Хостинг и регистрация доменов

Чат онлайн
→  Хостинг →  Регистрация доменов →  VPS / VDS →  Выделенные сервера →  FAQ →  Форум →  Контакты →  Техподдержка

Wordpress, заражение файла functions.php темы оформления

Хостинг УкраинаFAQХостинг Wordpress, заражение файла functions.php темы оформления
Обратите внимание! Нижеприведенная информация является исключительно рекомендациями, которые могут помочь удалить вредоносный код из скриптов сайта. Администрация хостинга не несет ответственности за ущерб нанесенный сайту при их выполнении специалистом с ненадлежащим уровнем знаний!
 
 
Удаление вредоносного кода только из файла functions.php, как показывает практика, не решает вопроса.  Поэтому эта инструкция может быть полезной при устранении проблемы.
 
1. Убедитесь, что файла "wp-includes/class.wp.php" нет в принципе. Если есть - удалите его. Обратите особое внимание на имя файла - в этой директории есть много файлов с похожим названием, но вместо точки - дефис, и т.д. Речь идёт исключительно о "wp-includes/class.wp.php"
2. Аналогично п.1 - удалите файл "wp-includes/wp-vcd.php", если он существует.
Примечание к п.1-2: проверив официальный репозиторий Wordpress https://github.com/WordPress/WordPress/tree/master/wp-includes , можно убедиться, что в стандартной комплектации обоих файлов нет и они являются сторонними.
 
3. Проверьте содержимое "wp-includes/post.php". А именно - если в первой строке присутствует нечто вида
<?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?><?php
то нужно удалить первый блок кода в угловых скобках, оставив только
<?php
в этой строке. Для убедительности - пример, как выглядит файл post.php в стандартном виде Wordpress https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (обратите внимание на строку 1)
 
4. Пункты 1-3 - должны помочь устранить причину, по которой вредоносный код может появляться в файлах functions.php после удаления. Осталось проверить functions.php каждой установленной темы. Самый верный способ - попробовать переустановить тему, если есть возможность. В противном случае - привожу пример заражённого файла: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709
Внешний вид строки 3 из данного примера является типичным признаком, что functions.php заражён. В таком случае - удалить нужно весь блок <?php ... ?>, в котором встречается строка 3
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'ххххххххххххххххххххххххххххххххх'))

- выражаясь чуть проще, удалить нужно всё с начала файла и до первого встречания сочитания символов "?>". В данном примере - это строка 100, и в итоге "очищенный" файл будет иметь вид: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b

 
5. Есть сведения, что, в некоторых случаях, вирус помимо модификации файлов также пытается создать нового пользователя админки сайта, предоставляя ему права администратора.
Потому, в БД имеет смысл проверить таблицу users (чаще всего - wp_users), и если в ней присутствуют незнакомые Вам пользователи - рекомендуется удалить их, удалив соответствующие строки таблицы.

Добавить комментарий
Имя:
E-mail:

Обновить картинку
Ваш комментарий будет добавлен после проверки администратором.
Внимание! Чтобы ответить на существующий комментарий, пожалуйста, нажмите на кнопку Ответить, которая находится под соответствующим комментарием.

Другие полезные статьи:

Горячая линия
(044) 392 74 33 другие города
Copyright © 2006—2017 ООО "Хостинг «Украина»"

Все материалы данного сайта являются объектами авторского права.
Запрещается копирование, распространение или любое иное использование информации и объектов без письменного согласия правообладателя.
Нашли опечатку на странице - выделите ее и нажмите Ctrl+Enter
Идёт обновление информации, подождите...