2.14.1.1.8. Зараження файлу functions.php теми оформлення в WordPress

Увага!

Нижченаведена інформація є виключно рекомендаціями, які можуть допомогти видалити шкідливий код зі скриптів сайту. Адміністрація хостингу не несе відповідальності за шкоду, завдану сайту в разі їх виконання фахівцем із неналежним рівнем знань.

Видалення шкідливого коду тільки з файлу functions.php, як показує практика, не вирішує питання. Тому ця інструкція може бути корисною при усуненні проблеми.

  1. Переконайтеся, що файлу wp-includes/class.wp.php немає в принципі. Якщо є — видаліть його. Зверніть особливу увагу на ім’я файлу — в цьому каталозі є багато файлів зі схожою назвою, але замість точки — дефіс, і т. д. Мова йде виключно про wp-includes/class.wp.php.
  2. Аналогічно до попереднього пункту видаліть файл wp-includes/wp-vcd.php, якщо він існує.
    Примітка до перших двох пунктів: перевіривши офіційний репозиторій WordPress, можна переконатися, що в стандартній комплектації обох файлів немає і вони є сторонніми.
  3. Перевірте вміст wp-includes/post.php. А саме — якщо в першому рядку присутнє щось виду:
    Для переконливості приклад, як виглядає файл post.php в стандартному вигляді WordPress — https://github.com/WordPress/WordPress/blob/master/wp-includes/post.php (зверніть увагу на рядок 1).
  4. Пункти 1-3 повинні допомогти усунути причину, по якій шкідливий код може з’являтися в файлах functions.php після видалення. Залишилося перевірити functions.php кожної встановленої теми. Найкращий спосіб — спробувати перевстановити тему, якщо є можливість. В іншому випадку — наведемо приклад зараженого файлу: https://gist.github.com/alexandrpaliy/b3bb8a19433478fe32414895ad641709 — зовнішній вигляд рядка 3 з даного прикладу є типовою ознакою, що functions.php заражений. В такому випадку — видалити потрібно весь блок <?php … ?>, В якому зустрічається рядок 3:
    Висловлюючись трохи простіше, видалити потрібно все з початку файлу і до першого сполучення символів ?>. В даному прикладі — це рядок 100. У підсумку очищений файл буде мати такий вигляд: https://gist.github.com/alexandrpaliy/95663f8dc1186cf6e4a6b725c397781b
  5. Є відомості, що, в деяких випадках вірус крім модифікації файлів також намагається створити нового користувача адмін-панелі сайту, надаючи йому права адміністратора. Тому, має сенс перевірити в базі даних таблицю users (найчастіше — wp_users), і якщо в ній присутні незнайомі вам користувачі — рекомендується видалити їх, видаливши відповідні рядки таблиці.
Зміст