2.14.1.1.8. Infekowanie pliku functions.php motywu WordPress

Uwaga!

Poniższe informacje stanowią jedynie wskazówkę, która może pomóc w usunięciu złośliwego kodu ze skryptów witryny. Administracja hostingu nie ponosi odpowiedzialności za szkody wyrządzone na stronie, gdy są one wykonywane przez specjalistę o nieodpowiednim poziomie wiedzy.

Usuwanie złośliwego kodu tylko z pliku functions.php, jak pokazuje praktyka, nie rozwiązuje problemu. Dlatego niniejsza instrukcja może być pomocna w rozwiązywaniu problemu.

  1. Upewnij się, że plik wp-includes/class.wp.php nie w zasadzie. Jeśli tak, usuń go. Zwróć szczególną uwagę na nazwę pliku — w tym katalogu znajduje się wiele plików o podobnej nazwie, ale zamiast kropki — myślnik itp. Chodzi wyłącznie o wp-includes/class.wp.php.
  2. Podobnie jak w poprzednim punkcie, usuń plik wp-includes/wp-vcd.phpjeśli istnieje.
    Uwaga na temat dwóch pierwszych punktów: sprawdzanie oficjalne repozytorium WordPress, możesz upewnić się, że oba pliki nie są zawarte w standardowym pakiecie i pochodzą od firm trzecich.
  3. Sprawdź zawartość wp-includes/post.php... Mianowicie, jeśli pierwsza linia zawiera coś takiego:
    Aby być przekonującym, przykład tego, jak wygląda plik post.php w standardowej formie WordPressa - https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (uwaga wiersz 1).
  4. Punkty 1-3 powinny pomóc wyeliminować powód, dla którego złośliwy kod może pojawić się w plikach functions.php po usunięciu. Pozostaje sprawdzić functions.php każdy zainstalowany motyw. Najpewniejszym sposobem jest ponowna instalacja motywu, jeśli to możliwe. W przeciwnym razie podamy przykład zainfekowanego pliku: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709 — pojawienie się linii 3 z tego przykładu jest typową wskazówką, że functions.php zainfekowany. W takim przypadku musisz usunąć cały blok. <?php … ?>gdzie występuje wiersz 3:
    Mówiąc prościej, musisz usunąć wszystko od początku pliku do pierwszej kombinacji znaków. ?>. W tym przykładzie jest to wiersz 100. W rezultacie wyczyszczony plik będzie wyglądał tak: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b
  5. Pojawiła się informacja, że w niektórych przypadkach wirus oprócz modyfikowania plików próbuje również utworzyć nowego użytkownika panelu administracyjnego witryny, nadając mu uprawnienia administratora. Dlatego warto sprawdzić tabelę w bazie danych. users (często - wp_users), a jeśli istnieją użytkownicy, których nie znasz, zaleca się ich usunięcie, usuwając odpowiednie wiersze tabeli.
Zawartość