Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Wordpress, заражение файла functions.php темы оформления

Хостинг Украина FAQ Хостинг Wordpress, заражение файла functions.php темы оформления
Обратите внимание! Нижеприведенная информация является исключительно рекомендациями, которые могут помочь удалить вредоносный код из скриптов сайта. Администрация хостинга не несет ответственности за ущерб нанесенный сайту при их выполнении специалистом с ненадлежащим уровнем знаний!
 
 
Удаление вредоносного кода только из файла functions.php, как показывает практика, не решает вопроса.  Поэтому эта инструкция может быть полезной при устранении проблемы.
 
1. Убедитесь, что файла "wp-includes/class.wp.php" нет в принципе. Если есть - удалите его. Обратите особое внимание на имя файла - в этой директории есть много файлов с похожим названием, но вместо точки - дефис, и т.д. Речь идёт исключительно о "wp-includes/class.wp.php"
2. Аналогично п.1 - удалите файл "wp-includes/wp-vcd.php", если он существует.
Примечание к п.1-2: проверив официальный репозиторий Wordpress https://github.com/WordPress/WordPress/tree/master/wp-includes , можно убедиться, что в стандартной комплектации обоих файлов нет и они являются сторонними.
 
3. Проверьте содержимое "wp-includes/post.php". А именно - если в первой строке присутствует нечто вида
<?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?><?php
то нужно удалить первый блок кода в угловых скобках, оставив только
<?php
в этой строке. Для убедительности - пример, как выглядит файл post.php в стандартном виде Wordpress https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (обратите внимание на строку 1)
 
4. Пункты 1-3 - должны помочь устранить причину, по которой вредоносный код может появляться в файлах functions.php после удаления. Осталось проверить functions.php каждой установленной темы. Самый верный способ - попробовать переустановить тему, если есть возможность. В противном случае - привожу пример заражённого файла: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709
Внешний вид строки 3 из данного примера является типичным признаком, что functions.php заражён. В таком случае - удалить нужно весь блок <?php ... ?>, в котором встречается строка 3
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'ххххххххххххххххххххххххххххххххх'))

- выражаясь чуть проще, удалить нужно всё с начала файла и до первого встречания сочитания символов "?>". В данном примере - это строка 100, и в итоге "очищенный" файл будет иметь вид: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b

 
5. Есть сведения, что, в некоторых случаях, вирус помимо модификации файлов также пытается создать нового пользователя админки сайта, предоставляя ему права администратора.
Потому, в БД имеет смысл проверить таблицу users (чаще всего - wp_users), и если в ней присутствуют незнакомые Вам пользователи - рекомендуется удалить их, удалив соответствующие строки таблицы.
Большое спасибо! Инструкция очень полезная, помогла избавиться от вирусов на нескольких сайтах!
Написал edveraxo 08.12.2017 в 14:59 Ответить
Имя:
E-mail:

Обновить картинку
Ваш комментарий будет добавлен после проверки администратором
Спасибо!
Написал fatalemary 12.05.2018 в 07:28 Ответить
Имя:
E-mail:

Обновить картинку
Ваш комментарий будет добавлен после проверки администратором
Благодарю от всей души! Очень помогли!
Написал homebackup 03.09.2018 в 23:42 Ответить
Имя:
E-mail:

Обновить картинку
Ваш комментарий будет добавлен после проверки администратором

Добавить комментарий
Хотите ответить на существующий комментарий - воспользуйтесь кнопкой Ответить под комментарием на который даёте ответ.
Имя:
E-mail:

Обновить картинку
Ваш комментарий будет добавлен после проверки администратором.
Внимание! Чтобы ответить на существующий комментарий, пожалуйста, нажмите на кнопку Ответить, которая находится под соответствующим комментарием.

Другие полезные статьи:

Горячая линия
(044)
392 74 33
другие города