Чек-лист по “лечению” WordPress

ЭТАП 1: Внешняя проверка (Симптомы)

Сделайте это в режиме «Инкогнито», чтобы сайт не распознал вас как администратора (многие вирусы прячутся от админов).

• Проверка редиректов (перенаправлений):
  • Зайдите на главную страницу сайта.
  • Кликните по 3-5 случайным ссылкам (меню, статьи).
  • Что ищем: Не перебрасывает ли вас на сторонние сайты (казино, выигрыши призов, 18+)?
• Мобильная проверка:
  • Зайдите на сайт со смартфона (обязательно через мобильный интернет, а не тот же Wi-Fi).
  • Важно: Многие мобильные редиректы срабатывают только для телефонов.
• Проверка в Google/Яндекс:
  • Введите в строку поиска команду: site:вашдомен.com (замените на ваш адрес).
  • Что ищем: Нет ли в результатах странных страниц с иероглифами, ссылок на «Виагру» или заголовков на иностранных языках, которых вы не писали.
• Визуальный осмотр:
  • Нет ли в «подвале» (footer) или шапке сайта чужих ссылок, баннеров или кнопок, которые вы не ставили?

ЭТАП 2: Проверка внутри Админ-панели

Зайдите в консоль WordPress.

• Раздел «Пользователи» (Критически важно!):
  • Отфильтруйте список по роли «Администратор».
  • Что ищем: Есть ли там незнакомые пользователи? (Частые имена ботов: wp_update, admin123, hostadmin или бессмысленный набор букв). Если есть — удаляйте немедленно.
• Раздел «Плагины»:
  • Проверьте список установленных плагинов.
  • Нет ли плагинов, которые вы не устанавливали?
  • Нет ли плагинов с названиями, похожими на системные, но странными (например, WP-Core-System или просто 123).
  • Действие: Удалите все отключенные и неиспользуемые плагины.
• Раздел «Темы»:
  • Оставьте только одну активную тему. Все остальные (кроме одной дефолтной, например, Twenty Twenty-Four, на случай сбоя) — удалите. В старых неактивных темах часто прячут шеллы.
• Настройки -> Общие:
  • Проверьте поля «Адрес WordPress» и «Адрес сайта». Они должны совпадать с вашим доменом. Хакеры иногда меняют их для перенаправления.

ЭТАП 3: Техническая и файловая проверка

Для этого потребуется доступ к файловому менеджеру хостинга или FTP.

• Файл wp-config.php (в корне сайта):
  • Откройте его для просмотра.
  • Сравните его структуру со стандартной. Нет ли там длинных строк непонятного кода (часто выглядит как набор случайных символов eval(base64_decode...)?
• Файл index.php (в корне сайта):
  • Стандартный файл WordPress очень короткий (буквально пара строк с require). Если там простыни кода — это вирус.
• Папка /wp-content/uploads/:
  • Зайдите в папку загрузок (где лежат картинки).
  • Поищите файлы с расширением .php.
  • Правило: В папке с картинками не должно быть исполняемых PHP-файлов. Если нашли — это 99% бэкдор.

ЭТАП 4: Автоматическое сканирование (Инструменты)

Если ручная проверка кажется сложной, используйте инструменты:

1. Онлайн-сканеры (быстро, но поверхностно):
   • Sucuri SiteCheck — бесплатно проверит сайт на известные вирусы и статус в черных списках.
2. Плагин Wordfence Security (глубоко и надежно):
   • Установите бесплатную версию плагина Wordfence.
   • Запустите Scan (Сканирование).
   • Он сверит файлы вашего ядра с оригинальными файлами WordPress в репозитории и покажет любые изменения. Это самый надежный способ найти скрытый код.

Список действий:

Если вы нашли что-то подозрительное (левого админа, странный файл или редирект):

1. Сделайте полный бэкап сайта (база данных + файлы) “как есть” (на случай, если при лечении сайт упадет).
2. Смените все пароли (админка, хостинг, FTP, база данных).
3. Начните процедуру очистки (лучше всего через восстановление чистой резервной копии, если она есть).