Японский keyword hack в WordPress: удаление

Логотип WordPress и пример заражения японским keyword hack

Кратко

Если на страницах сайта или в результатах поиска появились случайные японские строки и спам‑ссылки, это типичная форма заражения — так называемый японский keyword hack. В статье приведён подробный план обнаружения, очистки, восстановления индексации и укрепления защиты сайта.

Введение

Сайты на WordPress нередко становятся целью атак. Сам по себе WordPress — безопасная платформа, но оплошности в обслуживании, устаревшие плагины или «nulled» темы создают уязвимости. Японский keyword hack — это разновидность инъекции спам-контента, который добавляет японские тексты и ссылки на сайт или в результаты поисковых систем.

В этой статье вы найдёте:

понятное определение и признаки заражения
причины и векторы проникновения
практический пошаговый план очистки и восстановления
проверки, сценарии приёмки и роль‑ориентированные чеклисты
рекомендации по предотвращению повторных взломов

Что такое японский keyword hack

Пример страницы Google с японским текстом в результатах поиска

Определение: японский keyword hack — это вид компрометации сайта, при котором вредоносный код добавляет страницы, посты или фрагменты с японским текстом и ссылками на сторонние ресурсы. Цель злоумышленников — улучшить SEO целевых сайтов, распространять мошенничество или перенаправлять трафик на фишинговые площадки.

Признаки заражения:

на страницах сайта неожиданно появляются строки японского текста;
в выдаче поисковых систем появляются страницы с японским контентом;
в структуре сайта есть новые URL с бессмысленным контентом;
в sitemap присутствуют не ваши страницы;
пользователи получают фальшивые уведомления о выигрыше или просят ввести данные.

Быстрая проверка выдачи: используйте поиск по домену в формате site:ваш-домен japan в Google, чтобы увидеть страницы, связанные с японским контентом.

Важно

Иногда похожий эффект дают плагины переводов или некорректные настройки кеша. Перед началом очистки убедитесь, что это именно компрометация, а не легитимный функционал.

Как вредонос добавляет японский контент — векторы заражения

Индикатор заражения блога WordPress вредоносом

Кратко о векторах:

устаревшая версия WordPress — пропущенные патчи открывают двери для известных эксплойтов;
ненадежные или скомпрометированные плагины;
«nulled» (взломанные/крякнутые) темы с встроенным вредоносным кодом;
слабые пароли и отсутствие 2FA;
неправильные права файлов и доступ по FTP/SFTP;
скомпрометированные учётные записи хостинга или FTP.

Подробнее:

Обновления WordPress

Разработчики регулярно выпускают исправления безопасности. Задержка с обновлениями увеличивает риск успешной атаки.

Плагины и темы

Плагины с плохой репутацией, редкие обновления или загрузка из ненадёжных источников — частая причина. Нулевые темы часто содержат скрытый бекдор.

Конфигурация сервера и права

Нет строгих ограничений на чтение/запись, общие учётные записи, публичные каталоги загрузок и слабые SSH/FTP‑пароли упрощают внедрение вредоносного кода.

Подготовка перед очисткой

Перед началом работ сделайте следующее:

снимите полную резервную копию текущего состояния файлов и базы данных (даже если сайт заражён);
пометьте время обнаружения заражения;
временно включите режим обслуживания для посетителей;
соберите данные: логи сервера, доступы, список установленных плагинов и тем.

Совет

Резервная копия нужна для форензики. Не используйте её для восстановления до тех пор, пока не убедились, что в бэкапе нет вредоносных артефактов.

Пошаговое руководство — SOP для очистки (Playbook)

Иллюстрация патча и фикса проблем WordPress

Шаг 0 — изоляция

переведите сайт в режим обслуживания;
при необходимости временно смените DNS на статическую страницу, чтобы минимизировать доступ к инфицированному приложению.

Шаг 1 — автоматическая проверка

используйте проверенные инструменты сканирования: Wordfence, Malcare или серверные сканеры (Imunify360 если предоставляет хостинг).
соберите список отмеченных файлов и подозрительных ссылок.

Шаг 2 — ручная проверка файлов

проверьте index.php, wp-config.php, .htaccess и wp‑content/uploads на необычные PHP‑файлы;
найдите недавно изменённые файлы по времени модификации;
проверьте темы и плагины на наличие закодированного кода (base64, eval, gzuncompress и т.д.).

Шаг 3 — очистка и восстановление

Варианты в порядке предпочтения:

Восстановление из чистой резервной копии, сделанной до заражения.
Если резервной копии нет — заменить ядро WordPress официальными файлами (переустановить WordPress через админку или вручную).
Удалить и заново установить все плагины и темы из официальных источников.
Вручную удалить подозрительные файлы и очистить модифицированные файлы.

Шаг 4 — база данных

проверьте таблицу wp_posts на посты с японским содержимым;
проверьте wp_options и wp_usermeta на подозрительные опции и авторизованные учётные записи;
при необходимости выполните SQL‑запросы для удаления спам‑записей (с осторожностью).

Шаг 5 — учётные записи и доступы

сбросьте пароли всех администраторов;
удалите неизвестные учётные записи;
смените пароли FTP/SFTP, SSH и панели хостинга;
включите двухфакторную аутентификацию для всех админов.

Шаг 6 — финальное сканирование и тестирование

запустите повторный полнокомплексный сканер;
проверьте, что в выдаче Google больше не отображаются японские страницы;
проверьте sitemap и robots.txt;
убедитесь, что на сайте нет выпадающих уведомлений о вредоносном ПО.

Шаг 7 — подача запроса на обзор в поисковых системах

если Google отметил сайт как взломанный, подайте запрос на пересмотр в Search Console после очистки;
обновите карту сайта и отправьте её в Search Console.

Критерии приёмки

в кодовой базе и базе данных отсутствуют следы японского спама;
повторные сканы не находят вредоносного ПО;
Google Search Console не показывает предупреждений и приняла заявку на переиндексацию;
пользователи не видят перенаправлений или фишинговых форм.

Инцидентный план и откат (Runbook)

Минимальный runbook:

Отключить внешние интеграции, которые могут передавать данные.
Перевести сайт в режим обслуживания.
Сделать бэкап «как есть» и экспорт логов.
Восстановить сайт из чистой резервной копии, если она есть.
Если восстановление невозможно — выполнить ручную очистку по SOP.
После очистки протестировать и начать поэтапный вывод сайта из режима обслуживания.

Откатная стратегия

если после чистки функционал нарушен — откатиться к копии, сделанной сразу после начала работ (не к заражённой копии);
при отсутствии чистой копии — временно развернуть статическую страницу с уведомлением и продолжить форензическую очистку на копии сервера.

Роль‑ориентированные чеклисты

Администратор сайта:

сделать резервные копии;
перевести сайт в режим обслуживания;
сменить пароли и удалить неизвестных пользователей;
сообщить команде и подрядчикам.

Разработчик/инженер безопасности:

провести ручной аудит файлов и базы данных;
удалить вредоносные фрагменты;
заменить ядро и компоненты на официальные версии;
настроить систему мониторинга и сканирования.

SEO/маркетолог:

проверить Google Search Console и Bing Webmaster;
подать запрос на переиндексацию;
проверить и обновить sitemap;
следить за органическим трафиком и сигнальными метриками.

Хостинг/оператор инфраструктуры:

проверить логи сервера;
ограничить доступ по IP там, где возможно;
проанализировать возможные уязвимости на уровне сервера;
при необходимости мигрировать на безопасный хост.

Тесты и критерии приёмки

Тестовые сценарии:

сканирование чистит все известные вредоносные файлы;
в выдаче Google исчезают страницы с японским контентом через 1–2 недели после подачи запроса;
после смены паролей предыдущие сессии требуют повторной авторизации;
функциональные тесты сайта проходят (формы, покупки, вход).

Когда ручная очистка не подойдёт (контрпример)

если заражение глубоко интегрировано в множество файлов и базовых таблиц, ручная очистка может пропустить бекдоры;
при массовом компромете хостинга проще восстановить из чистой копии или заказать профессиональную услугу очистки.

Альтернативные подходы

обратиться к платным сервисам по очистке сайта (Malcare, Sucuri, Wordfence — услуги платного восстановления);
просить хостинг восстановить сайт из их чистой резервной копии;
полностью переложить сайт на новую инсталляцию и мигрировать только проверенный контент.

Руководство по защите и жёсткой безопасности

Базовая жёсткая конфигурация:

включить двухфакторную аутентификацию для всех аккаунтов;
установить сильные права на файлы (обычно 644 на файлы и 755 на каталоги);
отключить исполнение PHP в каталогах uploads и tmp;
настроить Web Application Firewall (WAF);
использовать HTTPS и HSTS;
ограничить доступ по IP к административной панели;
регулярно обновлять ядро, плагины и темы.

Дополнительные меры:

регулярные автоматические сканирования;
мониторинг целостности файлов (file integrity monitoring);
логирование входов и уведомления о подозрительных действиях.

Советы по выбору плагинов и тем

скачивайте темы и плагины только с официального репозитория WordPress или с доверенных магазинов;
избегайте «nulled» тем и плагинов;
минимизируйте количество плагинов;
проверяйте отзывы, частоту обновлений и активную базу пользователей.

Факто-бокс: что помнить

Японский keyword hack — чаще всего результат устаревших компонентов или чужеродного кода в темах/плагинах.
Быстрая реакция и бэкапы сокращают простой и репутационные потери.
Полная очистка включает файлы, базу данных и доступы.

Малые шаблоны и сниппеты для быстрого использования

Запрос на поиск потенциально заражённых файлов по содержимому (пример для UNIX):

grep -R --exclude-dir=wp-content/uploads "base64_decode\|eval(base64" .

Проверка последних изменённых файлов:

find . -type f -mtime -30 -ls | sort -k7

Эти команды дают отправную точку для ручной проверки, но требуют умений администратора.

Короткий глоссарий

WAF: Web Application Firewall — фильтр, блокирующий известные атаки.
Nulled: нелегальная версия платной темы/плагина, часто содержащая вредоносный код.
Форензика: анализ происшествия и поиск следов компрометации.

Дерево решений для действий (Mermaid)

flowchart TD
  A[Найдены японские строки] --> B{Есть чистая резервная копия?}
  B -- Да --> C[Восстановить из бэкапа]
  B -- Нет --> D[Сканировать и анализировать файлы]
  D --> E{Изменены ядро или множество файлов?}
  E -- Да --> F[Переустановить ядро и плагины]
  E -- Нет --> G[Ручная очистка и удаление зловредных записей]
  C --> H[Сменить пароли и усилить доступ]
  F --> H
  G --> H
  H --> I[Переиндексация и мониторинг]

Восстановление доверия и SEO‑последствия

После очистки:

удалите неизвестных пользователей из Google Search Console;
отправьте сайт на пересмотр в Google, если было предупреждение;
следите за трафиком и конверсиями 2–4 недели;
при необходимости оповестите клиентов о восстановлении безопасности.

Локальные особенности и советы для России

выбирайте хостинг с поддержкой Imunify360 или аналогичных серверных сканеров;
при использовании российских платёжных или CRM‑плагинов следите за их обновлениями и совместимостью;
при выборе подрядчика на очистку требуйте отчёт по выполненным действиям и контрольные тесты.

Итог

Японский keyword hack — частая и неприятная проблема, но при правильно выстроенном процессе очистки и последовательной защите её последствия можно минимизировать. Самое важное — действовать быстро, сохранить доказательства, восстановить сайт из чистой копии при возможности и усилить контроль доступа.

Заметки

если вы не уверены в своих силах, обратитесь к специалистам по инцидентной реакции;
регулярные бэкапы и минимизация числа сторонних компонентов — лучшая профилактика.