Нежелательная реклама на сайте, как убрать?

Question

[Dima]

Всем привет!
Началось всё с этого К адресу сайта прикрепилась реклама, что это?
Сегодня залез в админку и нашел ссылки на рекламу казино в списке Fresh WP-Super-Cached. Отключил плагины, ничего не помогло, там полно этих ссылок. Пробовал в коде искать, запутался. Онлайн-сервисы ничего не находят.
Мне как раз надо было тему обновить и я удалил неактивные плагины и обновил тему.
Не помолго.
Переустановил Wordpress и после этого... На сайте было 2 записи, а теперь 3000 и из низ 2998 со всякими рекламами казино.
А теперь захожу смотреть редирект со страниц 404 и там каждую минуту по 2 ссылки, то фото, то запись, то страница и всё с рекламой этой.
Волосы дыбом встали.
Гуглю, но пока без успеха.
Может было у кого в таком масштабе?

Comments

[Артем Золин]

Есть ли у вас пиратские плагины или темы?

[Dima]

Тема стоит платная, покупал на Themeforest.
Список плагинов большой, он ниже.

Akismet Anti-Spam
All 404 Redirect to Homepage
All in One SEO
AMP
Autoptimize
WordPress Backup & Security Plugin - BlogVault
Contact Form 7
Disable REST API
Social LikeBox & Feed
Facebook for WooCommerce
Font Awesome 4 Menus
Formidable Forms Pro
Formidable Views
Formidable Forms
GTranslate
Head, Footer and Post Injections
Smash Balloon Instagram Feed
Loco Translate
Meta Tag Manager
Nextend Social Login
Popup Builder
Really Simple SSL
Regenerate Thumbnails
Optimize Database after Deleting Revisions
Simple 301 Redirects
UpdraftPlus - Backup/Restore
WC Catalog Enquiry
WooCommerce Shortcodes
WooCommerce
WooSidebars
WP htaccess Control
WP Migrate DB
WP Product Feed Manager
Smush
WP Statistics
WP Super Cache

[Александр Фалалеев]

1. Обратитесь к профессионалу который специализируется в лечении WP

2. Обратитесь к профессионалу который специализируется в лечении психологических проблем ибо такое количество плагинов никак не может быть обосновано целесообразностью

[Dima]

Александр Фалалеев, сайт делал не я и уже работаю над сокращением плагинов.

[Сергей]

https://github.com/gregzem/aibolit
Вот хороший сканер, который находит такие проблемы. Запускаешь его на своем сервере и ждешь отчета

[Dima]

Сергей, Спасибо, буду ставить Imunify360 пробнуб версию с оф. сайта.

Answer 1

[d-stream]

Видимо успешно эксплуатируется одна из дыр вордпресса или плагинов... И начинать надо с этого. Первое гасить вирусы, второе - закрывать дыру и уже дальше как таковая борьба со спамом отсохнет.

Comments

[Dima]

Вот я и переустановил последнюю версию сам вордпресс, думал при этом файлы заменятся на нужные. С начала обновил все плагины, потом тему. Не помогло. А вот после переустановки Вордпресс получил в подарок не 3, не 30 и не 300, а 3000 новых записей с этой рекламой.
При этом в 404 Redirect смотрю, что идут запросы от двух до 5 в минуту и все со странными ссылками с рекламой. И появились ссылки, в адресе которых идет папка newwp.

Answer 2

[Developer]

Все проблемы из-за того, что у тебя сайт на HTTP.
Переводи на HTTPS

Comments

[Dima]

Спасибо, сделаю это в ближайшее время. Но вряд ли это так просто срубит под корень мой вопрос?!

Answer 3

[mletov]

Такое бывает в различных CMS. Поиском вы не найдете, т к скорее всего спам ссылки шифруются в base64. Но вы можете запустить поиск в файлах по слову "base64"

1) Обновите версию CMS и плагинов до последней версии

2) Проверьте сайт на вирусы. Это можно сделать выкачав сайт на локалку и пройдясь, к примеру, Avast, Касперским или Windows защитником. Также иногда можно проверять прямо на сервере, например, ISP Manager имеет бесплатную версию ImunifyAV. Целесообразно проверять несколькими антивирусами, т к не всегда находятся все файлы.

3) Также часть вирусов можно выпилить руками, многие из них имеют весьма характерные имена типа access0.php

4) Почитайте в документации к CMS какие права должны быть выставлены на файлы и папки, может у вас там где-нить 777 стоит.

5) Если на сервере несколько сайтов, то на каждую папку с сайтом должен быть свой пользователь, иногда вирусня заползает с соседних сайтов, особенно, если права 777.

6) Поменяйте доступы подключения к базе

Comments

[Dima]

Плагины и Вордпресс последней версии.
На вирусы онлайн сервисами не находит ничего, буду сгружать сайт и проверять локально. Полазил по папкам, нашел странный файл пхп, но он 0 байт и пустой.

[mletov]

Dima, было что-то похожее в Битриксе, решил вопрос галкой "запретить анонимным пользователям оставлять записи", посмотрите, может есть аналогичная настройка

[Антон Литвиненко]

mletov, настройка такая в вордпрессе есть

[Dima]

Всё сделал, кроме ImunifyAV. Хостинг ужасный, не могу установить.
Каждую минуту в админку ломятся + ошибки 404 смотрю и там всё в рекламе.