В один момент мой сайт (работает на движке wordpress) сильно потерял позиции в поисковой выдаче. В то время над сайтом проводились серьёзные работы по устранению ненужных ссылок, закрытию определённых страниц и много прочего. Потому определить настоящую проблему выпадения запросов из топа получилось далеко не сразу. Виновен был wp-vcd malware.
Вирус в основном попадает на сайт через установку нуленных (пиратских) тем и плагинов. После установки такого плагина она заражает все сайты на сервере. В моём случае он заразил сразу четыре сайта, которые были расположены в разных директориях одного сервера.
Определить с каким плагином / темой он попал ко мне на сервер не удалось. Один из сайтов используется как полигон для тестирования разных штуковин и туда зачастую устанавливаются разные nulled плагины. Возможно, с одним из таких плагинов wp-vcd malware и попал ко мне.
Чем опасен wp-vcd malware?
Вирус заражает ваш шаблон и показывает рекламу (в моём случае всплывающее якобы push уведомление). Показывает он это уведомление только в мобильной версии и только пользователям, которые зашли на сайт из поисковых систем. Могу конечно ошибаться, но судя по моим наблюдениям именно так он и работает. Так что владельцу сайта выявить его крайне сложно.
Как проверить сайт на наличие вирусов?
Я рекомендую два сервиса, они оба сканируют сайт и говорят вам, если на вашем сайте обнаружено что-то подозрительное. Оба эти сервиса показали что мой сайт заражён, так что они оба рабочие.
- ReScan.pro — русскоязычный
- Sucuri.net — англоязычный
После того как я получил «критические ошибки», которые стоит немедленно устранить, оба сайта предложили свои услуги за много денег. Но паниковать не стоит, разобраться с wp-vcd malware можно и самому. Благо в этом ничего сложного нет, сейчас всё детально расскажу.
Как вылечить сайт от wp-vcd malware?
В случае с wordpress всё довольно просто, ведь умельцы сделали огромное количество полезных плагинов для этого движка. С лечением вируса нам поможет Wordfence Security, этот плагин ищет в файлах темы подозрительный код и показывает его нам. Также он сравнивает ваши файлы движка с оригинальными файлами и говорит, если были найдены отличия.
Wp-vcd malware вносит такие изменения:
- Добавляет файл wp-temp.php в папку wp-includes.
- Добавляет файл wp-vcd.php в папку wp-includes.
- Добавляет файл wp-feed.php в папку wp-includes.
- Модифицирует functions.php всех тем.
У меня в движке также был модифицирован post.php, я так и не понял, это работа вируса, котором мы говорим или другого, но файл я заменил на оригинальный. В общем, надо заменить все файлы, которые вызывают подозрения у плагина на оригинальные. Нечего оставлять заразу на сайте.
Но перейдём к wp-vcd malware. Первым делом необходимо удалить вредоносный код с functions.php вашей темы путём замены файла с локальной копии вашего шаблона. Затем удалить указанные выше файлы с папки wp-includes. На этом ваш сайт чист.
Как не наткнутся на такой вирус? Перед установкой надо проверить архив на наличие файла с именем class.plugin-modules.php — это и есть вирус.
