Приветствую о отчаявшийся веб админ или же любой кто интересуется темой. Довольно часто, если сайт под wordpress был без присмотра и уже тем более без дополнительной защиты в виде плагинов или же иной защиты, сайт заражается всякой дрянью. Сам лично столкнулся с этим и надуюсь мой опыт поможет и Вам.
И так если вы обнаружили у себя на сайте какие то левые ссылки, блоки рекламы то это скорее всего вирус с содержимым wp_vcd в файле functions.php вашей темы. Как же удалить и лечить от вируса сайт. Для этого необходимо выполнить нижеописанные шаги: Первое что необходимо сделать, установить плагин Wordfence, если такого у вас нет рекомендую его установить, плагин платный но оно стоит своих денег, как раз он и поможет Вам найти вирус в вашем коде, после чего можно будет убрать его вручную, если плагин не способна лечить её, как было как раз в моем случае. Устанавливаем плагин и переходим в раздел Scan.
Нажимаем кнопку START NEW SCAN, после чего плагин даст Вам результат сканирования и покажет где проблема. Если кнопка «Repair» будет доступна, нажимаем и плагин сам лечит файл и удалит вирус. Если кнопки нет то необходимо будет удалить вредоносный код вручную.
Конкретно в нашем случаи с wp_vcd плагин дал результат с куском кода: $div_code_name=»wp_vcd» в очень важном файле functions.php активной темы. Открываем этот файл /ваш_сервер/wp-content/themes/ваша_тема/functions.php и видим в самом начале файла (в шапке) кода начинающийся с:
<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘f3a06f4057df05842d77ff062f7231e2’))
{
$div_code_name=»wp_vcd»;
Все что необходимо сделать так это удалить этот большой кусок кода. Итак выделяем код начиная с if (isset($_REQUEST[‘action’]) и до куска кода с комментарием: //$end_wp_theme_tmp, кстати какой «хороший вирус» прям говорит нам что мол вот здесь мой код заканчивается, что и в правде так)
После удаления данного кода, еще раз запустите сканирование в Wordfence и он больше не видит данный вирус, что означает что он удален и вот нам счастье.
Также конечно крайне рекомендую поменять пароль на более сложный, так как раз вирус смог внести изменения в коде, он запросто взломал нам пароль и получил доступ к сайту.