# Как удалить бэкдор на сайте WordPress

Бэкдор — это своего рода «чёрный ход», через который злоумышленник попадают на сайт. Для этого он создаёт скрипт и добавляет его в файловую структуру сайт. При этом ему не нужно авторизовываться обычным способом, то есть через логин и пароль, но он получает доступ к веб-ресурсу.

# Как работает бэкдор

Вредоносный код прячется в файле, который имитирует нормальный php-файл. Он может называться php6.php, sunrise.php. Важно не перепутать его с безобидными файлами: иногда такие имена могут встречаться в содержимом плагинов. Но есть повод насторожиться, если подобный файл появился не в том месте. Например, в какой-то из главных папок сайта.

Скрипты после внедрения начинают исполнять порученные им задания — воруют персональные данные пользователей, перенаправляют посетителей на другие сайты, отправляют им на электронную почту рекламные письма. Злоумышленник может наделить себя правами администратора.

# Как удалить бэкдор

В первую очередь сделайте полный бэкап сайта. Всегда есть риск возникновения непредвиденных ошибок. А если у вас будет резервная копия, вы в любой момент сможете её восстановить.

# Проверьте список пользователей

Зайдите в административную панель WordPress и перейдите в раздел «Пользователи» — «Все пользователи». Удалите учётные записи, которые вы не создавали.

Созданные злоумышленником пользователи могут не отображаться в админке. Чтобы их найти, потребуется зайти в phpMyAdmin на хостинге. Перейдите в базу данных и найдите таблицу wp_users. Удалите из списка лишних пользователей.

Обратите внимание на раздел site_admins, там может быть скрытый аккаунт, который будет отображаться примерно так:

a:2:{i:0;s:10:«vladivanov »;i:1;s:6:«name_hacker»;}

На месте «name_hacker» будет стоять неизвестное вам имя.

Удалите конец строки, вот что должно остаться:

a:2:{i:0;s:10:«vladivanov»;}

Цифра 2 в начале говорит о том, что на вашем сайте 2 администратора. Измените её на 1, если он у вас должен быть только один.

# Проверьте файлы сайта

Проверьте, не появилось ли подозрительных файлов. В них может быть, например, такой код:

eval(base64_decode("2321-fgdas -\>"));

Вместо base64 могут быть и другие обозначения: system, exec, move_uploaded_file.

Чаще всего бэкдоры выглядят именно так. Обнаружив файлы с подобным содержимым, удалите их. Постарайтесь отыскать их все, чтобы злоумышленники точно не имели больше доступа к вашему сайту. Проверьте также каждый файл тем и плагинов WordPress.

Взломщики могут не создавать новые файлы, но вносить изменения в уже существующие. Их можно найти через SSH. Предварительно проверьте, включён ли на вашем хостинге доступ к серверу через SSH.

Откройте терминал и введите следующий запрос:

find /путь/к/вашему/сайту -type f -name "*.php" -ctime -3

Система выдаст список всех php-файлов, в которые были внесены изменения в течение последних 3 дней (замените цифру на другое чисто, если примерно знаете, когда был взломан сайт). Если их редактировали не вы, откройте их и удалите лишний код. После выяснения даты взлома восстановите сайт из бэкапа с более ранней датой.

# Что нужно сделать после удаления бэкдора

Обязательно смените все пароли к аккаунтам администратора и созданных вами пользователей. Также придумайте новые пароли к FTP и хостингу, ключи в файле wp-config.php. Рекомендуем создать и новый пароль для базы данных, входа в phpMyAdmin.

Удалите старые темы и плагины, они могут иметь уязвимости. Настройте автообновление WordPress, включите какой-нибудь плагин безопасности. Некоторые из них настроены так, что могут сообщать о подозрительной активности на сайте на электронную почту владельца сайта.