В принципе разницы для понимания раскодирования нет. Смотрим фото.

Как видите на фото, функция eval после раскодирования, вывела не страшный код, угрожающий безопасности сайта, а зашифрованную ссылку копирайта, автора шаблона. Его тоже можно удалить, но он вернется после обновления шаблона, если вы не используете дочернюю тему WordPress.

В завершении замечу, чтобы не получить вирус на сайт:

  • Вредоносный код на WordPress чаще приходит с темами и плагинами. Поэтому не ставьте шаблоны и плагины из «левых», не проверенных ресурсов, а если ставите, внимательно их прокачайте, на наличие ссылок и исполнительных функций php. После установки плагинов и тем с «незаконных» ресурсов, проверьте сайт антивирусами.
  • Обязательно делайте периодические бэкапы и выполняйте другие правила безопасности сайта.

©www.wordpress-abc.ru

Еще статьи

Статьи связанные по теме:

www.wordpress-abc.ru

Найти и удалить вредоносный код на сайте. Как удалить вредоносный код

От беды такой ни кто не застрахован, но «предупрежден – значит вооружен» – не пора ли вооружаться…?!

Предупредить,найти и удалить вредоносный код!

В последнее время с опаской захожу в гости на сайты своих посетителей – Avast громогласно, нежным женским голосом пока предупреждает: «Вирусная атака заблокирована!» (скоро, глядишь, ругаться начнет!).Да и в браузере частенько натыкаюсь на предупреждение: «Этот сайт может угрожать безопасности вашего компьютера».

вредоносный код на сайте

Где мы ЭТО находим или кто нас ЭТИМ одаривает? Всех секретов не ведаю, но тем, что знаю – поделюсь.

Основные виновники появления вредоносного кода на сайте – сами владельцы сайтов! Незнание законов не освобождает от последствий их неисполнения!

1. Нельзя хранить свои пароли в компьютере, в памяти программы «ftp-клиент»

2. Нельзя разрешать браузеру запоминать данные для входа на сайты (пароль, логин)

3. Нельзя (не рекомендуется!) использовать в качестве пароля – имена, даты, читаемые фразы

4. Нельзя работать в админ-панели сайта или активировать ftp-соединение с отключенным или вообще не установленным антивирусом

5. Нельзя ставить себе на сайт сторонний код, не убедившись хотя бы визуально в его «порядочности» – если в коде есть ссылки, проверьте, куда и зачем они ведут.

6. Не рекомендуется при публикации или редактировании статьи копировать текст и вставлять его непосредственно из документа Office Word – вставляйте в редактор “как простой текст” (кнопка)

О последствиях заражения сайта Вы, очевидно, знаете – в результатах поиска вывешивается предупреждение о том, что на сайт заходить опасно:«Туда не ходи – сюда ходи…!»Посещаемость резко падает, а если администратор в течение длительного времени не удалит вредоносный код, поисковые машины могут расценить это как – «заброшенный» сайт или умышленно зараженный владельцем ресурс. В итоге – восстановить свое «доброе имя» и хорошие позиции будет очень и очень сложно.

 

Для того чтобы быть в курсе всех событий обязательно зарегистрируйтесь в панели Гугл вебмастер  и Яндекс вебмастер  , зайдите в «Настройки» и включите «Доставку сообщений» на эл. почту. В панели Яндекса можно еще выбрать – какие сообщения высылать, а какие просто сохранять в базе переписки.

Как выглядит, можно ли найти и как удалить вредоносный код самостоятельно?

Я, честно говоря, видел сам своими глазами пока только один (фото – 1).

Находился он в файле «шапки» (Заголовок – header.php) выбранного и скаченного шаблона, нашел код плагин ТАС  .

 

vredonosnyi kod na saite

фото – 1 – нажмите для увеличения

Советы по материалам, опубликованным в Интернете:

- следует обращать особое внимание на коды, которые Вы сами не добавляли

- тэги script, в которые заключены ссылки на неизвестные Вам ресурсы; текст в которых запутан или зашифрован (фото – 1)

- скрипты, представленные как счетчики или баннеры, но так же с непонятным, запутанным кодом или с внешними ссылками на неизвестные Вам сайты

- странные ссылки или элементы, оставленные в комментариях

Есть еще много различных рекомендаций с указанием тэгов, расширений, переменных и пр., но если Вы новичок – разобраться в этом непросто.

А что все- таки можно и нужно предпринять на первом этапе лечения, если уж пришла такая беда…?!

- проверяем свой компьютер на вирусы (желательно различными антивирусными программами)

- меняем все пароли – хостинг, админ-панель сайта, FTP-доступ. И никогда их больше не сохраняем в браузере – вводим каждый раз руками!

- в панели вебмастера Яндекс и Гугл знакомимся с подсказками и уведомлениями по поводу зараженных страниц

- проверяем сайт на «бан» от Гугл seobuilding.ru/google-banned.php

- проверяем сайт сканером sitecheck.sucuri.net/scanner

- для самостоятельного поиска вредоносного кода в файлах можно зайти на хостинг через FTP и упорядочить файлы по дате изменения (не забудьте сделать копию сайта!)

- можно просмотреть код страницы в Гугл вебмастер – «диагностика» – «Просмотреть как Googlebot» – и сравнить его с оригинальным кодом, отметить сторонние коды и выяснить, откуда они и зачем

- скачиваем файлы и базу данных сайта (через FTP) в компьютер и проверяем антивирусами

 Удаляйте подозрительные коды, если Вы уверены в своих действиях

Если не получается вылечить свой сайт своими руками, обращайтесь за помощью – на форумы, к фрилансерам, на свой хостинг… Только не тяните со временем, помните – Ваш сайт не рекомендован для просмотра и поисковые машины ждут от Вас активных действий!

Всем удачной и безопасной работы! 

Не забывайте про защиту сайта от взлома! 

До встречи!

 

Не пропускайте новости – подпишитесь

 Автор: Сергей Бондин

 

sabsait.ru

8 сетевых ресурсов для удаления вредоносного кода и устранения последствий взлома сайта

Как удалить зараженный сайт из черных списков и очистить его от вредоносного кода?

Взломать или заразить сайт вредоносным кодом могут по многим причинам. Злоумышленники, как правило, используют следующие приемы:

  • бэкдор
  • дефейс (изменение внешнего вида страниц)
  • фишинг
  • SEO-спам
  • вредоносные программы
  • использование ошибок в конфигурации
  • уязвимый код
  • уязвимое расширение
  • брутфорс
Последние исследования Acunetix показывают, что около 84% сайтов содержат уязвимости. Если вы не уверены, содержит ваш сайт уязвимости или нет, проверьте его с помощью следующих инструментов: Обнаружили, что сайт взломан? Заметили подозрительную активность на сайте? Без паники!

Знаю, взлом сайта может выбить из колеи, но не переживайте, вы не одиноки, а с помощью следующих специалистов вы сможете восстановить вашу деятельность.

Инструменты для удаления вредоносных программ и кода:

  1. SUCURI
  2. Wordfence
  3. SiteGuarding
  4. 6SCAN
  5. StopTheHacker
  6. Web Malware Removal
  7. SiteLock
  8. Virusdie
1. SUCURI
SUCURI — это один из самых популярных сервисов для обеспечения безопасности сайта. Он помогает устранить такие последствия взлома как:
  • попадание в черный список Google
  • внедрение вредоносного кода
  • дефейс
  • SEO спам
  • фишинг
  • вредоносная переадресация
  • бэкдор
  • появление предупреждений Google

С помощью SUCURI вы не просто сможете разово устранить все проблемы, но и защитить ваш сайт и предупредить взлом в будущем.

Устранение последствий взлома и защита от будущего взлома стоит $299.99.

2. Wordfence
Wordfence предназначен для быстрого восстановления сайта на WordPress или Joomla. Знаете ли вы, что расширение Wordfence для WordPress уже установлено более миллионом пользователей?

С Wordfence вы получаете следующее:

  • подробный отчет проверки и устранения уязвимости
  • план действий для предупреждения атак в будущем
  • чистку и восстановление взломанного сайта
  • расследование методов, которыми злоумышленники пользовались для взлома вашего сайта
  • расширенную лицензию Wordfence на один год (стоимостью $99)
За все это в Wordfence просят $179.
3. SiteGuarding
Если вам требуется удалить вредоносный код с WordPress или Joomla в экстренном порядке, то SiteGuarding с этим справляется за 1-3 часа.

На SiteGuarding предусмотрено несколько вариантов удаления вредоносного кода. Можно выбрать то, что подходит именно вам.

В стоимость входит следующее:

  • проверка файлов ядра
  • удаление бэкдора
  • предупреждение SQL/XSS-атак
  • удаление из черных списков (Google, McAfee, Norton)
  • резервное копирование сайта и анализ журнала событий
  • ускорение работы сайта
Услуги SiteGuarding стоят от $52.
4. 6SCAN
Услуги по удалению вредоносного кода входят в пакет защиты сайта «Профессионал». В рамках этого пакета услуг 6SCAN удалит вредоносный код и добавят нужные вам настройки мониторинга и безопасности.

В пакет входит:

  • ежедневная проверка сайта на наличие вредоносного кода
  • автоматический «карантин» для вредоносного кода и устранение уязвимости
  • отслеживание черных списков
  • файрвол для веб-приложений
  • защита от SQL/XSS-атак и рисков из списка OWASP Топ-10
  • уведомления по SMS или электронной почте
  • значок, свидетельствующий о безопасности
Пакет 6SCAN «Профессионал» обойдется вам примерно в $360 в год.
5. StopTheHacker
StopTheHacker оказывает все услуги по защите сайта, в том числе и по очистке сайта от вредоносного кода. Вы можете либо самостоятельно очистить сайт, либо активировать автоматическую очистку StopTheHacker.

Вместе с очисткой вы получите:

  • мониторинг черных списков и репутации
  • проверка на наличие вирусов или вредоносного кода
  • обнаружение фишинга, дефейса, PHP-шеллов, незащищенных папок, ошибок .htaccess, вредоносного кода
Стоить отметить, что обеспечивается и защита страниц Facebook от возможного мошенничества и спама.
6. Web Malware Removal
Web Malware Removal поможет вам удалить вредоносный скрипт, бэкдоры, попадание в черный список Google и защитит вас от будущих атак.

Услуги обойдутся примерно в $160. Если в течение четырех недель ваш сайт взломают снова, то очистку сайта сделают бесплатно.

Вы получите и бесплатную проверку сайта на год и защиту от атак SQLi, XSS или брутфорса.

7. SiteLock
SiteLock — бренд, которому многие доверяют безопасность сайта, оказывающий в том числе и услуги удаления вредоносного кода. Сервис называется SiteLock911.

Механизм работы SiteLock911 отличается от других. Сначала программа скачивает файлы сайта, затем проверяет код, удаляет вредоносный скрипт и загружает исправленные файлы на сервер.

Все пакеты SiteLock предусматривают удаление вредоносного кода, а также следующие услуги:

  • базовая защита от DDoS-атак
  • ускорение сайта (через глобальные сети доставки контента, минификацию, оптимизацию изображений, кэширование, сжатие и т.д.)
  • файрвол для веб-приложений
  • ежедневная проверка сайта на наличие вредоносного кода
  • значок доверия
Если нужно устранить последствия взлома сайта и защитить его у в будущем, стоит попробовать SiteLock.
8. Virusdie
Virusdie — сервис с говорящим названием. Он непрерывно проверяет сайт на наличие вредоносного кода и автоматически удаляет его после того, как находит.

Virusdie также защищает сайт от XSS, SQLi, DDoS-атак, помогает с резервным копированием и восстановлением данных и т.д.

Стоимость услуг Virusdie начинается от $4.99 в месяц.

Я бы хотел упомянуть еще два инструмента для защиты от DDoS-атак:

  1. CloudFlare
  2. Incapsula
Надеюсь, перечисленные инструменты помогут вам восстановить взломанный сайт и работу вашей компании.

Всем безопасности и никаких взломов!

Подобрать виртуальный сервер или виртуальный хостинг для размещения Ваших сайтов поможет Хостинг Кафе.

habr.com

Как найти и удалить вредоносный код со взломанного WordPress сайта

Будучи одной из наиболее часто используемых платформ в публикации онлайн-контента, WordPress часто подвергается инфицированию malware, "троянскими" вирусами, вредоносным кодом и другими опасными штуками. Есть несколько практических руководств, которые касаются wordpress-безопасности и вопросов очистки вашего сайта от malware (вредоносный код). Эта тема настолько важна и актуальна для владельцев сайтов, что нет ничего плохого в том, чтобы вернуться к ее обсуждению снова и снова.

Новички, которые только начали использовать автономную CMS на собственном веб-сервере, впадают в панику, столкнувшись впервые с заражением своего сайта вредоносным ПО. В попытках восстановить свой сайт они допускают дополнительные ошибки, что часто ведет к полной потере файлов и важных данных. В этой статье мы научимся находить, определять и корректно удалять malware так, чтобы не навредить вашим данным и основным файлам на сайте.

Делайте бэкапы вашего сайта

Прежде чем мы перейдем к обсуждению malware и взломанных сайтов на базе WordPress, немаловажно обсудить вопрос создания бэкапов информации с вашего сайта. Если вы — новичок в использовании WordPress и всерьез занимаетесь изданием онлайн-контента, то вы должны первым делом быстро освоить навык создания бэкапов.

Регулярное сохранения резервных копий вашего сайта должно включать не только БД сайта, но и все основные файлы. Этот процесс и пары минут не займет, зато сохранит вам кучу времени и нервов в будущем и предостережет от целого ряда серьезных проблем. Я настоятельно рекомендую Backup Buddy, Cloudsafe365 и VaultPress в качестве премиум-решений для проведения регулярных процедур создания резервных копий и восстановления данных из них при необходимости. Также есть бесплатные плагины для этой цели, такие как WP-DBManager и руководство по созданию бэкапов вручную.

Восстанавливать сайт или искать на нем malware?

Если вы используете сервис для бэкапов наподобие Backup Buddy или VaultPress, тогда у вас есть опция восстановления сайта к более ранней версии. Тем не менее, я полагаю, что это — не самая лучшая идея. Восстановление вашего сайта без изучения причин сбоя и устранения malware может привести к тому, что уязвимости на вашем сайте все равно останутся. Поэтому куда лучшим будет найти уязвимость, устранить ее, а затем восстановить состояние сайта.

Определяем наличие вредоносного ПО на сайте

Malware обычно представляет собой вредоносный контент на вашем сайте, который добавляется на сайт путем вставки кода в страницы, темы, плагины, файлы или БД сайта. В этом коде может содержаться ПО, которое нанесет вред компьютерам пользователей, посещающих ваш сайт, другим веб-сайтам, а также внутренним фреймам вашего собственного сайта. Много различных техник внедрения вредоносного кода используется для проведения атак на WordPress-сайты.

Проверяем обрабатываемый HTML-код

Начать поиск malware мы можем с поиска того, где и как срабатывает вредоносный код на вашем сайте.

  • Присутствует ли такой код на всех страницах?
  • Появляется ли он только на конкретных страницах или в конкретных постах?
  • Где именно появился вредоносный код? Он вставлен в подвал, в шапку сайта, в основной контент или в боковые панели сайта?

Ответы на эти вопросы помогут вам определить, какие именно файлы на сайте следует проверить в первую очередь.

Проверяем ваши плагины и темы на наличие вредоносного кода

Наиболее часто атакам подвергаются темы оформления и плагины на сайте. Начать проверку можно с того, что проверить файлы вашей темы на наличие вредоносного кода. Если в папке с темами у вас лежит больше одной темы для оформления, стоит проверить все темы, даже те, которые в данный момент неактивны.

Более простым способом проверки станет загрузка бэкапа вашей папки с темами и удаление всех тем с веб-сервера. Загрузите затем свежую копию темы темы по умолчанию Twenty Eleven и разместите ее на своем веб-сервере. Теперь проверьте ваш веб-сайт: если вредоносный код исчез — значит, все дело было в одном из файлов темы. Теперь вы можете почистить свою старую тему, открывая вручную файлы в редакторе и сравнивая код "чистой" темы и вашей темы на наличие странных или подозрительных включений кода. Вы также можете скачать свежую копию темы с сайта разработчиков.

Предположим, что вы просмотрели все файлы и темы и не нашли в них вредоносного кода. Тогда следующий шаг — поискать в плагинах. Воспользуйтесь тем же методом, который мы применили для тем. Загрузите бэкап плагинов в папку, затем удалите их с вашего сервера. Теперь просмотрите сайт в браузере и убедитесь, пропал ли вредоносный код. Если да — дело было в одном из ваших плагинов на сайте. Если вы видите, что malware опять появляется на сайте после установки и активации плагина или плагинов, то удалите этот плагин с вашего веб-сервера.

Самые лучшие практические способы защиты ваших тем и плагинов:

  • Удаляйте ненужные темы и плагины с вашего веб-сервера.
  • Убедитесь, что ваши темы и плагины всегда взяты из надежных источников.
  • Регулярно обновляйте темы и плагины на сайте.
  • Не используйте премиму-плагины и платные темы, загруженные с торрентов или с неофициальных сайтов.

Находим вредоносный код, вставленный в файлы ядра WordPress

Если вы уже проверили и темы, и плагины, и при этом вредоносный код никуда не пропал, то следующим шагом в ваших поисках станет проверка файлов ядра WordPress. Здесь я снова рекомендую применить тот же подход, что и в случае с плагинами и темами.

Для начала делаем резервную копию всех файлов вашего сайта (важно, чтобы в бэкап попали такие файлы, как wp-config, wp-content папка, .htaccess и robots.txt). После завершения процедуры резервного копирования начинайте удалять все файлы с вашего веб-сервера. Теперь скачайте свежую копию WordPress и установите его на сервер. Заполните wp-config информацией из вашей БД. Зайдите теперь на сайт и посмотрите, остался ли на нем вредоносный код. Если malware пропал, тогда значит, ваши файлы ядра были заражены. Теперь аккуратно восстановите изображения, видео и аудио-файлы из резервной копии вашего сайта.

Самые лучшие практические способы защитить код файлов в WordPress

  • Убедитесь, что на сайте все разрешения на операции с файлами имеют значение 644.
  • Не модифицируйте и не заменяйте файлы ядра в WordPress.
  • Используйте надежные пароли в Shell, FTP, БД и панели администратора WordPress.

Находим инъекцию вредоносного SQL-кода в WordPress

Выше мы уже обследовали плагины, темы и ядро WordPress. Если все это не помогло побороть вредоносный код, пришло время браться за базу данных. Для начала убедитесь, что сделали резервную копию вашей БД сайта. Если делать бэкапы регулярно, то всегда можно легко восстановить предыдущую версию БД. Но перед этим убедитесь, что в БД закрался вредоносный код.

Скачайте и установите плагин WordPress Exploit Scanner. Активируйте его и просканируйте свой веб-сайт. Exploit Scanner проверит вашу БД, файлы ядра, плагины, темы на предмет подозрительного кода в них и выдаст вам результат сканирования. Как только сканирование завершится, вы просмотрите результаты: если в них обнаружится множество уведомлений об ошибках и ложных предупреждениях, вам придется выбирать результаты крайне внимательно. Этот плагин ничего не удаляет из ваших файлов и БД. Как только вы выясните, где именно "завелся" вредоносный код, эти файлы вам придется самостоятельно удалить вручную.

Если вы еще не делали резервной копии вашей БД, сделайте ее до того, как вносить в базу какие-либо изменения. Бэкап даже с вредоносным кодом в нем всегда лучше, чем полное отсутствие резервных копий.

Скопируйте код, который кажется подозрительным и был определен плагином-сканнером, а затем запустите mysql-запрос такого вида, используя phpMyAdmin:

SELECT * From wp_comments where comment_content Like '%SuspiciousCodeHere%'

В зависимости от того, куда вставлен этот подозрительный код (в посты, комментарии или в таблицы), вам придется запускать этот запрос для различных полей и таблиц на сайте. Если в результирующих строках не слишком много кода, то вы можете вручную отредактировать файлы и поля, убрать вредоносный код. С другой стороны, если выдало слишком много строк, тогда вам, возможно, понадобится запуск автозамены для полей по базе, что является довольно рискованным делом, и если вы не знаете, как правильно пользоваться данным инструментом, то рискуете потерять все данные с вашего сайта.

Проделали все вышеперечисленное, но все равно не избавились от проблем?

Полагаю, большинство людей в состоянии самостоятельно и сравнительно просто определить, найти и устранить вредоносный код на своих WordPress-сайтах. Но иногда malware хорошо маскируется и не поддается простому удалению. Если вы перепробовали все вышеупомянутые методы и при этом ничего не выяснили и не удалили, тогда настала пора приглашать экспертов по безопасности в WordPress, пользоваться онлайн-сервисами или услугами консультантов, которые очистят ваш сайт от зловредов за небольшую плату.

Сервисы мониторинга и очистки сайта от Sucuri

Sucuri — компания, которая занимается мониторингом и безопасностью веб-сайтов. Они предлагают различные тарифные планы, удаление вредоносного ПО, мониторинг сайтов и бесплатные услуги сканирования сайтов. Процедура довольно проста и не требует с вашей стороны ничего: они просто обследуют ваш сайт, высылают вам уведомление в случае, если что-то подозрительное или опасное найдут, а затем вы можете зарегистрироваться с аккаунтом на сайте Sucuri и передать задание специалисту. Они уверяют, что очистка большинства клиентских сайтов происходит в течение 4 часов.

Ищем индивидуального эксперта по безопасности в WordPress

Есть много веб-сайтов для фрилансеров, где вы можете разместить предложение о работе для консультанта по безопасности, который устранит вашу проблему с заражением сайта. Из всех поступивших предложений выберите того, кто кажется вам наиболее опытным и знающим. Вы также можете разместить заявку на выполнение работ по очистке сайта от вредоносного ПО на WordPress Jobs либо в Smashing Magazine’s Jobs Board. Просто убедитесь в том, что человек, которого вы нанимаете для выполнения этих задач, опытен, обладает хорошей репутацией и положительными отзывами о предыдущей работе.

Заключение

WordPress безопасен в работе настолько, насколько это возможно. Как владелец веб-сайта, вы несете ответственность за сайт и за использование здравого смысла в борьбе с типичными угрозами для безопасности сайта. Пользуйтесь надежными паролями, проверяйте разрешения на операции с файлами, регулярно очищайте закладки и создавайте регулярные бэкапы — и у вас не будет проблем.

Источник: WPLift.com

hostenko.com

как удалить вредоносный код на сайте WP Ч1

Приводится перевод статьи «Removing Malware from a WordPress blog»  о том, как удалить вредоносный код на сайте WordPress, если сайт заражен или взломан. Автор:David Dede

Данная статья рекомендована к ознакомлению разработчиками WordPress. В ней дается хорошая возможность проследить за работой профессионалов по выявлению и удалению вредоносного кода из сайта.

 

Removing Malware from a WordPress blog Ч1

В начале этой недели мы были наняты для удаления вредоносного кода из весьма популярного веб-сайта. Вредоносный код был там некоторое время и сайт попал в черный список Google. Вот как владелец  это заметил.

Каждый раз, когда кто-то пытался посетить его сайт (с помощью Chrome или Firefox) или искать этот сайт через Google, отображалось уродливое сообщение « Report attack Site « (Отчет  об атаке сайта).

Ох, не хорошо для владельца сайта, который делает деньги на рекламе и не может позволить себе потерять пользователей. Если бы они использовали наш монитор веб-целостности , то этого бы не случилось, но так как они  этого не сделали, теперь настало время исправить эту проблему.

1 Понимание проблемы

Первое, что мы сделали — это посмотрели, где и как код появляется. Мы использовали простой дамп инструмент, чтобы увидеть исходный код страницы (lynx — инструмент командной строки, доступный в большинстве Linux систем):

Это показывает весь исходный код страницы и, анализируя его, мы увидели следующий странный JavaScript (слегка изменено для защиты от компрометации):

Кроме того, мы использовали наш сайт сканер (бесплатный) и он подтвердил, что это действительно вредоносный код.

2Анализ JavaScript

Есть несколько способов для анализа вредоносного JavaScript, и мы выбрали более легкий. Мы видим, что они добавили замаскированный JavaScript, незамаскированный и использовали функцию Eval для анализа содержания. Я скопировал JavaScript в локальный файл и изменил конец»Eval» функции  для «предупреждения». Теперь, вместо того, чтобы выполнять код, она будет распечатывать его.

 Таким образом, незамаскированный код загружает другой скрипт с сайта martuz.cn. После небольшого поиска, это, как оказалось, — старые атаки (с середины 2009 года), которые каким-то образом до сих пор существуют. Martuz.cn сейчас недоступен, так что хорошей новостью является то, что это нападение ничего не делает по отношению к пользователям.

3 Очистка WordPress

После того как мы нашли то, что это за код был и что делал, теперь настало время, чтобы удалить его с сайта. Это то, что мы сделали:

  1. Резервное копирование всей базы данных WordPress (с помощью инструмента экспорта и при помощи дампа SQL)
  2. Вернулись ко всему каталогу (директории) WordPress для анализа и удаления его с сайта
  3. Изменили все пароли, удалили неиспользуемые учетные записи и службы.
  4. Переустановлена ??WordPress с нуля (последняя версия), повторно импортировали базы данных (после проверки, что это безопасно) и переустановили их тему с нуля (чтобы убедиться, что она не была взломана тоже).
  5. Работали с Google, чтобы сайт был удален из черного списка

bezopasnostpc.ru

Удаление вредоносного кода. Сео оптимизация сайта

Именно такие две задачи, — удалить вредоносный код с сайта и сделать сео оптимизацию сайта встали перед нами, когда к нам обратились за помощью на счет очередного сайта на движке Joomla.

И в этой статье мы сделали обзор решения проблемы этого сайта, на котором находился вредоносный код, и были неправильно оптимизированы страницы, что снижало позиции сайта в поисковиках.

Возможно, данный опыт будет полезен и в вашем случае.

Итак…

К нам обратилась одна компания со следующими проблемами: При посещении ее сайта выдавалось предупреждение от Яндекса, что, мол, сайт web-redirect.ru может угрожать безопасности вашего мобильного устройства. Вот такой мобильный редирект можно было наблюдать при посещении сайта в сети Мегафон и Билайн:

сайт web-redirect.ru может угрожать безопасности

И снизилась посещаемость:

Снизилась посещаемость сайта

При этом, в чем именно проблема, сложно было сказать, так как при проверке сайта на вирусы и вредоносные коды, ни Яндекс мастер, ни некоторые другие сервисы, ничего подозрительного не находили:

Вирусов не обнаружено

В чем же может быть причина?

Анализ сайта для выявления проблем

При анализе данного сайта с помощью определенных сервисов мы выявили пару серьезных проблем.

1. Найден вредоносный код

Наличие подозрительного вредоносного кода засекли несколько сервисов. Например, один из них выдал такое:

Найден вредоносный код

Также в некоторых браузерах можно было заметить визуально внизу некоторых страниц следующее проявление вредоносного кода:

Как определить наличие вредоносного кода на сайте

Т.е. вредоносный код выдавал стороннюю рекламу каких-то сайтов. И проблема в том, что антивирусные программы на сайте не находят вирус как таковой, плюс не всегда визуально можно заметить такую рекламную строку, чтобы быстро принять решение о поиске и ликвидации вредоносного кода.

В результате сайт бесплатно рекламировал какие-то посторонние сайты, а Яндекс и другие поисковики в свою очередь начинают воспринимать данный сайт, как сателлит, т.е. как сайт, созданный для продажи ссылок, и понижают его позиции в поиске.

2. Плохая сео оптимизация сайта

Это вторая проблема, которая была выявлена. С помощью другого сервиса стало понятно, что в дополнение к вредоносному коду, страницы сайта не были оптимизированы как полагается, что тоже может влиять на выдачу в поиске.

Так, описания (Description) ко многим статьям везде были одинаковые!

Пример:

2. Плохая сео оптимизация сайта

Только таких оказалось 49 дубликатов! Также и других дублей по другим страницам выдало немного.

Тоже самое, и по ключевым словам, которых в принципе должно быть немного, а их на данном сайте оказалось слишком много, да еще и в каждой статье тоже одни и те же.

Пример:

Проблема с ключевыми словами

Такая же проблема хорошо видна и у главной страницы:

Главная плохо оптимизирована

Также, в текстах многие заголовки h2 оказались длиннее, чем допустимо (норма от 2 до 6 слов):

Некоторые заголовки доходили даже до 13-17 слов:

В Title из-за некоторых длинных заголовков уровень проблемы небольшой, но все же, можно подправить:

Подправить title

Также попутно на сайте оказалось несколько битых ссылок, т.е. ведущих на несуществующие страницы:

Битые ссылки на сайте

Необходимые первостепенные работы над сайтом

Итак, такой небольшой анализ выявил вышеописанные проблемы, в результате которого стало понятно, что уже для начала нужно:

1. Найти и удалить вредоносный код

2. Сделать сео оптимизацию сайта. Это включает в себя: подкорректировать названия во всех статьях; добавить ко всем статьям индивидуальные Описания и ключевые слова; подкорректировать заголовки h2; убрать дубль главной страницы и битые ссылки.

После этого необходимо подождать 2-4 месяца, пока поисковики не начнут поднимать позиции сайта в своих поисках. Когда такой рост закончится, можно посмотреть на результат и решить, какие работы требуются по дальнейшему продвижению сайта.

Например, возможно, потребуется заново проанализировать конкуренцию, составить семантическое ядро сайта по-новому (если оно было сделано до этого), доработать структуру сайта, переделать статьи с учетом новых знаний и подходов в продвижении и т.п.

Выполнение необходимых работ над сайтом

С выявленными текущими проблемами владелец сайта предложил разобраться нам.

В результате:

1. Удаление вредоносного кода

Вредоносные коды были найдены и удалены, т.е. теперь на сайте не транслируется сторонняя реклама. И повторная проверка сервисами, которые определили наличие вредоносного кода на сайте, уже показывает, что сайт чист:

Вредоносный код удален

Чтобы было более понятно, вот снимок с автопереводом браузера на русский язык:

Вирусы не найдены

На снимке выше видно, что главная задача выполнена, — первые две позиции показывают, что на сайте вредоносных программ нет и в глазах поисковиков сайт чист!

Также сервис определил дополнительно, что, во-первых, на сайте НЕ установлен Firewall (пункт 3). Кстати, конечно же, предложил свой платный (на момент написания данного обзора это от 10 до 70 дол. в месяц). Нужен Firewall или нет, и если да, то какой, — это теперь уже владельцу сайта решать.

И, во-вторых, сервис напомнил, что версия движка самого сайта устарела и нужно просто обновиться (пункт 4). В самой админке сайта выдается данная информация:

Нужно обновить Джумлу

Также при посещении сайта с мобильных телефонов, сообщение сайт web-redirect.ru может угрожать безопасности вашего мобильного устройства больше не появляется.

2. Сделана необходимая Сео оптимизация сайта

+ Названия (title) во всех статьях подкорректировали. Некоторые позиции для примера (уровень проблем 0, т.е. проблем нет):

title в порядке

+ Описания (Description) и ключевые слова (keywords) во всех статьях составили и добавили индивидуальные, в соответствии с названиями и имеющимися текстами. Частичный пример описания:

description в порядке

+ Все заголовки h2 подправили. Несколько позиций для примера:

+ Дубль главной страницы и битые ссылки убрали.

В результате получили отлично оптимизированный сайт:

Сделать аудит сайта

+ Дополнительно еще были закрыты от индексации несколько ссылок, ведущих на сторонние сайты.

Отчет о проделанной работе и рекомендации

Владельцу сайта был предоставлен полный отчет о проделанной работе, а также были даны рекомендации по дальнейшей профилактике сайта, применение которых позволят максимально возможно снизить риск повторного заражения вредоносными кодами.

Кроме того, рекомендовали при написании новых статей и для продвижения сайта воспользоваться руководством из книги: «Эффективное продвижение сайтов».

Ваш сайт тоже нуждается в улучшении?

Хотите узнать, какие сервисы помогли нам найти и решить проблемы у вышеописанного сайта? Т.е. благодаря каким сервисам мы смогли выявить и удалить вредоносные коды на сайте, а также сделать сео оптимизацию сайта клиента?

А также, что помогло решить проблему дубля главной страницы в данном случае?

Просто поддержите нас в соц.сетях, кликнув на одну из кнопок соц.сетей и Вам автоматически откроется информация по этим сервисам и решению проблемы с дублем главной страницы:

Спасибо! Вот ссылки на обещанную информацию:

1. Сервис, который помог определить на сайте вредоносный код:https://sitecheck.sucuri.net/

2. Служба поддержки сервиса, которая помогла удалить мобильный редирект:https://sitesecure.ru

3. Сервис, который помог выявить SEO проблемы сайта:http://audit.megaindex.ru/

4. Для исправления дубля главной страницы в файле .htaccess добавили следующий код:

RewriteEngine OnRewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /index\.php\ HTTP/RewriteRule ^index\.php$ http://vash-sait.ru/ [R=301,L]

Только сайт указывайте, соответственно свой (выделено зеленым цветом)

Если же нужна наша помощь, — обращайтесь.

infodio.ru