2.14.1.1.8. Зараження файлу functions.php теми оформлення в WordPress
Увага!
Нижченаведена інформація є виключно рекомендаціями, які можуть допомогти видалити шкідливий код зі скриптів сайту. Адміністрація хостингу не несе відповідальності за шкоду, завдану сайту в разі їх виконання фахівцем із неналежним рівнем знань.
Видалення шкідливого коду тільки з файлу functions.php
, як показує практика, не вирішує питання. Тому ця інструкція може бути корисною при усуненні проблеми.
- Переконайтеся, що файлу
wp-includes/class.wp.php
немає в принципі. Якщо є — видаліть його. Зверніть особливу увагу на ім’я файлу — в цьому каталозі є багато файлів зі схожою назвою, але замість точки — дефіс, і т. д. Мова йде виключно проwp-includes/class.wp.php
. - Аналогічно до попереднього пункту видаліть файл
wp-includes/wp-vcd.php
, якщо він існує.
Примітка до перших двох пунктів: перевіривши офіційний репозиторій WordPress, можна переконатися, що в стандартній комплектації обох файлів немає і вони є сторонніми. - Перевірте вміст
wp-includes/post.php
. А саме — якщо в першому рядку присутнє щось виду:
Для переконливості приклад, як виглядає файлpost.php
в стандартному вигляді WordPress — https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (зверніть увагу на рядок 1). - Пункти 1-3 повинні допомогти усунути причину, по якій шкідливий код може з’являтися в файлах
functions.php
після видалення. Залишилося перевіритиfunctions.php
кожної встановленої теми. Найкращий спосіб — спробувати перевстановити тему, якщо є можливість. В іншому випадку — наведемо приклад зараженого файлу: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709 — зовнішній вигляд рядка 3 з даного прикладу є типовою ознакою, щоfunctions.php
заражений. В такому випадку — видалити потрібно весь блок<?php … ?>
, В якому зустрічається рядок 3:
Висловлюючись трохи простіше, видалити потрібно все з початку файлу і до першого сполучення символів?>
. В даному прикладі — це рядок 100. У підсумку очищений файл буде мати такий вигляд: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b - Є відомості, що, в деяких випадках вірус крім модифікації файлів також намагається створити нового користувача адмін-панелі сайту, надаючи йому права адміністратора. Тому, має сенс перевірити в базі даних таблицю
users
(найчастіше —wp_users
), і якщо в ній присутні незнайомі вам користувачі — рекомендується видалити їх, видаливши відповідні рядки таблиці.