Alenkaaa
@Alenkaaa
Всё хорошо)

Что делать если взломали блог на вордпрес?

Здравствуйте, на днях враги-завистники взломали мой блог на вордпрес. Включили публикацию левых статей на английском языке, и редирект на google apstore. Установила плагин Wordfence, бесплатную версию, просканировала, но понятия не имею что там лишнее.

Тем не менее, обнаружила крайне подозрительные скрипты!

60149568a7cc2371442964.jpeg

60149579ef1b6282181919.jpeg

Потом начала менять пароли у пользователей с правами админа и авторов. И нашла юзера с правами админа которого я не назначала. И не могу удалить его...

601497b4758a9708389344.jpeg

В качестве временного решения, на стороне сервера закрыли полностью доступ в WordPress админ панель (отдает код ошибки 403 сейчас). Чтобы хакеры которые взломали сайт, не могли там лазить и устанавливать всякие 301 перенаправление.

Как теперь полностью почистить сайт после взлома?

Подскажите правильный алгоритм действий в моей ситуации. Как удалить вражеского пользователя, каким образом почистить сайт от вирусов и вредоносного ПО? И любые подсказки если Вам что-то говорят скрипты на картинках выше.

P.S

Также, просканировала антивирусом Avira (платная подписка) ноутбук и нашла 3 таких вируса:

6014991095c31769259469.jpeg

Плюс, оказывается была какая-то утечка паролей. Это я прочитала в настройках браузера Google Chrome.

Заранее спасибо за советы.
  • Вопрос задан
  • 669 просмотров
Пригласить эксперта
Ответы на вопрос 4
@m0ze
The Gunner
Привет.

Ни один плагин/антивирус вам не найдёт все заражённые/вредоносные файлы. Без опыта в подобных случаях самостоятельно вы тоже вряд ли разберётесь, так что лучше сразу обратиться к специалисту (могу помочь, если что).

Если делали резервные копии сайта, то попробуйте откатиться до самой актуальной, которая была до взлома сайта, затем по логам ищите через что/как взломали сайт и ликвидируйте угрозу (чаще всего это либо очень слабый пароль на учётку администратора сайта, либо дырявый плагин).

В качестве временного решения, на стороне сервера закрыли полностью доступ в WordPress админ панель (отдает код ошибки 403 сейчас). Чтобы хакеры которые взломали сайт, не могли там лазить и устанавливать всякие 301 перенаправление.

У вас там уже шелл залит, так что эта мера никому не помешает (кроме вас). Грубо говоря, на этой стадии сам WordPress уже особой ценности для злоумышленника не представляет.

И нашла юзера с правами админа которого я не назначала. И не могу удалить его...

Потому что где-то в файлах есть код, автоматически пересоздающий пользователя при каждой загрузке сайта. Скорее всего это какой-то файл темы, но проверять нужно вообще всё в вашем случае. Один такой файл засветился на скриншоте - это
/wp-content/themes/twentytwentyone/inc/template-functions.php
, но могут где-то быть и другие.

И любые подсказки если Вам что-то говорят скрипты на картинках выше.

И без картинок понятно, что вам надо проверять весь сайт целиком.

Плюс, оказывается была какая-то утечка паролей. Это я прочитала в настройках браузера Google Chrome.

Утечка паролей относится, скорее, не к текущей проблеме с сайтом, а связана с утечками всевозможных баз за последние несколько лет. Видимо, какие-то ваши логины/почты/пароли в этих слитых базах есть, о чём и сообщил браузер.

З.Ы.: Авиру лучше сразу на помойку выносите - это не антивирус, а неудачная шутка. Windows Defender лучше будет, или тот же Eset Nod32.

З.З.Ы.: и осторожнее по порносайтам ходите :)

З.З.З.Ы.: у вас на сайте есть пачка PRO-версий плагинов. Покупали, или варез?
Ответ написан
hrabry
@hrabry
Windows 7 дырявый вроде как, windows 8 industry pro ставь хотя бы
Ответ написан
@acwartz
angular, hello world java, chrome ext/, delphi
качаете WP и плагины чистые с оф. источников, тех же версий. И смотрите отличия в коде. Приколы с неудаляемыми четными записями - из этой серии.
Ответ написан
@misa205
А как же резервные копии? Левого админа можно из БД удалить.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы