Скрытые ссылки в Wordpress

Скачайте установленный движок с хостинга и эталон с офсайта. Сравните каталоги с помощью winmerge - сразу увидете, какие файлы разные по содержанию - в них и ищите причину.

Скорее всего какой-то плагин цепляет их к постам.

Попробуйте их по-очереди поотключать.

Самое смешное: сейчас полез смотреть - а ссылок нет! Я два дня ковырялся в движке и шаблоне, отчаялся уже - а они исчезли сами. То ли я последним движением что-то удалил, то ли помогло обновление Wordpressa и плагинов, то ли (худший вариант) - они еще и по времени как-то прячутся.

У меня как-то селился вирус, который появлялся только изредка, раз в два-три десятка просмотров. Я его тогда так и не нашел, пришлось полностью движок переустанавливать... Надеюсь сейчас так не получится.

PS Самое паршивое, что все эти ссылки давно проиндексированы. Я поздно спохватился.

Дело в плагинах, если ссылки невидимы для админа и отключение темы не помогло. "Прочеши" все плагины которые были активированы, чтобы в будущем не напороться.

для будущего

- поставить плагин TAC

- заретить доступ в .htacces с других IP в директории админ, плагин, инклудес. Запретить писать в файлы .htaccess

Плагин ТАС находит ссылки в шаблоне, и только. Ссылки, которые добавляют плагины, он не видит, так же, как и ссылки, зашитые в сам движок. Я его всегда ставил, но он ни разу ничего не находил, кроме того, что можно и без него увидеть.

А про .htaccess я, честно говоря, вообще не понял. У меня вообще этих файлов нет ни в одном каталоге. И с каких других IP?

Проанализируй что в БД, есть ли там ссылки

вот аналогично

появилось 3 лишних ссылки: 1 в хидере, 2 в футере

выводятся после .wpheader и .wpfoot соотв.

прошелся по всем файлам на хостинге - не нашел

TAC не помогает

обновил WP до последнего - пользы 0

подозрение, что появилось после установки плагина http://get.2leep.com/

в инете по этому поводу ничего не нашел

до этого плагина 1,5 года все бло нормал. и хостинг тот же

другие сайты на этом же акке без подобных "приколов"

все что нашел в нете - это http://cssing.org.ua/2008/06/01/wp-footer-exploit/

но и это не помогает

Да есть такое с плагином ТАС, особо не помогает

- Создаем файл .htaccess , в нем запись

Order deny,allow

Allow from All

Allow from IP ( с которого вы заходите)

Ложим в папку админ, инклудес, запрещаем доступ всем к этим файлам, кроме своего IP

PS Два дня поиска и проверки на сайте. ибо достали :(

- файл .htacces в корне блога

#запрет к просмотру файлов в папках

Options -Indexes

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

AddDefaultCharset utf-8

# Block the include-only files

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ -
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

# Запретить комментирование если отсутствует referrer
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*ВАШДОМЕН.ru.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

#запрет доступа к .htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>


- Создаем плагин для защиты своего блога от злонамеренных URL-запросов

Вставьте следующий фрагмент кода в текстовый файл, и сохраните его под названием blockbadqueries.php. Загрузите файл в каталог wp-content/plugins и активируйте созданный плагин. Теперь ваш блог защищен от злонамеренных запросов.

<?php
global $user_ID;
if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255 ||
strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 404 Error");
@header("Status: 404 Error");
@header("Connection: Close");
@exit;
}
}
}
?>

Есть еще предложения, или поправки к предложенному?

Я IP не могу запретить, потому что сам часто захожу с разных IP. Я живу в Юго-Восточной Азии и активно передвигаюсь - сегодня я в Таиланде, а послезавтра буду в Малайзии. Каждый раз переписывать htaccess не хочется.

А вот плагин интересный, только я еще не разобрался, ибо не очень секу в php. Но я поразбираюсь. Спасибо.