Откуда берутся левые админы в Вордпресс?

Question

[Dima]

Всем привет!
Продолжаю борьбу с какой-то рекламой онлайн казино на сайте.
Неделю назад удалил странных админов на сайте, а сегодня увидел что уже 2 новых и я их не делал. Еще и логины у них wpadmin и ящики wp-security@hotmail.com
Подключил Cloudflare только что и удаляю этих админов, но понимаю, что это не панацея и копать нужно глубже.
Кто-то сталкивался с таким?

Answer 1

[Sanes]

Через дырявые темы и плагины. Либо через плохо настроенный хостинг.

Comments

[Dima]

Тема Премиум. С плагинами работаю над минимализацией. Хостинг хороший, переехал недавно.

[Sanes]

Dima, значит доступы утекли. Больше неоткуда взяться.

[Dima]

Кроме меня их нет не у кого. Во всяком случае я так думаю...

[Sanes]

Dima, у вас значит и утекли. Да и премиум темы с плагинами не гарантия. Хостинга это тоже касается.

[Sanes]

https://lukeleal.com/research/posts/wordpress-comm...

[Dima]

Спасибо за ссылку, очень наглядно, уже убрал галочку. Буду дальше наблюдать.

Answer 2

[Сергей Арсентьев]

увы, сайт взломан, в большинстве случаев без вмешательства специалиста самому почистить сайт от вредоносного кода проблематично.

Comments

[Dima]

Мне конечно интересно сколько это примерно стоит. Но очень хочется самому и дело не в деньгах. Хочу на грабли сам наступить и научиться.

Answer 3

[GeneCh]

Нулёные/взломанные/крякнутые платные плагины или темы устанавливали?
Если качали - 99% что там был вирус или бекдор

Проверьте антивирусом сайт (не касперским, а wordfence/ninjascanner/all in one wp security) для начала

Comments

[Dima]

Тема премиум, плагины сократил, вот что оставил:
Akismet Anti-Spam
All in One SEO
All In One WP Security
Autoptimize
Cloudflare
Formidable Forms Pro
Formidable Views
Formidable Forms
GTranslate
Smash Balloon Instagram Feed
Sucuri Security - Auditing, Malware Scanner and Hardening
WC Catalog Enquiry
WooCommerce
WP Super Cache

Проверял чем только можно, не один не находит ничего. Вручную нашел файлы и удалил, которые были со странными именами и там, где их быть не должно.

[GeneCh]

Dima, тему покупали? Оплачивали лично или разработчик? Инвойс на покупку есть?

Половина из перечисленных плагинов имеют премиум-версии. У вас точно бесплатные? Откуда качали? Из офф репозитория wordpress.org?

Очень велика вероятность, что либо тема, либо один из плагинов были с "закладкой". Надо только вычислить какой именно

[Dima]

GeneCh, тему я покупал и устанавливал.
Все плагины кроме Formidable Forms Pro у меня бесплатные версии и установлены через админ-панель с оф. сайта.
На All in One SEO есть подозрения, думаю его удалить и попробовать Yoast.

[GeneCh]

Dima, All in One SEO тоже через админ-панель ставили? Если так, то вряд ли закладка в нём
Formidable Forms Pro на офф сайте разработчиков покупали?

[Dima]

GeneCh, Всё ставил через админ-панель. Formidable Forms Pro думаю чем-то заменить, пока ищу аналоги.

Answer 4

[Robin Lucky]

Как вариант скриптом ai-bolit прогнать сайт загрузив скрипт на хостинг и в Cron задать время и настройки сканирования мой сайт спасло

Comments

[Dima]

Спасибо, но не понимаю где его качать, этот ai-bolit. На оф. сайт ревизиум дает ошибку 404, а с главной выкидывает на IMUNIFY.
У Вас тоже реклама прицепилась к сайту?

[Robin Lucky]

Да тоже подцепил гадость не удаляемую но Aibolit помог решить проблему сейчас же непонятное происходит с Aibolit ом на оф. сайте его действительно нет Если сайт на Wordpress есть неплохие плагины типа Wordfence Security или Sucuri Security