Взлом сайтов на WordPress

Да это все понятно, жутко тормозная система. зато дешево и сердито

Сегодня два сайта WP обновил, по причине наличия в них скриптов спам рассылок. Один закинули в папку wp-content/uploads второй глубоко в плагине revslider в подпапке css/old/

regado, автоматическое обновление плохо как раз тем, что разработчики плагинов не поспевают за разработчиками двига. 
В итоге вы можете и не заметить, как при автоматическом обновлении слетит парочка плагинов и ваш сайт превратится унылую какашку, на которой ничего не работает. 

В свое время была такая лажа с плагином cforms, из-за несовместимости с новой версией вордпресса он натворил столько дел, что сайт стало невозможно использовать. И заметил это я аж через полтора месяца, так как проект был полностью закончен и за ним не следил особо. 

Один раз порадовал еще All in One SEO Pack, после конфликта с новой версией вордпресса, он потерял все мета-теги на сайте (около 2000). А так как замечено было поздно, то бекапы уже содержали копию без мета-тегов.  

Так что обновлять нужно только вручную, сделав предварительно бекап. 

"Интересная" ситуация.
 
Зараженный сайт был удален и восстановлен из бекапа. После обновлен движок и плагины.
Проверка в яндексе и 2ip показала наличие вредоносного ПО. 

Удалил системные файлы и залил чистые со скаченного двига (директории wp-admin и wp-includes, плюс все файлы из корня на wp-*, кроме wp-config.php).
Удалил все плагины, установил заново из репозитория. Удалил тему, поставил дефолтную опять же из репозитория. 
Файлов левых в wp-content не нашел, cgi-bin пустая, в webstat вроде тоже ничего подозрительного нет.

Повторная проверка показала наличие вредоносного ПО. 
Яндекс показывает "Andr/AutoSMS-A, FlashMalware".
2IP - "На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код." 

Буду полностью удалять сайт и переносить контент ручками на чистый. 
Но все-таки, где эта гадость может еще быть? 

В htaccess или php.ini или конфиге апача

Сдается могут файлы лежать в папке uploads - поищите там файлы типа cache.php или иные левые файлы php
А подгрузить их могли через wp-config - он может и не обновляться при  обновлении вордпресс.
Нашел отличное решение для защиты
BulletProof Security

Всем привет! Хочу поделиться полезным плагином по безопасности BulletProof Security
Большинство взломов происходит за счет подбора пароля методом перебора или внедрением в доступные для записи папки - файлы.
Ряд кликов после установки и сайт защищен.
Установил на несколько сайтов и до сих пор идут сообщения о блокировке пользователей.

regado, увидев « Всем привет! Хочу поделиться » едва не забанила сразу ))

floppox, реакция забавная конечно.
Елена, а отчего же так, о чем мысли одолевают банить щедрых людей?

regado, типичный оборот для спамеров. Как правило, за ним следует "очень полезная" ссылка. 

Цитата (floppox):

regado, увидев « Всем привет! Хочу поделиться » едва не забанила сразу ))

Заматерели слишком на своей нелегкой работе модератора.

Нормально floppox реагирует. В самом деле спаммерский оборот

А regado еще не отличается узнаваемой аватаркой, чтобы быстро его идентифицировать.

frig, автарка, говоришь

Да с декабря месяца как пошло - отслеживаю нагрузку на проц и выбиваю скрипты с вордпресс сайтов. Сначала индус, потом серб, потом еще какой то хацкер.
Поставил дополнение и забыл о проблемах. По сути она дописывает нужные htaccess файлы и блочит плохие авторизации Подкупило что ее тысячи - миллионы раз скачали и рейтинг хороший.