Dołącz do naszego zespołu - sprawdź kogo szukamy REKRUTACJA

Jak usunąć wirusa z WordPressa? – poradnik

Jak usunąc wirusa z WordPressa?
Redakcja 12 lipca 2018

Szereg korzyści, jakie oferuje nam WordPress możemy wymieniać w nieskończoność. Istnieją także pewne negatywne strony użytkowania tego CMSa. Jedną z nich są wszechobecne wirusy, ataki na serwisy czy włamania. Istnieją oczywiście zabezpieczenia, które pozwalają uniknąć niechcianych szkodników. Jeśli nie zdążyłeś się przed nimi zabezpieczyć, to właśnie w tym artykule dowiesz się, jak je usunąć raz na zawsze.

Jak rozpoznać, że strona jest zainfekowana?

Masz wrażenie, że Twoja strona chodzi wolno, dziwnie się wczytuje lub otrzymałeś ostrzeżenie w Google Search Console o podejrzeniu infekcji? Prawdopodobnie Twój WordPress jest chory i potrzebuje lekarza. Kod źródłowy może być zainfekowany przez złośliwe oprogramowanie wstrzyknięte bezpośrednio do plików CMS’a.

Najczęściej przyczynami infekcji mogą być:

  • Niezaktualizowany WordPress lub wtyczki w serwisie
  • Zbyt proste dane logowania typu admin i hasło 1234 (atak brute force)
  • Dziurawy lub niezaktualizowany motyw strony
  • Wykradzione dane dostępowe do serwera FTP lub bazy MySQL
  • Wirus wykradający dane na komputerze administratora serwisu

Najczęściej występujące objawy obecności wirusa:

  • Błędy występujące na stronie, np. coś się nie ładuje, w strukturze serwisu doklejono dodatkowe informacje lub linki
  • Ostrzeżenie o infekcji otrzymane w Google Search Console
  • Ostrzeżenie przeglądarki o tym, że strona może być zainfekowana przez złośliwe oprogramowanie
  • Nagły przyrost dziwnych podstron w serwisie
  • Nagły przyrost podstron w Google po wpisaniu parametru site:twojastrona.pl
  • Problem z zalogowaniem się do panelu administratora

Istnieją także skanery stron on-line. Możesz w nich sprawdzić swoją stronę pod kątem obecności wirusa. Niestety, nie ma pewności, że wskazane serwisy go wykryją.
Przetestować serwis można tutaj:

https://www.virustotal.com/#url

https://sitecheck.sucuri.net/scanner/

https://transparencyreport.google.com/safe-browsing/search

Jakie mogą być skutki obecności wirusa?

Pomysłowość włamywaczy nie zna granic. Co jakiś czas odkrywane są nowe dziury w skryptach, motywach i wtyczkach, a hakerzy wykorzystują je z przyjemnością. Najczęściej ataki są do siebie podobne i można przewidzieć ich skutki. Najczęstsze z nich to m.in. przekierowanie całego serwisu na inną stronę, na przykład niezgodną z prawem lub z zawartością dla dorosłych. Po takim ataku serwis może stracić nawet 100% widoczności w wyszukiwarkach i niewykluczone, że otrzyma filtr ręczny lub zostanie całkowicie zbanowany. Często zdarza się, że do kodu wstrzyknięty jest JavaScript, który generuje linki wychodzące z naszego serwisu. Jest to ciężkie do wykrycia, ponieważ nie widać ich „gołym okiem”. Szkodliwe wirusy mogą zniszczyć naszą reputację, cały serwis lub pozycje w wyszukiwarkach, dlatego warto ustawić automatyczne kopie zapasowe. Wychodzenie z filtra, który został nałożony przez Google może trwać miesiącami, a odzyskanie pełnej widoczności fraz jeszcze dłużej, dlatego działaj JAK NAJSZYBCIEJ!

Jak pozbyć się wirusa w WordPress – podstawy

Oczywiście, najpewniejszą opcją jest oddanie strony w ręce specjalistów, którzy z pewnością poradzą sobie z przywróceniem serwisu do stanu pierwotnego. Możemy także spróbować poradzić sobie sami! Pierwszą czynnością, jaką powinniśmy wykonać, to zmiana wszystkich haseł. Są to dostępy do serwera FTP, bazy MySQL a przede wszystkim do kokpitu administracyjnego. Najczęściej spotykany typ wirusa to ten doklejony do kodu źródłowego pliku. Jest zakodowany przez funkcję Base64, dlatego na pierwszy rzut oka możemy rozpoznać zainfekowany plik. Znajdziemy w nim nic niemówiący ciąg znaków, różniący się znacznie od reszty kodu. Najczęściej będzie doklejony na końcu pliku źródłowego. Najpewniejszą opcją jest przejrzenie każdego pliku z osobna (lub tych ostatnio zmodyfikowanych) i ręczne usunięcie złośliwego kodu. Jako, że WordPress zbudowany jest z tysięcy plików, taka czynność może nam zabrać naprawdę sporo czasu.

Jeśli jesteśmy przekonani, że zainfekowane są pliki źródłowe WordPressa, możemy taką czynność przyspieszyć. Wystarczy ponowna instalacja CMS’a przez kokpit admina. Opcja znajduje się w: Kokpit -> Aktualizacje -> Zainstaluj ponownie. Niestety, ten sposób nie działa w przypadku infekcji plików motywu lub wtyczek. Pewność możemy mieć tylko wtedy, gdy ponownie zainstalujemy wszystkie wtyczki oraz od nowa wrzucimy pliki motywu. Warto pamiętać o modyfikacjach wyglądu strony na motywie potomnym, który znajduje się w folderze Child. Pozwoli nam to zachować zmiany w wyglądzie nawet po uploadzie podstawowego motywu od zera.

Warto przyjrzeć się także plikom robots.txt, .htaccess oraz index.php, które znajdują się bezpośrednio w głównym katalogu strony na serwerze FTP. Bardzo często są przyczyną niechcianych przekierowań lub obniżenia widoczności w wyszukiwarkach.

Checklista usuwania wirusa

1. Sprawdź, czy strona na pewno jest zainfekowana.

2. Zmień wszystkie hasła – do FTP, MySQL i kokpitu admina.

3. Przeinstaluj pliki WordPressa.

4. Usuń (ręcznie z FTP) wszystkie wtyczki i zainstaluj od nowa.

5. Usuń (ręcznie z FTP) pliki głównego motywu i prześlij je na serwer jeszcze raz.
Ta opcja polecana jest wyłącznie dla osób, które zmieniały wygląd strony na motywie potomnym.

6. Sprawdź raz jeszcze, czy nadal występują błędy i przeskanuj stronę dostępnymi narzędziami.

7. Wszystko OK? Zrób kopię zapasową!

Przeczytaj nasz artykuł dotyczący zabezpieczeń przed wirusami w WordPress.

Na koniec warto zapoznać się ze stanowiskiem Google w temacie wirusów i już na zawsze uniknąć infekcji naszej strony. Link: https://developers.google.com/web/fundamentals/security/hacked/?hl=pl&visit_id=1-636664748609287890-747553620&rd=1