Взлом редиректа WordPress – не могу найти, как это сделать

Вопрос или проблема

У меня есть небольшой сайт на WordPress, и он начал перенаправлять меня туда, куда никогда не должен был. Я проверял контрольные суммы с помощью wp core verify-checksums и то же самое для плагинов. Проблема в том, что внешние проверщики перенаправлений не находят ничего, потому что перенаправление происходит только когда я вхожу в систему. После входа в систему устанавливается плагин (sabai, sabai-discuss) ultr-seo-processor-wp.zip, который я не устанавливал, и я не могу понять, как это возможно, если контрольные суммы проверены? Я купил и также модифицировал друг много лет назад тему (Unicorn 2.1.3) и один платный плагин, хотя он не проверяется по контрольным суммам, тема является основным подозреваемым, потому что давно не обновлялась. Может быть, кто-то из вас уже сталкивался с этой проблемой, это не похоже на личную атаку, и этот сайт не такой уж популярный для этого. Существуют ли оффлайн-сканеры, которые будут работать без запущенного веб-сервера? Если я не смогу найти лучшее решение, я подумываю избавиться от темы, но sabai и sabai-discuss являются критически важной частью, поэтому я ищу решение, чтобы очистить то, что они вставили, но я не знаю, как это найти. Я хотел бы сохранить измененную тему, потому что она работает очень хорошо, и все к ней привыкли, поэтому как мне подойти к поиску того, что они добавили. Я предполагаю, что в теме в админ-панели есть некоторые вызовы к API WordPress, они вызывают установку плагина, что искать с помощью grep? Основная надежда здесь заключается в том, что это автоматизированный хак, с которым кто-то из вас уже сталкивался в своих проектах. Я нашел некоторые файлы с названиями “hidden.php”, которые были добавлены хакером, и удалил их, но проблема остается, поэтому я прошу совета, на что обратить внимание. Я также проверил временную метку свежезагруженного zip-файла ultra-seo-processor-wp.zip и просмотрел логи nginx, не было запросов, кроме меня, входящего в админ-панель, так что я думаю, что в какие-то файлы темы должны быть добавлены вызовы API WP, пожалуйста, направьте меня в правильное направление. Спасибо.

Ответ или решение

К сожалению, ваш сайт на WordPress стал жертвой взлома, который вызывает нежелательные перенаправления. Это может быть сложной задачей для решения, особенно если стандартные проверки не выявили никаких нарушений. В этой статье мы рассмотрим основные шаги, которые помогут диагностировать и устранить проблему.

1. Анализ проблемы

Первым делом необходимо понять, как именно происходит перенаправление, когда вы входите в админ-панель. Хакеры часто внедряют вредоносный код в темы или плагины, что позволяет им устанавливать дополнительные ненужные плагины, такие как ultra-seo-processor-wp.zip. Причиной таких действий могут быть старые версии тем или плагинов, которые содержат уязвимости, либо требования к доступу через API.

2. Проверка тем и плагинов

Проверка тем:

• Поскольку ваш сайт использует устаревшую версию темы Unicorn 2.1.3, рекомендуется временно переключиться на стандартную тему WordPress, например, Twenty Twenty-One. Это позволит определить, связано ли перенаправление с темой или с чем-то другим.

Проверка плагинов:

• Проверьте плагины, установив их заново. Если есть плагины, не прошедшие проверку контрольных сумм, удалите их и замените на актуальные версии.
• Убедитесь, что в коде плагина sabai и sabai-discuss нет45 дополнительных или подозрительных вызовов к WordPress API, которые могли бы установить или активировать вредоносные плагины.

3. Работа с кодом

Используйте следующие команды для поиска подозрительных вызовов:

• Используйте инструмент grep, чтобы найти все вызовы функции wp_remote_request() или другие функции, так как они могут вызывать нежелательные установки:

  grep -r "wp_remote_request" wp-content/themes/your-theme-name/
  grep -r "wp_remote_post" wp-content/themes/your-theme-name/

• Кроме того, ищите элементы в коде, содержащие строки вроде exec, shell_exec, eval, base64_decode, так как они используются для выполнения удаленного кода.

4. Логирование и аудит

• Проверьте журналы сервера (например, nginx), чтобы выявить любые подозрительные действия, особенно те, которые происходят сразу после вашей авторизации.
• Если вы обнаружили файл hidden.php, это может указывать на то, что хакер использовал его для установки дополнительного кода. Поискайте другие скрытые файлы.

5. Использование оффлайн-сканеров

Если вы хотите выполнить более детальный аудит кода, вы можете использовать оффлайн-инструменты, такие как:

• Wordfence — плагин для удаления вредоносного кода и восстановления.
• MalCare — еще одно решение для сканирования и устранения вредоносных программ.

6. Удаление вредоносного кода

Убедитесь, что вы сделали резервную копию всех файлов и базы данных перед началом удалений. После этого ознакомьтесь с обнаруженными подозрительными файлами и удалите их с сервера.

7. Обновления и безопасность

После очистки системы удостоверьтесь, что вы:

• Обновили все плагины и тему до последней версии.
• Настроили автоматические обновления для WordPress и плагинов.
• Установили плагины безопасности, такие как iThemes Security или Sucuri.

Заключение

Надеемся, что эти шаги помогут вам восстановить ваш сайт и справиться с проблемой нежелательных перенаправлений. Убедитесь, что вы следите за безопасностью своего сайта и регулярно выполняете резервное копирование данных. Если проблема продолжает возникать, возможно, стоит рассмотреть возможность обращения за профессиональной помощью к специалистам в области кибербезопасности.