2.14.1.1.8. Infekowanie pliku functions.php motywu WordPress
Uwaga!
Poniższe informacje stanowią jedynie wskazówkę, która może pomóc w usunięciu złośliwego kodu ze skryptów witryny. Administracja hostingu nie ponosi odpowiedzialności za szkody wyrządzone na stronie, gdy są one wykonywane przez specjalistę o nieodpowiednim poziomie wiedzy.
Usuwanie złośliwego kodu tylko z pliku functions.php
, jak pokazuje praktyka, nie rozwiązuje problemu. Dlatego niniejsza instrukcja może być pomocna w rozwiązywaniu problemu.
- Upewnij się, że plik
wp-includes/class.wp.php
nie w zasadzie. Jeśli tak, usuń go. Zwróć szczególną uwagę na nazwę pliku — w tym katalogu znajduje się wiele plików o podobnej nazwie, ale zamiast kropki — myślnik itp. Chodzi wyłącznie owp-includes/class.wp.php
. - Podobnie jak w poprzednim punkcie, usuń plik
wp-includes/wp-vcd.php
jeśli istnieje.
Uwaga na temat dwóch pierwszych punktów: sprawdzanie oficjalne repozytorium WordPress, możesz upewnić się, że oba pliki nie są zawarte w standardowym pakiecie i pochodzą od firm trzecich. - Sprawdź zawartość
wp-includes/post.php
... Mianowicie, jeśli pierwsza linia zawiera coś takiego:
Aby być przekonującym, przykład tego, jak wygląda plikpost.php
w standardowej formie WordPressa - https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (uwaga wiersz 1). - Punkty 1-3 powinny pomóc wyeliminować powód, dla którego złośliwy kod może pojawić się w plikach
functions.php
po usunięciu. Pozostaje sprawdzićfunctions.php
każdy zainstalowany motyw. Najpewniejszym sposobem jest ponowna instalacja motywu, jeśli to możliwe. W przeciwnym razie podamy przykład zainfekowanego pliku: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709 — pojawienie się linii 3 z tego przykładu jest typową wskazówką, żefunctions.php
zainfekowany. W takim przypadku musisz usunąć cały blok.<?php … ?>
gdzie występuje wiersz 3:
Mówiąc prościej, musisz usunąć wszystko od początku pliku do pierwszej kombinacji znaków.?>
. W tym przykładzie jest to wiersz 100. W rezultacie wyczyszczony plik będzie wyglądał tak: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b - Pojawiła się informacja, że w niektórych przypadkach wirus oprócz modyfikowania plików próbuje również utworzyć nowego użytkownika panelu administracyjnego witryny, nadając mu uprawnienia administratora. Dlatego warto sprawdzić tabelę w bazie danych.
users
(często -wp_users
), a jeśli istnieją użytkownicy, których nie znasz, zaleca się ich usunięcie, usuwając odpowiednie wiersze tabeli.