Здравствуйте, уважаемые коллеги и друзья!
Никогда не думал, что придется с толкнуться с таким явлением, как вирусы на wordpress блоге. Жуткое явление, и что самое опасное от них не застрахован ни один блог!
Хотя на самом деле слово «вирусы» здесь слишком громко сказано, потому что вреда Вашему компьютеру и компьютеру посетителей блога они никакого не наносят. Но, тогда почему их стоит опасаться? Откуда они берутся? Какой характер они имеют? И кто их, наконец, сможет устранить? Ответы на эти многие другие вопросы читайте в этой статье.
Друзья, настоятельно рекомендую внимательно прочитать данную статью, что быть готовым к любым форс-мажорным ситуациям. Еще раз повторюсь: я тоже никогда не думал, что меня может это коснуться, однако, коснулось Слава Богу, что все хорошо обошлось! Искренне желаю добра своим читателям, поэтому и пишу все подробно и понятно, чтобы вооружить Вас полезными рекомендациями. Кто предупрежден, тот вооружен! Так что, заряжаемся Если возникнут вопросы, пишите в комментах. С радостью отвечу.
Ну, что? Поехали...
Как попадает вирус на wordpress блог?
Совсем недавно, а конкретно, 3 апреля 2012 года с утра пораньше открываю свой любимый блог, а там вместо главной страницы с улыбающимся Владиком, вот такая бяка:
Эх, вот это сюрприз! Прямо в самый разгар конкурса «5 полезных советов», меня настигла такая участь. Надо разбираться, а времени-то совсем нет, пора в институт бежать, диплом писать. Все, что Господь ни делает – все к лучшему! Поэтому уныния в сторону и прямиком в службу поддержки своего хостера (ТаймВеб). Там мне сказали вот что:
Сообщение, скриншот которого Вы прислали, говорит о вредоносном ПО на Вашем сайте, а не о DDOS-атаке, оповещение о которой может быть вызвано резко возросшей посещаемостью (на следующий день после публикации конкурса «5 полезных советов», блог посетило свыше 1200 человек за одни сутки, это почти в 9 раз выше средней посещаемости).
Источников проблем, связанных с вредоносным кодом может быть несколько, а именно:
1) Уязвимости пользовательского кода:
- устаревшая версия CMS и ее модулей, плагинов, тем, которые содержат ошибки безопасности в коде;
- скрипты, написанные собственноручно или скопированные с других сайтов и содержащие ошибки безопасности.
2) Злоумышленник завладел реквизитами доступа к Панели Управления Аккаунтом (ПУА), FTP-соединения, SSH или административной панели вашей CMS. Это могло произойти по двум причинам:
а) Вирусное программное обеспечение на локальном компьютере.
б) Протоколы передачи данных без использования шифрования.
Примеры протоколов, использующих шифрование: SSH, SFTP, HTTPS.
Статистически, причину проблемы необходимо искать в уязвимости скриптов сайта.
Мы рекомендуем вам обратиться к стороннему специалисту, который сможет провести аудит безопасности скриптов сайта и провести необходимые действия по устранению обнаруженных проблем.
Если по какой-либо причине, вы не можете пригласить стороннего специалиста, то мы предлагаем вам следующий порядок действий (не гарантирует полного решения проблем):
1) Скачать все файлы с сервера, проверить их антивирусом и загрузить обратно;
2) Обновить все пароли панели управления аккаунтом, FTP-пользователей, баз данных и административной части ваших сайтов;
3) Обновить ваши CMS и ее дополнения (плагины).
После необходимо проверить возникает ли проблема вновь.
Если вы выполнили указанные пункты и проблема все еще имеет место быть, вам следует обратиться к стороннему специалисту по безопасности.
С нашей стороны мы можем предоставить вам логи панели управления аккаунтом, FTP-соединения и запросов веб-сервера за указанный период.
Вопросы анализа уязвимости пользовательского кода, к сожалению, выходят за рамки предоставляемой нами технической поддержки.
На моем компе вирусов нет, файлы проверил – тоже чистенькие. Осталось только обратиться к специалисту. А где его искать? Правильно, на фрилансе
Составил Т.З. (тематическое задание), опубликовал проект и сразу получил кучу ответов: «Сделаем быстро и качественно, всего за 300, 500 и еще сколько-то там рублей» Ответить никому не успел и побежал... Часов в 10.00 выхожу в инет, а там уже добавилось 2 веб-программиста в скайп, которые готовы помочь. Написал некоему Михаилу, он сразу отвел и попросил доступ к FTP (кто не знает что это такое, подпишитесь на обновления блога, скоро напишу отдельный пост с подробной видео-инструкцией по работе с FTP).
Как Вы думаете сколько времени ушло, чтобы убрать так называемый вирус или вредоносное ПО? Всего лишь 7-10 минут. Вот что значит профессионал! Да здравствует фриланс
Как объяснил Михаил, причина была вот в чем:
Обычный рекламный инклуд, который со временем превратился во вредоносный, такое используют для накрутки посещаемости сайтов. Прятался он в папке wp-content/themes/текущая тема блога, в файле index.php – там был добавлен iframe.
Как это могло туда попасть?
Инсайд: таймвеб недавно взламывали и увели оттуда много учеток, поменяйте пароли.
Вот значит в чем причина – ТаймВеб взломали! Какой-то «добрый» дядька получил в свои грязные лапы доступ к моей учетной записи и добавил в файл index.php какой-то iframe. Ах, он ... Ладно, пусть у него все будет хорошо Кстати, у одного знакомого парнишки та же проблема, и причем в тоже время (думаю, это уже не случайность). Конечно же, я сразу поменял все пароли от админок и с облегчением выдохнул. Ура, все готово! Но, теперь надо быть поаккуратнее и обеспечить более надежную безопасность блога.
Общие рекомендации по безопасности блога:
1) Используйте сложные пароли, к примеру, вот такой: vhjdsbfbds764i35y34thgjh454634jhg или такой 678795834hjgjhgj654364bhj43 Регулярно (хотя бы 1 раз в 2 месяца) меняйте их и не передавайте третьим лицам;
2) Используйте известные и проверенные CMS, которые регулярно обновляются, имеют техническую поддержку и дают гарантии защищённости своих скриптов. То же касается модулей, плагинов, тем оформления и прочих расширений CMS. Многие CMS распространяемые на бесплатной основе не предоставляют данных гарантий;
3) Регулярно сохраняйте резервные копии Вашего сайта и его данных, чтобы иметь возможность выполнить восстановление на некоторое время назад, если взлом не удастся обнаружить сразу. В каждом хостинге такая функция имеется. К примеру, в ТаймВеб резервные копии и файлов и базы данных делаются в разделе «Управление BACKUP».
После сохранения, сами архивы с файлами и базой данных нужно скачать на свой компьютер. Они будут находится в разделе «Файловый менеджер»
Чтобы скачать эти архивы, необходимо кликнуть по ним 2 раза и выбрать папку, в которой они будут сохранены; также это можно сделать через FTP-клиент.
Вот такие, друзья, советы по безопасности блога! Старайтесь их соблюдать и все будет в шоколаде
Итак, делаем кратенькие выводы из всего вышеперечисленного:
1). Если какая-нибудь бяка закралась на Ваш блог, то значит кто-то, вероятнее всего, завладел данными от Вашей учетной записи на хостинг провайдере или CMS.
2). В таком случае необходимо срочно проверить файл index.php на наличие iframe, и, если его там нет, то уже обратиться к специалисту. Могу по старой дружбе скинуть контакты Михаила (который мне помог). Если надо, напишите в комментах.
3). Постоянно заботиться о безопасности своего блога. Кто еще не послушал интервью с Александром Цырульниковым «Как защитить свой блог», советую послушать.
P.S. Установил 2 кнопки (твит и гугл+) в сайдбар, кому не трудно поддержите мой блог, плиз, – нажмите на них. Говорят, что повышает вес главной страницы в поисковых системах. Проверим Если будет прогресс, обязательно расскажу в отдельном посте, как это делается.
А откуда данные, что таймвэб “взломали” ? =)
Когда взламывают хостинг – делают совсем другие вещи а не жалкий инклуд в сайты на вордпрессе =)
Запросите логи доступа к сайту, проанализируйте их и поймете – как взломали ваш любимый вордпресс.
Федор, я в статье писал откуда такие данные И взломы разные бывают…
Конечно неприятная ситуация. Уже вылечил около 10 сайтов, а несколько вообще с таймвеба ушли. Вирус был обнаружен в файле functions.php
Доброго дня! Владислав, у моего блога точно такая же проблема, тоже 3 апреля и с грозным письмом от Яндекса. Но мой блог находится на Эскхостинге.
И мне нужны контакты Михаила! А то уже неделю блог не доступен – вместо него страшная надпись, а я не спец в этом.
Заранее благодарна.
Марина, пожалуйста – логин Михаила в скайпе bm-softgroup
Поскорее восстанавливайтесь
Прекрасная статья. Узнал много нового. Спасибо, Влад.
З.Ы. Пошел менять пароли *CRAZY*
Благодарю за нужную статью! Действительно никто не застрахован Уже встречался с атакой на админку – принял меры!
Мои наилучшие пожелания!
Поставил статью в закладки, пусть лучше не пригодится:),спасибо!
М-да, Дай Бог, чтобы не пригодилась В смысле, чтоб вирусы не залезли на блог_))
Интересный и конкретный сайт. А ещё очень полезный для тех, с чьим блогом это случается.
Влад, да, все к лучшему! Получилась очень полезная статья, да и знакомство с Михаилом, думаю, неслучайно.
И он Вам и в будущем, если что, сможет оперативно помочь.
Но искренне желаю, чтобы больше форс-мажоров у Вас не было!
Спасибо, Наталья! Дай Бог, чтобы не было. А с Михаилом точно не зря познакомился, он мне еще с одним вопросом помог
Как я Вас понимаю, Влад! Мой блог тоже на контроле у Яндекса провисел неделю! Зараженный скрипт я сразу убрала, и папки скачала с хостинга и почистила, комп тоже, на всякий…, Только, после слезного письма Платону Щукину, мой блог быстренько проверили и разрешили доступ! Так что – научена на всю жизнь!!! Статья замечательная, отослала анонсы во все соцсети ив Google+, с огромным удовольствием! Спасибо!!! =)
Эх, знал бы я еще кто такой Платон Щукин Спасибо за анонсы, Лариса
Платон Щукин – это обобщенный образ техподдержки Яндекса. На странице вопросов и ответов работники Яндекса так и подписываются : Платон Щукин.
Спасибо, Тамара! буду знать
Я пока с такой проблемой не сталкивалась, но учту… Пароли меняю периодически… Спасибо!
Я и не знала, что такое бывает. Спасибо! Буде принимать меры. А если что я приду к Вам))
Оксана, лучше на фриланс. Я не спец в анализе блога на вредоносные коды
Очень познавательная статья,о котором нужно нам знать. У меня тоже случается, что кто-то не может войти – предупреждает антивирус, хотя сказали, что сайт чист.
Такое бывает, особенно когда баннера посторонние стоят
Серьезное дело. Надо поменять пароли.
Замечательная статья! Только у меня вопрос: а что Ваши хостеры сами не могут выявлять вирусы и делать чистку? Обязательно нужно фрилансеров просить?
У меня была раз такая проблема с полгода назад или даже на начальном этапе развития блога:
Сначала хостер сообщил о проблеме (яндекс молчал еще), чтобы почистили срочно от вирусов сайт.Я посмотрела -действительно какие- то папки добавились, но так как в этом была полная ноль, попросила хостера за меня работу сделать. А потом спросила где были вирусы. Оказалось все просто.
Накануне я стала обнаруживать, что добавляются внешние ссылки, автор этих всех сайтов был один и тот же разработчик одного плагина. Я ему хорошенькое письмо написала, он в ответ неприлично на меня выразился. Я удалила эти плагины с админки (на сервере забыла).На следующий же день на сервере и пошли вирусы от этого плагина…
Поэтому вывод еще один: будьте осторожны с незнакомыми плагинами, не надо устанавливать все подряд, или по крайней мере – устанавливать нужно, которые уже проверенные многими людьми и временем.
Спасибо за дополнение, Нина!
Отвечаю на Ваш вопрос: как объясняют хостеры, мол это не в их компетенции. Тут только к фрилансерам
Я хочу сказать своё g[‘ в адрес хостеров TimeWeba? мало того, что они знали , что у них была атака – они не предупредили своих клиентов, а когда к ним обращаешься они отвечают 1 раз в сутки( не верьте, что оказывают помощь 24часа и 7 дней в неделю)мало того каждый раз новый оператор, который даже не смотрит историю запроса а задаёт свои вопросы сначала и опять исчезает на сутки- пока я не возмутилась, что так не решим проблему нужно смотреть начало запроса и возможно сайт и не рухнул если бы оперативно вмешались а то три недели переписывались. Поэтому примите это как антирекламу TimeWeb!
Знаете, Евгения, бывает что и раз в сутки, а бывает что и через 5 минут уже ответят. Тут уж как повезет
По-поводу атаки на ТаймВеб могу сказать только одно: “Никто от этого не застрахован. Умных придурков – хаккеров сейчас все больше и больше. Если уже сайты Министерств взламывают, то что уж о хостерах говорить”
Что-то мне подсказало,что тот “знакомый парнишка”-это я.Была такая бяка,была.Только хостинг у меня Beget,а проблема практически схожа.Два блога бились в конвульсиях-я практически тоже. %) Хостер посоветовал избавиться от бяки-тогда блоги заработают,мол.Спасибо огроменное автору этого блога-порекомендовал Михаила.Он всё сделал в лучшем виде и одобрил тот плагин,что позволит мне хоть спать поспокойнее.
Вот и встретились два горе брата
А плагин тот величают BulletProof Security-настоятельно всем советую установить.
Про хостинг тут тема обширная. Вообще, рекомендуется размещать сетевые ресурсы на площадках М9 и М10. Остальные хостинг провайдеры, в основном, просто арендуют сервера и передают потом пользователям в субаренду. Так что Влад, запиши себе в блокнотик тему: “Как выбрать хостинг”. Будем ждать от тебя статью 8)
Ок, Гриш! По мере развития будет переходить на мощные сервера и писать об этом посты
Благодарю за информацию . Пароль сменил на всякий случай.
Страшно, аж жуть! =-O
Спасибо за нужную и полезную информацию.
Пожалуйста, Галина
У меня где-то с месяц назад похожее было. Аваст ругался, остальные молчали. Начал проверять, нашёл подозрительный код. Потом задал поиск по интернету. Нашёл, оказалось, то, на что я и думал. Порадовался за себя. Как говорится, бывших бультерьеров не бывает. *CRAZY*
Ох, не могу я понять этих хаккеров.. Нет, ну банк ограбить – понятен мотив.. *CRAZY*
Но зачем хорошим людям палки в колеса вставлять?! Ведь ни денег, ни славы..
Ни денег, ни славы, зато насолили Хотя, кто их знает этих хакеров …
Наталья, эта аватарка намного привлекательней
Спасибо! Послушалась совета одного очень мудрого человека и сменила! Теперь и сама вижу, что не зря!
Наталья, таки Влад же написал зачем: “Обычный рекламный инклуд, который со временем превратился во вредоносный, такое используют для накрутки посещаемости сайтов”. Что это дает? Ну как минимум с повышением хостов на портале – повышается и рекламная стоимость площадки. Это не “банк грабить”, но в первом приближении – тоже денюшка, а иногда и не малая. К примеру на … (одном известном ресурсе) стоимость одного рекламного баннера на месяц на главной странице стоит несколько сотен тысяч долларов…
Спасибо, Гриш, что за меня ответил
Просто видимо повышают таким образом свою самооценку,мол:”Я крут и могуч-взломал сайт!Трепещите!!!”Я могу допустим понять тех же Anonymous,которые борятся с тоталитарной сектой Сайентологов или с теми,кто козни учиняет WikiLeaks,но блоги простых смертных ломать могут только прыщавые юнцы,которых мучает комплекс неполноценности и которые тужатся доказать всему миру свою значимость.
Алекс, прямо в точку
Вау, как я встревожилась!! Если не дай бог, с моим случится такая проблема, не знаю как и справляться буду, я совсем еще “зеленый” блоггер. Поразбираюсь с профилактикой. Правильно я поняла, что первое, что нужно сделать – это сменить код? %)
Эта гадость кочует по блогам еще с начала года =-O Лечение очень простое – нужно выкусить вредоносный код, вставленный в конце файла functions.php По ссылке “blog-kota.ru/zarazhenie-wordpress-blogov-virusom-js-redirector-mr-trj.html” можно найти подробную инструкцию %)
Благодарю за доп. информацию! Возьмем на вооружение
Не за что Мой сайт как раз позавчера этой гадостью наградили =-O пришлось вечер на “лечение” потратить %)
Слава богу еще вредоносного ПО на блоге не было, а там посмотрим. Но все таки огромное спасибо за дельные советы, возьму на вооружение. Вирусы не пройдут. 8)
Владислав, огромное спасибо за предупреждение. С Вашего разрешения, на всякий случай возьму координаты Михаила. Я очень боюсь обращаться к не проверенным специалистам. Пол года назад я “попала” по доверчивости и неопытности на 44 ссылки, после помощи “специалистов” После чего, все это время выбиралась из под АГС Яндекса.Еще раз спасибо!
Пожалуйста, Раиса! Рад, что моя статья оказалась для Вас полезной
Спасибо,Владислав. Очень ценная информация!Поставлю в закладки вашу статью.
А вы не подскажите контакты Михаила?
Подскажу, Арина! Вот его скайп bm-softgroup
Спасибо, Владислав. Да, действительно меры безопасности нужно соблюдать. Ну и естественно делать бэки, это святое! =)
Да, беки это уж точно святое для блоггера
Не знал,что он был взломан,странно у меня сайт там крутится,наверное пронесло)
Но меры предосторожности всё равно примените! Я сам 1.5 года горя не знал-И НАТЕ-ПОЛУЧИТЕ И РАССПИШИТЕСЬ!!!
У меня на таймвебе блог стоит…
Жень, да у меня тоже стоит. Таймвеб – хороший хост, просто ломанули его разок От этого никто не застрахован
Спасибо за статью, но для себя вывод сделала однозначный – если, тьфу-тьфу. коснется – пойду к Михаилу!
Мой блог тоже на ТаймВебе, но меня, к счастью, пронесло. С сайтом не было никаких проблем. Однако на будущее приму меры.
Сколько пришлось заплатить?:)
200 рублей
У меня также случайно вчера обнаружилось на одном из своих блогов (захожу редко на него, последний раз была 2 недели назад) эту бяку. Iframe под именем Troj/JSRedir-GS был в в файле functions.php темы, причем, только на одном сайте и все другие темы были чисты. Но вирус проник глубже, помог за 5 секунд плагин Web Security Tools, почистил еще около 90 файлов. Единственный его минус – дает внешнюю ссылку, но ведь его не обязательно держать все время включенным, не так ли?
Ни от хостера, ни от Яндекса, ни от Гугла писем не было. От Гугла в панель вебмастера письмо пришло уже после того, как я все почистила.
Проблема осталась в другом – на чистом сайте уже второй раз появляется ссылка на чужой сайт, в одном и том же месте, шифруют в точке. Что посоветуете?
Светлана, плагин не обязательно все время держать включенным, можно включать его только при необходимости.
По-поводу Вашей проблемы могу посоветовать обратиться к мастеру Михаилу, его скайп в комментах к этой статье есть. Я сам не мастер в таких вопросах
Да, про плагин – я это и имела ввиду – включать только для проверки.
По проблеме спасибо, есть еще пара идей, которые не проверяла. Если не поможет, обращусь.
Пожалуйста! А вы пробовали с FTP весь архив шаблона скачать и на вирусы проверить через антивирусник?
Да, чисто. Попробую на всякий случай еще каким нибудь другим антивирусником.
Катастрофа! У меня такое случилось! Установила WebsiteDefender? И он обнаружил вирус у меня на сайте (или троян). И что самое противное, что этот плагин настроить как следует не могу… Как начнут про эти коды говорить – все, мозги просто поперек!
Сайт посмотрел. Страница главная очень-очень велика… Вы реально думаете, что каждый посетитель будет крутить скролл до конца? =)
Я прокрутил. Прекрасно. Но надо подумать как сократить. Длинновато
Уберите все под кат. Посмотрим как получится. Думаю – будет гораздо интересней
Любочка) Минимизируйте пока технические вопросы до минимума на своем блоге. Не тратьте время на ненужное. Просто – прекратите там заниматься WP. Мы ждем от вас шедевр на конкурс Влади. Поверьте, все придет, только вот 90% моих клиентов, бросают блог через пол-года-год… Стоит ли заморачиваться? Оцените.
Я всегда пишу клиенту – бесполезно (ГС), не тратьте деньги. Если норм – движуха будет.
Вы стартуйте, а мы, как говорят у нас в Одессе “будем посмотреть” *CRAZY*
Фига с два я брошу!!! Так вкусно все приготовить, и бросить? Ну уж нет! А шедевр старюсь “родить”! =)
Ну как минимум – вы прекрасна =)
Но о том, что будет с блогом – мы узнаем только через год…
Многие клиенты обижались на меня, когда я им говорил – ГС
Через какое то время приходили письма – со спасибо) Время у нас одно. Так что тратить его надо с умом. Жизнь не вечна
Я имел ввиду – технические вопросы. WP
Это не относилось к контенту, если вы не поняли меня)
А дам ка я тут совет. Вот не у себя в ветке моей конкурсной работы. А тут!
Совет №14. Поисковый робот любит быстрозагружаемые страницы, очень он их любит
Я знаю, что для сокращения главной есть какой то плагин. А вот какой…
Ну с эйчтимиэль я бы вам помог, но WP это целая страна. Звиняйте
Найду! Кто ищет, тот всегда найдет!
Критикуйте! В ней рождается совершенство!
It would be my personal pleasure to get together some more ideas from your website. Thanks alot and I look forward to reading more posts on your website!
Да вирусы вещь опаная и крайне не приятная,я неблогер а Вы не подскажите приложения на вирусы можно проверить?Владельцы приложений ведь тоже постояно подвергаются атакам вирусов как и блоги,смартфон меня предупреждает кагда блог заражен,а вот при входе в приложение не предупреждает,значит ли это что заражение уже произошло?Что посоветуете смартфонщикам,как нам бороться?
Темир, в этом вопросе я не силен… Но насколько мне известно, вирусы на смартфонах не опасны и даже вирусами их тяжело назвать
Спасибо! Хотя я это уже знаю но все ровно спасибо!
Спасибо Влад! пойду пряма ща менять пороль
Спасибо Влад, я ваш кумир, оцените мой сайт nasaite.ucoz.ru/ 8)
Мой сайт тоже взломали. Там только они разместили спамные (500 страниц) страницы рекламного характера про чай турбослим. Сайт находится на ТаймВеб. Были проставлены ссылки на эти страницы в твиттере, где в этих твит аккаунтов, я увидел другие такие же взломанные сайты. И ВСЕ они были на хостинге ТАЙМВЕБ!!!!!!! Тех поддержка Таймвеба написала такую же хрень, как у тебя. Получается ТаймВеб часто взламывают.