Home / Tutoriale / Jak usunąć wirus z WordPressa?

Jak usunąć wirus z WordPressa?

wirus wordpress

Twoja strona nagle przestała działać i wyświetlają ci się jakieś dziwne komunikaty i nie możesz już zalogować się do panelu administracyjnego? A może zauważyłeś, że pozycja w Google bardzo spadła, a do tego po wpisaniu twojego adresu w wyszukiwarce, okazuje się, że z twojej domeny prowadzą linki do jakichś podejrzanych chińskich stron? A może otrzymałeś maila od twojego hostingu, w którym firma hostingowa informuje cię, że wyłączyła ci stronę, bo wysyłasz z niej automatyczny spam? Jeżeli jeden z poniższych symptomów dotyczy twojego WordPressa, może to oznaczać tylko jedno: masz na stronie wirusa, którego powinieneś usunąć żeby przywrócić prawidłowe działanie serwisu.

Od czego zacząć usuwanie wirusa z WordPressa?

Zacznij od sprawdzenia, czy masz zapasowe kopie strony oraz wykonaj pełną kopię witryny – plików z serwera FTP oraz bazy danych. Oznacz także kopię, że zawiera wirusa. W trakcie pracy nad stroną może zdarzyć się, że usuniesz pliki, które będą niezbędne do jej funkcjonowania, dlatego backup to podstawa.

Następnie rozpoznaj najpierw przyczynę i potencjalne źródło wirusa. Typowe wirusy wywołują następujące objawy:

  • Psują całkowicie stronę i tracisz do niej dostęp, a po wpisaniu adres wyświetla się jedynie pusta strona lub jakieś błędy,
  • Wysyłają po cichu spam, korzystając z funkcji mail() PHP – dowiesz się o tym dopiero wtedy, gdy dostaniesz mail od administracji serwera,
  • Generują podstrony z linkami, dodawane do Google. Służą one do promowania różnych nielegalnych interesów spamera, takich jak sprzedaż chińskiej Viagry. Wpisz w Google adres twojej strony w cudzysłowie – jeżeli wyświetlają ci się jakieś dziwne podstrony, znaczy że padłeś ofiarą tego szkodnika.

W zależności od typu wirusa, łatwiej ustalisz które pliki mogą być potencjalnie zawirusowane.

Wyszukujemy i usuwamy szkodnika

Typowy szkodliwy kod rozpoznasz po funkcjach eval(base64_decode()). Ta funkcja powoduje proste kodowanie instrukcji, co sprawia, że kod widoczny jest tylko jako ciąg losowych liter i przez to jest trudniej go rozpoznać. Zrzuć zawartość serwera FTP na dysk lokalny i uruchom wyszukiwanie treści plików, dostępne na przykład w Total Commanderze. Odseparuj pliki zawierające ten kod i powycinaj go z plików, a następnie przenieś je ponownie na serwer, nadpisując stare pliki. To wszystko co trzeba zrobić – i nie jest to skomplikowane, ale może wymagać sporo czasu, ponieważ każdy podejrzany plik trzeba przejrzeć. Raczej nie ma potrzeby zaglądać do bazy danych – mechanizmy jakie są stosowane przez obecne wirusy powodują, że zainfekowana zostaje tylko zawartość serwera FTP.

Co po wirusie na stronie?

Jeśli jesteś pewien, że udało ci się usunąć wirusa, zrób pełną kopię strony. Możesz to zrobić ręcznie, ściągając pliki z serwera FTP i robiąc zrzut bazy danych przez PHPMyadmin albo jeśli witryna została zainstalowana przez pakiet instalacyjny na serwerze, taki jak Softacoulus albo Installatron, zrób zrzut z tych źródeł. Zaktulizuj też WordPressa i wszystkie pluginy oraz szablony jakich używasz, korzystając z funkcji automatycznej instalacji.  Zmień hasła do WordPressa, serwera FTP, panelu hostingowego. Następnie zaglądaj co jakiś czas do zainfekowanych wcześniej plików i monitoruj stan witryny. Warto przy tej okazji dodać ją do Google Webmaster Tools, które poinformuje cię, jeśli wyszukiwarka wykrywa generowanie spamu z twojej strony. Może się zdarzyć, że pozostawiony w jakimś pliku wirus zregeneruje się po tygodniu-dwóch i dlatego warto wiedzieć co się dzieje. Jeśli twój dostęp do witryny został wyłączony przez firmę hostingową, poinformuj ją w mailu, a włączą ponownie dostęp. Zainstaluj także na urządzeniach z których łączysz się z serwerem FTP i panelem administracyjnym bezpłatnego antywirusa (polecam bezpłatny AVG, ale może być dowolny inny).

Nie udało ci się usunąć wirusa i twoja strona WordPress nadal jest zawirusowana? Napisz, spróbujemy wspólnie znaleźć rozwiązanie.

Dodaj komentarz

E-mail nie będzie opublikowany. Required fields are marked *

*