Взлом WordPress: перенаправление поискового трафика и трафика без Cookie на спам сайты

Взлом WordPress: перенаправление поискового трафика и трафика без Cookie на спам сайты

Речь пойдет о еще одном виде взлома WordPress использующем дыры в системе безопасности и уязвимости блога для внедрения вредоносного php кода в коды WordPress.

Хакеры прилагают все возможные усилия, чтобы взломать и использовать в своих целях блоги WordPress по всей сети, размещая и внедряя вредоносный код в коды и базу данных WordPress, чтобы перенаправить посетителей и хиты из Google и других поисковиков на такие спам-сайты, как your-needs. info, anyresults. net, golden-info. net, keymachine. de, beliy. us, seogoogle. us и многие другие спам-сайты, наполненные рекламой с оплатой за клик. Некоторые взломы нацелены на получение большого трафика за счет редиректа еще до обращения к WordPress. Если бы не взлом, то весь трафик попадал бы на блог.

Признаки перенаправления трафика из поисковых систем

Учтите, что не все признаки встречаются одновременно. Существует несколько видов взлома, и, соответственно, разные способы его выявления и устранения.

Перенаправление поискового трафика WordPress на спам-сайты, возможно, происходит из-за дыры в системе безопасности и уязвимости блога, если не установлена заплатка, т. к. блоггер решил не обновляться до последней версии WordPress (хотя есть сведения и о взломе блогов, на которых установлена последняя версия WordPress). Какой бы ни была причина, есть способы очистки блога после взлома, чтобы вернуть себе трафик и избежать наказания от Google за редирект на спам-страницы.

1. Создайте резервную копию базы данных WordPress.

2. Используйте phpMyAdmin, чтобы просмотреть таблицы базы данных MySQL WordPress. Перейдите к таблице wp_options и отредактируйте строку active_plugins. В этой строке указаны все активированные плагины. Поищите среди них плагин, название которого заканчивается расширением изображения (.jpg, .jpeg, .gif и т. д.), например: abcdefgh_old. jpeg. Запомните путь к файлу изображения.

3. Затем найдите и удалите файл, используя sFTP или SSH (забудьте об FTP или Telnet в целях безопасности).

4. Зайдите в панель «Управление плагинами» WordPress, деактивируйте или активируйте любой плагин, чтобы удалить вредоносный плагин из строки «active_plugins».

5. Вернитесь в phpMyAdmin и в таблице wp_options найдите строку, содержащую следующую последовательность в option_name: rss_f541b3abd05e7962fcab37737f40fad8

Удалите эту строку.

6. Перейдите к таблице wp_users. Если в ней присутствует пользователь без имени (нулевое значение в поле user_nicename), созданный 0000-00-00 в 00:00:00, запишите идентификатор пользователя (поле ID, номер). Удалите этого пользователя.

7. Просмотрите таблицу wp_usermeta. Найдите все строки, в которых user_id совпадает с идентификатором несанкционированного пользователя, которого вы удалили. Обычно есть три строки, ассоциированные с идентификатором взломщика. Удалите все эти строки.

8. Войдите на сервер, чтобы отредактировать файлы темы, или просмотрите код файлов темы в «Редакторе тем» в панели «Дизайн» WordPress. Проверьте, нет ли какого-либо подозрительного кода в header. php и index. php. Как уже было указано выше, ищите что-то типа: if($ser==”1?? && sizeof($_COOKIE)==0){ header(”Location:

Если обнаружили подозрительный код, удалите его. Учтите, что вредоносный код обычно содержит несколько строк.

9. Если у вас еще нет файла index. html, создайте его в папке wp-contents/plugins. Пустой файл index. html скрывает от хакеров содержимое папки plugins, а также то, какие плагины вами используются, что повышает безопасность WordPress.

10. Загрузите и замените все до единого файлы WordPress (а не только wp-blog-header. php) на сервер с чистой новейшей версией WordPress (конечно же, за исключением нескольких файлов: wp-config. php и темы). Если вы обновляетесь, внимательно прочтите руководство.

11. Смените пароль.

12. Если у вас много пользователей, измените их пароли тоже (или попросите их сменить свои пароли).


Карта сайта


Информационный сайт Webavtocat.ru