Взломали сайт на вордпресс

Нужно не просто "поменять", а поменять на недырявую. Те актуальную из оф каталога.

Это разные вещи.

Не удивляйся если после этого не будут работать нек. плагины. Напр CF7.

---------- Добавлено 21.06.2018 в 12:08 ----------

..и поломать сайт :)

Предполагать, что проблема в дырявых плагинах - не совсем верно. Вариантов заражения масса. Вот лишь некоторые:

1. Зараженные или дырявые соседние сайты по аккаунту

2. Через сбрученный, перехваченный пароль от FTP/SSH

3. Недолеченный сайт (остался бэкдор)

4. Уязвимости в плагинах (не в теме, например)

5. Рутованный сервер

6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)

Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет. Проблему нужно решать комплексно.

xmlrpc.php можно оставить открытым для локальных адресов, а для внешнего мира заблочить через .htaccess, если у вас Apache.

---------- Добавлено 21.06.2018 в 12:14 ----------

Наш не поломает.

Судя по айболиту - может поломать только так. Либо не вылечить.

Не, ай-болит - полезнейший скрипт. Тут респект и уважуха. И одним из его достоинств как раз НЕ автоматизированные действия, а лог подозрений.

Я выше давал ссылку с более детальным описанием ;).

Отнюдь. В 95% - именно темы с помоек и виноваты.

Revisium Antivirus != AI-BOLIT, это совершенно другой продукт. И базы у них разные.

Их не корректно сравнивать.

Есть ссылка на пруф? Какое-то исследование, где указано, что 95?

Мы лечим по несколько сотен сайтов в месяц и сканируем по несколько тысяч, и вот у нас совсем другие цифры.

100500. Использование Вордпресса 🍿

п.с. Не устану спрашивать - какая там версия уже этого замечательного движка?

1. Тема у меня бесплатная из официального каталога.

2. Удалил(понизил до роли подписчик) все аккаунта в вордпрессе и создал новый.

3. Пароли от ftp поменял уже несколько раз (сейчас хрен его сбрутишь)

4. Поменял мой личный пк (вдруг на старом вирус)

5. Остался конечно вариант сделать скрипт, который проверяет каждую минуту index.php и, если он поменялся, то заменить его верным. Но это не решение проблемы, мне кажется.

---------- Добавлено 21.06.2018 в 14:55 ----------

У меня вопрос ещё остался: из за незащищенного xmlrpc.php могут изменить index.php?

Хм.. Ладно, ОК.

Но тем не менее я бы не рискнул доверять автоматизму. (Помню как у моего клиента CLAV или кто- то другой похерил сайт. А у другого хострер тупо заблокировали весь акк с 10ком сайтов из-за подозрений аналогичной автоститемы. Да, тут хостер виноват, но..автоматизм тут не есть хорошо)

Я последние годы занимаюсь только ВП (ок 99% моей занятости - это работа с ВП, включая безопасность ВП-сайтов ), и это статистика как из личного опыта, так из опыта коллег, включая запросы на форумах.

И такой "забавный" момент .. Вы же наверняка находили шеллы напр. в вижуалкомпозере, ревослайдере и др ком плагинах, так? И вы посчитали что шеллы в плагине, верно? Формально - да, но на самом деле - виновата тема с помойки. Это именно она принесла эти ворованные плаги.

Проблема решена, были загружены пару вредоносных файлов, которые обнаружить я не смог.

Помог мне gregzem, за что ему отдельное спасибо!

На будущее - все ответы в логах. Ищите запрос к данному файлу - запомнаем IP, отматываете чуть на раньше и уже по его IP смотрите как он это делает.

Лично мне пару раз помогала вот такая простенькая защита

/ru/forum/900084

Dram, для контроля целостности файлов лучше использовать специализированные инструменты, например aide или ossec