- Home
- Categorie
- Coding e Sistemistica
- WordPress
- Virus tema wordpress - banner sconosciuti
-
Grazie - Risolto semplicemente cambiando la password di wordpress. Grazie
-
Ciao, ma la password l'avevi già cambiata con esito negativo. Che password cambiavi prima?
-
Probabilmente non è una soluzione risolutoria.
-
No scusate la password di wordpress mai cambiata. Cambiando la password ho risolto il problema, prima mi apparivano ogni 2 giorni questi banner, ora non più.
Problema risolto, ma il MISTERO rimane, il tema che uso e semplice, non ci sono codici o script all'interno. Non so che dire. Ripeto ho risolto cambiando la password dopo aver rimosso manualmente gli annunci estranei dal tema, ma non sono riuscita ancora a capire la fonte del problema.
IPOTESI: Un plugin importatore di feed? Possibile?
-
Per capire,
veniva scritto il file es header.php dentro il template di wordpress?E tu lo andavi a correggere via FTP?
-
Esattamente, il classico codice banner stile adsense.
-
Confermi che hai ripristinato file via Ftp dentro Wordpress? Se si come hai capito quali parti di codici cancellare?
-
Per capirci meglio ecco il sito ads incriminato, nella lista, anomala secondo me, appaiono siti con i banner di questo ADBIT. Ma io questo sito nemmeno lo conoscevo. Come diavolo fanno a metterci i loro banner? Questo vorrei capire. Prima compariva anche il mio sito nella lista, ora non più.
-
Come ho capito quale codice rimuovere? Semplice, io sono con adsense, il codice adsense comincia con ( script async src="//pagead2.googlesyndication) Mentre nel file header ho trovato un 728x90 con codice script async src="//adbit........... etcc....
Ma non solo banner, ho dovuto mettere il sito offline x scovare tutti i codici, al posto della home page standard del mio sito appariva una home pornografica. HO RISCHIATO ANCHE IL BAN DA GOOGLE. Per fortuna io sono vigile.
-
Ok,
la domanda precisa però era:
hai dovuto modificare questi files via FTP?
-
I files infetti, erano solo quelli del template?
-
Si modificati via ftp il file header + footer
-
E tu hai l'editor php sul template attivato via wordpress?
-
Ciao Pamela,
ti consiglio caldamente di ripristinare un vecchio backup del sito. Chi ti garantisce che non sia stato compromesso più in profondità?
-
Non credo sia la soluzione migliore, da quanto ho capito il problema dura da molto tempo e dubito che si possa ritrovare per le mani un backup non compromesso.
Per cui anche il backup si ritroverebbe con gli stessi problemi di vulnerabilità.
Bisogna
-
Cambiare le password di tutto il sistema, non solo di wprdpress (FTP, Hosting / Server)
-
scansionare tutto il sito
-
Installare uno o più firewall (es. wordfence)
-
-
Ciao Artigiani,
condivido pienamente i tuoi suggerimenti. Il mio Hosting il backup lo tiene per 22 giorni e mi fornisce già un firewall di default sull'hosting.
-
ok,
Bene.Bisogna vedere quanti backup ha Pamela Rossi,
ma in ogni caso i punti di scansione etc vanno fatti lo stesso, non si può mai sapere,
anche perchè spesso alcuni siti infetti non si accorgono nemmeno di essere tali,
se ad esempio sono veicolo di spam o contengono link nascosti.Per il firewall dell'hosting,
si bene ma considera che non possono bloccare una vulnerabilità nota di un plugin o del core di wordpress di un certo tipo.Basta un solo punto debole e volendo si può scalare la vulnerabilità aggirando il firewall,
ad esempio con files malevoli "scomposti" non individuabili singolarmente come malware,
ma che poi si collegano fra loro tramite comandi lanciati da chi ha infettato il sito.
-
Grazie dei consigli ma non credo ci siano altri problemi, ho cmq cambiato tutte le password. Ho scaricato l'intero sito, con notepad++ ho ricercato in tutti i files del sito eventuali codici estranei, con la parola chiave ADBIT sono riuscita a scovare tutti i banner da rimuovere. Il core di wordpress non sembra essere compromesso ho cmq sostituito tutti i files presenti nella cartella wp-includes. Ma come sia successo ancora non riesco a capirlo.
**Il giorno che sono comparsi questi banner ADBIT redirect etcc.... IL NOTO SITO CORRIERE.IT presentava lo stesso problema, navigando il sito si veniva reindirizzati su PORNHUB.
Io fino a quel giorno importavo feed dal corriere, ho pensato che tramite feed ho importato anche il virus.
Possibile? **
Cmq i vecchi backup sicuramente compromessi, ho effettuato un nuovo backup in questi giorni con sito pulito, antivirus + firewall.
-
Facci sapere tra un po come va.
