найти вредоносный код на сайте wordpress
Как обнаружить вредоносный код в темах WordPress
В наше время некоторые веб-сайты предоставляют бесплатные плагины и темы WordPress. Но главная проблема заключается в том, что вы не можете доверять источникам, отличным от официального репозитория WordPress. Большинство сайтов, которые предоставляют бесплатные темы, используют вредоносный код для их создания — который действительно трудно найти. И они делают это с намерением взломать те сайты WordPress, на которых установлены такие темы.
В этой статье я помогу вам с выбором какими инструментами отсканировать тему веб-сайта WordPress на наличие скрытых вредоносных программ или вредоносного кода. А также дам подборку лучших плагинов, которые можно использовать для сканирования темы WordPress на наличие потенциально вредоносного кода. После того, как вы обнаружили вредоносный код в WordPress, вам нужно знать, как удалить вредоносную программу с сайта WordPress.
Что такое Nulled WordPress Theme?
Nulled означает взломанную версию темы WordPress. По сути, это Premium WordPress Theme, которая доступна бесплатно (незаконно). Эти темы предлагают проделать черный ход для входа на ваш сайт, что ослабляет безопасность сайта и делает его поддержанным к взлому.
Почему темы WordPress заражены вредоносным ПО
WordPress предлагает темы премиум-класса в своих последних версиях, которые очень безопасны и не подвержены вредоносным кодам. К сожалению, когда речь идет о бесплатных темах, они являются наиболее легко преследуемой добычей для веб-злоумышленников. Причина в том, что загрузка бесплатной темы из неизвестного источника или пиратских сайтов может повлиять на безопасность ваших сайтов.
Такие темы плохо закодированы и ведут к созданию несанкционированного доступа к веб-сайтам через лазейки. Неизвестный источник темы может быть создан хакером, который настраивает его для своей выгоды. Есть несколько из распространенных причин для использования таких тем:
Признаки для поиска наличия вредоносного кода в темах WordPress
Прежде чем обсуждать вопросы «Как обнаружить вредоносный код или вредоносное ПО в темах WordPress», давайте разберем места, где злоумышленники обычно вставляют вредоносный код. Двумя распространенными целями хакеров являются файлы footer.php и style.css.
Кроме того, вы должны вручную проверить все файлы в теме. Темы WordPress могут включать в себя некоторые основные файлы для его функционирования. Но если вы обнаружите дополнительные файлы, которые вызываются без функции php, тогда ваши темы будут заражены серьезным вредоносным ПО.
Признаки, которые выдают, что ваши темы WordPress заражены вредоносным контентом:
Как обнаружить вредоносный код в бесплатных темах WordPress?
Вы можете использовать эти методы для проверки вредоносного ПО в темах WordPress. Выполнение поиска в Google — хороший способ проверить наличие вредоносного кода в определенной теме WordPress. Если кто-то обнаружил вредоносный код в теме, которую он использует, то такой человек предупредил других на различных форумах.
Первым шагом в обнаружении скрытой вредоносной программы или вредоносного кода в вашей теме WordPress является проверка того, все ли файлы, содержащиеся в этой теме, являются обязательными в теме WordPress.
Сканирование WordPress Theme перед установкой.
Наиболее частый метод обнаружения вредоносных программ в установленных темах — это сканирование всего сайта — все файлы на вашем сайте.
Задайте вопрос Google.
Безопасный просмотр Google — это инструмент, который предупреждает веб-мастеров, когда их веб-сайты скомпрометированы небезопасным контентом или вредоносными файлами. Вы можете использовать этот инструмент для диагностики вашего сайта на наличие скрытого вредоносного ПО и устранения его. Вставьте URL вашего сайта в ссылку и нажмите ENTER. Пример:
Ищем и убираем вредоносный код на WordPress
От автора
Вредоносный код попадает на сайт по неосторожности или злому умыслу. Назначения вредоносного кода различны, но, по сути, он наносит вред или мешает нормальной работы сайта. Чтобы убрать вредоносный код на WordPress его нужно сначала, найти.
Что такое вредоносный код на сайте WordPress
По внешнему виду, чаще всего, вредоносный код это набор букв и символов латинского алфавита. На самом деле это зашифрованный код, по которому исполняется, то или иное действие. Действия могут быть самые различные, например, ваши новые посты, сразу публикуются на стороннем ресурсе. По сути это кража вашего контента. Есть у кодов и другие «задачи», например, размещение исходящих ссылок на страницах сайта. Задачи могут самые изощренные, но понятно одно, что за вредоносными кодами нужно охотиться и удалять.
Как попадают вредоносные коды на сайт
Лазейки для попадания кодов на сайт, также множество.
Сразу замечу, борьба с такими вирусами трудная, а ручное удаление требует знаний. Есть три решения проблемы: первое решение – использовать плагины анитвирисники, например, плагин под названием BulletProof Security.
Такое решение дает хорошие результаты, но требует времени, хотя и небольшого. Есть более радикальное решение, избавления от вредоносных кодов, включая сложные вирусы, это восстановить сайт из заранее сделанных резервных копий сайта.
Так как, хороший веб-мастер делает backup сайта периодически, то откатиться на не зараженную версию, получится без проблем. Третье решение для богатых и ленивых, просто обращаетесь в специализированную «контору» или специалисту индивидуалу.
Далее, попробуем найти вредоносный код самостоятельно, без плагинов и «волшебников».
Как искать вредоносный код на WordPress
Важно понимать, что вредоносный код на WordPress может быть в любом файле сайта, и не обязательно в рабочей теме. Он может занестись с плагином, с темой, с «самодельным» кодом взятого из Интернет. Попробовать найти вредоносный код можно несколькими способами.
Способ 1. Вручную. Листаете все файлы сайта и сравниваете их с файлами незараженного бэкапа. Находите чужой код – удаляете.
Способ 2. С помощью плагинов безопасности WordPress. Например, плагин Wordfence Security. У этого плагина есть замечательная функция, сканирование файлов сайта на наличие чужого кода и плагин прекрасно справляется с этой задачей.
Способ 3. Если у вас, разумный support хостинга, и вам кажется, что на сайте «чужой», попросите их просканировать ваш сайт своим антивирусом. В их отчете будет указаны все зараженные файлы. Далее, открываете эти файлы в текстовом редакторе и удаляете вредоносный код.
Способ 4. Если вы можете работать с SSH доступом к каталогу сайта, то вперед, там своя кухня.
Важно! Каким бы способом вы не искали вредоносный код, перед поиском и последующим удалением кода, закройте доступ к файлам сайта (включите режим обслуживания). Помните про коды, которые сами восстанавливаются при их удалении.
Поиск вредоносных кодов по функции eval
Есть в php такая функция eval. Она позволяет исполнять любой код в ее строке. Причем код может быть закодирован. Именно из-за кодировки вредоносный код выглядит, как набор букв и символов. Популярны две кодировки:
Соответственно в этих кодировках функция eval выглядит так:
Алгоритм поиска вредоносного кода по функции eval следующий (работаем из административной панели):
Декодеры/Кодеры
Работают декодеры просто. Копируете код, который нужно расшифровать, вставляете в поле декодера и декодируете.
На момент написания статьи я не нашел у себя ни одного зашифрованного кода найденного в WordPress. Нашел код с сайта Joomla. В принципе разницы для понимания раскодирования нет. Смотрим фото.
Как видите на фото, функция eval после раскодирования, вывела не страшный код, угрожающий безопасности сайта, а зашифрованную ссылку копирайта, автора шаблона. Его тоже можно удалить, но он вернется после обновления шаблона, если вы не используете дочернюю тему WordPress.
В завершении замечу, чтобы не получить вирус на сайт:
9 плагинов для обнаружения вредоносного кода на WordPress-сайте
Ради своей выгоды он мог оставить в них рекламные ссылки или код, с помощью которого он будет управлять вашим сайтом. Многие пользователи WordPress не имеют большого опыта в веб-программировании и не знают, как действовать в такой ситуации.
Для них я сделал обзор девяти наиболее эффективных инструментов для обнаружения вредоносных изменений в коде работающего сайта или устанавливаемых дополнений.
1. Theme Authenticity Checker (TAC)
2. Exploit Scanner
Он только показывает обнаруженные симптомы заражения администратору сайта. Если вы хотите удалить вредоносный код, придётся это сделать вручную:
3. Sucuri Security
4. Anti-Malware
Anti-Malware – плагин для WordPress, который способен находить и удалять троянские скрипты, бэкдоры и прочий вредоносный код.
Плагин регулярно обращается к сайту производителя, передавая ему статистику обнаружения зловредов и получая обновления. Поэтому если вы не хотите устанавливать на свой сайт плагины, отслеживающие его работу, то вам стоит избегать использования Anti-Malware :
5. WP Antivirus Site Protection
Плагин имеет собственную базу сигнатур, автоматически обновляемую через Сеть. Он умеет удалять угрозы в автоматическом режиме, оповещать администратора сайта по электронной почте и много другое.
6. AntiVirus для WordPress
AntiVirus для WordPress – простой в использовании плагин, который способен осуществлять регулярное сканирование вашего сайта и отправлять оповещение о проблемах безопасности по электронной почте. Плагин имеет настраиваемый « белый список » и другие функции:
7. Quterra Web Malware Scanner
Сканер от Quterra проверяет сайт на наличие уязвимостей, внедрений стороннего кода, вирусов, бэкдоров и т.д. Сканер обладает такими интересными возможностями, как эвристическое сканирование, обнаружение внешних ссылок.
8. Wordfence
Этот плагин обеспечивает постоянную защиту WordPress от известных типов атак, двухфакторную аутентификацию, поддержку « чёрного списка » IP-адресов компьютеров и сетей, используемых взломщиками и спамерами, сканирование сайта на наличие известных бэкдоров.
Этот плагин бесплатен в своей базовой версии, но имеет и премиум-функционал, за который производитель запрашивает скромную абонентскую плату:
9. Wemahu
Wemahu осуществляет мониторинг изменений в коде вашего сайта и поиск вредоносного кода.
База данных, на основе которой ведётся обнаружение зловредов, пополняется методом краудсорсинга: пользователи сами пополняют её, отправляя результаты сканирования зараженных инсталляций WordPress на сайт автора плагина. Плагин также поддерживает отправку отчётов по электронной почте и другие полезные функции:
Как найти и удалить вредоносный код со взломанного WordPress сайта
Новички, которые только начали использовать автономную CMS на собственном веб-сервере, впадают в панику, столкнувшись впервые с заражением своего сайта вредоносным ПО. В попытках восстановить свой сайт они допускают дополнительные ошибки, что часто ведет к полной потере файлов и важных данных. В этой статье мы научимся находить, определять и корректно удалять malware так, чтобы не навредить вашим данным и основным файлам на сайте.
Делайте бэкапы вашего сайта
Прежде чем мы перейдем к обсуждению malware и взломанных сайтов на базе WordPress, немаловажно обсудить вопрос создания бэкапов информации с вашего сайта. Если вы — новичок в использовании WordPress и всерьез занимаетесь изданием онлайн-контента, то вы должны первым делом быстро освоить навык создания бэкапов.
Восстанавливать сайт или искать на нем malware?
Если вы используете сервис для бэкапов наподобие Backup Buddy или VaultPress, тогда у вас есть опция восстановления сайта к более ранней версии. Тем не менее, я полагаю, что это — не самая лучшая идея. Восстановление вашего сайта без изучения причин сбоя и устранения malware может привести к тому, что уязвимости на вашем сайте все равно останутся. Поэтому куда лучшим будет найти уязвимость, устранить ее, а затем восстановить состояние сайта.
Определяем наличие вредоносного ПО на сайте
Malware обычно представляет собой вредоносный контент на вашем сайте, который добавляется на сайт путем вставки кода в страницы, темы, плагины, файлы или БД сайта. В этом коде может содержаться ПО, которое нанесет вред компьютерам пользователей, посещающих ваш сайт, другим веб-сайтам, а также внутренним фреймам вашего собственного сайта. Много различных техник внедрения вредоносного кода используется для проведения атак на WordPress-сайты.
Проверяем обрабатываемый HTML-код
Начать поиск malware мы можем с поиска того, где и как срабатывает вредоносный код на вашем сайте.
Ответы на эти вопросы помогут вам определить, какие именно файлы на сайте следует проверить в первую очередь.
Проверяем ваши плагины и темы на наличие вредоносного кода
Наиболее часто атакам подвергаются темы оформления и плагины на сайте. Начать проверку можно с того, что проверить файлы вашей темы на наличие вредоносного кода. Если в папке с темами у вас лежит больше одной темы для оформления, стоит проверить все темы, даже те, которые в данный момент неактивны.
Более простым способом проверки станет загрузка бэкапа вашей папки с темами и удаление всех тем с веб-сервера. Загрузите затем свежую копию темы темы по умолчанию Twenty Eleven и разместите ее на своем веб-сервере. Теперь проверьте ваш веб-сайт: если вредоносный код исчез — значит, все дело было в одном из файлов темы. Теперь вы можете почистить свою старую тему, открывая вручную файлы в редакторе и сравнивая код «чистой» темы и вашей темы на наличие странных или подозрительных включений кода. Вы также можете скачать свежую копию темы с сайта разработчиков.
Предположим, что вы просмотрели все файлы и темы и не нашли в них вредоносного кода. Тогда следующий шаг — поискать в плагинах. Воспользуйтесь тем же методом, который мы применили для тем. Загрузите бэкап плагинов в папку, затем удалите их с вашего сервера. Теперь просмотрите сайт в браузере и убедитесь, пропал ли вредоносный код. Если да — дело было в одном из ваших плагинов на сайте. Если вы видите, что malware опять появляется на сайте после установки и активации плагина или плагинов, то удалите этот плагин с вашего веб-сервера.
Самые лучшие практические способы защиты ваших тем и плагинов:
Находим вредоносный код, вставленный в файлы ядра WordPress
Если вы уже проверили и темы, и плагины, и при этом вредоносный код никуда не пропал, то следующим шагом в ваших поисках станет проверка файлов ядра WordPress. Здесь я снова рекомендую применить тот же подход, что и в случае с плагинами и темами.
Для начала делаем резервную копию всех файлов вашего сайта (важно, чтобы в бэкап попали такие файлы, как wp-config, wp-content папка, .htaccess и robots.txt). После завершения процедуры резервного копирования начинайте удалять все файлы с вашего веб-сервера. Теперь скачайте свежую копию WordPress и установите его на сервер. Заполните wp-config информацией из вашей БД. Зайдите теперь на сайт и посмотрите, остался ли на нем вредоносный код. Если malware пропал, тогда значит, ваши файлы ядра были заражены. Теперь аккуратно восстановите изображения, видео и аудио-файлы из резервной копии вашего сайта.
Самые лучшие практические способы защитить код файлов в WordPress
Находим инъекцию вредоносного SQL-кода в WordPress
Выше мы уже обследовали плагины, темы и ядро WordPress. Если все это не помогло побороть вредоносный код, пришло время браться за базу данных. Для начала убедитесь, что сделали резервную копию вашей БД сайта. Если делать бэкапы регулярно, то всегда можно легко восстановить предыдущую версию БД. Но перед этим убедитесь, что в БД закрался вредоносный код.
Если вы еще не делали резервной копии вашей БД, сделайте ее до того, как вносить в базу какие-либо изменения. Бэкап даже с вредоносным кодом в нем всегда лучше, чем полное отсутствие резервных копий.
Скопируйте код, который кажется подозрительным и был определен плагином-сканнером, а затем запустите mysql-запрос такого вида, используя phpMyAdmin:
В зависимости от того, куда вставлен этот подозрительный код (в посты, комментарии или в таблицы), вам придется запускать этот запрос для различных полей и таблиц на сайте. Если в результирующих строках не слишком много кода, то вы можете вручную отредактировать файлы и поля, убрать вредоносный код. С другой стороны, если выдало слишком много строк, тогда вам, возможно, понадобится запуск автозамены для полей по базе, что является довольно рискованным делом, и если вы не знаете, как правильно пользоваться данным инструментом, то рискуете потерять все данные с вашего сайта.
Проделали все вышеперечисленное, но все равно не избавились от проблем?
Полагаю, большинство людей в состоянии самостоятельно и сравнительно просто определить, найти и устранить вредоносный код на своих WordPress-сайтах. Но иногда malware хорошо маскируется и не поддается простому удалению. Если вы перепробовали все вышеупомянутые методы и при этом ничего не выяснили и не удалили, тогда настала пора приглашать экспертов по безопасности в WordPress, пользоваться онлайн-сервисами или услугами консультантов, которые очистят ваш сайт от зловредов за небольшую плату.
Сервисы мониторинга и очистки сайта от Sucuri
Ищем индивидуального эксперта по безопасности в WordPress
Заключение
WordPress безопасен в работе настолько, насколько это возможно. Как владелец веб-сайта, вы несете ответственность за сайт и за использование здравого смысла в борьбе с типичными угрозами для безопасности сайта. Пользуйтесь надежными паролями, проверяйте разрешения на операции с файлами, регулярно очищайте закладки и создавайте регулярные бэкапы — и у вас не будет проблем.
9 плагинов WordPress для обнаружения вредоносного кода на сайте
Опубликовано: ADv Дата 03.03.2015 в рубрике Плагины WP 8 комментариев
WordPress является одной из самых популярных систем управления контентом (CMS), используемой людьми либо для простого блоггинга, либо для других целей, как например создания интернет магазина. Существует множество плагинов и тем на выбор. Некоторые из них бесплатные, некоторые же — нет. Часто эти темы загружаются людьми, которые настроили их для своей выгоды.
Они могут содержать вредоносный код, который легко сможет взломать ваш блог. Иногда в эти темы также добавляются беклинки на сайты злоумышленника, которые рядовой пользователь не сможет «выпилить». В сегодняшней статье мы собрали 9 эффективных инструментов для борьбы с вредоносным кодом в темах WordPress или на сайте.
1. Theme Authenticity Checker (TAC)
Theme Authenticity Checker (TAC) — это плагин для WordPress, который сканирует исходные файлы каждой установленной темы WordPress на предмет скрытых ссылок в футере и Base64 кодов. После обнаружения он отображает путь к определенной теме, номер строки и небольшой кусок вредоносного кода, что позволяет администратору WordPress легко проанализировать этот подозрительный код. [Скачать]
2. Exploit Scanner
Exploit Scanner умеет сканировать файлы и базу данных вашего сайта и в состоянии определить присутствие чего-либо сомнительного. При использовании Exploit Scanner помните, что он не поможет предотвратить хакерскую атаку на вашем сайте и не будет удалять какие-либо подозрительные файлы с вашего сайта WordPress. Он нужен для того, чтобы помочь определить любые подозрительные файлы, загруженные хакером. Если вы захотите их удалить, то делать это нужно будет вручную. [Скачать]
3. Sucuri Security
Sucuri — хорошо зарекомендовавший себя плагин обнаружения вредоносного кода и безопасности в целом. Основными функциями Sucuri является мониторинг файлов, загруженных на WordPress сайт, мониторинг черного списка, уведомления безопасности и другое. Также предлагается удаленное сканирование вредоносного кода с помощью бесплатного Sucuri SiteCheck Scanner. Плагин также предоставляет аддон мощного фаервола для сайта, который можно приобрести и активировать, для того, чтобы улучшить безопасность вашего сайта. [Скачать]
4. Anti-Malware
Anti-Malware — это плагин для WordPress, который может использоваться для сканирования и удаления вирусов, угроз и других вредоносных вещиц, которые могут присутствовать на вашем сайте. Некоторые из его важных функций предлагают настраиваемое сканирование, полное и быстрое сканирование, автоматическое удаление известных угроз. Плагин можно зарегистрировать бесплатно на gotmls. [Скачать]
5. WP Antivirus Site Protection
WP Antivirus Site Protection — это плагин безопасности для сканирования тем WordPress наряду с другими файлами, загруженными на ваш сайт WordPress. Основными функциями WP Antivirus Site Protection являются сканирование каждого загруженного на сайт файла, обновление базы данных вирусов на постоянной основе, удаление вредоносного кода, отправление уведомлений и оповещений по email и многое другое. Также присутствуют функции, за которые можно заплатить, если вы желаете более «ужесточенной» безопасности для своего сайта. [Скачать]
6. AntiVirus for WordPress
AntiVirus for WordPress — это простой в использовании плагин защиты, который поможет в сканировании тем WordPress, используемых на вашем сайте на предмет вредоносного кода. Используя этот плагин, вы сможете получать уведомления о вирусах в административной панели. Также присутствует ежедневное сканирование, по результатам которого вы получите письмо, если будет найдено что-либо подозрительное. [Скачать]
7. Quttera Web Malware Scanner
8. Wordfence
Если вы ищете способ защиты вашего сайта против кибер-атак, то вам стоит попробовать плагин Wordfence. Он предоставляет защиту в реальном времени против известных атак, двухфакторной аутентификации, блокирует всю зараженную сеть (при обнаружении), сканирует на наличие известных бекдоров и делает множество других вещей. Упомянутые сервисы бесплатны, однако предлагаются другие функции на платной основе. [Скачать]
9. Wemahu
Wemahu является плагином для WordPress, позволяющий выполнять сканирование на предмет вредоносного кода в файла и темах вашего сайта WordPress. С помощью него вы сможете осуществлять мониторинг изменений файлов, выполнять регулярное сканирование ресурса и получать отчеты по email, а также пользоваться другими полезными функциями. [Скачать]
Мы надеемся, что эта статья помогла вам выбрать один или несколько плагинов для определения вредоносного кода на своем сайте WordPress.
По всем вопросам и отзывам просьба писать в комментарии ниже.
Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.