Порушення безпеки WordPress: вміст зі спамом

Ми виявили порушення безпеки, які впливають на деякі сайти WordPress. Через це зловмисники можуть отримувати доступ до WordPress із правами адміністратора та завантажувати файли до своїх облікових записів хостингу. Потім через ці файли вміст зі спамом додається до тем WordPress і (або) баз даних, створюючи тим самим приховані посилання на шахрайські сайти.

Докладні відомості про порушення безпеки та способи боротьби з ними див. тут: Що робити, якщо веб-сайт зламано?.

Ознаки порушення безпеки

Під час порушення безпеки створюються приховані посилання, які не відображаються на самому сайті. Найкращий спосіб визначити, чи вражено сайт – переглянути вихідний код головної сторінки. Щоб не заходити на інфіковану головну сторінку, радимо перейти за адресою view-source:http://[доменне_ім’я] у Google® Chrome або Firefox®.

У цьому вікні ви зможете виявити у вихідному коді поширені онлайнові шахрайства, як-от рекламу фармацевтичних засобів або кредитів готівкою. Спробуйте знайти такі поширені терміни:

  • payday
  • pharma
  • viagra
  • cialis

Способи вирішення проблеми

Найпростіший спосіб вилучити ці посилання – відновити вміст веб-сайту та базу даних із невраженої резервної копії.

Якщо чистої резервної копії немає, ви можете вилучити вміст зі спамом вручну. Найчастіше він міститься у двох розташуваннях: верхній колонтитул теми або база даних WordPress.

Редагування теми

Отримати доступ до враженої теми й змінити її можна безпосередньо через адміністративну панель керування WordPress. Якщо ви маєте резервну копію теми, її можна повторно інсталювати просто в меню Appearance (Вигляд) у WordPress.

В іншому разі код файлів можна переглянути напряму. Докладні відомості про змінення файлів через WordPress див. в документації WordPress.org тут.

Тут ви можете вилучити всі знайдені посилання.

Очищення бази даних

Щоб запобігти виявленню, зловмисники зазвичай розміщують посилання в базі даних навпаки (наприклад, "янналисоп", а не "посилання"). Ви можете знайти такі зразки у своїй базі даних.

Перш ніж вносити будь-які зміни, радимо створити резервну копію бази даних (докладніше).

Таблиці бази даних можна знайти вручну, перейшовши на вкладку Search (Пошук) в інтерфейсі phpMyAdmin (докладніше).

Крім того, ви можете виконати на вкладці SQL в інтерфейсі phpMyAdmin такий запит бази даних:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Цей запит вибирає з таблиці wp_options усі елементи, які містять зворотний маркер div HTML. Результат матиме приблизно такий вигляд:

Приклади запиту

Щоб переглянути вміст докладно, клацніть піктограму олівця. Це дасть змогу переглянути вміст рядків у більшому поданні. У цьому вікні ви можете безпосередньо змінити вміст і вилучити весь зловмисний текст. Внісши зміни, клацніть Go back to the previous page (Повернутися до попередньої сторінки), щоб зберегти їх. Якщо весь вміст небезпечний, клацніть Go back to the previous page (Повернутися до попередньої сторінки), а потім – червону піктограму хрестика (X), щоб вилучити цей запис.

Докладні результати

Додаткові файли з порушеною безпекою

Очистивши тему та (або) базу даних, ви повинні перевірити, чи допустимі файли в обліковому записі хостингу. Цей тип порушення безпеки зазвичай пов’язано з кількома файлами:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Хоча ці імена можуть здатися на перший погляд правильними, самі файли можуть містити порушення. Щоб визначити це точно, необхідно переглянути код файлів або порівняти дату їх змінення з датою інших файлів у тому самому каталозі.

Радимо вилучити або перейменувати (і тим самим вимкнути) усі підозрілі файли.

Технічні відомості

Приклад коду

Відомі зловмисні файли MD5SUM

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Чи була ця стаття корисною?
Дякуємо за ваш відгук. Щоб звернутися до представника служби підтримки, скористайтеся телефонним номером або чатом (див. вище).
Ми раді, що змогли допомогти! Що ще ми можемо для вас зробити?
Нам дуже прикро. Повідомте нам, що викликало замішання або чому рішення не усунуло вашу проблему.