Приветствую, всех читателей — Sozdaiblog.ru!
Сегодня я покажу и расскажу, как найти и удалитьвредоносный код и левые ссылки из файлов, шаблонов и плагинов WordPress, которые внедрили разработчики и умные дядьки хакеры.
В самом начале ведения блога все сталкиваются с такой проблемой, как выбор темы оформления. И я уверен, что большинство из Вас часами, а то и сутками копались во всемирной паутине в поиске подходящего шаблона.
Больше всего огорчало то, что когда находишь, какой-то подходящий вариант, обязательно с ним возникают проблемы.
Практически нет ни одной темы оформления, где не найдётся внешней ссылки от разработчика. Хорошо, я не против, человек много трудился и хочет поиметь свою выгоду. Но, в основном, все шаблоны воруются у иностранных разработчиков, переводятся на русский и распространяются через сайты наших соотечественников. А те в свою очередь такого туда напихают, что мама не горюй.
Допустим, что это безобидные ссылки, это ещё ничего, а что если вредоносный код, с помощью которого можно проникнуть на Ваш сайт и получить права администратора. Вот тут уже стоит задуматься.
Конечно, уважающие себя сайты, не допустят вредоносного кода, но встречаются такие, которым море по колено и горы по плечу.
Чтобы их не обидеть, я не буду называть имена этих сайтов. Скажу лишь то, что по запросу « Скачать шаблоны для wordpress бесплатно », они находятся в TOP-10 выдачи G o o g l e .
Представьте, лучшие сайты бесплатно раздают вредоносный код. Вот так.
Как найти ссылки и вредоносный код в шаблоне WordPress.
Дорогие друзья, перед тем, как установить новую тему на свой ресурс её можно и нужно проверить на наличие левых ссылок и вредоносного кода.
Сделать это легко, Вам понадобится плагин — TAC . Скачиваете его по ссылке , устанавливаете и активируете ( как установить плагин WordPress ). Закачиваете новую тему на свой сервер и переходите в панель администратора вордпресс => Внешний вид => TAC :
Если тема чистая, то откроется вот такое окно:
Ранее, я скачал одну из тем топовой десятки сайтов G o o g l e и моему взору, открылось следующее:
Здесь, мы видим:
1. Аж целых 7 внешних ссылок.
2. Закодированный вредоносный код.
Чтобы узнать подробнее, где находятся эти гадости нужно нажать на большую голубую кнопку — Details и плагин покажет все ссылки и место их дислокации:
Теперь когда мы знаем, где и что искать, можно пойти и удалить всю ненужную заразу.
Случается так, что в подвале ( footer.php ) Вашей темы оформления, находятся закодированные ссылки. При просмотре самого сайта, визуально такая ссылка ни чем не отличается от других, но в редакторе она отображается следующим образом:
< ?php eval(base64_decode(‘Pz4gPC9kaXY+DQoNCjxkaXYgaWQ9ImZvb3RlciI +DQoNCjxkaXYgY2xhc3M9ImZvb3Rlcl9saW5rcyI+DQoNCkNvcHl vZ2luZm8oJ25hbWUnKTsgPz4uDQoNCjw/cGhwIGlmKGlzX2Zyb25 jb3VudF9wb3N0cygncG9zdCcpOKDQo8L2h0bWw+IDw/’));? >
Чаще всего, если удалять такую ссылку обычным методом, то она ломает весь шаблон.
Для борьбы с этой крокозяброй, есть быстрый и надёжный способ. Открываем файл — footer.php , находим закодированную ссылку и перед – « <?php » ставим три звёздочки — *** . Так, мы её пометили.
Затем, заходим на сайт и правой кнопкой мыши, открываем исходный код страницы. Здесь, нажимаем на клавиатуре F3 . Внизу, появится окно поиска, где мы вводим нашу метку — *** .
После того, как браузер её найдёт, Вы должны скопировать всё содержимое от начала метки и до самого низа. Теперь вернитесь в файл footer.php и замените скаченным куском кода закодированную ссылку.
В полученном коде должны находиться ранее закодированные ссылки, которые в новом виде можно с лёгкостью удалить, не боясь испортить шаблон.
Как обнаружить вредоносный код в файлах и плагинах WordPress.
Обнаружить заразу в вордпрессе не сложно. Чтобы это сделать, нужно установить плагин — Exploit-scanner . Устанавливаем, активируем, заходим в админку => Инструменты => Exploit-scanner :
Вам откроются настройки плагина. Здесь, убираем галочку в чекбоксе и нажимаем – Run the Scan :
После этих манипуляций запустится процесс сканирования Вашего ресурса, который нацелен на обнаружение вредоносного кода и различных команд, с помощью которых хакеры могут проникнуть на Ваш сайт.
В основном, это будут — Eval; base64_decode; iframe; explode и многое другое. Все они будут подсвечены жёлтым цветом и так же, как в случае с плагином TAC , будет показан абсолютный путь до их места обитания с указанием номера строки.
Лично у себя, я нашёл несколько — explode и base64_decode , которые считаются одними из самых опасных. Вот они родимые:
Я решил их удалить и пошёл по указанному плагином пути. Тусовались эти эксплойты в файле — functions.php . Взгляните на них:
Конечно, я не специалист, но судя по коду они давали возможность авторизоваться на моём ресурсе и настроить собственное перенаправление на нужную страницу.
У меня получилось их удалить, без каких-либо последствий.
Но друзья, не факт, что и у Вас это получится. Многие вредоносные коды взаимосвязаны с различными скриптами и командами, и если удалить один кусок, это может вывести из строя, к примеру, какой-нибудь плагин. Поэтому, прежде чем, что-то удалять постарайтесь понять и осознать правильность своих действий. Обязательно сделайте бэкап сайта и всех файлов, которые Вы правите.
Все действия связанные с редактированием Вашего ресурса, настоятельно рекомендую производить при помощи — Notepad++ . При его использовании, всегда можно откатить (вернуть) несколько шагов назад.
Если Вы, сомневаетесь в своих действиях, лучше доверьте это профессионалам, иначе последствия могут быть необратимы.
Я не сильно Вас закошмарил? Да ладно, не бойтесь! На самом деле, можно делать всё что угодно, главное, что бы была надёжная резервная копия сайта. Если она у Вас есть, то хоть десять раз его сломайте, через ftp-клиента можно всё откатить.
Хотелось бы узнать, как Вы провели сканирование своих файлов, и какие действия произвели для удаления вредоносного кода?
Так же, читайте дополнительный материал по этой теме:
Всем, кому понравилась статья предлагаю подписаться на обновления блога, для получения уведомлений о выходе нового материала на Вашу электронную почту.
На сегодня это всё. До новых статей.
С уважением, Денис Черников!
- Формула что это такое простыми словами
- Спрос это простыми словами
-
Важность изучения целевой аудитории и маркетинга контента для блога
- Стартапер кто это простыми словами
- Стоимость это простыми словами
-
Как вставить рекламные объявления в статьи WordPress?
-
Диапазон IP- адресов Поисковых роботов!
- Консалтинг что это такое простыми словами на примере
- It консалтинг это простыми словами
-
Основные функциональные возможности Gutenberg 16.0
Про ТАС я знал, а вот Exploit-scanner слышу впервые. Сейчас скачаю и проверю плагины, есть у меня один плагин с непонятной ссылкой, может получиться удалить. Спасибо, за обзор!
Пожалуйста, Михаил! Главное, будьте осторожны если нароете что и захотите удалить! Я на днях чуть весь блог не снёс из-за одного base64_decode в плагине!
Если Вы Денис чуть весь блог не снесли, то мне вообще делать не стоит.Тем более я не могу понять где эти коды находятся…
Юлия, бояться не нужно, самые простейшие, которые в темах и плагинах, Вы в состоянии удалить сами, а путь к ним указывает TAC!
Но в ТАС у меня все чисто, а вот во второй плагин будто все файлы перечислил…
Юлия, они там не все до одного плохие, есть те, которые просто выполняют определённые команды, но если к ним подсадить хакерский код, то они и его выполнят, поэтому плагин Вас предупреждает, что есть вредоносная команда, через которую могут проникнуть на Ваш ресурс. Поэтому, тут надо либо читать книжки и разбираться, что к чему, либо нанимать опытных фрилансеров программистов!
Здравствуйте, Денис! А что если перед ссылками в футере прописан вот такой код:Можно ли их удалить в этом случае или нет? Заранее спасибо.
Здравствуйте, Анастасия! Форма комментариев не всегда пропускает коды! Чем Вам описанный способ не подошёл?
Ой, код не вставился попробую еще раз:
// This theme is released free for use under creative commons licence. http:// creativecommons.org/licenses/by/3.0/
// All links in the footer should remain intact.
// These links are all family friendly and will not hurt your site in any way.
// Warning! Your site may stop working if these links are edited or deleted
Анастасия, это не код, а набор слов, да ещё с левой ссылкой! Делайте, как написано у меня, это легко и просто!
Я имела в виду, что перед кодом со ссылками написан вот этот комментарий, там вроде бы написано, что ссылки должны оставаться без изменений. Я хотела спросить, могу ли я их удалить без нарушения авторского права в этом случае или нет?
Это специально пишут разработчики, чтобы напугать. А Вы не пугайтесь и пробуйте удалять! Только не забывайте бэкапы делать!
Просканировал Exploit-scanner. Результат печален, около 300 различных недоразумений. В основном такие «Unknown file found», а ещё куча base64_decode. Думаю сменить тему. На платную.
От base64_decode лучше избавляться, в нём может быть закодирована разная хакерская вирусня. А Вы уверены, что это в теме? Может удалить получится!
Здорово Денис! Я уже давно задумывалась, о том, чтобы просканировать свой сайт,а вы тут такую хорошую подсказку дали.Хотя я знаю,что у меня шаблон не кодированный,т.к. покупала у разработчика и он лицензированный, но вот плагины и другие примочки проверить не помешает,если вдруг,что найду буду к вам за консультацией обращаться, если не откажете:)
Хорошо, Светлана, чем могу помогу. Покупать темы это хорошо, но не у всех есть свободные деньги, да и жалко 600-1500 отдавать, когда столько халявы есть.
Спасибо, Денис. Очень нужная статья. С этого и нужна начинать свою работу на блоге каждому, а потом уже и коды на укрепления защиты ставить.Спасибо.
Пожалуйста, Юлия! Да, Вы от части правы, но не все справятся с самостоятельным удалением вредоносного кода в файлах движка и плагинах.
А плагин может просто удалить и все дела?
Да ради бога, если он не нужен!
А почему нужно убрать галочку в настройках плагина?
Она отвечает за спам, если её оставить, то он Вам столько выдаст гадости, век не разберётесь, но она безобидная и может занимать место под солнцем! Но если очень хочется, то поставьте и посмотрите!
пробовал это, но было все чисто с вредоносными кодами
Это же замечательно, у многих куча всякой нечести в файлах! Поздравляю, Вы здоровый пациент!)
Результат сканирования ужаснул! Просто бездна всего обнаружена, я со страхом на все это смотрю, даже не знаю, с чего начинать…
Спасибо, Денис, только я теперь в растерянности, как же это все теперь исправить?.. Страшно порушить все…
С удовольствием поделилась с друзьями ссылкой на Ваш блог:) Пусть все задумаются над этим вопросом, пока не поздно.
Спасибо, за ссылки! Главное не паникуйте и не торопитесь с исправлением. Всё тщательно просмотрите и изучите, обязательно делайте бэкап и потихоньку пробуйте удалять, проверяя после каждого действия работоспособность сайта и плагинов. Да, это очень долго, но а как ещё по другому. Конечно можно за деньги фрилансеров нанять, но тут Вам выбирать!
Господи, Денис, я уже боюсь всех этих взломов и т.п. и т.д. когда же можно будет спокойно писать статьи и радоваться? Что ж этим хакерам не живется спокойно? Вот недавно нажала на прослушивание аудиозаписи на сайт (вроде приличный был, аваст молчал)и занесла вирусняк, позвали знакомого мальчишку программиста, он аж удивился новому изобретению хакеров, которые все программы защиты удаляют, ну повозился пару часов, закачал какие-то программы свои…Получается, что Интернет как минное поле, туда не ходи, здесь не качай, того опасайся…Аж волосы дыбом становятся, по моему у нас в подворотне и то безопаснее между алкашей и бомжей…Хорошо хоть вы Денис, как путеводная звезда, освещаете дорогу.
Свет, ухо востро держать нужно не только в интернете но и в жизни, посмотрите сколько sms мошенничества. Жить спокойно нам ни кто не даст, мы в России!
Эх, Денис… Где Вы были раньше…
Да тут я Любовь! Ни куда не девался!
Очень полезная информация, я ничего этого не знала. А по каким тревожным признакам надо начинать подозревать, что тема может быть заражена?И еще интересно — если я темы из англоязычного первоисточника беру и сама перевожу — шанс подхватить вирус меньше?
Все признаки описаны в начале статьи, а то что тема забугорная не факт, что там нет вирусов, ведь у хакеров нет национальности!
Добрый день.Плагином, рекомендуемым Вами, обнаружил брльшую кучу желтизны. Не могли бы Вы подробнее описать процесс удаления. Кстати, проверка Antivirus Alarm http: //antivirus-alarm.ru/proverka/) вирусов не обнаружила.
Здравствуйте, Анатолий! Извините, но процесс удаления всех вирусов я описать Вам не смогу, они все индивидуальны и нужно смотреть каждый и тестировать, а этого я физически для каждого сделать не смогу.
Спасибо Денис за статью! Вот установил плагины и результат: в теме была 1 внешняя ссылка-удалил;
Exploit-scanner нашел уйму вредоносных штучек:
Eval — более 100шт;
base64_decode — более 30шт;
iframe — более 50шт;
еще какие то: String.fromCharCode — более 20шт; preg_replace ('~&#x ([0-9a-f]+);~ei' — несколько шт;
preg_replace ('~&#([0-9]+);~e';
preg_replace («/([^A-Za-z0-9!*+\/ -])/e»;
preg_replace ('/([00-11131416-377577\137\177-\377])/e',;
printf ( $_POST;
echo '
Сергей, просто пройтись и удалить их не получится! Здесь нужен индивидуальный подход к каждой пакости. Понимаете, есть такие хитрые коды, они завязаны с определёнными командами, которые задействуют рабочие процессы Вашего ресурса и если их удалить, то Вы просто снесёте весь свой сайт. Поэтому, нужно много читать книжек и изучать какие команды за что отвечают. Я у себя половину удалил, но вторая половина очень глубоко сидит и повязана с другими кусками кода, а мои знания пока не так сильны, как хотелось бы. Поэтому приходится тестировать и удалять по ходу получения новых знаний.
Пробуйте, что-то Вы сможете и сами удалить, а где-то можно и фрилансеров нанять! В основном, там вся зараза в криво написанных плагинах, но и в движке встречаются, но здесь скорее всего тоже, кривые ручки локализаторов, которые переводят и распространяют Вордпресс.
Я думаю, что при сканировании плагин показывает и нужные команды, которые выполняют полезные функции, но при взаимодействии с разными эксплойтами открывают дверь хакерам. Тут уж или плагин с такой дырой удалять или переписывать его файлы, но это для профи!
Поэтому читайте и изучайте книги и пробуйте потихоньку применять знания!
Желаю, Вам удачи!
Будем изучать и применять знания. Спасибо за то, что открыл еще одно направление, которое надо знать.
Рад был помочь, Сергей! Нам всем расти и расти! Главное не бояться применять на практике и быть упёртым.
Этих направлений я чувствую так много, что только начать и учиться, учится и учиться.Кстати, Денис, научите нас хотя бы азам валидности кода.Ведь тоже штука вроде полезная-)).
Юлия, валидность наука тоже тяжёлая, нужно хорошо знать программный код, на котором написан весь движок. Здесь, всё взаимосвязано. Тут статью не напишешь про валидность, нужно книжки читать. Единственное можно написать, как проверить на валидность, но какой смысл статьи из-за одной ссылки на сторонний сайт валидатор!
Да, наверное Вы правы.Все кругом темный лес-))
Не отчаивайтесь, Юлия! Не такой он и тёмный, всё придёт со временем, просто нужно изучать!
Проверил нулевой сайт, только, что установленный, без плагинов и тем. И там много всего желтого. Читайте на сайте плагина, то что он нашел, это не повод к действию, там могут быть и нужные команды. Плагин при взломе лишь помагает понять, по какому пути шел взломщик.А вообще, желательно, чтобы кто-нибудь из специалистов-программистов ответил, что со всем этим надо делать.
Правильно, Олег! Я уже в одном из комментов написал, что он может показывать и нормальные комманды, но если к ни прикрутить парочку других, то это будет опять дыра для хака.Да, с некоторыми вещами, лучше обратиться к тем, кто на этом собаку съел! Но можно и самостоятельно половину гадости вывести, просто надо немного разобраться, почитать умные книги и сайты!
Денис, спасибо за статью. Работа с двумя плагинами, но думаю их надо включать периодически. Первый выдал ТHEMEOK!, но указал на одно статистическую ссылкую Ставил ее сам и не могу понять, что ей не нравиться.Со вторым более интересная ситуация. В самом моем противном скрипте timthumb.php обнfружил код «$imgData = base64_decode („R0lGODlhUAAMAIAAAP8AAP///yH5BAAHAP8ALAAAAABQAAwAAAJpjI+py+0Po5y0OgAMjjv01YUZ\nOGplhWXfNa6JCLnWkXplrcBmW+spbwvaVr/cDyg7IoFC2KbYVC2NQ5MQ4ZNao9Ynzjl9ScNYpneb\nDULB3RP6JuPuaGfuuV4fumf8PuvqFyhYtjdoeFgAADs=“);». который безжалостно уничтожил, но оставил предыдущую версию. Как вы считаете, могут этот скрипт загружать мой сайт и из-за него быть перегрузка?
Странно, на Вашу ссылку он не должен ругаться. Может она у Вас на другой ресурс ведёт!
В timthumb.php уже давно нашли уязвимость и я где-то читал, что есть обновление уже исправленное.
Сам base64_decode думаю, что не несёт нагрузки на ресурс, но в нём может быть закодированная бяка от хакеров, которые через него могут залезть к Вам на сайт и делов наделать!
Денис, весь лист желтый, я еще прошлые ошибки не исправила, а у меня уже новые ребусы — дурдом, скоро превращусь в Энштейна, уже чувствую что волосы шевелятся как у Горгоны.А где хоть искать другие ошибки, вы в яндексе забиваете или какие-то сервисы вебмастеров знаете?
Свет, там показываются и нормальные команды, поэтому много желтизны! В Вашем случае, ещё рано там ковырять, начните с шаблонов, удалите левые ссылки и base64_decode если есть!
Ну вот хоть просвет какой-то, значит работы меньше. Денис, а может лучше другую тему искать? Или все такие?
Этого я сказать не могу, я все не проверял!
Денис, на одном сайте таких кодов нет, пишет ероры и всякие кракозябры, потом буду изучать. А на другом пишет об ошибке сканирования — если верить переводу, то пишет «файл чистый, но это большей частью сомнительно». С чем может быть связана ошибка сканирования? может нестыковка с темой?
Свет, этого я знать не могу! Я не вижу, что Вы там сканируете!
Денис, а вот по плагину ТАГ — он мне показывает зеленую табличку, то есть темы отличные, но при этом там же указывает Static Link (s) Found… 3 и 4. Это что убирать или нет?
Свеееет! Ну ты чего? Это внешние ссылки, если ты их коллекционируешь, то можешь оставить!!)))) Конечно удаляй!
Я тоже не слышала про Exploit-scanner.Посмотрела на комментарии и жутко становится.Пока,наверно и проверять не буду.Тема на моем блоге сделана на заказ,в ней все нормально.А вот с плагинами сомневаюсь.В одном из плагинов была внешняя ссылка,никак не удалялась.Пришлось плагин деактивировать.Но боюсь подумать что будет,если просканирую весь блог.
Ольга, волков бояться в лес не ходить! Не ужели Вам не интересно, что за звери у Вас водятся!
Оля, надеюсь у тебя не так страшно как у меня-))Ссылок как минимум 100 нужно редактировать…
Денис, а я уже сама поняла, пока ответ на комментарий ждала, еще раз статью 4 раза прочла и комментарии внимательно — и поняла про ТАГ. Дальше пойду проверять по твоему блогу.Спасибки, уже меньше работки.
Рад был помочь!
Денис просканировала сайт, нашел мне плагин вот эти крокозябры в 2 -х плагинах,причем таких от которых я не могу отказаться, как быть? Заходить в редактор плагинов и удалять эти коды, если плагины перестанут работать, я же потом по новой смогу поставить. И еще у меня в статьях сканер нашел скрипты перенаправляющие я так понимаю на спам или генерирующие спам запись выглядит вот так:
действовать. //*/