WordPress: если веб-сайт взломали для спама

Нам стало известно о случаях взлома некоторых веб-сайтов WordPress. Злоумышленники получают доступ к панели администратора и загружают файлы в хостинг-аккаунт. Из-за этих файлов в базе данных или теме WordPress появляется спам: скрытые ссылки на вредоносные ресурсы.

Если вы подозреваете, что ваш веб-сайт взломали, ознакомьтесь с информацией ниже. Также советуем прочитать статью Как узнать о взломе веб-сайта и устранить его последствия.

Как определить, что веб-сайт взломали

Ссылки, размещенные злоумышленниками, не будут видны на вашем веб-сайте. Лучший способ проверить их наличие — изучить исходный код главной страницы. В целях безопасности не переходите на нее. Вместо этого в адресной строке браузера Google® Chrome или Firefox® введите view-source:http://[ваше_доменное_имя].

Откроется исходный код. Поищите в нем слова, которые часто встречаются в ссылках на мошеннические ресурсы. Например:

  • кредит;
  • препарат;
  • виагра;
  • потенция.

Как устранить проблему

Самый простой способ — восстановить версию веб-сайта, которую точно не затронул взлом.

Если вы не уверены в безопасности резервной копии, вредоносный контент можно удалить вручную. Чаще всего он находится в базе данных или в заголовке темы WordPress.

Как исправить тему

Это можно сделать через панель управления WordPress. Если у вас есть резервная копия темы, установите ее в меню Appearance (Внешний вид).

В противном случае просмотрите код файлов. Чтобы узнать, как редактировать файлы в WordPress, прочитайте эту статью.

Удалите все подозрительные ссылки.

Как очистить базу данных

Обычно взломщики маскируют свои ссылки, меняя порядок букв в словах на обратный (например, вместо link указывают knil). Попробуйте поискать такие слова в своей базе данных.

Прежде чем вносить изменения в базу данных, создайте ее резервную копию.

В интерфейсе phpMyAdmin можно вручную проверить таблицы базы данных на вкладке Search (Поиск).

Также в phpMyAdmin можно выполнить поиск на вкладке SQL, используя следующий запрос:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Из таблицы wp_options будут выбраны все элементы, где HTML-маркер div написан наоборот. Вот как это может выглядеть:

Результаты поиска

Чтобы увидеть данные результатов полностью, нажмите на значок карандаша. Изучите код и удалите текст злоумышленников. Чтобы сохранить изменения, нажмите Go back to the previous page (Вернуться на предыдущую страницу). Если нужно удалить запись целиком, выберите Go back to the previous page (Вернуться на предыдущую страницу) и нажмите на красный крестик.

Подробные данные результатов

Какие еще файлы следует проверить

Удалив контент злоумышленников из базы данных или темы, проверьте файлы в хостинг-аккаунте. Взлом с целью спама обычно затрагивает следующие из них:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Даже если названия не вызывают подозрений, необходимо убедиться в надежности файлов. Проверьте код каждого из них или сравните даты их последнего изменения с этим же параметром у другого контента в каталоге.

Все файлы, которые кажутся подозрительными, рекомендуется переименовать (это обезвредит их) или удалить.

Техническая информация

Пример кода

Хеш-суммы известных вредоносных файлов, вычисленные по MD5

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Помогла ли вам эта статья?
Благодарим вас за отзыв. Чтобы связаться с сотрудником службы поддержки клиентов, позвоните по номеру этой службы или воспользуйтесь опцией чата выше.
Мы рады вам помочь! У вас остались вопросы?
Приносим извинения. Расскажите нам, какие затруднения вы испытываете или почему рекомендованное решение не помогло устранить проблему.