Как найти и удалить Вредоносный Код в WordPress?

Денис просканировала сайт, нашел мне плагин вот эти крокозябры в 2 -х плагинах,причем таких от которых я не могу отказаться, как быть? Заходить в редактор плагинов и удалять эти коды, если плагины перестанут работать, я же потом по новой смогу поставить. И еще у меня в статьях сканер нашел скрипты перенаправляющие я так понимаю на спам или генерирующие спам запись выглядит вот так:
действовать. //

Денис, и снова я к Вам на мозги капать. Самое удивительное, что не пошла читать сразу статью, оставляла на черный день, который у меня уже был. И не день, а много дней, пока разбирались всем миром. Руки-ноги трясутся от страха, но пойду проверю. Если что, вернусь, ждите!

Вот здесь очень много: /wp-security-scan,wp-admin, на wp-admin/css/- вот такой код: display: none;
Мне в папки заходить? Но я попробовала удалять в плагинах в редакторе,но затем плагин полностью деактивировался.
Поэтому в папках на хостинге я не рискую. Но тем не менее просто сплозным желтым полем все покрыто.Что же делать? У меня нет никого кто бы разбирался

Доброе время суток. У меня вообще сайт подвис, когда я плагин exploit скачал... Пришлось плагин удалить.

Вот у менея есть тут что то плохое посмотрите в последней строчке есть base64_decode — может подскажете что из этого можно удалить?
# Displays the titles
function the_title2 ($before = '', $after = '', $echo = true, $length = false) {
$title = get_the_title ();
if ( $length && is_numeric ($length) ) $new_title = mb_substr ( $title, 0, $length, 'UTF-8');
if ( mb_strlen ($new_title)> 0 ) {
if (mb_strlen ($title) > $length) $title = apply_filters ('the_title2', $before . $new_title . $after, $before, $after);
else $title = apply_filters ('the_title2', $before . $new_title . $after = '', $before, $after);
if ($echo) echo $title;
else return $title; }
if (!function_exists ('mb_substr')) {
function mb_substr ($str,$from,$len){
return preg_replace ('#^(?:[\x00-\x7F]|[\xC0-\xFF][\x80-\xBF]+){0,'. $from .'}'.'((?:[\x00-\x7F]|[\xC0-\xFF][\x80-\xBF]+){0,'. $len .'}).*#s','$1', $str);} } }
function ___ (){$out=array ();foreach (array ('IzxhIGhyZWY9Imh0dHA6Ly9wcm9kZW5naWJsb2cucnUvIiB0aXRsZT0i0KDRg9GB0YHQutC40LUg0YLQtdC80Ysgd29yZHByZXNzIj7QoNGD0YHRgdC60LjQtSDRgtC10LzRiyBXb3JkcHJlc3M8L2E+Iw==','L2Zvb3Rlci5waHA=','JTxhLio/aHJlZj1bXCInXQ==','W1wiJ10uKj8+JWk=','PGgxIHN0eWxlPSJjb2xvcjojMDAwIj7QktGLINC90LUg0LjQvNC10LXRgtC1INC/0YDQsNCy0LAg','INGD0LTQsNC70Y/RgtGMINC60L7Qv9C40YDQsNC50YLRiyE8L2gxPg==') as $item)$out[]=base64_decode ($item);return $out;}

Привет, Денис! Установил себе оба плагина. И если с темой у меня все ОК! То вот вредоносных файлов Exploit Scanner у меня насканировал аж 47 штук. Но как их удалить? Кроме,указанных тобой, там есть и «echo» и "

Денис! Ты читаешь мои мысли. Именно это я и сделал. Но думаю, придется искать на сайт другую рубашку. Хотя это скрипт присутствует во многих. Я вообще считаю теперь, что русские бесплатные формы только формально считаются бесплатными, а на самом деле в них нашпиговано довольно много ссылок на непонятные сайты и в зашифрованном виде, а также допускается наличие вредоносных кодов. Я уже скачал несколько тем и изучаю их на наличие ссылок. Лучше может даже ставить западные и самому начинать переводить... Целее будет сайт

Да весело Спасибо Денис за инфу, заставила более приоритетно задуматься о платном шаблоне, хорошем) кстати в курсе, когда новую тему ставишь, все плагины по новой придется?

Он нашел левую ссылку в теме. Кричу об этом второй день, пытаюсь выяснить, бывают ли неуязвимые платные темы. Потому что Он сказал, что дело не в платных, а в том, что их скачивать нужно прямо с wodpress (извините, забыла доменную зону).

Спасибо, Денис!
Долго пытался избавиться от закодированной ссылки, много информации нашёл, но только твоя оказалась действенной.
Добавил твой блог в закладки, буду заглядывать почаще.

Спасибо Денис за полезную статью! У меня уже 1 мес на сайте обнаружен вирус. Вот проверил плагином Exploit-scanner сайт и нашел очень много eval и base64_decode, они помечены желтым цветом на фоне строк. Вопрос: удалять только их или всю строку? (строка не была помечена желтым цветом).

Благодаря вашей статье заменил одну ссылку с сайта, но у меня оказалась большая проблема : Есть тема которая прекрасно настраивается на локальном сервере, но при переносе на сайт некоторые функции перестают открыватся в результате сай выглядит не совсем хорошо, можете взглянуть http: //chudosv.ru Я выключил все виджеты и плагины, удалил все другие темы, но это не помогло, в инструкции к теме написано, что нужно удалить все ненужное (скрипты и тд.), но как определить, что не нужное ума не приложу, начал удалять некоторые файлы, была папка WWW всю удалил — сайт как работал так и работает, но дальше страшно удалять так как изменения в работе сайта, как я понял появляются не сразу а через некоторое время. Да взял на локалке все настроил как надо, сохранил тему и потом перезалил на хостинг, но это тоже не помогло. Что делать не знаю, может что посоветуете, буду очень презнательным.

Копии сделала. Удалила по одной безболезненно. Это я с такой гадостью переехала на новый хостинг. Целых 5 было подобных. Хорошо еще, мне парень один их переименовал в первые дни, а то была бы катастрофа.
Не обращать внимания совсем не могу. Они меня деморализовали, честно. То просмотров тысячи за минуту, то серфинг, то сайты знакомств. Лупят со всех сторон. Теперь вот страницы выпали из поиска. Что-то у меня еще стоит. Но сейчас посмотрела error_log — там все запросы только к login.php, favicon. Стоит слово referer. Мне писали с одного хостинга, куда обращалась с просьбой заставить удалить домен из базы, что referer можно заблокировать в htaccess Пойду поищу, как это сделать.

Да, по поводу того, что коды удалять не умею — не могу пока понять, где какие скобки открывающие/закрывающие. Надо книги читать, как Вы говорите.

Денис! Я тоже столкнулся с такой ситуацией. Вначале было все прекрасно, а с развитием блога в тексте точки стали маскироваться вообще под какие то левые непонятные ресурсы. При чем ТАС говорит ОК. У меня конечно ничего не получилось. Тема сразу расходится. Обратился к специалисту по очистке тем. Сказал что ничего не может сделать. Подскажи пожалуйста нормальный ресурс, на котором можно скачать или купить по умеренной цене нормальную тему. Ну чтобы не совсем простую, стандартную, чтобы хоть немного красивой была

Спасибо большое, будем искать)

Сергей, помогите избавится от мобильного редиректа. Никак не могу найти его. Тема точно чистая, проверял.

Так я ее найти не могу.

Денис, подскажите пожалуйста.
Я занесла вредоносный код с установлением шаблона вордпресс (жаль, не видела вашего сайта раньше(((
Тему вредоносную сменила. Но теперь плагин показывает просто МАССУ всяких гадостей, подсвеченным желтым (кстати, мне и от гугла уведомление приходило о вредоносном коде).
Это второй блог, который я завела буквально пару недель назад. То есть там еще не так много всего... Какой выход — сама, боюсь, не справлюсь... платить деньги за чистку блога, который еще «нулевой» — как-то стремно.
Получается, что вредоносный код с темы вордпресс заразил весь мой блог?

Денис, здравствуйте! Я в шоке, проверила сайт Exploit Scanner — он нашел кучу вредоносного кода, но найти его я не могу. Есть точно такой же как у вас и номер строки тот же 1347 в файле functions.php, но его там нет! Я проверила поиском все файлы и плагины — не нашла этих кодов! Удалила один плагин.Подскажите где искать, пожалуйста!

И еще, если я удалю плагины в которых есть код, это решит проблему?

Спасибо за статью.
Нашел код $tmp = base64_decode ($b64);
в wp-content/plugins/broken-link-checker/idn/uctc.php:191
Плагине broken-link-checker , удалил код
сайт работает
Плагин для проверки битых ссылок
по моему он не работает,
загружу другой

Вставил название плагина найти
открылась вкладка загрузил

Спасибо за статью Денис. Вас знаю, но на статью эту зашла из поисковика. Хотела найти ответ: как можно проверить сайт на вирусный код, так как решив свой сайт продвигать через вебэффектор, там я и узнала, что на сайте установлен вредоносный код, что может понижать позиции и никакого эффекта к продвижению не принести.
Проверила через Tac — плагин, установленная тема чиста,но были и такие темы (неустановленные)что выдали вредоносные коды. Их я сразу без сожаления удалила.
Второй плагин установила Ваш... к сожалению много выдало ошибок и дыр таких как "base64_decode (".
Хотела спросить у вас, нужно только подсвеченную часть удалять или всю строчку? Короче пыталась долго очень, удаляла эту часть.В основном он лежит в папке insluges. Надоело. Решила на других своих сайтах проверить, есть ли этот код. К моему изумлению, он везде был замечен, что интересно в одинаковых местах и папках. Различие между этими сайтами в том: что который решила проверить — нулевой, трафик вообще не идет, хотя с возрастом, фильтра тоже нету, но что-то не так с ним... Другой к примеру блог с такими же ошибками — за тысячный трафик, траст высоченный, яндекс отлично индексирует.
Бросила я это дело удалять эти коды, боюсь только время убью, да еще наоборот все испорчу.

Здравствуйте! Установила на блоге социальные кнопки , а вместе с ними появилась ссылка — Blogsdna, ведущая на этот сайт, искала ссылку в кодах, не нашла, меняла шаблон — бесполезно, что можете посоветовать мне? Спасибо.

Подскажите как избавиться от мобильного редиректа?