Versiune printabilă
Am un website cu platforma Wordpress la care nu reusesc sa ii dau de capat. La anumite perioade de timp mi se insereaza un javascript in main index template(index.php) cu diverse siteuri virusate. Am incercat si schimbarea parolelor, reinstalare curata wordpress. tot la fel face de fiecare data.
A mai patit cineva asa ceva?
Atentie mare si la pluginurile folosite. Posibil vreunul sa aiba vreo vulnerabilitate.
Totodata, scaneaza-ti si computerul, sa nu cumva sa fie si acesta virusat, astfel transmitand infectia si pe site.
aceleasi pluginuri le folosesc pe mai multe siteuri fara nici o problema(si sunt pluginuri cu voturi multe - w3 total cache,google xml sitemaps,etc) si tot de pe acelasi pc mai loghez alte zeci de siteuri fara nici o problema. m-am uitat si prin template si nu vad nimic in neregula.
Verifica-ti in primul rand pc-ul. Scaneaza-l atent, eventual un format + reinstall de windows. Ar fi indicata si schimbarea clientul de ftp si obligatoriu schimbarea parolelor de ftp si a celei de admin in wordpress.
Mai ai si alte siteuri wordpress pe acelasi cont de hosting?
Dupa cum spuneam si intr-un alt post sunt mai multe posibiltati legate de problema ta (de astfel de probleme in general). Eu suspectez aceasta problema. Verifica atent. Daca nu rezolvi incercam si alte variante.
Eu am patit la fel pe un site facut in joomla, aveam in index.php coduri suspecte si toate titlurile paginilor erau cu viagra, cialis si alte prostii. Cum am procedat eu :
- am identificat codul problema (la mine era base64 hack)
- am copiat toate fisierele site-ul pe pc
- folosind windows grep am scanat toate fisierele site-ului dupa codul suspect
- am luat fiecare folder in parte si l-am comparat cu o copie curata de joomla si am descoperit multe fisiere infestate pe care le-am sters
- evident schimba toate parolele de la site, cpanel, webmail etc
- fa update la toate pluginurile
Succes la curatat!
-am reinstalat wordpress curat si a facut la fel
-templateul este verificat
-da mai am si alte siteuri pe acelasi cont de hosting(tot wordpress-sunt ok)
O sa cercetez putin in seara asta si baza de date si solutiile voastre de mai sus. Multumesc.
--- Later Edit --- (ca mi-a fost lene sa apas "Edit")
crt asta mi-a dat la verificarea cu sucuri:
Security report (Warnings found):
check Blacklisted: No
error Outdated software: Yes
check Malware: No
check Malicious javascript: No
check Malicious iFrames: No
check Drive-By Downloads: No
check Anomaly detection: No
check IE-only attacks: No
check Suspicious redirections: No
check Spam: No
am penultima versiune de wordpress(nu fac update la ultima pentru ca nu merge automat din wordpress-cel putin la mine am incercat pe mai multe siteuri si se blocheaza).
Daca infectia e la nivel de fisier (cod inserat in unul din fisiere), e destul de probabil ca problema sa fie de la calculatorul tau - un troian sa transmita parola ta peste internet si cineva s-o foloseasca automat pentru injectia de cod malware. Am avut ocazia să văd live o astfel de infecție:
- la T0 fișierul era descărcat prin FTP de la un IP din țara xxxxx
- la T0 + 5 secunde, fișierul modificat era urcat înapoi prin FTP, de la un IP din țara yyyyy
Treaba asta se repeta de 2-3 ori pe minut, de la adrese împrăștiate în toată lumea
Așadar, dacă ai fișiere infectate, solicită ajutorul furnizorului pentru a-ți scoate extrase de loguri cu transferul FTP
Între timp, rescanează-ți calculatorul.
Dacă infecția e în baza de date, problema a apărut -destul de probabil- în urma unei injecții prin plugin-uri vulnerabile.
Este posibila si varianta lui gupi dar si varianta unui backdoor pe host sau a unei probleme de securitate la installer-ul automat (au fost cazuri). Dar am inteles ca este doar un site afectat de problema. Ceva e in acele fisiere si probabil tu il pui la loc cand faci reinstalarea wp.