Чужой код в теме WordPress

Недавно обнаружил, на одном из сайтов WordPress, чужой код в теме WordPress. Что это такое и как от него избавиться расскажу в этой статье.

Вступление

Говоря про чужой код в теме WordPress, я имею именно в виду именно чужой код появившейся в файлах рабочей темы. Это не скрытые ссылки распространителей шаблона или ссылки авторов тем в футере или зашифрованные ссылки. Об этом в статьях:

• Как убирать ссылки автора темы WordPress
• Как убрать ссылку на author wordpress
• Ищем и убираем вредоносный код на WordPress

Появляется чужой код в результате взлома сайта. Если не следить за состоянием сайта, то работу стороннего кода можно не заметить. Однако, его наличие может проявляться в появлении на страницах сайта исходящих ссылок на сторонние ресурсы.

Чужой код в теме WordPress – этапы чистки

Чистка может затронуть структуру сайта, поэтому начните чистку с полной резервной копии сайта.

• Сделайте резервную копию сайта;
• В консоли, откройте вкладку Внешний вид→Редактор.
• Открывая, поочередно, файлы рабочей темы, найдите чужой код, он будет иметь приблизительно такой вид:

<? $GLOBALS['_1071200792_']=Array(base64_decode('' .'dX' .'JsZW5j' .'b2Rl'),
base64_decode('dXJsZW5jb' .'2R' .'l'),base64_decode('dXJ' .'sZW' .'5jb2Rl'),
base64_decode('c2Vzc2' .'l' .'vbl9pZA=='),base64_decode('c3R' .'y' .'dG' .'91c' .'HBlcg=='),
base64_decode('c' .'G' .'Fyc2VfdXJs'),base64_decode('c' .'29ja2' .'V0X2Ny' .'ZWF0ZV9' .'w' .'YW' .'ly'),
base64_decode('ZGF0ZQ=='),base64_decode('Zn' .'Vu' .'Y' .'3Rpb25' .'f' .'ZXh' .'pc3Rz'),
base64_decode('Y3' .'VybF9pbml' .'0'),base64_decode('Y3Vy' .'bF9' .'zZXR' .'vcHQ='),
base64_decode('' .'Y3VybF9z' .'ZXRvcHQ='),base64_decode('Y3VybF9' .'zZXRvc' .'HQ='),
base64_decode('a' .'W1' .'h' .'Z2Vj' .'b3B5c' .'mVzYW1wbGVk'),
base64_decode('bX' .'Rfcm' .'F' .'uZA=='),…

• Длина кода может быть самой различной.
• Если процесс поиска затягивается, перейдите для поиска в текстовой редактор (например, Notepad+) и ищите чужой код в резервной копии сайта. Каталог: wp-content/themes/Ваша_тема.
• Если вы сомневаетесь, что это «чужой код», нужно сделать следующее;
• В консоли сайта, войдите на вкладку Внешний вид→Темы. Откройте рабочую тему для просмотра информации о теме. Перейдите на сайт автора темы и скачайте на нем вашу тему в оригинале.
• Далее, распакуйте архив темы, и если возникает сомнение чужой код или нет, сравнивайте исходный файл с файлом оригинала темы.

Например, я обнаружил код в файле header.php. Чтобы снять все сомнения чужой код или нет, я сравнил оригинальный файл header.php с файлом на сайте и убедился, что код от куда-то «прилип».

• Удаляем код. Сохраняем изменения. Если, установлен плагин кэширования, то чистим кэш WordPress сайта.
• Далее, меняем пароль для авторизации в административной панели сайта. Вкладка Пользователи→ Ваш профиль (внизу страницы).
• Остается следить, не появится ли код заново.

Обращу внимание, что у меня был код, который обнаружить антивирусами для сайтов не удавалось.

Антивирусы для сайта онлайн

В завершении список рабочих антивирусов онлайн для проверки сайта:

• https://www.virustotal.com/ru/
• https://vms.drweb.ru/online/
• https://rescan.pro/
• http://www.siteguard.ru/guard/
• http://antivirus-alarm.ru/proverka/

©www.wordpress-abc.ru

Другие статьи раздела: Безопасность WordPress

• Ищем и убираем вредоносный код на WordPress
• Как поменять абсолютные ссылки WordPress на относительные: SSL сертификация
• Аудит безопасности WordPress сайта. 11 шагов проверки безопасности рабочего сайта WordPress
• Как отбиться от хакерской атаки на сайте WordPress
• Русский домен на WordPress, часть 3: безопасный протокол SSL