Как обезопасить сайт на wordpress от взломов Malware?
Привет!
Столкнулся с такой проблемой и не могу понять, как его решить.
Сайт у меня wordpress + woocommerce. Уже второй раз его умудряются взломать. Создают пользователя с правами администратора, заливают в плагины "левый" плагин, вставляют свои кода с переадсресацией на фишинговый сайт в Index.php и изменяют wp-includes/js/jquery/jquery-migrate.min.js? и wp-includes/js/jquery/jquery.min.js?ver=3.6.4
Менял все пароли и явки, менял адрес админ панели, обновлял все до послденей версии, проверял права доступа к файлам на сервере - все равно сайт продолжают ломать.
Подскажите,пожалуйста, куда смотретьгде править, чтобы избавить от этой напасти?
p.s У меня 4 сайта одинаковых. Т.е один и тот же шаблон сайта, набор плагинов. Разная лишь тематика. НО взламывают только один из них, остальные не трогают.
Так же прилагаю скриншоты
Дополнительно:
См https://ru.stackoverflow.com/questions/777029/%D0%...
Ответы:
"Дырок" основных не так много.
а) Если речь о виртуальном хостинге – то это первая вероятная дырка. Через шелл или БД.
б) "Нулленый" шаблон или просто кривой шаблон. Их краулерами обнаруживают те, кто знает об уязвимости или сам "закладочку" вкрячил.
в) Плагины.
Попробуйте Wordfence установить. Как минимум, "закладки" в плагинах и шаблонах он находит. А на сайте у них информации по уязвимостям и проблемным шаблонам/плагинам - море. Я бы с этого начал.
Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.
Пока нет других ответов. Будьте первым, кто поможет автору.
Ответить на вопрос
Если злоумышленник создаёт администратора, кладёт левый плагин и меняет файлы ядра WordPress, это уже не «поставить ещё один защитный плагин», а полноценное лечение взлома. Простая смена паролей не помогает, если на сайте остался бэкдор, заражённый плагин, доступ по FTP/хостингу или вредоносный код уже попал в резервные копии.
wp-includesиwp-admin.wp-content/uploadsна PHP-файлы и исполняемые скрипты.Для первичного сканирования можно использовать Wordfence, Sucuri Scanner, NinjaScanner, ImunifyAV на хостинге. Но плагин не заменяет ручную чистку: если права администратора уже создаются повторно, нужно искать точку входа.
Минимальные меры после чистки: уникальные пароли, 2FA для админов, запрет редактирования файлов из админки, актуальные версии PHP/WP/плагинов, удаление неиспользуемых тем и плагинов, права файлов обычно
644, папок755. Вwp-config.phpможно добавить:define('DISALLOW_FILE_EDIT', true);
Если ломают только один из четырёх похожих сайтов, сравните именно отличия: домен, хостинг-аккаунт, активные пользователи, формы, загрузки файлов, платёжные модули, версия темы, дополнительные плагины и даты изменения файлов. Скорее всего вход находится не «в WordPress вообще», а в конкретном компоненте или доступе этого сайта.