На днях хостинг провайдер reg.ru приостановил работу некоторых PHP функций (в частности mail – отправки сообщений) на сайте одного моего клиента, объясняя это тем, что в аккаунте было найдено вредоносное программное обеспечение, рассылающее спам. Перестала работать и приходить заказы, а это уже убытки. В связи с этим я решил рассказать вам, читатели сайт как проверить свой сайт на вирусы и вовремя удалить вредоносный код.
Ситуация нередкая, даже этот мой блог дважды становился жертвой взлома. Полностью обезопасить свой ресурс от появления вирусов невозможно, но необходимо свести риск к минимуму. Как правило, злоумышленники используют для проникновения уязвимости CMS, шаблонов оформления или неверные настройки хостинга.
Как действовать при подозрениях о заражении сайта на вирусы:
- Проверить сайт на вирусы и найти файлы содержащие вредоносный код (об это будет половина статьи),
- Удалить или вылечить обнаруженные файлы (вторая половина статьи),
- Закрыть “дыры” в сайте, через которые проникли нехорошие скрипты.
Все 3 случая взлома, с которыми я сталкивался (2 моих и 1 клиентский) происходили по одной причине – на хостинге некоторые папки имели публичные права доступа 777, разрешающие всем желающим записывать туда любую информацию, так что пункт №3 про закрытие “дыр” самый важный. Про него я расскажу в конце.
Почему неэффективны онлайн антивирусы для сайта
Когда возникают реальные проблемы в работе сайта или появляются сообщения от Яндекс Вебмастер о заражении, многие начинают искать онлайн антивирусы для сайтов. Иногда они помогают, но в большинстве случаев делают это не до конца.
Проблема в том, что такие сервисы как antivirus-alarm.ru , virustotal.com , xseo.in , 2ip.ru и т.д. имеют доступ только ко внешней стороне вашего сайта. Это значит, что они обнаружат вредоносный код только, если он вылезет наружу и будет проявлять какие-то признаки.
А что делать, если инфицированные файлы никак себя не проявляют и пока неактивны или результат их деятельности не дает явных признаков заражения. Ну, например, они просто выводят посторонние ссылки на веб страницах – для онлайн сервиса это будут , а сам вирус спрятан глубоко в PHP коде и действует только на уровне сервера при обработке запросов.
Достоинство онлайн антивирусов: Простота использования – написал URL сайта, нажал кнопку и получил результат. Но, не факт, что нашел вирус.
Единственный эффективный способ выявить все проблемы – просканировать полностью все файлы, размещенные на хостинге, где лежит сайт. Сделать это можно имея доступ к хостингу, значит, антивирус должен работать непосредственно внутри файлов и папок вашего сайта.
Антивирусные плагины
Кстати, поклонникам популярных CMS в деле борьбы с вирусами везет немного больше, так как существуют плагины, способные своевременно их заметить и устранить. Про один такой плагин я рассказывал в статье о , он автоматом мониторит изменения в файлах движка и шаблонов. Но, даже он не всегда способен помочь, так как вирусы могут не только проникать в существующие файлы, но и создавать свои собственные, против которых плагин будет бессилен.
Одним словом – в критической ситуации может потребоваться полное сканирование всех файлов хостинга, включая тех, что не относятся к CMS.
Итак, переходим к разделу “Как проверить сайт на вирусы профессиональными способами?”.
Проверка файлов сайта антивирусом AI-Bolit
Как и для обычных компьютеров, проверка сайтов на вирусы проводится антивирусными программами. Но для этих целей обычные антивирусники, про которые я , не подойдут. Нужен специальный, работающий на хостинга и заточенный под угрозы для сайтов.
Последнее время я пользуюсь для этих целей разработкой Revisium – антивирусом AI-Bolit. Кроме своего антивируса для сайтов, этот сервис участвовал в совместной разработке антивируса для Яндекс.
Давайте по шагам пройдем все этапы поиска и лечения с помощью AI-Bolit.
Установка антивируса AI-Bolit
С этой страницы скачиваете архив с программой для хостинга – https://revisium.com/ai/ (файл небольшой).
Есть версия для Windows – для ее использования необходимо скачать все файлы сайта с хостинга себе на компьютер.
Есть версия для хостинга – проверка на вирусы идет прямо там (на сервере с сайтом). Я буду рассказывать о работе именно хостинговой версии, скачивайте ее.
Распакуйте скачанный архив, в результате, у вас появляется папка с названием аналогичным названию архива – ai-bolit, папка tools и 2 файла.
Для работы понадобится только содержимое из первой папки (ai-bolit), состоящее из 5 файлов. Необходимо закинуть в корневую папку вашего сайта (туда, где лежит ваш index.php) по FTP или через файловый менеджер эти 5 файлов.
Настройка программы
По умолчанию антивирус уже готов к работе, но в нем есть две настройки, которые вы можете применить для оптимизации программы под свои нужны. Все настройки делаются в файле ai-bolit.php.
1. Настройка глубины сканирования. Она может быть 3 степеней: 0 – быстрая проверка, 1 – экспертная, 2 – параноидальная, по умолчанию стоит 1. Отвечает за этот параметра строка:
define("AI_EXPERT_MODE", 1);
define ("AI_EXPERT_MODE" , 1 ) ; |
2. Пароль для доступа к программе. Если вы планируете держать антивирус на хостинге постоянно, то необходимо задать максимально сложный пароль взамен тому, что идет по умолчанию, иначе, через сам антивирусник злоумышленники смогут навредить сайта. Если же вас интересует одноразовая проверка, после которой файлы антивируса с хостинга будут удалены, то можете оставить пароль по умолчанию. Отвечает за пароль строка:
define("PASS", "1122334455");
define ("PASS" , "1122334455" ) ; |
После сохранение настроек переходим к запуску сканера.
Запуск программы
Дальнейшие действия будут проводиться через браузер. В адресной строке вам необходимо набрать URL ведущий на запускающий файл ai-bolit – ваш-сайт/ai-bolit.php?p=указанный-пароль .
Через некоторое время сканирование всех файлов вашего сайта будет завершено и вы получите отчет вот такого вида:
Проблемы при запуске
Так как антивирусная проверка сайта создает на сервер хостинга немалую нагрузку, часто хостеры запрещают работу подобных программ. В этом случае вы можете столкнуться с сообщениями об ошибке, например такими:
В этом случае есть 3 варианта:
- Хостер сам осуществляет сканирование на вирусы и предупреждает клиентов об их появлении.
- Хостер может разрешить вам проверку после запроса в службу технической поддержки.
- Скачивайте файлы сайта на компьютер и проверяйте версией антивируса для Windows.
Анализ результатов
Полученный при сканировании отчет можно использовать двумя способами – передать его специалисту, чтобы он разобрался с его содержимым или самостоятельно просмотреть каждую подозрительную строчку. Нередко, за вирусы принимаются особенности шаблонов или специализированные скрипты (особенно на параноидальном уровне проверки).
После всех проверок и удаления вредоносных скриптов файлы антивируса с хостинга можно стереть.
Закрываем уязвимости сайта
Теперь об устранении причин заражения. Выше я говорил, что чаще всего вирусы заливаются через папки, имеющие общий доступ для всех – права доступа 777 (rwxrwxrwx).
Если на какой-то папке вашего сайта стоят такие права, туда можно залить вирусный файл и уже через него распространить вредоносный код по сайту.
Для того, чтобы заражение не повторилось после вашего лечения, надо проверить каждую папку, в которой Манул нашел инфицированные файлы и, если надо, сменить права – запретить общий доступ – выставьте свойства 755 (rwxr-xr-x).
Вредоносный код попадает на сайт по неосторожности или злому умыслу. Назначения вредоносного кода различны, но, по сути, он наносит вред или мешает нормальной работы сайта. Чтобы убрать вредоносный код на WordPress его нужно сначала, найти.
Что такое вредоносный код на сайте WordPress
По внешнему виду, чаще всего, вредоносный код это набор букв и символов латинского алфавита. На самом деле это зашифрованный код, по которому исполняется, то или иное действие. Действия могут быть самые различные, например, ваши новые посты, сразу публикуются на стороннем ресурсе. По сути это кража вашего контента. Есть у кодов и другие «задачи», например, размещение исходящих ссылок на страницах сайта. Задачи могут самые изощренные, но понятно одно, что за вредоносными кодами нужно охотиться и удалять.
Как попадают вредоносные коды на сайт
Лазейки для попадания кодов на сайт, также множество.
- Чаще всего, это темы и плагины скачанные с «левых» ресурсов. Хотя, такое проникновение характерно для, так называемых, зашифрованных ссылок. Явный код так не попадает на сайт.
- Проникновение вируса при взломе сайта, самое опасное. Как правило, взлом сайта позволяет разместить не только «одноразовый код», но установить код с элементами malware (вредоносной программы). Например, вы находите код, и удаляет его, а он восстанавливается, через некоторое время. Вариантов, опять — таки множество.
Сразу замечу, борьба с такими вирусами трудная, а ручное удаление требует знаний. Есть три решения проблемы: первое решение – использовать плагины анитвирисники, например, плагин под названием BulletProof Security .
Такое решение дает хорошие результаты, но требует времени, хотя и небольшого. Есть более радикальное решение, избавления от вредоносных кодов, включая сложные вирусы, это восстановить сайт из заранее сделанных резервных копий сайта.
Так как, хороший веб-мастер делает периодически, то откатиться на не зараженную версию, получится без проблем. Третье решение для богатых и ленивых, просто обращаетесь в специализированную «контору» или специалисту индивидуалу.
Как искать вредоносный код на WordPress
Важно понимать, что вредоносный код на WordPress может быть в любом файле сайта, и не обязательно в рабочей теме. Он может занестись с плагином, с темой, с «самодельным» кодом взятого из Интернет. Попробовать найти вредоносный код можно несколькими способами.
Способ 1. Вручную. Листаете все файлы сайта и сравниваете их с файлами незараженного бэкапа. Находите чужой код – удаляете.
Способ 2. С помощью плагинов безопасности WordPress. Например, . У этого плагина есть замечательная функция, сканирование файлов сайта на наличие чужого кода и плагин прекрасно справляется с этой задачей.
Способ 3. Если у вас, разумный support хостинга, и вам кажется, что на сайте «чужой», попросите их просканировать ваш сайт своим антивирусом. В их отчете будет указаны все зараженные файлы. Далее, открываете эти файлы в текстовом редакторе и удаляете вредоносный код.
Способ 4. Если вы можете работать с SSH доступом к каталогу сайта, то вперед, там своя кухня.
Важно! Каким бы способом вы не искали вредоносный код, перед поиском и последующим удалением кода, закройте доступ к файлам сайта (включите режим обслуживания). Помните про коды, которые сами восстанавливаются при их удалении.
Поиск вредоносных кодов по функции eval
Есть в php такая функция eval . Она позволяет исполнять любой код в ее строке. Причем код может быть закодирован. Именно из-за кодировки вредоносный код выглядит, как набор букв и символов. Популярны две кодировки:
- Base64;
- Rot13.
Соответственно в этих кодировках функция eval выглядит так:
- eval (base64_decode (...))
- eval (str_rot13 (...)) //во внутренних кавычках, длинные не понятные наборы букв и символов..
Алгоритм поиска вредоносного кода по функции eval следующий (работаем из административной панели):
- идёте в редактор сайта (Внешний вид→Редактор).
- копируете файл functions.php .
- открываете его в текстовом редакторе (например, Notepad++) и по поиску ищите слово: eval .
- если нашли, не спешите ничего удалять. Нужно понять, что эта функция «просит» исполнить. Чтобы это понять код нужно раскодировать. Для раскодирования есть онлайн инструменты, называемые декодеры.
Декодеры/Кодеры
Работают декодеры просто. Копируете код, который нужно расшифровать, вставляете в поле декодера и декодируете.
На момент написания статьи я не нашел у себя ни одного зашифрованного кода найденного в WordPress. Нашел код с сайта Joomla. В принципе разницы для понимания раскодирования нет. Смотрим фото.
Как видите на фото, функция eval после раскодирования, вывела не страшный код, угрожающий безопасности сайта, а зашифрованную ссылку копирайта , автора шаблона. Его тоже можно удалить, но он вернется после обновления шаблона, если вы не используете .
Всем здравствуйте! Сегодня поговорим о вредоносном коде на сайте . Расскажу вам неприятную историю, которая произошла с моим блогом в первый год его существования. А вообще-то, на написание этого поста меня подтолкнула моя постоянная читательница Галина – автор замечательного блога про рукоделие “Дамские пальчики”.
Она написала мне на почту и поведала о том, что её блог заражен вредоносным кодом, о чем ей сообщил Яндекс. И она не знает, как его найти, а тем более избавиться. Попросила найти ей хорошего специалиста, который бы смог решить эту задачку. Я ей посоветовал биржу freelance, где сам когда-то искал и нашел такого спеца. Позже она отписалась и поблагодарила меня, сообщив, что нашла специалиста, который справился с поставленной задачей.
Ну, а я продолжу свой рассказ, про то, как когда-то нашел у себя на блоге вредоносный код и избавился от него…
История начинается одинаково – как у Галины. С сервиса Яндекс.вебмастер получил я сообщение, что на моем сайте находится вредоносный код. Вообще, при ведении блога неприятности случаются постоянно.
Первая мысль, когда такое происходит — за что? Ну, а если поразмыслить немного, то вопрос этот сам себе задаешь уже несколько иначе — для чего? А для того, разумеется, чтобы человек, ведущий блог, не замыкался на вариантах из нескольких рутинных действий: написал статью – разместил – ответил на комментарии – установил новый плагин или удалил какой-нибудь, ставший не нужным… И так по кругу 🙂 Про раскрутку не упомянул, ну да ладно…
Не случилось бы со мной этого, откуда бы я узнал, что такое зараженная тема и как она заражается. Теперь вот знаю. А что до нервных клеток, так у меня их много, пока…
Вредоносный код — что это такое?
Что значит вредоносный код? Это php или html код, внедренный вами или ботом в страницы вашего блога. Почему вами? Вот один из вариантов. Смотрите, вам написали на почту, что хотят купить на вашем блоге рекламу или разместить рекламный пост. Заманчиво, правда? Вы, по незнанию и неопытности естественно соглашаетесь, ведь это же здорово – первый заработок!
Так вот, остерегайтесь таких предложений от непроверенных источников, потому что есть большая вероятность того, что в рекламном коде банера или в статье будет находится вредоносный код, который однозначно испортит репутацию вашего детища перед вашими читателями и поисковыми системами. Безопаснее всего – продавать рекламу через специализированные биржи.
Этот код способен заражать через браузер другие компьютеры, за которыми сидят случайные посетители или постоянные читатели вашего блога. Этот код может быть зашифрованным, что усугубляет положение, так как перед тем, как удалить, его нужно будет сначала расшифровать, а это задача не из легких и не из дешевых.
А бывает еще и так, что пытаясь найти какую-либо информацию в сети, натыкаешься на сайт, где вместо привычного интерфейса видишь грозное предупреждение на красном полотнище: Сайт заражен вредоносным кодом и представляет угрозу для вашего компьютера. Это хорошо, так как срабатывает ваша антивирусная программа + системная безопасность компьютера. Ну, а если у вас не установлен антивирус, либо он не сработал, как следует, а вы перешли по зараженной ссылке, либо скачали на свой компьютер зараженную программу или понравившийся трек или картинку??? Тогда пиши – пропало…
Если о зараженности вашего сайта вам поведал Яндекс, то в разделе вы найдете список страниц, на которых находится вредоносный код, а также описание возможных вариантов их уничтожения. Поскольку, прочтя сообщение, я вообще потерял способность соображать, то закрыл Вебмастер и даже не заметил, что там есть для меня какая-то дополнительная информация. Вообще — люблю делать лишнюю работу, слабость у меня такая 🙂
До того, как я заказал платно чистку своего блога на фриланс.ру, я проверил его на нескольких сервисах, одни из которых нашли эту “заразу”, а некоторые не заметили. Но, может быть я неправильно ими пользовался? Все может быть…
Как удалить вредоносный код с сайта?
Итак, какие есть возможности проверить сайт на наличие этой напасти? В статье приведу пример нескольких сервисов, которые выдавали разные ответы в отношении зараженности моего ресурса.
Что это за проверка, если на одном сервисе вредоносный код найден, а на другом, претендующем на звание эксперта в этом деле, все отлично, ничто не найдено. Успокоится человек, а вредоносный код никуда не денется. А вдруг они там и размножаться умудряются? Что случилось на моем сайте?
У меня было два “вредных” кода. И все два неизвестным образом поселились в теме блога. Видимо она была дырявая, чем и воспользовались злоумышленники, а может быть просто бот-программа подселила этот код ко мне в шаблон. Рекламу я тогда не ставил – рано было, да и если бы поставил, то только от Яндекса или Гугла.
Подозреваю, что уровень заражения моего сайта была средняя, в сравнении с тем, что, может случиться. Ведь вирус может поселиться на сайте и со стороны хостинга, и тогда удалить его оттуда будет намного сложнее. Он может обнаружиться в файле.htaccess веб-сервера или в таблицах базы данных. Одна из основных причин его появления там — взлом или кража пароля для доступа к сайту.
На дана исчерпывающая информация для тех, кому предстоит решать эту неприятную проблему. После того, как будут предприняты определенные шаги по борьбе с вирусами, можно заказать Яндексу повторную проверку на чистоту кода вашего сайта. Сначала я проверил блог несколько раз с помощью нескольких сервисов, а потом заглянул в Яндекс.Вебмастер и у них попросил повторно проверить свой сайт на вирусы и прочую нечисть.
Пишет же Яндекс, что это серьезная проблема, значит, и варианты ее решения могут быть гораздо сложнее. Найти – нашел, а как удалить – не знаю, не опытный ведь тогда был. Вот и пришлось обращаться к фрилансерам. За 500 рублей один хороший дяденька почистил мой блог от “заразных какашек”.
Знаю, что один мой товарищ по несчастью избавился от них, обратившись к хостеру и сделав откат (тоже вариант), причем не на пару дней, а гораздо больше. Пришлось пожертвовать последними опубликованными статьями (хорошо, были копии), но сайт дороже.
Вот список сервисов по поиску зараженных ссылок и кода, и почти обо всех я прочел в интернете вполне положительные отзывы:
Safeweb.norton.com - работает, но по отзывам на одном сайте, сервис достаточно кокетливый: то диагностирует наличие вредоносного кода, то скрывает его. Ему я бы не доверял.
Virustotal.com – из рассказа очевидца: проверка подозрительной ссылки и всего сайта в целом производилась с помощью 33 антивирусных сканеров в on-line режиме. Наличие вредоносного кода подтвердилось. Клиент остался доволен.
Virusnasaite.ru – обычная проверка, никаких эмоций.
Siteguard – можно добавлять несколько URL адресов сайтов.
Итак, эпопея с поиском и уничтожением вредоносного кода была закончена, блог был чист, я успокоился, но не переставал быть бдительным и проверял и проверяю до сих пор свой блог на наличие заразы в виде вредоносного кода при помощи этих сервисов.
Зачем ждать очередного письма от Яндекса? Не лучше ли самому хотя бы раз в месяц проверять свой сайт на наличие вирусов? А если они все же появятся, то определить хотя бы приблизительно временные рамки их проникновения будет совсем не лишним. Да и откат на несколько месяцев или на один месяц — разница есть?
Так, что очень рекомендую регулярно пользоваться этими площадками на предмет проверки вредоносного кода на ваших блогах. Ну, а если у вас уже есть свой личный горький опыт по борьбе с вирусами на сайте, поделитесь, пожалуйста, поскольку вариантов решения этой проблемы, я так понимаю, не один и не два.
До встречи на Seo bloge Fomika…
Периодическая проверка сайта на наличие вредоносных вирусов необходима, это первая заповедь любого уважающего себя веб-мастера. Даже если вы пользуетесь чистой темой Twenty Eleven, то не факт, что со временем она тоже не заразилась. Такое явление может происходить (и чаще всего происходит) из-за того, что сам движок WordPress предназначен изначально для публикаций он-лайн. Так что лишний раз провериться и сделать копию сайта и базы данных никогда не помешает.
Например, я (по прошествии какого-то времени, конечно) сделал для себя один вывод – нужен просто хороший хостер, и ваши проблемы с резервированием отпадут сами собой. Мне не нужно сейчас делать бекапы БД или сайта – все делает за меня хостер, причем в автоматическом режиме. В любое время при желании можно заказать копию любого раздела своего блога (и не только), скачать эту копию, или же восстановить блог прямо из панели управления. То есть, мне не нужно скачивать бекап, все происходит на автомате – резервирование, восстановление и т.д. Это удобно тем, что я могу не то что посуточно, а по часам отследить, когда на моем блоге появился вирус и, соответственно, принять меры по его устранению.
Начну с хорошей новости – по крайней мере, два плагина, которыми я пользовался, выдают хорошие результаты по обнаружению и локализации вредоносного кода. Это плагины AntiVirus и Exploit Scanner . Вы не поверите, сколько на вашем блоге вредного кода! Но не принимайте всю результирующую информацию после проверки за догму – много строк, которые эти плагины обнаруживают, на самом деле ничего плохого в себе не несут. Просто плагин ставит под сомнение какие-то строки, вот и все. Чтобы убедиться в этом, проверьте вручную те фрагменты, которые плагин определил, как вредоносные. Так, при проверке плагином AntiVirus оказалось, что даже простое обращение function get_cache_file () плагин уже считает подозрительным. Так что все результаты проверок придется отслеживать вручную. А вот это, например, действительно зараженная ссылка, и ее необходимо убирать:
Как узнать, вирус это или так и должно быть? Все очень просто – сравниваете ваш чистый шаблон (если есть), и сравниваете его (пофайлово) с тем, который установлен и уже претерпел какие-то изменения. Необязательно прямо так буквально проводить сравнение, просто поиском проверьте, есть ли в вашем чистом шаблоне та строка, которую выделил плагин. Если есть – жмите кнопку «Это не вирус», и при следующей проверке эта строка не будет учитываться.
А вот пример второго опробованного плагина — Exploit Scanner
Как видите, здесь все гораздо запущеннее. Для меня такой результат был шокирующим. Но и это еще не все. В плагине существует такая функция, как проверка . Так вот, если ее включить, то получится, что блог должен состоять из текста и максимум, из пары CSS таблиц. Так что, мне кажется, с безопасностью здесь автор плагина явно перестарался. Хорошо еще, что плагин просто показывает предполагаемые зараженные фрагменты, а не чистит их.
Проанализировав все выделенные желтым цветом строки, вы легко обнаружите malware (вредоносный код), ну, а что с ним делать дальше – решайте сами. Способ чистки все тот же – сравниваете выделенный код с бекапом сайта (см. ) и, если нашли расхождения – выявляйте, то ли это сделали вы сами, то ли кто-то за вас, а значит, это уже не есть хорошо и может оказаться вирусом. Даже разработчики WordPress советуют проводить проверку сайта на наличие вредоносного кода именно этим плагином. Но существуют такие безобидные вставки, например, в тело iframe, которые плагин тоже может определить, как зараженный код. Но на самом деле без этих строк этот участок вашего блога не будет работать правильно.
Как вообще malware может попасть в файлы блога и что это такое по определению? Слово malware значит буквально — злонамеренное программное обеспечение , от английского malicious software. Это любой софт, который может быть использован для несанкционированного доступа к сайту и его содержимому. Вы, наверное, представляете себе, что для подготовленного по-среднему хакера взломать сайт не составит труда, особенно после регистрации. После этого можно контент блога модифицировать как угодно – было бы образование.
Вредоносный malware можно вставить и в плагины, которые вы устанавливаете из неизвестного источника, и в скрипты, которые вы также иногда берете, не проверив, а доверившись автору. Самый безобидный malware – это ссылка на автора какого-либо модуля, который вы установили на сайт. И если автор сам не предупредил вас о том, что такая ссылка существует, то это уже чистой воды вирус.
Так, я устанавливал на тестовом блоге новую тему, и после удаления одной безобидной ссылочки на какой-то там мужской клуб в подвале сайта, он перестал вообще открываться, а на главной появилась надпись – «Вы не имеете права удалять ссылки». Вот тебе и бесплатная тема. О том, как выдирать такие левые ссылки, можете почитать .
Ваша БД тоже может быть использована для запуска вирусосодержащего кода. Спамерские ссылки тоже очень часто добавляются в записи или комментарии. Такие ссылки обычно скрываются при помощи CSS так, что неопытный администратор их не видит, но поисковая система их различает сразу. Конечно, здесь уже вступает в борьбу любой антиспам, например, тот же , который лицензирован, проверен и перепроверен много раз. Хакер может загружать файлы с расширениями файлов изображений, и добавлять их в код ваших активированных плагинов. Поэтому, даже если файл и не имеет расширение php, код в этом файле может быть запущен в действие.
Есть еще один простенький инструмент, с которого я начинал знакомство с malware – плагин Theme Authenticity Checker (TAC). Это легкий и достаточно действенный инструмент, но он проверяет только ваши темы, причем даже неактивные. Остальные директории он не трогает, и в этом его минус. Вот что дала мне проверка моей текущей темы этим плагином:
Два предупреждения в активной теме, и больше ничего. Вредоносного кода нет. Кстати, это те ссылки, которые я вставил сам по совету Google — для улучшения качества сниппета (вывод личных данных, адрес организации и т.д.). Но это только проверка файлов темы, а что делается в других директориях, вам придется узнавать или при помощи других плагинов, или он-лайн сервисами. Например, такой сервис (уж он-то заслуживает доверия), как Вебмастер Яндекса или аналогичный в Google. Они имеют функцию проверки любого веб-ресурса на наличие вредоносных вкраплений, и делают это качественно. Но если вам и этого мало, то сравнивайте результаты с результатами на других сервисах и делайте выводы.
Почему-то хочется верить Яндексу, а не плагинам. Еще один неплохой ресурс — http://2ip.ru/site-virus-scaner/. После проверки одного своего блога здесь вот что обнаружилось:
Здесь же вы можете проверить и отдельные файлы на наличие вредоносного кода, если у вас закрались такие сомнения. В общем, сервис неплохой.
Из всего сказанного я бы сделал такие выводы:
1. Чтобы не допустить появления вредоносного кода, нужно прежде всего пользоваться проверенными сервисами для закачки файлов – плагинов, тем и т.д.
2. Регулярно делать резервные копии всего, что содержит сайт – базы данных, контента, админпанели, закачанных сторонних файлов в том числе.
3. Пользоваться обновлениями, которые предлагает WordPress. Они, по крайней мере, не содержат вирусов, хотя и не всегда функционально оправданы. Но обновившись, вы тем самым удаляете возможно присутствующие вирусы.
4. Неиспользуемые темы, плагины, изображения и файлы удаляйте без сожаления – это еще один запасной вход для malware, о котором вы можете и не догадаться никогда.
5. Хорошенько запарольте свои FTP–доступы, вход в PhpAdmin, в панель администратора и вообще туда, куда никто, кроме вас, не должен иметь доступа.
6. Постарайтесь (даже если это желание у вас огромное, как небо) не изменять и не заменять файлы ядра WordPress – разработчики лучше знают, что и как должно работать.
7. После обнаружения и удаления вирусов поменяйте все пароли. Я думаю, у вас появится огромное желание сделать пароль из 148 символов в разных регистрах и со спецсимволами. Но не увлекайтесь слишком сложными паролями, можете потерять его, и тогда придется все восстанавливать, что не очень приятно.
Все эти методы и компоненты, которые я описал, и которые помогут вам избавиться от вирусов, конечно, бесплатные, конечно, почти самодельные, и конечно, не дают 100% гарантии того, что ваш сайт будет очищен от вредоносных вставок. Поэтому, если уж вы озаботились чисткой блога, то лучше обратитесь к профессионалам, например, в сервис Sucuri (http://sucuri.net/). Здесь ваш сайт хорошенько отмониторят, дадут практические рекомендации, которые вам вышлют письмом, а если вы не хотите заниматься чистой сайта самостоятельно, то к вашим услугам специалисты, которые в течение 4 часов сделают все в лучшем виде:
Подпишитесь:
Сегодня Яндекс.Вебмастер сообщил мне неприятную новость, касающуюся одного из моих ресурсов. Cообщение информировало, что на страницах сайта обнаружен вредоносный код, который может быть опасен для компьютеров посетителей. При открытии страниц сайта вредоносный код на может привести к нежелательным для пользователя последствиям: заражению компьютера вирусами, несанкционированному использованию его ресурсов, порче и даже кражеличных данных.
(N.A. своевременное обновление версии браузера повысит безопасность работы в интернете)
Вопрос, как и откуда появился вредоносный код на сайте, это был основной вопрос, ответ на который мне нужно было получить. Ведь администрированием ресурса я занимаюсь в одиночку, пароль для FTP доступа доступен только мне, да и нет тех людей, которые хотели бы внести изменения на страницы.
Я начал вспоминать, какие изменения и с какого компьютера производились по отношению к этому сайту в последнее время и вспомнил.
Несколько дней назад было обращение через FTP доступ с компьютера у которого была устаревшая антивирусная база. Им был рабочий компьютер, с которого я сейчас пишу этот пост.
Я скачал пробную тридцатидневную версию антивирусной программы и проверил систему. В ней действительно оказалось несколько файлов зараженных трояном. Позже мои выводы были подтверждены службой поддержки хостинг провайдера и разработчиками антивирусных программ.
После того, как была выяснена, локализована и устранена причина заражения, можно было перейти к следующему этапу и удалить вредоносный код с сайта. Я хочу подчеркнуть, что наиболее важным является выяснить источник заражения, а уж потом устранить последствие. Это сократит вероятность повторного появления проблемы, а в некоторых случаях, без устранения источника лечение сайта вообще не является возможным.
Вредоносный код на сайте содержал следующий скрипт:
Этот скрипт был размещен в конце каждой страницы между тэгами