Инструкция: Полная очистка WordPress от вирусов

ШАГ 0: Подготовка (Не пропускать!)

1. Сделайте БЭКАП зараженного сайта. Звучит странно, но если в процессе чистки сайт «ляжет» окончательно, вам нужно будет откатиться хотя бы к работающей (хоть и зараженной) версии. Скачайте все файлы и дамп базы данных.
2. Режим обслуживания. Закройте сайт заглушкой (через хостинг или создав файл .maintenance), чтобы посетители не хватали вирусы в процессе вашей работы.

ШАГ 1: Замена ядра (Самый быстрый способ)

Вирусы часто модифицируют системные файлы. Искать их вручную — адский труд. Проще заменить все сразу.

1. Зайдите по FTP/SFTP.
2. В корневой директории сайта УДАЛИТЕ две папки:
   • ❌ /wp-admin/
   • ❌ /wp-includes/
   • (Папку /wp-content/ НЕ трогаем!)
3. В корне сайта УДАЛИТЕ все файлы .php, КРОМЕ:
   • ✅ wp-config.php (настройки)
   • ✅ .htaccess (если есть, но его надо проверить)
4. Скачайте свежий архив с wordpress.org.
5. Распакуйте и ЗАЛЕЙТЕ на сервер чистые папки /wp-admin/, /wp-includes/ и корневые файлы (index.php, wp-login.php и т.д.).

Итог шага: У вас гарантированно чистое ядро CMS.

ШАГ 2: Проверка конфигурации

Откройте ваш старый wp-config.php в редакторе кода.

• Что ищем: Первая строка должна быть <?php. Если перед ней или сразу после идет длинная строка кода (eval, base64, $_POST), удаляйте её.
• Сравнение: Сравните структуру с wp-config-sample.php. Лишние include или require — под снос.

ШАГ 3: Зачистка папки wp-content (Самое сложное)

Здесь живут ваши темы, плагины и картинки.

А. Плагины (/wp-content/plugins/)

• Лучший метод: Удалить всё и скачать заново свежие версии из репозитория.
• Если есть платные/кастомные плагины: Проверьте их содержимое. В папках плагинов не должно быть файлов с именами social.png.php, lock.php, config.bak.php.

Б. Темы (/wp-content/themes/)

• Оставьте только активную тему. Остальные удалите.
• Если тема покупная/бесплатная: удалите и залейте чистую версию.
• Если тема самописная: проверьте файл functions.php (там чаще всего сидит вирус WP-VCD). Также проверьте header.php и footer.php на наличие скриптов с чужих доменов.

В. Загрузки (/wp-content/uploads/) — Логово шеллов В этой папке должны быть только медиафайлы (jpg, png, pdf, docx, webp).

• Задача: Найти и уничтожить все PHP-файлы.
• Как сделать:
  • Если у вас есть доступ по SSH, выполните команду в папке uploads: find . -name "*.php" -type f -delete
  • Если только FTP: вручную ищите файлы с расширением .php (или двойным .image.php). Их там быть не должно вообще. Исключение — index.php (заглушка), но убедитесь, что он пустой.

ШАГ 4: База данных

Зайдите в phpMyAdmin.

1. Таблица wp_users:
   • Удалите всех неизвестных администраторов.
   • Смените пароль своему админу (хеш MD5).
2. Таблица wp_options:
   • Проверьте поля siteurl и home. Там должен быть ваш домен.
   • Поищите в таблице (через поиск) javascript или iframe. Хакеры часто прячут вредоносный код в виджетах или настройках темы.

ШАГ 5: Смена ключей и доступов (Финализация)

1. Ключи шифрования (Salts):
   • Откройте wp-config.php.
   • Найдите блок Authentication Unique Keys and Salts.
   • Сгенерируйте новые ключи здесь и замените старые.
   • Зачем: Это принудительно разлогинит всех пользователей (включая хакера, если у него остались куки).
2. Смена паролей:
   • База данных (в панели хостинга, потом обновить в wp-config.php).
   • FTP/SFTP.
   • Пароль от хостинг-панели.

ШАГ 6: Финальный штрих

1. Зайдите в админку.
2. Установите плагин Wordfence или Gotmls (Anti-Malware Security).
3. Запустите полное сканирование. Теперь, когда вы убрали 99% грязи вручную, сканер добьет остатки (например, если вы пропустили код внутри легального файла).
4. Если всё чисто — снимайте режим обслуживания.