Top.Mail.Ru
Наш телефон: +7 (961) 271-66-04|info@drai.website

WordPress, заражение файла functions.php

WordPress, заражение файла functions.php темы оформления?

Удаление вредоносного кода только из файла functions.php, как показывает практика, не решает вопроса.  Поэтому эта инструкция может быть полезной при устранении проблемы.

1. Убедитесь, что файла «wp-includes/class.wp.php» нет в принципе. Если есть — удалите его. Обратите особое внимание на имя файла — в этой директории есть много файлов с похожим названием, но вместо точки — дефис, и т.д. Речь идёт исключительно о «wp-includes/class.wp.php»

2. Аналогично п.1 — удалите файл «wp-includes/wp-vcd.php», если он существует.

Примечание к п.1-2: проверив официальный репозиторий WordPress https://github.com/WordPress/WordPress/tree/master/wp-includes , можно убедиться, что в стандартной комплектации обоих файлов нет и они являются сторонними.

3. Проверьте содержимое «wp-includes/post.php». А именно — если в первой строке присутствует нечто вида

то нужно удалить первый блок кода в угловых скобках, оставив только
<?php
в этой строке. Для убедительности — пример, как выглядит файл post.php в стандартном виде WordPress https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (обратите внимание на строку 1)
4. Пункты 1-3 — должны помочь устранить причину, по которой вредоносный код может появляться в файлах functions.php после удаления. Осталось проверить functions.php каждой установленной темы. Самый верный способ — попробовать переустановить тему, если есть возможность. В противном случае — привожу пример заражённого файла: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709
Внешний вид строки 3 из данного примера является типичным признаком, что functions.php заражён. В таком случае — удалить нужно весь блок <?php … ?>, в котором встречается строка 3

— выражаясь чуть проще, удалить нужно всё с начала файла и до первого встречания сочитания символов «?>». В данном примере — это строка 100, и в итоге «очищенный» файл будет иметь вид: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b

5. Есть сведения, что, в некоторых случаях, вирус помимо модификации файлов также пытается создать нового пользователя админки сайта, предоставляя ему права администратора.
Потому, в БД имеет смысл проверить таблицу users (чаще всего — wp_users), и если в ней присутствуют незнакомые Вам пользователи — рекомендуется удалить их, удалив соответствующие строки таблицы.

ОСТАЛИСЬ ВОПРОСЫ
или нужна консультация.

СВЯЖИТЕСЬ С НАМИ
2019-10-20T13:48:33+03:00

IT услуги для бизнеса

Мы всегда готовы проконсультировать Вас абсолютно бесплатно, отправьте свой вопрос прямо нам в whathapp.