• Решено irinasaratov2

    (@irinasaratov2)


    Мой сайт поймал вирус Japanese Keyword Hack. Ежедневно он генерирует тысячи страниц с японским тайтлом и описанием. Я установила плагин Wordfence, который нашел зараженные файлы ядра Ворпресса и предложил их вылечить. Я восстановила файлы ядра Вордпресс. Также этот плагин Wordfence нашел файлы, которые содержали вредоносный код и были созданы извне и предложил удалить эти файлы. Я удалила их. Так же я включила в этом плагине файрвол.

    На след.день все вирусные файлы вернулись, все файлы ядра Ворпресс были опять заражены вредоносным кодом, а файрвол Wordfence был отключен! Опять был перезаписан файл .htaccess и robots под нужны хакеров. Я и пароли везде поменяли, и кэш почистила. Но каждый день происходит одно и тоже, даже не смотря на работу этого плагина Wordfence. Что мне делать?

    Что стоит отметить каждый вечер я сканирую сайт этим плагином Wordfence, он показывает, что вредоносного кода нет, все хорошо. А утром все повторяется.

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 7 ответов — с 1 по 7 (всего 7)
  • Такая же проблема на двух сайтах. На одном решила странным способом. Вручную сначала удалила с хостинга все левые хтасесы, подозрительные файлы, вообще всё, что появилось и обновилось в день заражения. Сайт лёг окончательно. А потом залила старый бэкап. Вирус не вернулся, всё работает. На второй ставила антивирусники, фаерволы, смену паролей — не помогает. Спасает на несколько часов.

    Автор irinasaratov2

    (@irinasaratov2)

    Мне никто не помог с решением проблемы, но я сама ее решила: в главной директории сайта на хостинге был файл input.php, который являлся вредоносным и вообще не принадлежал ядру Вордпресса, в самом файле были кракозябры. Я удалила этот файл. Также я установила плагин Sucuri, который сразу же нашел скрытый файл на моем хостинге в формате php с названием wp-plczip.php. Так как это файл был невидим для меня на хостинге, то Sucuri предложил мне его удалить, что я и сделала. После этого атаки на мой сайт прекратились. Но сам плагин Sucuri сломал админку моего сайта, т.к. в нем есть баги, которые разрабы плагина не спешат устранять. На это жалуются все пользователи. Починю админку и перееду с Вордпресса на другую CMS, т.к. Вордпресс оказался дырявым с точки зрения безопасности и очень ненадежным.

    перееду с Вордпресса на другую CMS

    Очень правильное решение.

    Чем меньше здесь будет людей, которые вместо чтения документации, ноют на форуме — тем лучше.
    Правдо вот этой «другой CMS » не завидую, но за себя рад.

    И дополню еще. После удаления вируса сайт стал ежедневно подвергаться брудфорс атакам. В панели плагина Wordfence было видно, что атакуют файл /xmlrpc.php, который лежит в главной директории сайта. Именно через этот файл хакеры получают доступ к логину и паролю сайта. Нужно обязательно этот файл закрывать от общего доступа, для этого в файле .htaccess нужно прописать код

    <Files xmlrpc.php>     
    Order Deny,Allow    
    Deny from all 
    </Files>

    Если на вашем сервере  Apache 2.4 нужно добавить другие строки:

    <Files xmlrpc.php>   
    Satisfy any  
    Order allow,deny  
    Deny from all 
    </Files>

    Ну и плагин Wordfence теперь у меня работает постоянно с включенным фаерволом.

    Модератор Yui

    (@fierevere)

    永子

    ну а я тогда добавлю, что не стоит делать настроек сути которых вы не понимаете до конца.
    Если бы требовалось закрыть доступ к этому файлу всегда , то это давно было бы сделано по умолчанию, ведь это сделать проще всего

    Yui

    (@fierevere) И что? Суть вашего ответа? Как ваш ответ поможет мне или другим пользователям форума?

    Модератор Yui

    (@fierevere)

    永子

    вам — нет. А вот другим поможет не создать себе лишних проблем на сайте.

Просмотр 7 ответов — с 1 по 7 (всего 7)