Sajten redirectar till en pokersida. Eller Google varnar besökare med en röd sida. Okända filer har dykt upp i wp-includes. Det spelar egentligen ingen roll exakt vad som hänt; processen för att rensa är densamma.
Steg 1: ta sajten offline
Underhållssida eller blockera all trafik via .htaccess. Varje minut sajten är uppe sprider den potentiellt skadlig kod till besökare. Agera snabbt.
Steg 2: säkerhetskopiera allt
Ja, även den infekterade versionen. Du kan behöva analysera exakt hur de kom in för att förhindra att det händer igen.
Steg 3: identifiera intrånget
Kör find . -mtime -7 -type f för att hitta filer ändrade senaste veckan. Sök efter base64-kodad PHP (base64_decode), eval()-anrop och filer med konstiga namn i wp-includes eller wp-admin. De ska inte finnas där.
Kolla .htaccess efter obehöriga redirect-regler. Kolla wp-config.php efter infogad kod i toppen eller botten.
Steg 4: rensa
Ladda ner en fräsch kopia av exakt samma WordPress-version. Ersätt wp-admin och wp-includes helt. Gå igenom wp-content manuellt: plugins och teman ersätts med nya nedladdningar, uploads-mappen granskas fil för fil (PHP-filer har inget att göra i uploads).
Steg 5: byt allt
Alla lösenord. Databas, FTP, WordPress-admin, hosting-panel. Alla. Generera nya salter i wp-config.php. Om angriparen hade tillgång till databasen kan de ha skapat en admin-användare som du inte ser; kontrollera user-tabellen direkt i databasen.
Steg 6: förebygg
Installera Wordfence. Aktivera 2FA. Uppdatera allt som är utdaterat. Och ta reda på hur de kom in, annars händer det igen.