Как проверить вордпресс на вредоносный код. Ищем и убираем вредоносный код на WordPress. Как активировать форматирование trac

  • А на гуглофейкер даже не тратьте время.

    гугловский инструмент, при всех его недостатках, умеет то, что остальные не умеют — например, определить, что картинки на сайте выводятся не в своем размере. это когда в виде миниатюрки 100×100 выводится картинка 1000×1000, ужатая браузером до 100×100.

    я буквально на днях чинил кривую тему клиента именно по этому поводу. там в сайдбаре выводились миниатюрки 110×82 — но картинки туда запихивались оригинальные, полноразмерные.

    плюс ко всему — какой еще инструмент покажет вам, что ваши картинки сильно не оптимизированные? когда png файл можно без потери качества ужать с 500kb до 45kb — это весьма важная информация.

    ну вот зачем вы опять ерунду советуете?

    а теперь покажите мне, каким другим инструментом можно определить такие очевидные косяки сайта?



    https://i.imgur.com/tOZcemv.jpg
    https://i.imgur.com/fEarWYT.jpg
    и тд.. Надеюсь, достаточно.

    Flector , Если бы Вы пользовались нормальными инструментами (а не потребляли разные гуглофейки) — этих бы вопросов просто не было бы.
    Все выше указанные дают информации на 3 порядка выше и полезней чем этот гуглофейк. Реально нужной и полезной инфы.

    Все выше указанные дают информации на 3 порядка выше и полезней чем этот гуглофейк. Реально нужной и полезной инфы.

    мне не нравится инструмент от гугла хотя бы тем, что его собственные сервисы им не руководствуются. но очевидные вещи вроде картинок он показывает идеально. ну там еще gzip, браузерное кэширование и тд — то есть самое очевидное.

    и я предпочитаю смотреть именно гугл, так как только его оценка и важна. какая разница, что будут показывать посторонние сервисы, если гугл все равно будет руководствоваться своей собственной оценкой?

    Проверьте свой, где картинки неправильно вставленные. Какие проблемы-то?
    Мне с трудом удалось отыскать что-то подобное, чтобы скрины снять.

    так как только его оценка и важна.

    Кому важна? Только не говорите что гуглу 🙂

    А да, оценка. получить 100/100 — нет никаких проблем. Но вот для сайта это катастрофа.

    А да, оценка. получить 100/100 - нет никаких проблем. Но вот для сайта это катастрофа.

    ну подсунули вы гуглу 503 ошибку, в чем смысл то?
    это же не решение проблемы.

    и да — оценка гуглу важна.
    не знаю насколько, они такие цифры не раскрывают — но было бы глупо делать сервис, от которого ничего не зависит, не так ли?

    PS да и даже, если гуглу плевать на свою собственную оценку — это же в первую очередь надо для самого вебмастера, а не для гугла. если у вебмастера не включен gzip, браузерное кэширование и картинки не в своем размере — это надо исправлять.

    и незачем исправлять то, что гугл не считает важным (это я про оценки других сервисов) — просто пустая трата времени будет.

    и да - оценка гуглу важна.

    Научитесь всё же анализировать выдачу.

    но было бы глупо делать сервис, от которого ничего не зависит, не так ли?

    Я Вам открою страшную тайну — гуглосервисы (и не только гугло) давно делаются не для людей. Сколько сервисов того же гугла кануло в лету? Сколько реально полезного было, а потом исчезло? Давно прошли времена, когда гугл что-то делал для людей. Бигдата, да.

    это же в первую очередь надо для самого вебмастера,

    Для вебмастера есть дейсвительно полезные и нужные вещи. А на разный хлам нечего тратить время. (если Вы не заметили — они и гуглопопугаев тоже показывают)

    какая волшебная отмазка — научитесь анализировать выдачу.

    ок — я вам также отвечу — научитесь анализировать выдачу. при всех прочих равных (абсолютно одинаковые факторы ранжирования — от ссылок до ПФ) первым в выдаче будет сайт с наибольшей оценкой от гугла.

    не верите? ну ваше право.
    протестировать подобное все равно не получится — равных сайтов не существует.

    это в любом случае неважно — потому что оптимизация делается не столько для гугла, сколько для своих собственных посетителей. как с теми же картинками, когда вебмастер вставляет в качестве миниатюры 5Mb картинку.

    в чем смысл то?

    В «важности» гуглопопугаев.

    какая волшебная отмазка - научитесь анализировать выдачу.
    прям аргумент на все случаи жизни.

    Если Вы что-то заявляет про ПС, именно выдача — это единственно верное доказательство.

    протестировать подобное все равно не получится - равных сайтов не существует.

    Причем тут разные? Вы даже у сайтов из выдачи не можете проверить гуглопопугаи? Там и 50 и даже 30 вполне себе в ТОП10 сидят.

    он всего лишь один из тысяч факторов ранжирования. поэтому я и говорил про «равные» (не разные) сайты — только в этом случае можно убедиться в том, что гуглопопугаи работают.

    у фейсбука может быть оценка «0» по гуглопопугаям — но он все равно будет ТОП1 по запросу «фейсбук». это как бы очевидно.

    Google PageSpeed Insights имеет только один плюс — отдельный анализ выдачи для декстопа и мобильных, в остальном он плох тем же, чем и вечно недовольная сварливая жена 😀 Занижает оценку, придирается к тому, что невозможно исправить (ресурсы с других доменов, включая те же гуглы)
    Аналогов ему полно, проблемы сайта-конфигурации анализируют очень многие сервисы,
    я специально не дала ссылку в начале темы на Pingdom например, мне больше нравится Webpagetest, разница только в виде, как подается результат, и субъективном удобстве.
    Плохо пожатые картинки тоже многие находят, вопрос только в том, скинуть 10 попугаев и выдать что — картинки у вас на сайте совсем не оптимизированы из за 1 байта разницы…
    Взять тот же GTMetrix , там есть оценка по PageSpeed алгоритму и Yslow,
    причем сайт имеющий 95% PageSpeed может на Insights быть «дном» неоптимизированным, это действительно их проблема и они делают этим проблемы другим, особенно тем, кто не может анализировать смысл оценок и результаты.
    Сайт хороший, оптимизированый, а на G PS I — «ой все плохо»

    а вы правда считаете, что эти самые «гуглопопугаи» это самый важный на свете фактор ранжирования?

    Я считаю, что это попугаи. Никаких полезных данных они не дают. А к скорости загрузки вообще никаким боком (какой-такой pagespeed? С самого названия сервиса — фейк). Скорость измеряется не в гуглопопугаях, а в бит/сек.
    Что же до ранжирования — если сайты в ТОП10 имеет 30гуглопопугаев, то какой от них смысл вообще?
    Вот как-то так.

    только в этом случае можно убедиться в том, что гуглопопугаи работают.

    Работают НЕ попугаи, а все факторы. 90% из которых в этом гулофейке нет, а 90% из того что есть — бред сивой кобылы.
    Единственная польза от него для ламерв — можно скачать оптимизированную графику. Но только графику, а не стили и скрипты.

  • Тема «Проверка сайта на ошибки» закрыта для новых ответов.

Представим, что Вы выводите записи и нужно изменить внешний вид в зависимости от рубрики. Например, у Вас есть блок "ОБ АВТОРЕ" который выводит информацию об авторе статьи, но вы не хотите видеть этот блок например под записями из рубрики в которой это не нужно. Так же можно отключать комментирование в определенных рубриках, вывод миниатюр и тд. Все зависит от Ваших нужд и фантазий. Лично я очень часто пользуюсь таким условием.

Чтобы отфильтровать записи в зависимости от рубрики поможет функция - in_category() . Данная функция делает проверку на то принадлежит ли текущая или заданная запись к нужной рубрике, ну или нескольким рубрикам. Чаще всего данная функция выводится в файле single.php , потому как он и отвечает за вывод записей.

Простейший способ использования функции, будет выглядеть примерно следующим образом. Добавляем данный код в файл single.php, при необходимости заключаем в PHP теги.

PHP теги выглядят так:

Если у Вас в теме используется в основном HTML код, то вставляйте код приведенный ниже без изменений. Если используется в основном PHP, то теги в которые заключен код можно удалить.

В данном коде мы задали условие, что если текущая запись принадлежит к рубрике с ID - 12, то нужно что-то вывести. То что хотите, добавляете внутрь фигурных скобок. Это должен быть PHP код, если это сложно и нужно добавить HTML код, то разорвите код теми же PHP тегами и код станет таким:

//сюда пишем обычный HTML код или просто текст.

Чтобы определить айди рубрик, нужно в админке перейти в список рубрик и навести курсором на нужную. Внизу окна браузера с правой стороны появится ссылка внутри которой будет что-то типа ID=1, то есть айди этой рубрики 1.

Если Вам нужно указать несколько рубрик, то укажите их через запятую. Так же Вам может быть нужно создать условие "ЕСЛИ - ТО", тогда код будет примерно таким:

Представьте, что Вам нужно выводить в рубрике 12 миниатюру записи, а в остальных записях из других рубрик - первую картинку из текста. Такое бывает и как это сделать? С помощью приведенного кода Выше. Про вывод первого изображения из записи можно прочитать в статье -

Теперь хочу показать еще одну возможность, которую можно добавить к данной функции. Так бывает что у рубрик есть подрубрики, то есть дочерние категории. И если запись принадлежит к одной из подрубрик, то условие обойдет ее. Если Вам это и нужно, то можете ничего не трогать, но вот если, все же условие должно работать и на подрубрики, то нужно добавить к условию дополнение. Для начала в само условие нужно добавить такую часть - || post_is_in_descendant_category(12) . Это вызов нашей новой функции, которая будет осуществлять проверку по подрубрикам. Готовый код станет таким:

Чтобы новая функция начала работать, нужно добавить сам код этой функции, то есть ее нужно написать. Для этого, найдите в папке с активной темой файл function.php , в котором находятся пользовательские функции. Добавлять код, если вы не знакомы с PHP, нужно в самый конец файла, но если там есть закрывающий PHP тег - ?> , то добавлять нужно перед ним. Сам код выглядит так:

Function post_is_in_descendant_category($cats, $_post = null) { foreach ((array) $cats as $cat) { // get_term_children() accepts integer ID only $descendants = get_term_children((int) $cat, "category"); if ($descendants && in_category($descendants, $_post)) return true; } return false; }

Если все сделано правильно, то ваше условие будет отбирать записи по определенным рубрикам и их подрубрикам.

Давненько начал писать данную статью, да все руки не доходили закончить, то одно, то второе перебивало. Наконец-то статья окончена и возможно многим поможет решить вопрос.

На этом все, спасибо за внимание. 🙂

Прежде, чем разбираться, как очистить сайт WordPress, необходимо понять, а с чем, собственно, мы будем иметь дело. В широком смысле понятие “вирус” обозначает вредоносное программное обеспечение, способное нанести тот или иной ущерб владельцу веб-ресурса. Таким образом, в эту категорию можно отнести практически любой код, встроенный злоумышленниками в скрипты движка. Это могут быть скрытые ссылки, приводящие к пессимизации в поисковой выдаче, бэкдоры обеспечивающие хакеру админский доступ, или сложные конструкции, превращающие площадку в узел зомби-сети, и даже майнер биткойнов. О том, как выявлять и устранять вирусы разнообразного калибра, а также защищаться от них, мы и поговорим.

Многие советы, упоминавшиеся в предыдущих статьях, способны уберечь сайт от инфицирования. Например, «заразу» можно встретить в пиратских шаблонах и плагинах, полный отказ от подобного рода компонентов — важный шаг с точки зрения безопасности. Однако существует и ряд более специфических нюансов.

1. Установите надежный антивирус

Вредоносная программа может быть внедрена не только извне — источником заражения вполне способен оказаться компьютер, с которого осуществляется администрирование проекта. Современные трояны могут не только похитить пароль от FTP, но и самостоятельно загрузить исполняемый код, или модифицировать файлы CMS, а значит, от защищенности вашей рабочей машины напрямую зависит сохранность веб-ресурса.

IT-рынок предлагает множество антивирусов. Тем не менее, наиболее разумный выбор — продукты крупных компаний:
● Среди отечественных лидирующие позиции занимают предложения лаборатории Касперского и Dr. Web.
● В числе зарубежных коммерческих решений можно выделить линейку Norton от корпорации Symantek и популярный ESET NOD;
● Если же говорить о бесплатных вариантах, то здесь безоговорочно лидируют Avast и Comodo.

2. Сканируйте сайт с помощью онлайн-сервисов

При обнаружении подозрительной активности (ошибки движка, тормоза, появление всплывающих окон и сторонних баннеров), самое простое, что можно придумать — прогнать ресурс через онлайн-сканер, способный определить факт заражения. Бесспорным лидером здесь является VirusTotal, расположенный по адресу virustotal.com. Чтобы им воспользоваться, достаточно перейти на вкладку “URL-адрес”, вбить интересующую ссылку и нажать на кнопку “Проверить!”

Через некоторое время система выдаст отчет следующего содержания:

Следует уточнить: VirusTotal — не независимый проект, а своеобразный агрегатор антивирусных сканеров. В связи с этим появляется возможность проверить WordPress на вирусы одновременно в 67 системах. Несомненным преимуществом является подробный отчет, в котором приводятся данные по всем поддерживаемым сервисам. Ведь антивирусы очень любят бить ложную тревогу, так что даже если показатель выявления отличается от идеального (например, 3/64), это еще не значит, что ресурс заражен. Ориентируйтесь, прежде всего, на крупных игроков (Kaspersky, McAfee, Symantec NOD32 и другие), небольшие конторы часто определяют те или иные участки кода, как опасные — не стоит принимать это всерьез!

3. Используйте Яндекс.Вебмастер

Вы наверняка обращали внимание, что некоторые ссылки в поисковой выдаче снабжаются предупреждающим сообщением: “Сайт может угрожать вашему компьютеру или мобильному устройству”. Дело в том, что поисковик имеет собственные алгоритмы обнаружения вредоносного кода, оповещая пользователей о потенциальном риске. Чтобы быть в курсе происходящего и получать уведомления первым, достаточно зарегистрироваться в сервисе Вебмастер. Посмотреть всю необходимую информацию можно на вкладке “Безопасность”:

В случае обнаружения угрозы, здесь будут выводиться сведения о зараженных страницах. К сожалению, избирательная проверка WordPress на вирусы невозможна — Яндекс осуществляет сканирование самостоятельно, к тому же, в выборку попадают отнюдь не все загруженные веб-документы, а лишь их часть, определяемая случайным образом.

4. Сверяйтесь с отчетами Google

Самая популярная поисковая система в мире предлагает еще более простой способ мониторинга — достаточно перейти по ссылке google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru, и вбить адрес интересующего сайта в соответствующее поле. Вы получите исчерпывающие данные по ресурсу, и увидите, имеются ли у Гугла какие-либо претензии с точки зрения обнаружения вредоносных скриптов:

Как почистить сайт Водпресс от вирусных ссылок?

От общих рекомендаций перейдем к частным. Начнем же с распространенных вариантов вредоносного кода — внедрения посторонних URL и редиректов на целевой веб-ресурс. К сожалению, черное СЕО все еще популярно, а значит и хакеры не сидят без дела, благо эта задача — одна из самых простых. Давайте разбираться по порядку.

1. Редирект на сторонние ресурсы

Представьте ситуацию: вы заходите на собственный сайт, однако вас тут же перекидывает на очередной каталог “досуга”, или лэндинг, предлагающий заработать на Форекс. Почти наверняка это означает, что веб-ресурс был взломан, а в.htaccess появилось несколько новых строчек. Лечение элементарно: открываете файл, находите директивы, содержащие адрес, на который идет перенаправление, а затем удаляете их. Так, для условного malwaresite.com нужные конструкции могут быть таковы:

< IfModule mod_alias. c> Redirect 301 https: //сайт/ http://malwaresite.com/

RewriteEngine On RewriteBase / RewriteCond % { HTTP_HOST} ! ^tekseo\. su [ NC] RewriteRule ^(.* ) http: //malwaresite.com/$1

RewriteEngine On RewriteBase / RewriteCond %{HTTP_HOST} !^tekseo\.su RewriteRule ^(.*) http://malwaresite.com/$1

Более изощренный вариант — постоянный редирект, написанный на PHP. Если вы проверили , но не нашли ничего подозрительного, скорее всего загвоздка кроется в файле index.php. Перенаправление здесь осуществляется путем отправки посетителю нужных заголовков:

include("redirect.php"); exit();

Запомните — в оригинальном index.php таких фрагментов не встречается, так что можете смело удалять их все. Также найдите и ликвидируйте подключаемый файл (в нашем примере это будет redirect.php, расположенный в корневой папке).

Более хитрый ход — редирект для мобильных гаджетов. Заходя на свой ресурс с персонального компьютера, вы никогда не выявите факт заражения, однако пользователи смартфонов и планшетов будут неприятно удивлены, попав на другую страничку. Такое перенаправление можно реализовать:

1. .htaccess
Наиболее простой способ, который без труда вычисляется. Устройство определяется по предъявляемому User Agent. Выглядеть может так:

< IfModule mod_rewrite. c> RewriteEngine on RewriteBase / RewriteCond % { HTTP_USER_AGENT} ^.* (ipod| iphone| android) .* [ NC] RewriteRule ^(.* ) $ http: //malwaresite.com/

RewriteEngine on RewriteBase / RewriteCond %{HTTP_USER_AGENT} ^.*(ipod|iphone|android).* RewriteRule ^(.*)$ http://malwaresite.com/

2. PHP
Похожим образом редирект реализуется и на PHP. Конструкцию, указанную ниже, можно найти в индексном файле. Опять же не забываем о вездесущих include:

3. JavaScript
Здесь идет проверка разрешения экрана, если ширина составляет 480 пикселей, или менее, посетителя перебрасывают на вредоносный сайт. Если на вашем проекте используется аналогичный метод, обязательно проверьте этот блок на предмет изменения адреса.

< script type= "text/javascript" > if (screen. width