# Как удалить бэкдор на сайте WordPress
Бэкдор — это своего рода «чёрный ход», через который злоумышленник попадают на сайт. Для этого он создаёт скрипт и добавляет его в файловую структуру сайт. При этом ему не нужно авторизовываться обычным способом, то есть через логин и пароль, но он получает доступ к веб-ресурсу.
# Как работает бэкдор
Вредоносный код прячется в файле, который имитирует нормальный php-файл. Он может называться php6.php, sunrise.php. Важно не перепутать его с безобидными файлами: иногда такие имена могут встречаться в содержимом плагинов. Но есть повод насторожиться, если подобный файл появился не в том месте. Например, в какой-то из главных папок сайта.
Скрипты после внедрения начинают исполнять порученные им задания — воруют персональные данные пользователей, перенаправляют посетителей на другие сайты, отправляют им на электронную почту рекламные письма. Злоумышленник может наделить себя правами администратора.
# Как удалить бэкдор
В первую очередь сделайте полный бэкап сайта. Всегда есть риск возникновения непредвиденных ошибок. А если у вас будет резервная копия, вы в любой момент сможете её восстановить.
# Проверьте список пользователей
Зайдите в административную панель WordPress и перейдите в раздел «Пользователи» — «Все пользователи». Удалите учётные записи, которые вы не создавали.
Созданные злоумышленником пользователи могут не отображаться в админке. Чтобы их найти, потребуется зайти в phpMyAdmin на хостинге. Перейдите в базу данных и найдите таблицу wp_users. Удалите из списка лишних пользователей.
Обратите внимание на раздел site_admins, там может быть скрытый аккаунт, который будет отображаться примерно так:
a:2:{i:0;s:10:«vladivanov »;i:1;s:6:«name_hacker»;}
На месте «name_hacker» будет стоять неизвестное вам имя.
Удалите конец строки, вот что должно остаться:
a:2:{i:0;s:10:«vladivanov»;}
Цифра 2 в начале говорит о том, что на вашем сайте 2 администратора. Измените её на 1, если он у вас должен быть только один.
# Проверьте файлы сайта
Проверьте, не появилось ли подозрительных файлов. В них может быть, например, такой код:
eval(base64_decode("2321-fgdas -\>"));
Вместо base64 могут быть и другие обозначения: system, exec, move_uploaded_file.
Чаще всего бэкдоры выглядят именно так. Обнаружив файлы с подобным содержимым, удалите их. Постарайтесь отыскать их все, чтобы злоумышленники точно не имели больше доступа к вашему сайту. Проверьте также каждый файл тем и плагинов WordPress.
Взломщики могут не создавать новые файлы, но вносить изменения в уже существующие. Их можно найти через SSH. Предварительно проверьте, включён ли на вашем хостинге доступ к серверу через SSH.
Откройте терминал и введите следующий запрос:
find /путь/к/вашему/сайту -type f -name "*.php" -ctime -3
Система выдаст список всех php-файлов, в которые были внесены изменения в течение последних 3 дней (замените цифру на другое чисто, если примерно знаете, когда был взломан сайт). Если их редактировали не вы, откройте их и удалите лишний код. После выяснения даты взлома восстановите сайт из бэкапа с более ранней датой.
# Что нужно сделать после удаления бэкдора
Обязательно смените все пароли к аккаунтам администратора и созданных вами пользователей. Также придумайте новые пароли к FTP и хостингу, ключи в файле wp-config.php. Рекомендуем создать и новый пароль для базы данных, входа в phpMyAdmin.
Удалите старые темы и плагины, они могут иметь уязвимости. Настройте автообновление WordPress, включите какой-нибудь плагин безопасности. Некоторые из них настроены так, что могут сообщать о подозрительной активности на сайте на электронную почту владельца сайта.