Последние три дня я почти не отвечал на письма и не писал ничего нового на блог. Так получилось, что я совершенно случайно нашёл на своём блоге вирус.
Скажу сразу, подписчикам волноваться не нужно.
Я и сам нашёл этот вирус случайно, когда начал заниматься темой работы сайтов на WordPress в браузерах смартфонов, для второй версии курса «WordPress Функционал».
Открыл свой блог в своём iPhone и увидел, что главная страница блога перенаправляет на совершенно незнакомый сайт br-update.com , где настоятельно просят загрузить обновления безопасности для браузера.
Опасность была, но минимальная.
В первых вирус был рассчитан на узкую категорию пользователей смартфонов, простом браузере он никак не проявлялся. А пользователи моего блога в основном заходят с обыкновенных компьютеров. Смотрел в статистике. Те, кто захаживает со смартфонов, продвинутые пользователи и вряд ли поведутся на такой развод
Во вторых чтоб вирус сработал, нужно было загрузить и установить, типа обновление браузера, которое при установке предупреждало, что Вы должны доверить отправку смс и звонков этому приложению. Тут уж совсем сомнительно найти человека который разрешил отправку смс со своего телефона кому либо, тем более программе.
Хотя бывает всякое.
Я начал рыть блог.
Сначала я проверил его через всевозможные службы типа этой //www.google.com/safebrowsing/diagnostic?site=infomaster.su&hl=ru
Спрашивал и Каспера и у Яши.
Но все говорили, что мой ресурс кристально чист и беспокоится нечего. Но я-то видел, что индексная страница ведёт не туда, куда нужно.
Да и потом когда сами Гугл и Яндекс найдут вирус и исключат из поиска тогда хуже будет.
Короче я начал действовать по чёткой схеме.
Как я ловил вирус на сайте.
Сначала я спросил у Яндекса, была ли такая проблема у кого либо. Проблем с вирусами у всех было валом, но такой я не нашёл.
Только Каспер при переходе на сам сайт вредитель выдал мне своё предупреждение.
Короче я понял, что придётся бороться самому. Напишу, как действовал, возможно, кому поможет.
Второй шаг в ловле вируса.
Я открыл файл .htaccess и поискал там код перенаправления, но там был только стандартный код, что прописывается для ссылок ЧПУ.
Третий шаг в ловле вируса.
Далее я исключил шаблон.
Да, я знаю, что я сам его писал, но если какая либо падла влезла она могла изменить код везде где угодно.
Чтоб не копать код шаблона, я просто переключил на стандартный и посмотрел результат.
Редирект на сайт вредитель не ушёл.
Четвертый шаг в ловле вируса.
Я отключил и удалил те расширения и плагины которые больше не использовал на блоге.
Гад — редирект по-прежнему присутствовал.
Поиск затруднялся тем, что я работал на компьютере, который стоит на втором этаже, моего дома. А сеть Wi—Fi, через которую я заходил в Интернет со смартфона туда добивает слабо и мой iPhone брал ее через раз.
Мне приходилось каждый раз бегать вниз и проверять, как загрузился сайт.
Короче борьба шла, а редирект злосчастный br-update.com не пропадал.
Пятый шаг в ловле вируса.
Далее я стал по очереди отключать все плагины, даже те которым доверял на 100%.
Перенаправление упорно работало.
Тогда я проверил на всякий случай остальные свои сайты. Вирус нашёл ещё на двух.
Это тестовый info-m.pro, на котором тестирую все, что хочу поставить на блог и сайт моей фирмы www.vtor.com.ua.
Все эти три сайта находились в аккаунте одного пользователя. Значит был взломан, пользователь и негодяй проник к сайтам по FTP.
Пятый шаг и первая победа над вирусом.
Сайт свои фирмы давно хотел переделать потому, просто снёс все файлы, залил новую версию WordPress и подключил старую базу.
Сайт заработал и никаких вирусов на нем уже небыли. Первая победа над редирект ом была одержана.
Получалось что вирус в самой сборке WordPress. Вернее туда вписан.
Я посмотрел на дистрибутивы движка и заметил, что с развитием в нем стало меньше файлов.
Посмотрите на скриншот внизу это дистрибутивы второй (слева) третей (справа) сборок WordPress.
Когда мы обновляем движок, мы заменяем все файлы кроме файла конфигураций, .htaccess и robots.txt
В них я ничего не нашёл.
И выясняется, что есть ещё куча файлов, которые WordPress при обновлении не трогает.
Может я, и ошибаюсь, но ворошить эти файлы я не стал.
Я просто снёс их все обновил остальные и сайт заработал даже быстрее.
Редирект ушёл я, наконец, вздохнул спокойно.
Может я в чем то ошибаюсь, с вирусом на сайте боролся впервые, но вот так я его одолел.
А вообще желаю вам избежать подобных болячек, с этим геморроем я провозился почти три дня.
Мог бы что то полезное сделать, так нет же!
Буду рад читать ваше мнение в комментариях.