Вредоносный код в WordPress | WordPress.org Русский

eggorka
(@eggorka)

5 лет, 11 месяцев назад

Обнаружил вредоносный код на нескольких сайтах с WP.
Один кусок в файле functions.php в папке с темой
https://pastebin.com/WzYrAU5C такая вставка в начале файла. Затем в папке wp-includes.php создан файл wp-vcd.php, который не входит в стандартную поставку WP со следующим содержанием https://pastebin.com/x6rvJdrg. Также файл class.wp.php, содержащий https://pastebin.com/ifH46VB3 Подумал на узявимость одного из плагинов, но на сайтах стоят непересекающиеся разные плагины. Хостинги тоже разные, на всякий случай проверьте свой сайты

Просмотр 7 ответов — с 1 по 7 (всего 7)

SeVlad
(@sevlad)

5 лет, 11 месяцев назад

Один кусок в файле functions.php в папке с темой

Такое постоянно бывает при использовании ворованных тем, подобранных на помойках. Так что.. Всё закономерно.

Модератор Yui
(@fierevere)

永子

5 лет, 11 месяцев назад

https://ru.wordpress.org/releases/

то , что в WordPress — это то, что в архивах,
а то что вы выложили на pastebin — это ваше, взятое где-то там еще.
Скорее всего и правда с темой «слева»

Автор eggorka
(@eggorka)

5 лет, 11 месяцев назад

Уважаемый SeVlad, радует ваша осведомлённость в ворованных темах и помойках, но нет, дело не в этом, тема была написана с нуля. Но ваш комментарий принёс определённую пользу, дело скорее всего в занулённых плагинах.

SeVlad
(@sevlad)

5 лет, 11 месяцев назад

Уважаемый SeVlad, радует ваша осведомлённость в ворованных темах и помойках,

Не первый знаете ли год, я занимаюсь вебстроительсвом. А Вы не первый, и даже не сотый, с такими вот симптомами. Да, мне есть что сказать. Как и всем, кто на этом форуме общается хотя бы неск. месяцев.

дело не в этом, тема была написана с нуля

Вами написана? Или может быть просто переименована тем, кто использовал помойки? Или даже специально им же оставлен этот стандартный шелл образца прошлого века :).

дело скорее всего в занулённых плагинах.

🙂 Немногим отличается от ворованных тем 🙂

Автор eggorka
(@eggorka)

5 лет, 11 месяцев назад

Конечно же мной написана, иначе бы не говорил об этом с такой уверенностью. Насчёт плагинов каюсь, несколько раз пользовался ломаным ACF Pro, на покупку денег, как всегда, нет, с нуля писать такой функционал нет желания, а на всякие закладки проверить ума не хватило.

SeVlad
(@sevlad)

5 лет, 11 месяцев назад

Конечно же мной написана,

В таком случае дыр, через которые мог быть залит этот шелл может быть оч. много. Без обид, но это тоже не редкость.

Вот что не часто встречалось (да почти никогда наверное) — так это записывание шеллов в файл функций темы как результат взлома. Ибо это оч рискованная процедура, грозящая и поломать сайт и просто обратить вниманием вебмастра. Обычно подобное сразу идёт в комплекте с ворованными темами. А шеллы россыпью заливаются отдельными файлами по всему дистрибутиву и даже выше, если сервер это позволяет.
FlipWho
(@flipwho)

5 лет, 10 месяцев назад
Однозначно это дыры в ломаных темах или плагинах.
Напарывался несколько раз, а когда переносил с завирусованного хостинга 20 сайтов и предварительным вычищением от гадости — понял, что мое время и потери от вредоносов бОльше, чем купить плагин/тему.

Самое обидное, что эти шеллы распространяются по всем сайтам в рамках хостинга.

Как делал я:
1) Экспорт стандартными средствами XML всех страниц, записей, комментариев.
2) Установка ЧИСТОГО вордпресса на новый хостинг, переливание папки uploads с ручной чисткой файлов внутри.
3) Настройка 1в1 как на старом (ЧПУ, чтение, публикация и т.п.)
4) РУЧНАЯ проверка XML на «левые» ссылки по алгоритму (поиск по «http://», с предварительной автозаменой внутренних ссылок на отличное от http:// начало URL)
5) Заливание XML и ручная подгонка шаблона и рубрик и прочие пляски.
- Ответ изменён 5 лет, 10 месяцев назад пользователем FlipWho.