Акция!  Домен 34 грн, домен 55 грн, домен  - 65 грн, домен  - 99 грн, домен  - 56 грн!, домен  - 425 грн!
Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • RUB
  • USD
  • EUR
  • UAH
Чат техподдержки
Вы являетесь клиентом?
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Wordpress, заражение файла functions.php темы оформления

Хостинг Украина FAQ Хостинг Wordpress, заражение файла functions.php темы оформления
Более детальную информацию можно найти в нашей вики: https://wiki.ukraine.com.ua/hosting:cms:wordpress:issues:functions-php.
 
Обратите внимание! Нижеприведенная информация является исключительно рекомендациями, которые могут помочь удалить вредоносный код из скриптов сайта. Администрация хостинга не несет ответственности за ущерб нанесенный сайту при их выполнении специалистом с ненадлежащим уровнем знаний!
 
 
Удаление вредоносного кода только из файла functions.php, как показывает практика, не решает вопроса.  Поэтому эта инструкция может быть полезной при устранении проблемы.
 
1. Убедитесь, что файла "wp-includes/class.wp.php" нет в принципе. Если есть - удалите его. Обратите особое внимание на имя файла - в этой директории есть много файлов с похожим названием, но вместо точки - дефис, и т.д. Речь идёт исключительно о "wp-includes/class.wp.php"
2. Аналогично п.1 - удалите файл "wp-includes/wp-vcd.php", если он существует.
Примечание к п.1-2: проверив официальный репозиторий Wordpress https://github.com/WordPress/WordPress/tree/master/wp-includes , можно убедиться, что в стандартной комплектации обоих файлов нет и они являются сторонними.
 
3. Проверьте содержимое "wp-includes/post.php". А именно - если в первой строке присутствует нечто вида
<?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?><?php
то нужно удалить первый блок кода в угловых скобках, оставив только
<?php
в этой строке. Для убедительности - пример, как выглядит файл post.php в стандартном виде Wordpress https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (обратите внимание на строку 1)
 
4. Пункты 1-3 - должны помочь устранить причину, по которой вредоносный код может появляться в файлах functions.php после удаления. Осталось проверить functions.php каждой установленной темы. Самый верный способ - попробовать переустановить тему, если есть возможность. В противном случае - привожу пример заражённого файла: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709
Внешний вид строки 3 из данного примера является типичным признаком, что functions.php заражён. В таком случае - удалить нужно весь блок <?php ... ?>, в котором встречается строка 3
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'ххххххххххххххххххххххххххххххххх'))

- выражаясь чуть проще, удалить нужно всё с начала файла и до первого встречания сочитания символов "?>". В данном примере - это строка 100, и в итоге "очищенный" файл будет иметь вид: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b

 
5. Есть сведения, что, в некоторых случаях, вирус помимо модификации файлов также пытается создать нового пользователя админки сайта, предоставляя ему права администратора.
Потому, в БД имеет смысл проверить таблицу users (чаще всего - wp_users), и если в ней присутствуют незнакомые Вам пользователи - рекомендуется удалить их, удалив соответствующие строки таблицы.
Большое спасибо! Инструкция очень полезная, помогла избавиться от вирусов на нескольких сайтах!
Написал edveraxo 08.12.2017 в 14:59
Спасибо!
Написал fatalemary 12.05.2018 в 07:28
Благодарю от всей души! Очень помогли!
Написал homebackup 03.09.2018 в 23:42

Только зарегистрированные пользователи могут оставлять комментарии

Другие полезные статьи: