Doverin

На моём Хостинге изоляций нет...

говорят можно оплатить разные Заказы и на каждом разместить по сайту.. (это оплатить отдельно хостинг для каждого сайта...)

-----

По поводу 20000 внешних ссылок на сайт:

Гугл: На форуме ответили, что ограничений не будет. такое якобы учитывают

Яндекс: Поддержка ответила, что есть алгоритмы, которые вычисляют такие моменты и ограничения не должны быть (не совсем уверенный ответ...)

-----

Всем спасибо за помощь. Сейчас переустанавливаю плагины на сайтах.

Отдельное спасибо (Vladimir) - Его советы взял за основу

Это на Хостинге создать аккаунты отдельные для каждого сайта?

Подскажите пожалуйста

В Гугл Вебмастере
У меня теперь на 2-х сайтах появились внешние ссылки:

1. Site1 - 15000 внешних ссылок
2. Site2 - 20000 внешних ссылок

ссылки с таких доменов как com.au, .com.tr, .com, .info, .net и так далее

Что мне с ними делать?
Или со временем они пропадут?

p/s Зачем мне их накидал кто-то? Мне кажется это сделали те самые, которые и взломали мои сайты...

Антивирус Хостинга проверил весь мой заказ - вирусов не сайтах не обноружено

но дыры думаю есть...

Плагин KingComposer - удалил уже.

Нет конечно, такого у меня нет

Я сам пишу блоги обычные

-------

Скорей всего купленный сайт на Кворке просто удалю.

Или поменяю тему на стандартную Вордпресса и удалю все плагины. наверное так будет лучше

Всем спасибо за помощь! 

Первый этап вроде пройден 😊
Я заменил все стандартные файлы вордпресс на всех сайтах. И поставил все рекомендуемые коды защиты!

- Теперь остаётся как то проверить все файлы в папке /wp-content (Ведь всё остальное уже стандартное)

----------------

На данный момент я вчера и сегодня слежу за сайтми в Яндекс Метрике
В которой появились заходы на сайт на такие URL:

https://site.ru/692-link179-1
https://site.ru/comment.php?
https://site.ru/content.php?
https://site.ru/wp-admin/js/tinny.php
https://site.ru/wp-content/themes/wp-work.php
https://site.ru/e404b6/
http://site.ru/c0b99/
https://site.ru/?64932301
https://site.ru/wp-content/upgrade/ggs.php
https://site.ru/wp-includes/ID3/ac.php
https://site.ru/wp-includes/images/media/wp-is.php
http://site.ru/wp-admin/maint/BDKR.txt
http://site.ru/wp-content/js10cc7b/
https://site.ru/wp-content/plugins/updraftplus/central/css/cloudflare/
https://site.ru/wp-content/plugins/updraftplus/includes/pcloud/photos/
https://site.ru/wp-content/plugins/wpforms-lite/assets/css/requests/
https://site.ru/wp-content/plugins/post-smtp/Postman/Postman-Suggest-Pro/galleries/
http://site.ru/wp-content/plugins/updraftplus/includes/pcloud/photos/

Все данные URL проверил в Файловом менеджере Хостинга - этих файлов нет!

Что такие заходы означают, не совсем понятно...
Означает ли это, что какой то вирус есть ещё на сайте? или просто данные URL в базе злоумышленников, которые автоматически пытаются подключится к моему сайту?

---------------
Что послужило заражением сайтов? Вопрос остаётся открытым

1. Один сайт был куплен на Кворке, в котором:
- Тема старая, которая не обновляется
- Плагин установлен KingComposer
Сайт был мною заброшен и висел на Хостинге с другими сайтами - надо было удалить его. Не знал, что если заразится этот сайт(если в нём проблема) - полетят и другие

2. В середине месяца я решил сделать свой плагин для другого сайта на Вордпресс. И устанавливал его на сайт и проверял работу. Так как в коде не силён:
- Вписывал коды разные в плагин. И не знаю, может какую то защиту надо было устанавливать на плагин - мне это не известно. Плагин на сайте был Деактивирован - но не удалён

3. Один плагин был на всех сайтах установлен - не иp репозитория
- Плагин: Custom Field Suite

Спасибо 🙂

Эти 2 кода надо поставить или только один который Вы написали?

php_flag engine 0
RemoveHandler .phtml .php .php2 .php3 .php4 .php5 .php7 .php8 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html
AddType text/plain .phtml .php .php2 .php3 .php4 .php5 .php6 .php7 .php8 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html


UP: Вроде уже понял что их Вместе надо поставить!
Спасибо за код

Спасибо!

В итоге говорю что буду делать

1. Загружу бекап сайта за 1 августа на Хостинг
2. Удаляю папки wp-admin, wp-includes, файлы WP в корне сайта, / кроме wp-config и .htaccess
3. Заливаю удалённые файлы свежей версии вордпресс 
Что делать с папкой /wp-content/ - не понятно (оставляю прежнюю)

Ставим защиту вручную:

1. Кинуть в папку /wp-content/uploads/ файл .htaccess

Содержимое файла:

<Files *.php>
deny from all
</Files>

2. Кинуть в папку /wp-includes/ файл .htaccess

Содержимое файла:

# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

3. В корне сайта дописать в .htaccess

<FilesMatch "^(wp-login\.php|wp-admin)">
    Order Deny,Allow
    Deny from all
    Allow from МОЙ IP АДРЕСС
</FilesMatch>

<files wp-config.php>
order allow,deny
deny from all
</files>

Options -Indexes

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

4. В корне сайта дописать в wp-config.php

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Как думаете, нормальное решение?

Спасибо за столь подробный ответ
Возьму за внимания и буду пытаться наладить этот полный ужас...

А вот что делать с папка wp-content без его удаления? 
Ведь там находятся плагины со всеми настройками и Темы - которые даже и не знаю, получится ли снова вручную делать
папку wp-content если можно не удалять, то что с ней надо делать что бы очистить? подскажите пожалуйста

на всякий случай написал Вам в ЛС

- в папке wp-includes запрещаем доступ к исполняемым файлам

Нашёл такое решение:

полностью запретить любой доступ к файлам в папке wp-includes

надо создать файл .htaccess в папке wp-includes  (если его нет!)
и прописать там:

deny from all

нормальное это решение?
или хватить только php

<Files *.php>
    Deny from all
</Files>