КАК ВЫЛЕЧИТЬ ОТ ВИРУСОВ ВОРДПРЕСС САИТ?

В одном случае IP, на котором находился сайт, был занесен в списки вредоносных и е-мейлы не доходили до адресатов. В другом случае хостинг изолировал сайт и отключил возможность отправлять е-мейлы.

В случае взлома страдает не только зараженный сайт, но и другие сайты на том же IP, все сайты теряют репутацию у поисковиков. Компьютеры посетителей оказываются под угрозой заражения. Настоящий кошмар.

В этой статье вы узнаете, как найти заражение и удалить его с сайта, и как удалить сайт из списков вредоносных сайтов.

Содержание
  1. Как хакеры взламывают сайты
  2. Что случилось с сайтами
  3. Как хакеры взламывают сайты
  4. Подбор логина и пароля
  5. Устаревшая версия ПО
  6. Бэкдоры
  7. Базовые требования к безопасности сайта
  8. Типичные взломы сайтов
  9. Фармацевтические взломы
  10. Вредоносные редиректы
  11. Тестирование и очистка сайта после взлома
  12. Проверьте сайт в этих сервисах
  13. Более простой способ:
  14. Удаление вредоносного кода
  15. Обновите ПО, смените пароли, ключи и соли
  16. Как удалить сайт и IP из черных списков
  17. Sucuri Security
  18. Wordfence
  19. iThemes Security
  20. All in One WP Security & Firewall
  21. Security Ninja
  22. VaultPress
  23. Theme Check
  24. Plugin Security Scanner
  25. Plugin Check
  26. Насколько безопасен Вордпресс
  27. Почему ваш сайт является целью для злоумышленников
  28. Как хакеры взламывают сайты
  29. Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity:
  30. Основные требования к безопасности сайта
  31. Как скрыть данные о Вордпресс
  32. Удалите версию Вордпресс
  33. Перенесите страницу авторизации
  34. Измените структуру расположения файлов и папок
  35. Ограничьте количество попыток доступа на сайт
  36. Добавьте правила в WP-Config. php
  37. Переместите файл wp-config. php
  38. Проверьте права доступа к файлам и папкам
  39. Измените префикс базы данных
  40. Отключите редактирование файлов в панели Вордпресс
  41. Смените ключи безопасности
  42. Используйте SSL
  43. Используйте FTPS
  44. Используйте SFTP
  45. Выключите режим debug
  46. Включите автообновление Вордпресс
  47. Добавьте правила в. htaccess
  48. Запретите доступ к важным файлам
  49. Запретите доступ к PHP файлам
  50. Запретите доступ к папке wp-includes
  51. Ограничьте доступ к странице авторизации
  52. Запретите доступ к директориям сайта
  53. Добавьте лимит на загружаемые файлы
  54. Отключите нумерацию пользователей
  55. Запретите исполнение PHP файлов в папке Uploads
  56. Отключите информацию об используемой версии ПО сервера
  57. Удалите пользователя с ID 1
  58. Измените текст ошибки при входе на сайт
  59. Установите пароль на доступ к wp-login. php
  60. Защита от спама WordPress
  61. Плагины безопасности Вордпресс
  62. Sucuri Security
  63. Wordfence
  64. iThemes Security
  65. Security Ninja
  66. All In One WP Security & Firewall
  67. BulletProof Security
  68. Defender Security, Monitoring, and Hack Protection
  69. SecuPress
  70. SiteLock Security
  71. Как поддерживать безопасность сайта
  72. Используйте плагин безопасности
  73. Регулярно сканируйте сайт
  74. Установите файрвол на сервере
  75. Признаки взломанного сайта
  76. Решение проблем со взломанным сайтом
  77. Что мы понимаем под вирусом на сайте
  78. Как удалить вирус на WordPress плагином Antivirus
  79. Недостатки плагина Antivirus
  80. Вместо выводов
  81. Как определить наличие вредоносного ПО?
  82. Поиск вредоносного ПО
  83. Меры безопасности
  84. Убедитесь, что сайт взломан
  85. Сделайте бэкап
  86. Что можно безопасно удалить с любого взломанного сайта
  87. Как очистить Вордпресс сайт от заражения. Способ 1

Как хакеры взламывают сайты

В  данный момент на Вордпрессе работает более 43% всех сайтов в Интернете, это более 100 млн. сайтов. Около 65% всех сайтов, использующих CMS, используют Вордпресс. Такая популярность привлекает хакеров, то есть, если они найдут какую-то уязвимость в Вордпресс, они смогут получить тот или иной контроль над большим количеством сайтов.

Хакеры создают ботов, которые автоматически обходят сотни тысяч сайтов и сканируют их на наличие устаревшего ПО, описание уязвимостей которого находится в открытом доступе. Когда бот находит сайт с устаревшим софтом, он использует имеющуюся у него методику взлома этого ПО, отсылает сообщение хакеру и идет дальше.

Обычно после взлома взломщики публикуют свою рекламу на сайте, начинают рассылать спам по своим базам или спискам подписчиков взломанного сайта, или взломанный сайт работает в качестве редиректа посетителей на сайты хакеров.

Тогда ссылка на взломанный сайт появляется в интернет-спаме, поисковики это видят и понижают сайт в поисковой выдаче.

Хакеры не используют свои сайты для рассылки спама или для создания сети редиректов на свои сайты, потому что их сайты попадут в спам-фильтры и под санкции поисковых систем.

Вместо этого они взламывают чужие сайты и используют их. После того, как взломанные сайты попадают в фильтры и под санкции, хакеры оставляют эти сайты, взламывают другие и пользуются ими.

Что случилось с сайтами

На втором сайте хакеры создали бэкдор, создали еще одного пользователя, опубликовали несколько статей со ссылками на что-то фармацевтическое и начали рассылать спам по своим базам.

На первом сайте удалось найти инфицированные файлы и вылечить их, на втором сайте сделали бэкап и восстановили сайт до состояния, которое было до заражения.

На обоих сайтах после восстановления были заменены пароли к сайту, FTP, хостингу и ключи и соли.

Как хакеры взламывают сайты

4 основных способа, которыми хакеры взламывают сайты:

  • Слабые пароли
  • Устаревшее ПО
  • Небезопасные темы и плагины
  • Уязвимости в ПО хостинга

Существует много других способов, но эти способы самые распространенные.

Подбор логина и пароля

Вы можете ограничить количество попыток авторизации с помощью плагина, например Login LockDown. Еще один способ — перенесите страницу авторизации на новый адрес, например сайт.ru/login.

Устаревшая версия ПО

Описания уязвимостей устаревших версий Вордпресс, плагинов и тем находятся в Интернете. У ботов есть эти описания. Когда они находят сайт с устаревшей версией ПО, они взламывают этот сайт по уже имеющемуся алгоритму.

Чтобы обезопасить сайт от таких атак, всегда используйте последнюю версию софта.

Бэкдоры

Хакер сохраняет файл со специальным скриптом на сервере, который позволяет ему заходить на сайт в любое время, при этом хакер не пользуется стандартной страницей входа, а заходит на сайт через созданный им бэкдор.

Если у вас не установлен какой-нибудь плагин, который предупреждает об изменениях в файлах, может быть довольно трудно определить, что вредоносный файл был добавлен. Есть несколько признаков, которые могут дать понять, что сайт был взломан.

Если вы открываете фронтэнд или бэкэнд сайта, и видите сообщение в браузере, что посещение этого сайта может быть небезопасно, то ваш сайт может быть взломан.

Другой признак — антивирус на компьютере показывает сообщение, что посещение этого сайта может быть опасно. Бэкдоры могут запускать вредоносный код, или вирусы, например трояны, когда посетитель заходит на сайт.

Еще один признак — е-мейлы, которые вы отправляете с сервера, возвращаются обратно с SMTP ошибкой 550. От некоторых серверов, которым вы отправляли е-мейл может вернуться более подробное описание проблемы. Например, ссылка на сайты, которые поместили ваш сайт или ваш IP в список сайтов, содержащих вредоносное ПО.

Базовые требования к безопасности сайта

Эти требования — необходимый минимум для безопасности сайта.

  • Регулярно обновляйте Вордпресс, скрипты, плагины и темы.
  • Используйте сложные логины и пароли.
  • Установите плагин для ограничения попыток авторизации.
  • Выбирайте плагины и темы от проверенных авторов.
  • Используйте надежный хостинг.
  • Настройте автоматический бэкап всех файлов и базы данных.

Типичные взломы сайтов

Хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. В большинстве случаев сайты взламываются автоматически хакботами.

Фармацевтические взломы

Если вы видите на своем сайте ссылки на другие сайты, которые вы не добавляли, или вас или ваших посетителей перенаправляет на другие сайты, это называется фармацевтические или фарма хаки.

Текст или ссылки указывают на полулегальные спам сайты, которые продают поддельные часы, кошельки, Виагру и тому подобное.

Хакер добавляет скрипты в файлы сайта, обычно в хедер, иногда в другие части страниц. Эти ссылки или текст могут быть скрыты или незаметны для посетителей, но видны поисковым системам.

Введите в поисковике запрос  site:ваш-сайт.ru, и посмотрите, как ваш сайт выглядит в поиске.

В поисковой выдаче вы должны видеть только название страниц и их описание. Если вы видите что-то подобное, значит, ваш сайт взломали.

Попробуйте вставить ссылку на какую-нибудь страницу вашего сайта в Фейсбук, ВКонтакте или Вотсапп. Если вы увидите что-то постороннее в описании или названии, это значит, что ваш сайт взломан.

Вредоносные редиректы

Хакер вставляет скрипт в файл .htaccess

или другие главные файлы сайта, который перенаправляет посетителей на другие страницы или другой сайт. Это называется вредоносный редирект.

Не заметить такой взлом очень сложно, потому что вместо загрузки вашего сайта загрузится другой сайт.

Иногда редирект может быть не таким очевидным, если взломанный файл использует стили вашей темы. Тогда вы увидите большое количество рекламы на странице, которая выглядит похожей на ваш сайт.

Редиректы могут быть настроены только с некоторых страниц сайта или со всего сайта целиком.

Тестирование и очистка сайта после взлома

Перед тем, как вы начнете что-то делать, сделайте полный бэкап всего сайта и базы данных. Даже несмотря на то, что сайт взломан, позже вам может понадобиться какая-то информация.

Чтобы не допустить заражения других сайтов, некоторые хостинги могут отключить или удалить ваш сайт, когда узнают, что сайт взломан, особенно на дешевых тарифах виртуальных хостингов.

Если логи событий находятся не в основной папке сайта, то сохраните их на компьютер, так как они хранятся на сервере несколько дней, после чего заменяются новыми.

После того, как вы сохранили бэкап и логи на компьютер, можно начинать лечение сайта.

Проверьте сайт в этих сервисах

Даже если вы точно знаете, что сайт взломали, проверьте его еще раз в этих сервисах. Вы можете найти еще какие-то вирусы, кроме тех, которые вы уже нашли.

Проверьте сайт во всех сервисах, так как они сканируют немного по-разному и находят разные типы инфекций. Также просканируйте свой компьютер.

Начните с поиска файлов, измененных в течение последних 2-х дней:

find /путь/к/вашему/сайту/папка/ -mtime -2 -ls

Замените  /путь/к/вашему/сайту/папка/ на путь к вашей папке, и пройдите поиском по каждой папке.

Если вы ничего не нашли, увеличьте поиск до 5 дней:

find /путь/к/вашему/сайту/папка/ -mtime -5 -ls

Если вы снова ничего не нашли, увеличивайте интервал поиска, пока не найдете изменения. Не забывайте, что обновления ПО тоже изменения.

Еще одна команда, которую вы можете использовать для поиска — «grep». Эта команда поможет найти вредоносный код, который добавил хакер.

После того, как вы нашли файлы, в которых хакер сделал изменения, вы можете попробовать найти в них повторяющиеся фрагменты, например, base64 или hacker was here.

Замените base64 на повторяющееся сочетание, которое вы нашли в измененных файлах. Результат покажет вам список файлов, в которых встречается это сочетание.

Хакеры часто используют эти функции:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (/e/)
  • move_uploaded_file

Если вы хотите увидеть содержание этих файлов, используйте этот запрос:

grep -ri base64 *

Замените base64 на значение, которое вы нашли в измененных файлах.

Более аккуратный запрос может быть таким:

grep --include=*.php -rn . -e "base64_decode"

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.

Более простой способ:

Скопируйте сайт с сервера, удалите все что можно безопасно удалить, заархивируйте целиком или разделите на архивы и проверьте архивы на VirusTotal или 2ip. Также можно проверить на компьютере антивирусом. Перенесите все зараженные файлы из архива в отдельную папку. После того, как вы нашли файлы с внедренным код, их можно восстановить или удалить.

Удаление вредоносного кода

  • Если вы нашли файл бэкдора, в котором находится только скрипт хакера, удалите этот файл.
  • Если вы нашли вредоносный код в файле Вордпресс, темы или плагина, удалите этот файл и скачайте новый из репозитария Вордпресс или с сайта разработчика.
  • Если вы нашли вредоносный код в файле, который вы создавали, удалите хакерский код и сохраните файл.
  • Возможно, у вас в бэкапе есть незараженная версия сайта, вы можете восстановить сайт из старой версии. После восстановления обновите Вордпресс, плагины и тему, смените пароль и установите плагин безопасности.

Очистите сайт и просканируйте его еще раз на интернет сервисах проверки.

Обновите ПО, смените пароли, ключи и соли

После того, как вы удалили вредоносный код, обновите Вордпресс, плагины и темы. Смените пароли на сайте и на хостинге. Подумайте о смене пароля к е-мейлу и базе данных (в файле wp-config.php и на хостинге).

Смените ключи и соли, это сделает все cookies, которые хранятся в браузерах пользователей, в том числе хакеров, недействительными для авторизации на сайте.

Как удалить сайт и IP из черных списков

После того, как вы очистили сайт, он все еще может находиться в списках сайтов, содержащих вредоносное ПО или в спам списках. Сначала нужно узнать, на каких сайтах ваш сайт или IP занесены в черный список.

https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru

Замените ваш-сайт.ru на ваш адрес.

http://www.spamhaus.org/query/ip/123.45.67.890

Замените 123.45.67.890 на IP сайта.   Узнать IP.

Когда какой-то сайт заносит IP в черный список, он отображается красным.

Откройте красные ссылки в новом окне и следуйте инструкциям. У всех сайтов инструкции могут быть разными, поэтому читайте внимательно.

Обычно запрос проверки делается в несколько кликов, и занимает около 2 дней. Некоторые сайты не предупреждают о переносе IP из черного списка в белый список, поэтому вы можете вернуться на Спамхаус через несколько дней, и проверить снова.

На некоторых сайта можно запросить проверку только один раз, поэтому убедитесь, что сайт полностью очищен, иначе ваш IP может остаться в черных списках надолго.

Sucuri Security

В платной версии Sucuri предлагает защиту самого высокого класса — файрвол на уровне DNS, который сканирует каждый запрос к сайту. Ускорение сайта с помощью кеширования и подключения к собственному CDN, и бесплатное восстановление сайта, если сайт был взломан. Также сервис проверяет, что сайт не занесен в черные списки.

В бесплатной версии плагин сравнивает файлы ядра Вордпресс и файлы в репозитории Вордпресс, ведет логи событий, имеет несколько основных настроек безопасности. В случае появления подозрительной активности плагин посылает сообщение на е-мейл.

У плагина есть главная панель, в которой сообщается, что файлы на сервере соответствуют файлам в репозитарии Вордпресс, на сайте не обнаружено вредоносного кода, сайт не занесен в черные списки и показаны логи событий. Это очень удобный инструмент для наблюдения за безопасностью сайта.

Wordfence

Один из самых известных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, поэтому все новые угрозы попадают в базу данных. Через 30 дней база обновляется в бесплатной версии.

В Wordfence есть функция обнаружения изменений или добавления файлов. Когда существующий файл обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов на своем сервере, встроенный файрвол на уровне сайта и множество других функций.

iThemes Security

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.

All in One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол, защищает файлы сайта и базу данных. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, были ли какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подсказки — описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт. На мой взгляд, лучший бесплатный плагин.

Security Ninja

Один из самых простых, но мощных премиум плагинов безопасности. В бесплатной версии проверяет сайт на наличие типичных уязвимостей и предлагает инструкции по устранению этих уязвимостей.

В платной версии добавляется сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

Весь плагин можно настроить за 15 минут. Плагин платный, но имеет лайф-тайм лицензию.

VaultPress

Плагин безопасности и бэкап плагин в одном от Automattic, часть разработчиков которого являются разработчиками Вордпресс. Есть бесплатная и премиум версия.

Регулярные бэкапы дают возможность восстановить сайт в случае взлома. Дополнительные инструменты безопасности защитят ваш сайт, если обновитесь до премиум версии.

В премиум версии есть функция ежедневного сканирования сайта на наличие вредоносного кода, вирусов, троянов и прочей заразы. Также помогает очищать сайт после заражения.

Theme Check

Этот плагин проверяет код на правильность в теме, которую вы используете. Он сравнивает код темы на соответствие последним стандартам Вордпресс. Если что-то не соответствует этим стандартам или выглядит подозрительным, плагин сообщает об этом.

Если вы выбираете тему для использования, проверьте ее этим плагином.

Plugin Security Scanner

Плагин проверяет темы и плагины на наличие уязвимостей, описание которых он берет в базе WPScan Vulnerability Database.

Плагин сканирует сайт раз в 24 часа, и посылает сообщение администратору сайта, если находит уязвимость в теме или плагине.

Plugin Check

Аналогично с предыдущим плагином, этот плагин проверяет установленные плагины на соответствие стандартам Вордпресс.

Плагин скорее проверяет код на правильность, чем на наличие вредоносного ПО, но это уже хорошо. Большое количество взломов происходит по причине неправильного кода.

Хотя это хороший плагин, но он давно не обновлялся.

Восстанавливать сайт труднее, чем настроить защиту сайта до взлома. Если ваш сайт еще не взломали, установите один из этих плагинов и читайте Руководство по безопасности Вордпресс.

Если вы не хотите заниматься этими настройками вручную, приглашаю вас на курс Безопасность Вордпресс за 2 вечера. Настроил и забыл. В этом курсе вы настроите автоматическую безопасность Вордпресс с помощью плагинов и нескольких ручных настроек.

Также, Яндекс выдал мне страницы, где прячется JS/RefC-Gen. От него и пришлось лечить сайта. От этой гадины, на которую я потратил целый час своей замечательной жизни. Просмотрев исходный код нужных страниц, я действительно увидел похожий код. Остался вопрос: а как же его найти и удалить?

Вирус назывался scounter, но скорее всего, это один из «псевдонимов» JS/RefC-Gen. Почему назывался? Потому что он был найден и обезврежен. В файле functions.php моей темы.

Найти и вылечить, удалить вирус на сайте wordpress оказалось делом несложным, если знать, где именно вредный код искать.

Осталось чуть-чуть подождать результатов проверки роботом и снова мой сайт вернется на вершину или поближе к вершине, он-то у меня перспективный.

В течении месяца на сайте wordpress начали появляться вирусы и не знаю где можно найти причину появления. В файлах index.php
и wp-settings.php появляется вредоносный код типа такого

/*cebb2*/

@include "\057hom\145/o\165ra\146e/y\157ur\141fet\171.co\155.ua\057www\057wp-\151ncl\165des\057js/\164iny\155ce/\056372\067bdd\144.ic\157";

/*cebb2*/

Можно нанять специалиста который все это вычистит. Сами вы вряд ли что то сделаете.

Но мотете попробовать какой то сервис типа virustotal подключить, но он может попросту удалить важный файл, эти файлы необходимо восстановить.

Вирус — это не один файл, он создан так чтобы плодится по папкам и его необходимо найти полностью и удалить, а так же найти источник заражения и обезвредить.

Насколько безопасен Вордпресс

На Вордпрессе работает более 43% сайтов в Интернете, и он является самой популярной системой управления контентом. Более 80% атак на CMS приходится на Вордпресс, но он остается самой популярной платформой.

Разработчики Вордпресс постоянно работают над устранением найденных уязвимостей и выпускают обновления Вордпресс.

C момента выхода первой версии Вордпресс было выпущено более 2.500 исправлений уязвимостей. Были случаи, когда обновления выходили менее чем через 40 минут после обнаружения уязвимости.

Хакботы обходят десятки тысяч сайтов в час, имея описания известных уязвимостей устаревших версий Вордпресс, тем и плагинов. Если вы используете устаревший софт, то рано или поздно такой бот найдет сайт, на котором используется устаревшая версия.

Правило безопасности №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте Вордпресс, плагины и темы. Другие меры безопасности тоже нужны, но они становятся менее эффективными, если ядро Вордпресс не обновлено.

Для максимальной безопасности сайта нужно обновлять Вордпресс. Можно включить автоматическое обновление, или оставить обновление в ручном режиме.

Почему ваш сайт является целью для злоумышленников

Не только ваш, но вообще все сайты на Вордпресс являются целью для хакеров. Даже абсолютно новый сайт без контента, без трафика, с обновленным ядром может быть взломан хакерами и использован в своих целях.

Все Вордпресс сайты являются целью для хакеров из-за своей популярности. Хакеры пишут ботов, которые обходят сотни тысяч сайтов и сканируют их на списки уязвимостей. Чем больше сайтов будет просканировано, тем выше вероятность найти уязвимость и получить какой-то контроль над сайтом.

В 2019 году более 85 млн. сайтов в Интернете работает на Вордпресс, поэтому вероятность что-то найти достаточно высока.

Молодые сайты обычно менее защищены от атак, потому что их владельцы думают, что их сайты не представляют интереса для хакеров, но на самом деле молодые сайты — одна из целей хакеров, потому что их проще взломать.

Хакеры взламывают сайты для того, чтобы:

  • Добавить вредоносный контент на сайт
    — Хакеры взламывают сайты, чтобы внедрить вредоносный контент во фронт-энд. Обычно это ссылки на хакерские сайты, реклама казино, кошельков, виагры и тому подобное.
  • Использовать ресурсы сервера
    — Хакеры используют ресурсы сервера или канал интернета для рассылки спама, криптовалютного майнинга, файлообменника, хранения информация или для атаки на другие сайты.
  • Получить данные посетителя
    — Кибератаки касаются не только владельцев сайтов, но и посетителей сайта. Многие люди используют одни и те же данные для своих аккаунтов на разных сайтах или сервисах, для е-мейла, интернет банка и так далее.
  • Получить бизнес-информацию
    — Хакеры не всегда атакуют сайты для получения пользовательских данных. Иногда они взламывают сайты, чтобы получить важную информацию о бизнесе этого сайта.
  • Распространение вредоносных программ
    — Распространение вирусов и вредоносных программ на компьютеры и устройства посетителей.

Большие сайты тоже являются целью хакеров, потому что большой аудитории сайта можно начать рассылать спам.

Как хакеры взламывают сайты

Когда разработчики пишут код, практически невозможно не оставить какую-то уязвимость в безопасности. Когда хакеры находят эти дыры, они используют их, чтобы взломать сайт.

Другие способы получить контроль над сайтом — использование человеческих ошибок, например, слишком простые пароли, или ненадежный или небезопасный хостинг.

Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity:

Другое исследование WP WhiteSecurity, проведенное на 42.000 сайтах из рейтинга Алекса Топ-1.000.000, говорит о том, что 73,2% сайтов имеют уязвимости из-за необновленной версии Вордпресс.

Основные требования к безопасности сайта

От безопасности вашего компьютера зависит безопасность вашего сайта. Вредоносное ПО и вирусы могут заразить ваш сайт и сотни других сайтов.

Как скрыть данные о Вордпресс

Скрытие данных о Вордпресс, например, версии ядра или изменение адреса входа в админку — один из способов увеличить безопасность сайта.

Еще в одном исследовании WP WhiteSecurity говорится, что только 8% сайтов было взломано вручную методом перебора паролей, 92% сайтов были взломаны ботами автоматически, из них 41% — через уязвимости в ПО хостинга, 29% — через уязвимости в файлах темы, 22% — через уязвимости в плагинах.

Большинство ботов используют этот тип взлома, для защиты сайта от более редких ботов настройте как можно больше рекомендаций из этой статьи.

Удалите версию Вордпресс

Списки уязвимостей предыдущих версий Вордпресс находятся в открытом доступе, поэтому удаление информации об используемой версии ПО увеличивает безопасность сайта.

Удалите все упоминания о версии ядра Вордпресс, версии скриптов и стилей и тег в фиде RSS.

Перенесите страницу авторизации

Это называется brute force attack, или атака грубой силой, или атака методом перебора паролей.

Чтобы боты не могли пробовать подобрать комбинацию для входа, перенесите страницу авторизации в другое место. Например, /settings.

Измените структуру расположения файлов и папок

Вордпресс — открытая платформа, информация о которой находится в открытом доступе, поэтому хакеры могут использовать какую-то информацию о Вордпресс для взлома сайта.

В документации Вордпресс
описана структура расположения файлов и папок. Используя эту информацию, хакеры могут решить, каким путем они попытаются проникнуть на сайт.

Ограничьте количество попыток доступа на сайт

Чтобы этого не случилось, установите плагин безопасности, который будет ограничивать количество попыток входа на сайт. Есть специальные плагины для решения только этой задачи, например, Limit Login Attempts Reloaded
или Login LockDown, есть большие плагины безопасности, в которых эта функция находится в числе других, например, Wordfence
или All In One WP Security & Firewall.Удалите ненужные файлы

После установки Вордпресс можно удалить несколько файлов, которые больше не нужны.

  • readme.html
  • wp-config-sample.php
  • /wp-admin/install.php

В файле readme.html содержится информация об используемой версии Вордпресс. Хакеры могут использовать публичную информацию об уязвимостях используемой версии Вордпресс, чтобы проникнуть на ваш сайт.

Добавьте правила в WP-Config. php

Это главный файл сайта, который находится в корневой папке. Добавляйте свои записи в wp-config перед строкой:

/* Это всё, дальше не редактируем. Успехов! */

/* That’s all, stop editing! Happy blogging. */

В этом разделе правила для повышения безопасности сайта в файле wp-config.php.

Переместите файл wp-config. php

В файле wp-config.php находится много важной информации, которая не должна быть доступна посторонним. Вы можете переместить этот файл в другое место, чтобы хакеры не смогли найти его в его обычном месте.

Если ваш сайт находится в корневой папке, перенесите wp-config.php
на один уровень вверх.

Или вы можете перенести этот файл в любое другое место. Создайте в корневой папке новый файл с именем wp-config.php, и вставьте в него этот код:

Замените /путь/к/wp-config.php на ваш адрес к файлу после перемещения.

Проверьте права доступа к файлам и папкам

Файлам и папкам Вордпресс должны быть даны права доступа 644 и 755. Некоторым файлам и папкам могут быть даны особые права, например, файлу wp-config.php
должны быть даны права 440 или 400.

В файле wp-config вы можете автоматически установить права доступа ко всем файлам и папкам на сайте:

Важным файлам и папкам вы можете дать более строгие права вручную.

  1. Корневая папка сайта
    — /сайт.ru/public_html/ —  750
  2. .htaccess
    — /сайт.ru/public_html/.htaccess —  640
  3. wp-admin/
    — /сайт.ru/public_html/wp-admin —  750
  4. wp-admin/js/
    — /сайт.ru/public_html/wp-admin/js/ —  750
  5. wp-admin/index.php
    — /сайт.ru/public_html/wp-admin/index.php —  640
  6. wp-content/
    — /сайт.ru/public_html/wp-content —  750
  7. wp-content/themes/
    — /сайт.ru/public_html/wp-content/themes —  750
  8. wp-content/plugins/
    — /сайт.ru/public_html/wp-content/plugins —  750
  9. wp-includes/
    — /сайт.ru/public_html/wp-includes —  750

Измените префикс базы данных

Таблицы базы данных имеют по умолчанию префикс wp_. Измените префикс на что-нибудь другое, чтобы усложнить задачу хакерам.

Для изменения префикса базы данных надо внести изменения в файл wp-config.php и базу данных.

Отключите редактирование файлов в панели Вордпресс

В панели администратора находится редактор файлов, в котором вы можете редактировать файлы установленных плагинов и тем.

Редактировать файлы тем вы можете в разделе Внешний вид Редактор, файлы плагинов в разделе Плагины Редактор.

Многие разработчики считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.

С другой стороны, если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.

Смените ключи безопасности

В файле wp-config.php находятся ключи безопасности, с помощью которых шифруется информация, хранящаяся в cookies. Меняйте их время от времени, это сделает cookies, хранящиеся в браузерах пользователей, в том числе хакеров, недействительными. Для входа на сайт нужно будет авторизоваться еще раз.

Вы можете сгенерировать новые ключи безопасности в генераторе ключей Вордпресс, скопируйте их оттуда и вставьте в свой файл wp-config.php:

Используйте SSL

После того, как вы установили SSL сертификат на свой домен, включите его принудительное использование, чтобы все посетители сайта подключались к сайту по безопасному соединению.

Чтобы использовать SSL в админской части сайта, например, для шифрования cookies сессии, добавьте эту строку:

Добавьте эти строки в файл wp-config.php перед строкой:

Чтобы использовать SSL во фронт-энде сайта добавьте эту запись в файл .htaccess:

Используйте FTPS

Чтобы использовать FTPS через небезопасное FTP соединение, добавьте это правило перед строкой «Это все, дальше не редактируем»:

Используйте SFTP

Чтобы повысить безопасность SSH подключения, вы можете использовать SFTP соединение, если эта функция включена на хостинге.

Выключите режим debug

По умолчанию режим debug выключен и должен быть выключен до тех пор, пока вы не обнаружите ошибки на сайте.

Если вы хотите включить режим debug и отображение ошибок во фронтэнде, замените false на true.

Включите автообновление Вордпресс

Если вы хотите включить автообновление Вордпресс, добавьте это правило:

Если вы хотите сначала протестировать обновления, то оставьте обновление вручную, или включите выборочное обновление плагинов:

Добавьте правила в. htaccess

В этом разделе правила для повышения безопасности сайта в файле .htaccess.

Запретите доступ к важным файлам

Вы можете закрыть доступ к важным файлам wp-config.php, htaccess, php.ini и логам ошибок. Добавьте это правило из Кодекса Вордпресс.

Запретите доступ к PHP файлам

Ограничьте доступ к php файлам тем и плагинов, так как хакеры могут внедрить в них вредоносный код.

Запретите доступ к папке wp-includes

В папке wp-includes находятся важные файлы, которые могут быть использованы для взлома сайта.

Добавьте это правило, чтобы защитить /wp-includes/:

Ограничьте доступ к странице авторизации

Кроме изменения адреса страницы авторизации вы можете ограничить пользователей, которым разрешено заходить на страницу входа.

Вы можете разрешить доступ нескольким статическим IP адресам:

Строки 2 и 3 перенаправляют посетителя на страницу с ошибкой 404, если они пришли не с адресов, указанных в этом правиле. Это правило не вызывает ситуацию цикличных редиректов, поэтому ваш сайт не будет выглядеть как зависший.

Если вам нужен только один IP адрес, удалите строки 10 и 11, если вам нужно больше адресов, добавьте нужное количество строк.

Не забудьте дополнить или отключить это правило если вы поедете путешествовать, иначе вы попадете на страницу 404.

Если вы или другие пользователи имеете динамические IP (или Мультисайт), используйте это правило:

Замените   /путь-к-вашему-сайту/ и   /ваш-сайт.ru/  на свой адрес.

Этот способ не защитит от хакеров, которые вручную набирают адрес страницы авторизации, но значительно уменьшит количество атак с перебором паролей.

Замените   IP Адрес 1 и  IP Адрес 2на свои IP.

Запретите доступ к директориям сайта

Хакер может получить доступ к папкам сайта, если введет в адресной строке полный путь к нужной папке.

Например, злоумышленник может увидеть содержимое папки uploads, если введет в адресной строке  ваш-сайт.ru/wp-content/uploads/.

Если у вас настроены права доступа, то редактировать эти файлы должно быть невозможно, но доступ к этим папкам все равно лучше запретить.

Чтобы закрыть доступ к директориям сайта, добавьте это правило в .htaccess:

Добавьте лимит на загружаемые файлы

Ограничьте максимальный размер загружаемых файлов 10Мб:

Отключите нумерацию пользователей

Если злоумышленник введёт в строку адреса ваш-сайт.ru/?author=1, он будет перенаправлен на страницу пользователя с ID = 1.

В этом случае хакер будет знать имя пользователя, и ему останется только узнать пароль.

Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей. Добавьте этот код в .htaccess:

Запретите исполнение PHP файлов в папке Uploads

Обычно хакеры загружают вредоносный код в папку /wp-content/uploads/.

Добавьте это правило, чтобы отключить возможность исполнять php файлы в папке uploads:

Замените в строке 2 на свой адрес.

Отключите информацию об используемой версии ПО сервера

Подпись Сервера — это служебная информация, в которой говорится, что сайт использует, например, сервер Apache определенной версии и ОС Ubuntu определенной версии.

Чтобы отключить показ версий ПО на вашем сервере, добавьте этот код  .htaccess.

Удалите пользователя с ID 1

При установке Вордпресс по умолчанию создается пользователь с правами администратора с ID=1. Вы уже знаете об изменении имени пользователя, но кроме этого можно изменить ID администратора сайта.

Создайте нового пользователя с правами администратора, зайдите на сайт под новым аккаунтом и удалите старого администратора с ID 1.

С другой стороны, некоторым плагинам требуются дополнительные права для своей работы, которых у них может не быть, если создать нового пользователя с правами администратора.

Измените текст ошибки при входе на сайт

Когда хакер вводит неверный пароль к верному имени пользователя, Вордпресс показывает сообщение, что пароль неверный. Это дает ему понять, что имя пользователя верное.

Чтобы изменить текст сообщения, добавьте эти строки в functions.php.

Установите пароль на доступ к wp-login. php

Защита от спама WordPress

Спам на сайте — это намного больше, чем просто надоедливый мусор. Спам может привести к заражению сайта, брут-форс или DDoS атакам. Защита от спама — одна из составляющих безопасности сайта.

Плагины безопасности Вордпресс

Sucuri Security

Sucuri Inc является «всемирно признанным авторитетом во всем, что касается безопасности Вордпресс». Так и есть, сервис Сукури предлагает комплексную защиту сайта: обработку и фильтрацию всего входящего трафика на серверах Сукури, кеширование, сеть CDN и гарантию бесплатного лечения сайта в случае, если сайт взломают.

Бесплатный плагин сравнивает файлы ядра Вордпресс с файлами в репозитарии Вордпресс, сканирует сайт на вирусы, проверяет, был ли сайт был занесен в черные списки и ведет логи событий.

В случае подозрительной активности на сайте плагин посылает сообщение на е-мейл.

Вся эта информация отображается в удобном виде в админке Вордпресс.

Wordfence

Один из самых популярных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, — как только появляется новая угроза, она попадает в базу данных платной версии, и через 30 дней — в базу бесплатной версии.

В Wordfence есть функция обнаружения изменения или добавления файлов. Когда существующий файл сайта обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов сайта, встроенный файрвол и множество других функций.

У плагина более 2-х миллионов установок и высокий рейтинг.

iThemes Security

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, имеет более 30 функций, но если вы хотите знать, когда файлы изменялись и делать подробное скаирование сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы обнаружили, что сайт был взломан, можно попробовать восстановить более раннюю версию сайта.

Security Ninja

Мощный премиум плагин безопасности, который легко настроить. В бесплатной версии проверяет сайт на наличие основных уязвимостей и предлагает инструкции по их устранению.

В платной версии добавляется авто-применение защитных функций плагина, сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

All In One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол. Защищает файлы сайта и базу данных. Большинство функций работают в пассивном режиме, потребляет мало ресурсов. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, если были какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подробные описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт.

BulletProof Security

Еще один плагин, который вы можете использовать. У этого плагина есть премиум версия, в которой доступен полный бэкап сайта и несколько других опций для повышения безопасности.

Defender Security, Monitoring, and Hack Protection

Хороший плагин с простым интерфейсом. Большинство функций доступно только в платной версии.

SecuPress

Плагин сканирует сайт на наличие вредоносного кода, блокирует ботов и подозрительные IP адреса, как и другие плагины. В платной версии доступно больше опций.

SiteLock Security

Бесплатный плагин с множеством функций, сканирует сайт на уязвимости с обновлениями в реальном времени.

Как поддерживать безопасность сайта

Безопасность Вордпресс — это устранение как можно большего количества уязвимостей, так как уязвимость — это пропуск на сайт. Хакеры ищут самый простой способ попасть на сайт. Сайты с уязвимостями в безопасности являются для них такой целью. С помощью этого руководства вы можете эффективно отражать 99,99% атак на свой сайт.

Используйте плагин безопасности

Большинство техник из этого руководства можно включить в плагинах безопасности. Установите и настройте один из них, это защитит ваш сайт и вам не нужно будет помнить, какие техники вы применили или могли забыть.

Сам по себе Вордпресс достаточно безопасен если его регулярно обновлять, но хакеры постоянно находят новые уязвимости в ПО. Плагин безопасности поможет защитить ваш сайт, пока разработчики Вордпресс работают над устранением этой уязвимости.

Регулярно сканируйте сайт

После того, как вы установили плагин безопасности, настройте регулярное сканирование. Автоматическое сканирование по расписанию находится в платных плагинах, но в некоторых бесплатных оно тоже есть. Например, Sucuri Security.

Без регулярного сканирования уязвимость может пройти незамеченной, и это может привести ко взлому сайта. Вы об этом можете узнать, когда поисковики пометят ваш сайт как «содержащий вредоносный код» и понизят его в поисковой выдаче.

Установите частоту сканирования немного меньше, чем частота бэкапа. Если сайт взломают, будет из чего его восстановить.

Установите файрвол на сервере

Вы можете установить файрвол на сервере, это защитит сайт и сервер от хакеров еще на подходе. Не путайте файрвол на сервере с WAF (web application firewall), файрволом на сайте, который находится в плагине Wordfence.

Если хакер уже попал на сайт, то остановить его будет труднее, поэтому лучше остановить его на подходе к сайту, то есть на уровне сервера.

Вы можете попробовать установить бесплатный файрвол  ConfigServer Security & Firewall. Перед установкой поговорите с техподдержкой хостинга, у вас может не быть прав на установку ПО, или, возможно, какой-то файрвол уже установлен на сервере.

Признаки взломанного сайта

1. Постоянные ссылки. Зайдите в Настройки Постоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как  %postname%. Если ссылка изменилась на  %postname%/%, например, значит, ваш сайт взломали.

2. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, новые статьи или страницы, и тому подобное. Проверьте все страницы сайта, начиная с Главной.

3. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страницы на рекламный мусор.

4. Неожиданные пики посещаемости: Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.

5. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

6. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

7. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

define(‘WP_HOME’, ‘сторонний URL);

define(‘WP_SITEURL’, ‘сторонний URL’);

8. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.

Еще одна вещь, которую вы можете — проверить сайт на уязвимости с помощью бесплатного плагина Security Ninja.

Решение проблем со взломанным сайтом

Если сайт взломали, читайте в этом разделе об очистке от вредоносного кода и возвращении сайта в рабочее состояние.

Предотвратить заражение проще, чем лечение, поэтому применяйте эти рекомендации, чтобы не пришлось лечить сайт.

Хотя этой информации может показаться много, это стандартная базовая безопасность Вордпресс.

Если эта статья несколько сложна для вас, попробуйте начать с этого:

Если вы хотите применить эти настройки автоматически с помощью плагинов, настроить еще несколько линий защиты и наблюдать за состоянием безопасности сайта в админке Вордпресс, приглашаю вас на Курс

Что мы понимаем под вирусом на сайте

Под вирусом на сайте подразумевается любая сторонняя программа, которая принуждает работать сайт, не так как заложено в программах системы. Под определение вирус попадают:

  • Вредоносные коды, занесенные на сайт;
  • Зашифрованные исполнительные функции, попадающее, на сайт с плагинами и темами;
  • Любые php скрипты и Java коды, совершающие действия, которые не известны владельцу сайта.

Результаты действия вирусов на сайте могут быть самые разнообразные:

  • Ссылки на сторонние ресурсы;
  • Автоматический редирект на чужие ресурсы;
  • Считывание новых публикаций и дублирующая публикация их на сторонних ресурсах;
  • Несанкционированная реклама на сайте;
  • Разрушение кода сайта и как результат падение сайта.

Отличный инструмент для проверки сайта на наличии вирусов является плагин Antivirus. У плагина более 90000+ скачиваний, последнее тестирование на версии WordPress 4.6.11.

удалить вирус на WordPress плагином Antivirus
Установка плагина Antivirus из административной панели

Если есть проблема с автоматической установкой, скачиваете плагин с официальной странице () и заливаете каталог плагина по FTP в каталог . Забыли как это делать, читайте статью:  Установка плагина на WordPress тремя способами).

Как удалить вирус на WordPress плагином Antivirus

Перед работой с плагином сделайте резервную копию сайта.

плагин-AntiVirus-wordpress-3

плагин-AntiVirus-wordpress-2

Жмем «Scan the theme templates » и видим результат проверки. Все каталоги рабочей темы отразятся на странице. Зеленый цвет означает отсутствие вирусов, красный цвет скажет о заражении.

Найти и удалить вирус на WordPress плагином Antivirus
Запуск сканирования плагином AntiVirus

плагин-AntiVirus-wordpress-5

плагин-AntiVirus-wordpress-6
Обнаружение Antivirus потенциально опасного кода

Далее, смотрим на найденный вирус. Если уверены, что это не вирус жмете на кнопку «The is no Virus». Если думаете, что это вирус, а это будет понятно по виду функции (читайте что такое вредоносный код) удаляете вирус и повторяет проверку. Если сомневаетесь в найденном коде или найденной функции, копируете их из красной таблицы и ищете информацию о нем в Интернет.

плагин-AntiVirus-wordpress-7

Если после удаления кода сайт упал, откатываетесь на резервную копию
и повторяете все заново.

Как видите, удалить вирус на WordPress плагином Antivirus не сложно. Проверка на вирусы считается законченной, если все файлы после проверки отражается в зеленом цвете и при этом сайт остается в рабочем состоянии.

плагин-AntiVirus-wordpress-8
Вирусов не обнаружено или опасность устранена.

Недостатки плагина Antivirus

В любом плагине всегда можно найти недостатки. Не исключение и AntiVirus.

  • Возможны ложные определения вирусов, из числа «подозрительный код»;
  • Нет 100 % гарантии поиска всех вирусов (это характерно для всех антивирусных плагинов и онлайн серверов);
  • Плагин ищет вирусы только в рабочем шаблоне и не сканирует системные файлы сайта.

Для полного сканирования сайта используем:

Вместо выводов

Защита сайта, как и приемы хакеров не стоят на месте и постоянно развиваются. Для удачной борьбы с вирусными заражениями сайта стоит применять комплексные меры борьбы. Наряду с антивирусными плагинами, проверять сайт на онлайн серверах антивирусной проверки, а также не забывать про безопасность сайта
и защиту своего компьютера антивирусными программами.

Как определить наличие вредоносного ПО?

  • вы заметили резкое снижение посещаемости сайта;
  • с сайта идет переадресация на сторонние ресурсы;
  • Yandex и Google помечают сайт в выдаче как нежелательный для посещения;
  • Opera, Chrome или Firefox явно информируют о зараженности сайта;
  • антивирус на вашем ПК предупреждает о зараженности сайта;
  • и, наконец, вам пришло автоматическое уведомление от системы Рег.ру об обнаружении вредоносного ПО.

Поиск вредоносного ПО

  1. Проверьте аккаунт на наличие вредоносного ПО при помощи Антивируса для сайтов: Как проверить сайт на вирусы.

  2. Проверьте файл «.htaccess» на наличие лишнего кода. Обратите внимание на правила RewriteCond и  RewriteRule
    — они должны быть такими же, как и в стандартном файле «.htaccess», если только вы не меняли их сами. Также обратите внимание на зашифрованные куски кода при помощи base64, если они присутствуют, и они добавлялись не вами и не разработчиками сайта — удалите их;

Меры безопасности

  1. Регулярно обновляйте CMS до последних стабильных версий.
  2. Обновляйте плагины и темы.
  3. Устанавливайте только безопасные, проверенные плагины и темы с официальных источников.
  4. Используйте сложные пароли (более 8 символов, с буквами разного регистра и символами).
  5. Не храните пароли в FTP клиентах и браузерах.
  6. Устанавливайте корректные права на файлы (644) и папки (755).
  7. Используйте уникальные имена супер-пользователей, не называйте их Admin, Administrator.
  8. При установке CMS прописывайте не стандартный префикс базы данных.

Убедитесь, что сайт взломан

Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.

Ваш сайт взломан, если:

  • Вы видите появляющийся спам на вашем сайте в хедере или футере, который рекламирует казино, кошельки, нелегальные сервисы и так далее. Такое объявление может быть незаметным для посетителей, но заметным для поисковых систем, например, темный текст на темном фоне.
  • Вы делаете запрос site:ваш-сайт.ru в Яндексе или Гугле, и видите на страницах сайта контент, который вы не добавляли.
  • Ваши посетители говорят вам, что их перенаправляет на другие сайты. Эти редиректы могут быть настроены так, что они не работают с администратором сайта, но работают для обычных пользователей и видны поисковым системам.
  • Вы получили сообщение от хостинг провайдера о том, что ваш сайт делает что-то вредоносное или спамит. Например, что ваш сайт рассылает спам, или в интернет-спаме присутствует ссылка на ваш сайт. Хакеры рассылают спам, в том числе с зараженных сайтов, и используют зараженные сайты для перенаправления пользователей на свои сайты. Они так делают, потому что хотят избежать спам-фильтров, чтобы их сайты не попали под санкции поисковых систем. Когда зараженный сайт попадает в спам-фильтры, хакеры оставляют его и пользуются другими.

Сделайте бэкап

После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.

Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.

Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.

Если ваши  логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.

Что можно безопасно удалить с любого взломанного сайта

  • Обычно можно удалить все содержимое папки  wp-content/plugins/. Вы не потеряете никакие данные и это не разрушит сайт. Позже Вордпресс определит, что вы удалили плагины, и отключит их. Не удаляйте только отдельные файлы, удаляйте папки с плагинами целиком. Некоторые плагины создают свои папки и файлы не только в папке /plugins, но и в других. Например, W3TC удаляется так. Некоторые файлы кеша W3TC определяются некоторыми сканерами как подозрительный или вредоносный код. Удалите все папки и файлы плагинов, чтобы не было ложных срабатываний.
  • Оставьте только одну тему в папке  wp-content/themes/, все остальные папки с темами можно удалить. Если вы пользуетесь дочерней темой, то оставьте 2 папки, — с родительской и с дочерней темой.
  • В папки wp-admin и wp-includes очень редко добавляются новые файлы. Если вы видите в них что-то новое, скорее всего, это добавил хакер. Файлы Вордпресс.
  • Удалите старые копии или бэкапы сайта из подпапок сайта. Обычно что-нибудь вроде /old
    или /backup. Хакер мог попасть в старую версию сайта, и оттуда проникнуть в основную версию сайта. Если ваш сайт взломали, проверьте эти папки на наличие вредоносного ПО, часто старые версии сайта заражены вирусами.

Как очистить Вордпресс сайт от заражения. Способ 1

  1. Сделайте полный бэкап сайта и базы данных, и сохраните их на компьютер.
  2. Скачайте на компьютер файл wp-config.php из корневой папки сайта, папку  /wp-content/uploads и папку с активной темой. Перед копированием темы обновите ее до последней версии. Если вы пользуетесь дочерней темой, то скопируйте обе папки.
  3. Полностью удалите сайт и базу данных с сервера.
  4. Установите свежую копию Вордпресс, используйте новые сложные логин и пароль.
  5. Перенесите настройки связи с базой данных из сохраненного файла wp-config.php
    в новый из этой части файла: Обычно используются только 3 верхние константы: DB_NAME, DB_USER и DB_PASSWORD. Оставшиеся 3 должны быть такие же, как в примере.
  6. Если в файле wp-config у вас были другие настройки, которые вы добавляли вручную, перенесите их в новый файл.
  7. Замените папку /wp-content/uploads из свежей установки Вордпресс на сохраненную папку /wp-content/uploads
    из п.2
  8. Скопируйте папку с темой из п.2 в новую установку Вордпресс.
  9. Импортируйте сохраненную базу данных из п. 1 в разделе База данных на хостинге.
  10. Зайдите на сайт, активируйте тему.

Оцените статью
NaWordpress.ru
Добавить комментарий