Знаходимо і видаляємо шкідливий код на сайті WordPress

Періодична перевірка сайту на наявність шкідливих вірусів необхідна, це перша заповідь будь-якого поважаючого себе веб-майстри. Навіть якщо ви користуєтеся чистої темою Twenty Eleven, то не факт, що з часом вона теж не заразилася. Таке явище може відбуватися (і найчастіше відбувається) через те, що сам движок WordPress призначений спочатку для публікацій он-лайн. Так що зайвий раз перевіритися і зробити копію сайту і бази даних ніколи не завадить.

Наприклад, я (по закінченні якогось часу, звичайно) зробив для себе один висновок - потрібен просто хороший хостер, і ваші проблеми з резервуванням відпадуть самі собою. Мені не потрібно зараз робити бекапи БД або сайту - все робить за мене хостер, причому в автоматичному режимі. У будь-який час при бажанні можна замовити копію будь-якого розділу свого блогу (і не тільки), завантажити цю копію, або ж відновити блог прямо з панелі управління. Тобто, мені не потрібно завантажувати бекап, все відбувається на автоматі - резервування, відновлення і т.д. Це зручно тим, що я можу не те що подобово, а по годинах відстежити, коли на моєму блозі з'явився вірус і, відповідно, вжити заходів щодо його усунення.

Ну, а для тих, хто так не робить, або у кого хостер не надає такі можливості, є маса способів не тільки визначити наявність шкідливого коду в файлах сайту, але і дізнатися місце, де він знаходиться, а також отримати рекомендації до його знищення або деактивації. Свого часу я перепробував на цьому терені кілька плагінів і он-лайн сервісів, так що є чим поділитися - і хорошим досвідом, і негативним.

Почну з хорошої новини - принаймні, два плагіна, якими я користувався, видають хороші результати по виявленню та локалізації шкідливого коду. це плагіни AntiVirus і Exploit Scanner . Ви не повірите, скільки на вашому блозі шкідливого коду! Але не приймайте всю результуючу інформацію після перевірки за догму - багато рядків, які ці плагіни виявляють, насправді нічого поганого в собі не несуть. Просто плагін ставить під сумнів якісь рядки, ось і все. Щоб переконатися в цьому, перевірте вручну ті фрагменти, які плагін визначив, як шкідливі. Так, при перевірці плагіном AntiVirus виявилося, що навіть просте звернення function get_cache_file () плагін вже вважає підозрілим. Так що все результати перевірок доведеться відстежувати вручну. А ось це, наприклад, дійсно заражена посилання, і її необхідно прибирати:

Як дізнатися, вірус це чи так і має бути? Все дуже просто - порівнюєте ваш чистий шаблон (якщо є), і порівнюєте його (пофайлово) з тим, який встановлений і вже зазнав якісь зміни. Необов'язково прямо так буквально проводити порівняння, просто пошуком перевірте, чи є в вашому чистому шаблоні той рядок, яку виділив плагін. Якщо є - тисніть кнопку «Це не вірус», і під час наступної перевірки цей рядок не враховуватиметься.

А ось приклад другого випробуваного плагіна - Exploit Scanner

Як бачите, тут все набагато запущеними. Для мене такий результат був шокуючим. Але і це ще не все. В плагіні існує така функція, як перевірка CSS коду . Так ось, якщо її включити, то вийде, що блог повинен складатися з тексту і максимум, з пари CSS таблиць. Так що, мені здається, з безпекою тут автор плагіна явно перестарався. Добре ще, що плагін просто показує передбачувані заражені фрагменти, а не чистить їх.

Проаналізувавши всі виділені жовтим кольором рядки, ви легко знайдете malware (шкідливий код), ну, а що з ним робити далі - вирішуйте самі. Спосіб чищення все той же - порівнюєте виділений код з бекапу сайту (див. Як бекап WordPress на Google Drive ) І, якщо знайшли розбіжності - виявляйте, то це зробили ви самі, чи то хтось за вас, а значить, це вже не є добре і може виявитися вірусом. Навіть розробники WordPress радять проводити перевірку сайту на наявність шкідливого коду саме цим плагіном. Але існують такі нешкідливі вставки, наприклад, в тіло iframe, які плагін теж може визначити, як заражений код. Але насправді без цих рядків цю ділянку вашого блогу не працюватиме правильно.

Як взагалі malware може потрапити в файли блогу і що це таке за визначенням? Слово malware значить буквально - зловмисне програмне забезпечення, від англійського malicious software. Це будь-який софт, який може бути використаний для несанкціонованого доступу до сайту і його вмісту. Ви, напевно, уявляєте собі, що для підготовленого по-середньому хакера зламати сайт не складе труднощів, особливо після реєстрації. Після цього можна контент блогу модифікувати як завгодно - було б освіту.

Шкідливий malware можна вставити і в плагіни, які ви встановлюєте з невідомого джерела, і в скрипти, які ви також іноді берете, не перевіривши, а довірившись автору. Найбезпечніший malware - це посилання на автора будь-якого модуля, який ви встановили на сайт. І якщо автор сам не попередив вас про те, що таке посилання існує, то це вже чистої води вірус.

Так, я встановлював на тестовому блозі нову тему, і після видалення однієї нешкідливої ​​ссилочку на якийсь там чоловічий клуб в підвалі сайту, він перестав взагалі відкриватися, а на головній з'явився напис - «Ви не маєте права видаляти посилання». Ось тобі і безкоштовна тема. Про те, як видирати такі ліві посилання, можете почитати тут .

Ваша БД теж може бути використана для запуску вірусосодержащего коду. Спамерські посилання теж дуже часто додаються в запису або коментарі. Такі посилання зазвичай ховаються за допомогою CSS так, що недосвідчений адміністратор їх не бачить, але пошукова система їх розрізняє відразу. Звичайно, тут вже вступає в боротьбу будь-антиспам, наприклад, той же Akismet , Який ліцензований, перевірений і перевірений ще раз багато разів. Хакер може завантажувати файли з розширеннями файлів зображень, і додавати їх в код ваших активованих плагінів. Тому, навіть якщо файл і не має розширення php, код в цьому файлі може бути запущений в дію.

Є ще один простенький інструмент, з якого я починав знайомство з malware - плагін Theme Authenticity Checker (TAC). Це легкий і досить дієвий інструмент, але він перевіряє тільки ваші теми, причому навіть неактивні. Решта директорії він не чіпає, і в цьому його мінус. Ось що дала мені перевірка моєї поточної теми цим плагіном:

Два попередження в активній темі, і більше нічого. Шкідливого коду немає. До речі, це ті посилання, які я вставив сам за порадою Google - для поліпшення якості сниппета (висновок особистих даних, адреса організації і т.д.). Але це тільки перевірка файлів теми, а що робиться в інших директоріях, вам доведеться дізнаватися або за допомогою інших плагінів, або он-лайн сервісами. Наприклад, такий сервіс (він уже заслуговує на довіру), як Веб-майстер Яндекса або аналогічний в Google. Вони мають функцію перевірки будь-якого веб-ресурсу на наявність шкідливих вкраплень, і роблять це якісно. Але якщо вам і цього мало, то порівнюйте результати з результатами на інших сервісах і робіть висновки.

Чомусь хочеться вірити Яндексу, а не плагинам. Ще один непоганий ресурс - http://2ip.ru/site-virus-scaner/. Після перевірки одного свого блогу тут ось що виявилося:

Тут же ви можете перевірити і окремі файли на наявність шкідливого коду, якщо у вас закралися такі сумніви. Загалом, сервіс непоганий.

З усього сказаного я б зробив такі висновки:

1. Щоб не допустити появи шкідливого коду, потрібно перш за все користуватися перевіреними сервісами для закачування файлів - плагінів, тим і т.д.

2. Регулярно робити резервні копії всього, що містить сайт - бази даних, контенту, адмінпанелі, закачаних сторонніх файлів в тому числі.

3. Користуватися оновленнями, які пропонує WordPress. Вони, по крайней мере, не містять вірусів, хоча і не завжди функціонально виправдані. Але оновившись, ви тим самим видаляєте можливо присутні віруси.

4. Невикористані теми, плагіни, зображення і файли видаляйте без жалю - це ще один запасний вхід для malware, про який ви можете і не здогадатися ніколи.

5. Гарненько запарольте свої FTP-доступи, вхід в PhpAdmin, в панель адміністратора і взагалі туди, куди ніхто, крім вас, не повинен мати доступу.

6. Постарайтеся (навіть якщо це бажання у вас величезна, як небо) не змінювати і замінювати файли ядра WordPress - розробники краще знають, що і як має працювати.

7. Після виявлення і видалення вірусів поміняйте всі паролі. Я думаю, у вас з'явиться величезне бажання зробити пароль з 148 символів в різних регістрах і з спецсимволами. Але не захоплюйтеся занадто складними паролями, можете втратити його, і тоді доведеться все відновлювати, що не дуже приємно.

Всі ці методи та засоби, які я описав, і які допоможуть вам позбавитися від вірусів, звичайно, безкоштовні, звичайно, майже саморобні, і звичайно, не дають 100% гарантії того, що ваш сайт буде очищений від шкідливих вставок. Тому, якщо вже ви перейнялися чищенням блогу, то краще зверніться до професіоналів, наприклад, в сервіс Sucuri ( http://sucuri.net/ ). Тут ваш сайт гарненько Відмоніторити, дадуть практичні рекомендації, які вам вишлють листом, а якщо ви не хочете займатися чистою сайту самостійно, то до ваших послуг фахівці, які протягом 4 годин зроблять все в кращому вигляді:

Ну, от якось так виглядає мій тестовий блог після моніторингу, і це при тому, що інші методи (доморощені) завжди показують різні результати. Як бачите, тест безкоштовний, але в разі виявлення вірусів вам варто заплатити за їх усунення без шкоди для сайту (якщо ви, звичайно, не гуру по очищенню блогу від malware).

Ще раз підкреслю - хакери не дрімають, модернізація вірусів відбувається постійно, і самостійно за всім устежити неможливо. Всі нововведення настільки ретельно приховуються і маскуються, що виявити їх може тільки команда! професіоналів, а не блогер-самоучка, якими багато є. Тому ручне виявлення і видалення malware так малоефективно: немає досвіду - немає результату, зате є вірус. Використовуйте ліцензійні програми і довірте усунення небезпеки професіоналам

Сподобалася запис? Підпишіться на оновлення поштою:

Facebook

Читайте схожі статті