Computer >> Máy Tính >  >> Lập trình >> HTML

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn

Nếu các quảng cáo spam trên trang web WordPress của bạn đang chuyển hướng đến một trang web spam, bản năng đầu tiên của bạn có thể là đổ lỗi cho đối tác quảng cáo của mình. Tuy nhiên, rất có thể trang web của bạn có phần mềm độc hại wp-vcd.

Quét trang web của bạn để nhận được câu trả lời ngay lập tức và dứt khoát.

Phần mềm độc hại wp-vcd.php có nhiều loại, nhưng mỗi loại đều khó loại bỏ như loại khác. Quản trị viên WordPress đã cố gắng loại bỏ mã xấu trực tiếp khỏi các tệp chủ đề và thư mục lõi, chỉ thấy rằng tất cả mã xuất hiện lại khi trang web được tải lại. Có thể hiểu, đây là một bài tập khó chịu, đặc biệt nếu bạn lo lắng về việc khách truy cập của mình nhìn thấy các quảng cáo spam hoàn toàn không đại diện cho trang web của bạn.

Sự lây nhiễm phần mềm độc hại wp-vcd đã được vinh danh là phần mềm độc hại phổ biến nhất trong WordPress trong những năm gần đây, và do đó đã có rất nhiều bài viết về nó. Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách chính xác để chẩn đoán nhiễm trùng, loại bỏ nó và quan trọng nhất là đảm bảo nó sẽ biến mất vĩnh viễn.

TL; DR: Xóa hack wp-vcd khỏi trang web WordPress của bạn trong vòng chưa đầy 5 phút. Phần mềm độc hại này lây lan rất nhanh trên toàn bộ trang web của bạn và nếu bạn đang cố gắng xóa nó theo cách thủ công, rất có thể bạn đã thấy nó xuất hiện lại gần như ngay lập tức. Để xóa vĩnh viễn phần mềm độc hại, bạn cần xóa từng phiên bản của nó và xóa cửa hậu. Vì đây là một nhiệm vụ nhạy cảm về thời gian, nên một plugin bảo mật là cách chắc chắn và hiệu quả nhất để lấy lại trang web của bạn không có phần mềm độc hại.

Phần mềm độc hại wp-vcd.php là gì?

Phần mềm độc hại wp-vcd là phần mềm độc hại tự sao chép lây nhiễm vào các trang web WordPress để hướng lưu lượng truy cập đến các trang web spam hoặc lừa đảo. Các triệu chứng có thể khác nhau rất nhiều, nhưng phần lớn các trang web WordPress bị tấn công đều hiển thị cửa sổ bật lên quảng cáo spam cho khách truy cập. Chúng tôi sẽ trình bày chi tiết hơn về các triệu chứng trong phần tiếp theo. Trước tiên, hãy cùng tìm hiểu sâu hơn một chút về nội dung của phần mềm độc hại này.

Cách phần mềm độc hại wp-vcd xâm nhập vào trang web của bạn

Bạn có thể tự hỏi làm thế nào phần mềm độc hại lây nhiễm trang web của bạn ngay từ đầu. Cách phổ biến nhất để phần mềm độc hại wp-vcd WordPress lây nhiễm vào một trang web là thông qua một chủ đề hoặc plugin nulled. Trên thực tế, WordFence thích gọi phần mềm độc hại:“phần mềm độc hại mà bạn đã cài đặt trên trang web của chính mình.”

Tất nhiên, đây là một sự đơn giản hóa quá mức, như hầu hết các tuyên bố hoành tráng. Tuy nhiên, có một phần sự thật đối với nó. Các chủ đề và plugin không có nguồn gốc là nguyên nhân gây ra nhiều vụ tấn công mà chúng ta đã thấy trong những năm qua, vì chúng chứa phần mềm độc hại hoặc cửa hậu, đôi khi thậm chí là cả hai. Wp-vcd.php là một ví dụ điển hình về điều này. Tuy nhiên, những sai lầm vẫn xảy ra, đôi khi là do những người phát triển trang web và giao nó cho bạn quản lý. Đây không phải là lúc cho một trò chơi đổ lỗi, hoặc để phòng thủ. Ưu tiên là loại bỏ phần mềm độc hại càng nhanh càng tốt.

Một lời cảnh báo ở đây:nếu bạn có nhiều trang web trên lưu trữ chia sẻ, bạn có thể hy vọng những trang web đó cũng bị tấn công. Wp-vcd là một phần mềm độc hại phổ biến và tự tái tạo với tốc độ đáng báo động.

Cách hoạt động của phần mềm độc hại wp-vcd

Như chúng tôi đã nói trước đây, phần mềm độc hại wp-vcd.php thường xâm nhập vào trang web của bạn thông qua một chủ đề hoặc plugin bị nhiễm. Sau đó, nó tiến hành lây nhiễm tất cả các plugin và chủ đề đã cài đặt khác. Tiếp theo, nó chuyển sang lây nhiễm các tệp WordPress cốt lõi và tạo một thư mục.

Kết quả của sự lây lan nhanh chóng này trên trang web của bạn là phần mềm độc hại hầu như ở khắp mọi nơi trên trang web của bạn và việc dọn dẹp đã trở nên khó khăn hơn theo cấp số nhân. Tình hình sẽ phức tạp hơn và tăng lên nếu bạn có nhiều trang web được cài đặt trên cùng một Cpanel. Trong trường hợp này, bạn sẽ thấy các trang web khác cũng bị tấn công.

Nếu bạn đã cố gắng xóa các tệp chủ đề hoặc thậm chí xóa tệp wp-vcd trước khi đến với bài viết này, bạn có thể nhận thấy rằng trang web sẽ được hoàn thiện lại sau một thời gian. Một số khách hàng của chúng tôi đã báo cáo rằng phần mềm độc hại quay trở lại ngay sau khi trang web được tải lại. Điều này là do nó chưa được làm sạch hoàn toàn và mã hiện tại chỉ đang tạo lại bất kỳ phần mềm độc hại nào bạn đã xóa.

Phần mềm độc hại này có một cửa sau được tích hợp sẵn và cửa sau sẽ tải lại phần mềm độc hại mỗi lần, do đó, sự lây nhiễm xuất hiện lại gần như ngay lập tức.

Phần mềm độc hại wp-vcd làm gì

Mục tiêu của phần mềm độc hại này là hướng lưu lượng truy cập đến các trang web spam, thông qua việc sử dụng các chiến thuật SEO mũ đen hoặc quảng cáo spam, một hiện tượng được gọi là quảng cáo độc hại. Ngoài ra, bằng cách hướng lưu lượng truy cập đến trang web spam bằng cách sử dụng quảng cáo, phần mềm độc hại cũng tạo ra doanh thu quảng cáo. Nó thực sự có một vòng tròn đầy đủ, trong đó các trang web đích thường phân phối phần mềm độc hại trong các sản phẩm của họ.

Ngoài quảng cáo độc hại, vi rút wp-vcd.php còn gây ra những điều khó chịu khác đối với trang web của bạn:

  • Tạo hồ sơ quản trị giả
  • Chèn các liên kết spam vào trang web của bạn
  • Đôi khi cũng có thể gây ra chuyển hướng, mặc dù không phải cho tất cả lưu lượng truy cập

Hơn bất cứ điều gì, chủ sở hữu trang web và quản trị viên lo lắng về tác động của những quảng cáo khủng khiếp này đối với thương hiệu của họ. Bạn có thể tưởng tượng rằng việc xem nội dung quảng cáo khiêu dâm hoặc bất hợp pháp sẽ tạo ra trải nghiệm khó chịu cho khách truy cập. Không một quản trị viên nào muốn thương hiệu và trang web của mình bị tấn công như vậy.

Các triệu chứng của phần mềm độc hại wp-vcd lây nhiễm vào trang web của tôi là gì?

Phần mềm độc hại wp-vcd.php được thiết kế để thúc đẩy SEO hoặc doanh thu quảng cáo của một trang web spam. Phần mềm độc hại thực hiện điều này bằng cách chèn các liên kết spam hoặc thông qua các cửa sổ bật lên quảng cáo tương ứng.

Trong trường hợp bạn nghi ngờ trang web của mình bị nhiễm wp-vcd, đây là một số triệu chứng bạn có thể thấy:

  • Cửa sổ bật lên spam: Các trang web có thể có cửa sổ bật lên quảng cáo spam hiển thị mọi lúc hoặc một số thời điểm. Trong một số trường hợp, quảng cáo sẽ chỉ hiển thị cho những người dùng chưa đăng nhập. Quảng cáo có thể bị ẩn khỏi người dùng quản trị thông qua việc sử dụng cookie. Trong một số trường hợp, chỉ những khách truy cập từ các công cụ tìm kiếm nhất định mới thấy quảng cáo hoặc chỉ một tỷ lệ phần trăm nhất định mới nhìn thấy chúng.

    Kết quả là các quảng cáo sẽ buộc khách truy cập vào một trang web spam. Theo một nghĩa nào đó, điều này giống như hack chuyển hướng WordPress.
  • Trang web chậm lại: Bạn sẽ thấy sự sụt giảm đáng kể về tốc độ và hiệu suất trang web
  • Analytics sẽ có tác dụng: Nếu quảng cáo spam đang chuyển hướng khách truy cập khỏi trang web của bạn, bạn sẽ thấy tỷ lệ thoát tăng lên.
  • Danh sách đen của Google: Cuối cùng, Google sẽ phát hiện ra phần mềm độc hại trong khi lập chỉ mục trang web của bạn và đưa nó vào danh sách đen. Khách truy cập của bạn sẽ thấy một trang web lừa đảo trước cảnh báo hoặc một trang web có thể bị tấn công thông báo trong kết quả tìm kiếm của họ.
  • Tài khoản Google Ads bị tạm ngưng :Tương tự như danh sách đen của Google, nếu bạn có tài khoản Google Ads, tài khoản đó có thể bị tạm ngưng do nội dung lừa đảo. Ngoài ra, quảng cáo của bạn bị từ chối vì đã phát hiện thấy phần mềm độc hại. Google làm việc rất chăm chỉ để đảm bảo rằng người dùng của họ có trải nghiệm an toàn, vì vậy hãy coi trọng phần mềm độc hại.

Các vụ hack WordPress có thể xuất hiện theo nhiều cách khác nhau, đó là một trong những lý do khiến rất khó để xác định liệu một trang web có bị tấn công hay không. Nếu bạn không thấy bất kỳ triệu chứng nào ở trên, điều đó không đảm bảo rằng trang web của bạn không có phần mềm độc hại. Nó chỉ có nghĩa là bạn chưa nhìn thấy nó.

Cách chẩn đoán nhiễm vi-rút wp-vcd.php trên trang web của bạn

Rắc rối với phần mềm độc hại wp-vcd — hoặc thực sự là bất kỳ phần mềm độc hại nào — là việc chẩn đoán nhiễm trùng có thể khó chịu như việc làm sạch nó. Nhiều khách hàng liên hệ với chúng tôi mô tả một loạt các triệu chứng rời rạc và không nhất quán, khiến nhiều người trong số họ nghi ngờ bản thân. Cách cuối cùng duy nhất để biết liệu trang web của bạn có bị tấn công hay không là quét nó.

Có một số cách để quét phần mềm độc hại trên trang web của bạn. Chúng tôi đã liệt kê chúng dưới đây, theo thứ tự hiệu quả nhất đến ít nhất.

1. Quét sâu trang web WordPress của bạn

Quét trang web của bạn bằng trình quét phần mềm độc hại miễn phí của MalCare. Tất cả những gì bạn cần làm là cài đặt MalCare trên trang web của mình và đồng bộ hóa trang web của bạn với máy chủ của chúng tôi. Quá trình quét diễn ra nhanh chóng và chỉ mất chưa đến 5 phút. Bạn sẽ có câu trả lời dứt khoát nếu trang web của bạn bị tấn công.

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn

Chúng tôi đề xuất MalCare vì nó quét sâu trang web của bạn. Điều đó có nghĩa là tất cả các tệp cốt lõi của WordPress, các thư mục plugin và chủ đề cũng như cơ sở dữ liệu của bạn. Vì mã độc wp-vcd rất sinh sôi, nó có thể cư trú ở bất cứ đâu trên trang web. Nhiều trình quét khác không thể tìm thấy mọi trường hợp của phần mềm độc hại và trong trường hợp của wp-vcd.php, đây là một tiêu cực lớn. Ngoài ra, wp-vcd có nhiều biến thể, phát triển trong vài năm qua để trông không giống với mã gốc của nó. Do đó, điều quan trọng là phải sử dụng một máy quét tinh vi để đảm bảo.

2. Quét trang web của bạn bằng máy quét bảo mật trực tuyến

Trong hầu hết các trường hợp, chúng tôi sẽ nói rằng sử dụng máy quét bảo mật trực tuyến là bước đầu tiên tốt để chẩn đoán hack. Tuy nhiên, trong trường hợp mã độc wp-vcd, một máy quét bảo mật trực tuyến sẽ trở nên vô dụng.

Phần mềm độc hại cư trú trong các tệp và thư mục chủ đề và plugin, và sao chép sang các thư mục cốt lõi của WordPress theo đúng quy trình. Các tệp này không hiển thị với máy quét bảo mật trực tuyến và do đó không thể quét để tìm phần mềm độc hại. Điều này có vẻ như là một dấu hiệu tiêu cực cho các máy quét bảo mật trực tuyến, nhưng thực sự nó là một điều tốt. Máy quét bảo mật trực tuyến không được cài đặt trên trang web của bạn và do đó cũng có thể quét mã hiển thị công khai. Bạn không muốn mã trang web cốt lõi của mình hiển thị công khai.

3. Quét phần mềm độc hại theo cách thủ công

Về mặt lý thuyết, có thể quét trang web của bạn theo cách thủ công và tìm kiếm các trường hợp mã độc wp-vcd trong các tệp. Với phần mềm độc hại wp-vcd, bạn có thể tìm thấy nó ở rất nhiều nơi trên trang web của mình, vì vậy việc quét trang web của bạn theo cách thủ công sẽ xác nhận sự hiện diện của nó.

Hãy nhớ rằng bạn chỉ đang kiểm tra xem trang web của bạn có bị tấn công hay không. Do đó, nếu bạn xác định được mã.php độc hại, điều đó không có nghĩa đó là nơi duy nhất nó tồn tại trên trang web của bạn. Trên thực tế, có nhiều khả năng phần mềm độc hại đang ở một số nơi.

Vị trí của phần mềm độc hại wp-vcd.php trên trang web của bạn

Tất nhiên, phần mềm độc hại bắt đầu trong chủ đề hoặc plugin đã cài đặt. Trong một chủ đề, bạn sẽ thấy mã độc hại trong tệp functions.php.

Để chứng minh, chúng tôi đã tải xuống một chủ đề từ một trang web chủ đề nulled và mở tệp functions.php để đánh dấu phần mềm độc hại trong tệp functions.php.

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn
Trang web cho các chủ đề rỗng
Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn
Tệp của chủ đề

Nếu bạn nhìn kỹ mã, nó đang tham chiếu đến một tệp khác, ‘class.theme-modules.php’.

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn
phần mềm độc hại wp-vcd.php trong tệp functions.php

Tệp này cũng nằm giữa các tệp chủ đề và chứa toàn bộ mã phần mềm độc hại.

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn
Tệp phần mềm độc hại trong chủ đề nulled

Sau đó, nó tự sao chép sang các chủ đề và plugin khác, như chúng tôi đã nói trước đây. Một khi phần mềm độc hại đã lây nhiễm một phần lớn trang web của bạn, nó sẽ trở nên khó xóa một cách thủ công. Và sự lây lan này diễn ra gần như ngay lập tức.

Sau plugin và chủ đề, phần mềm độc hại sẽ thêm mã vào tệp post.php và tự động tạo tệp wp-vcd.php và tệp class.wp.php vào thư mục wp-include. Như bạn có thể thấy, đây là các tệp WordPress cốt lõi và đây là lúc mọi thứ trở nên thực sự nghiêm trọng.

Phần mềm độc hại trông như thế nào

Để đơn giản hóa thông tin trong bài viết này, chúng tôi đề cập đến phần mềm độc hại chỉ là phần mềm độc hại wp-vcd. Đây là thời điểm tốt để chỉ ra rằng phần mềm độc hại có nhiều loại, như wp-feed.php và wp-tmp.php. Mã xấu sẽ phản ánh một cách thích hợp các tên tệp đó, nhưng về bản chất, phần mềm độc hại hoàn toàn giống nhau.

Đây là mã có thể xuất hiện ở đầu tệp functions.php của chủ đề hoặc plugin:

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn

Phần mềm độc hại wp-vcd.php có thể xuất hiện dưới dạng các tệp độc lập hoặc mã được chèn vào các tệp quan trọng; khá thường xuyên như một hỗn hợp của cả hai. Đây là mã từ một tệp, tệp này chạy một công việc cron để tự động hóa một phần của phần mềm độc hại:

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn

Một phần mềm độc hại khác tạo ra các tệp trong thư mục wp-include:

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn

Đầu năm 2021, các nhà nghiên cứu bảo mật đã tranh luận về việc có các biến thể mới hơn của phần mềm độc hại, chẳng hạn như ccode.php hoặc cplugin.php. Các biến thể này đã giới thiệu một plugin vô hình và giả mạo vào trang web.

Tất cả những điều này để nói rằng mã độc có thể trông rất khác nhau trên các trang web. Bất kỳ lời khuyên nào tuyên bố loại bỏ phần mềm độc hại 100% bằng cách 'chỉ làm điều này và điều này' là hoàn toàn không đáng tin cậy. Hãy yên tâm, trang web của bạn sẽ được hoàn thiện lại gần như ngay lập tức, nếu không phải là ngay lập tức. Xóa thủ công là một quá trình tẻ nhạt và dễ bị thất bại.

4. Các chẩn đoán khác

Quét trang web của bạn bằng một plugin bảo mật là cách cuối cùng để xác định xem trang web của bạn có phần mềm độc hại hay không. Tuy nhiên, có một số tùy chọn khác mà bạn có thể thử:

  • Kiểm tra Google Search Console để biết thông báo trong tab Vấn đề bảo mật
  • Sử dụng trình duyệt ẩn danh để truy cập trang web của bạn và xem liệu bạn có được phân phát bất kỳ quảng cáo khó nghe nào không
  • Google trang web của bạn để kiểm tra kết quả tìm kiếm và thử truy cập trang web của bạn từ SERPs

Nếu bất kỳ chẩn đoán nào cho thấy trang web của bạn bị tấn công, bạn cần nhanh chóng di chuyển. Phần mềm độc hại đang lây lan nhanh và sẽ gây cho bạn thiệt hại đáng kể nếu nó vẫn không được giải quyết lâu hơn.

Cách xóa nhiễm phần mềm độc hại wp-vcd

Bây giờ chúng tôi đã thiết lập trang web của bạn có phần mềm độc hại wp-vcd, chúng tôi cần tập trung vào việc loại bỏ nó. Có 2 cách để bạn có thể xóa phần mềm độc hại wp-vcd khỏi trang web của mình:

  1. Sử dụng một plugin bảo mật [RECOMMENDED]
  2. Xóa phần mềm độc hại theo cách thủ công

Trước khi bạn tiếp tục, chúng tôi cần chỉ ra rằng các tùy chọn này KHÔNG hiệu quả như nhau. Như chúng tôi đã đề cập trước đây, phần mềm độc hại wp-vcd tự sao chép rất nhiều và có thể xuất hiện ở nhiều vị trí khác nhau trên trang web của bạn. Phương pháp thủ công chắc chắn sẽ để lại một số phần mềm độc hại và bạn sẽ quay lại vị trí một khi trang web của bạn được hoàn thiện lại.

Chúng tôi thực sự khuyên bạn nên sử dụng một plugin bảo mật, bởi vì, trong vài phút theo nghĩa đen, phần mềm độc hại sẽ biến mất.

1. Loại bỏ hack wp-vcd bằng plugin bảo mật WordPress [KHUYẾN CÁO]

Cách tốt nhất và dễ nhất để loại bỏ phần mềm độc hại wp-vcd khỏi trang web WordPress của bạn là sử dụng MalCare. Đây là plugin bảo mật WordPress tốt nhất dành cho các trang web WordPress và được tin cậy bởi những tên tuổi lớn nhất trong ngành.

MalCare bảo vệ hơn 10.000 trang web khỏi tin tặc và phần mềm độc hại hàng ngày, đồng thời có hệ thống tự động làm sạch tinh vi giúp loại bỏ phần mềm độc hại khỏi trang web của bạn. Bạn sẽ có trang web của mình không có phần mềm độc hại trong vài phút và tất cả dữ liệu của bạn hoàn toàn nguyên vẹn.

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn

Để xóa phần mềm độc hại wp-vcd wordpress khỏi trang web của bạn, tất cả những gì bạn phải làm là:

  1. Cài đặt MalCare trên trang web WordPress của bạn
  2. Đồng bộ hóa trang web của bạn với các máy chủ MalCare và chạy quá trình quét
  3. Sau khi có kết quả, hãy nhấp vào tự động làm sạch để xóa phần mềm độc hại

Và thế là xong! Quá trình dọn dẹp hoàn tất sau vài phút và tất cả các trường hợp của phần mềm độc hại đã biến mất.

Tại sao nên sử dụng MalCare?

MalCare là sản phẩm của chúng tôi, vì vậy chúng tôi chắc chắn sẽ giới thiệu nó. Tuy nhiên, nó cũng là plugin bảo mật WordPress tốt nhất hiện có cho các trang web WordPress. Có một số lý do cho điều này:

  • Chỉ xóa phần mềm độc hại from your website, keeping your code, customisations, and data entirely intact and malware-free
  • The scanner also detects vulnerabilities and backdoors , in addition to malware, so you can address those security loopholes
  • The integrated firewall protects your website from bad bots

Over and above everything we’ve just mentioned, MalCare protects your website proactively. Our security plugin is installed on 100,000+ websites , and learns about threats from each. Therefore, by adding your website to MalCare, you benefit from all that combined security knowledge—before it even becomes a problem.

2. Remove the wp-vcd malware manually

We would like to stress that this is an inefficient way to clean malware. We strongly advise against poking around in your website code. Altering code without knowing what you are doing can materially affect your website and break it. Recovery then is a big, and often expensive, hassle.

We are putting a lot of warnings before sharing the cleaning steps because we’ve seen manual cleanups go horribly wrong. Trust us, MalCare is your best option for getting rid of the wp-vcd malicious scripts.

Steps to removing wp-vcd malware from your website

1. Backup your website

We always recommend taking a backup of your website, even if it is hacked. Your website is currently functioning, albeit with malware. If anything goes awry in the cleaning process, you can restore your backup and hopefully use a security plugin to remove the malware instead.

2. Download WordPress core, plugins and themes from the repository

Make a list of the versions that are currently on your website of WordPress, and legitimate plugins and themes. Download fresh installs of these from the WordPress repository. These will come in handy when trying to locate malware in the files. You can use an online diffchecker to highlight the differences in code, and then identify the malware accordingly.

3. Delete all nulled software

If you have any nulled plugins and themes installed, you need to get rid of them. Nulled software is riddled with malicious scripts, and is known to be the primary source of the wp-vcd malware. Over and above that, premium software is created and maintained by developers who dedicate their time and resources to building safe software for WordPress. It is unfair to them to use their work without compensating them for it.

4. Clean WordPress core files and folders

By now, you already know how to access your website files. If you are cleaning the website locally or using File Manager to access the files, you first need to replace the /wp-admin and /wp-includes folders completely.

The next thing to do is check the following files for instances of the wp-vcd malware:index.php , wp-config.php , wp-settings.php , wp-load.php , and .htaccess . The malware is known for infecting the wp-config.php file, so be extra vigilant with that one. Look for the following signatures:wp-tmp , wp-feed , and wp_vcd .
Finally, the /wp-uploads folder shouldn’t have any PHP files at all. Delete all that you see over there. This is not typical of the wp-vcd malware, but by the time you read this article that may well change. That’s how fast malware can evolve in the wild.

5. Clean the /wp-content folder

The /wp-content folder has all your plugins and themes. Compare your installed versions with the fresh installs you got from the WordPress repository. This will help you narrow down the search for malware, because then you will only have to analyse the differences. There can be additional files, for instance, or aberration in the actual code.

It is important to note here that all differences are not necessarily bad. Customisations also appear as differences, as do malware snippets. Be cautious when deleting code, and check your website periodically to make sure it is still working.

The wp-vcd malware in nulled themes usually shows up in the functions.php file, and then propagates from there on.

Note:Make sure to clean parent and child themes wherever applicable. Cleaning just one or the other will result in reinfection.

6. Clean your website database

Although wp-vcd typically resides in your website files, there are other parts of the malware that can be in the database. Check the wp_options table for correct parameters, or check the posts table for spam links that may have been added to your website.

7. Remove backdoors

Even if you get rid of the plugin or theme that caused the infection, it doesn’t guarantee that the malware will be removed, because it could have already spread to the rest of the website. The nulled plugin or theme is only the starting point.

Wp-vcd is notorious for leaving behind backdoors, and frustrating all manual attempts at cleaning. The malware reappears instantly when the site is reloaded for instance. This is because of backdoors.

Backdoors are just like malware, and can be anywhere. Look for code like this:eval , base64_decode , gzinflate , preg_replace , and str_rot13

These functions allow access from outside the website, and can be manipulated as backdoors. Having said that, they aren’t all bad. So be careful to check the usage of each instance before deleting it.

8. Remove any additional admin users

One of the quirks of this malware is the addition of ghost admin to your website. Review the list of admin users, and remove any that look suspicious.

9. Repeat this process with subdomains and sites on shared hosting

If you have multiple installations of WordPress on your domain, or you have multiple websites on a shared hosting account, make sure to clean all the websites. Wp-vcd is notorious for infecting other installations very quickly.

10. Clear WordPress and browser caches

Caches store a copy of your website to boost loading and performance. Once you’ve cleaned the malware from your website, make sure to flush the caches so that the old versions are removed.

11. Use a security scanner to confirm

This is the finish line of the cleaning process. All that is left is the final confirmation that the malware has indeed been removed.

One of the most frustrating things about the wp-vcd malware is its almost instantaneous reappearance after cleaning. It can regenerate from a single instance of forgotten or overlooked malware code in any file or folder. To avoid the frustration of seeing all your effort wasted, make sure to scan your website once more.

Cách xóa phần mềm độc hại WP-VCD.php khỏi trang web WordPress của bạn

Why manual cleanups often fail

Even though we have laid out the cleaning steps above, we strongly advise against manual cleanups. Only WordPress experts should attempt a manual cleanup, and let’s face it, you wouldn’t need this guide if you were a WordPress expert.

Here are things just some of the things that can go wrong with manual cleaning:

  • The wp-vcd malware spreads rapidly across the entire website. It can go into unexpected places, and therefore becomes difficult to find.
  • Removing the nulled theme or plugin that caused the hack isn’t sufficient, because the malware has now multiplied. Same goes for deactivating the themes and plugins.
  • In addition to removing all instances of the malware, you need to remove all backdoors as well to prevent reinfection.

The biggest reason that manual cleanups fail is because of inexpert removal. To be able to distinguish between malware and good code, you need to understand coding logic. That involves understanding the code itself, what it does, and how it interacts with other code.

How to prevent wp-vcd malware reinfecting your website

The malware is gone, and it is time to take some precautionary measures. Wp-vcd is an especially stubborn malware, and it can reinfect the website at the drop of a hat. So here are some things to do so that your site remains secure and malware-free:

  • Never use nulled software no matter how attractive the immediate cost-savings may seem. In the long run, you end up paying a great deal more in terms of damages and loss of revenue.
  • Install a security plugin which will scan, clean, and protect your website. Although, be warned that even the best security plugin cannot protect against malware that you install yourself on your website.
  • Review admin users regularly; in fact review all users regularly and make sure to implement a least-privileges account policy.
  • Check file permissions of critical files.
  • Set up a password policy and require all users set strong passwords on their accounts.

You can also choose to harden WordPress, which includes measures such as adding two-factor authentication and preventing php execution in certain folders.

What is the impact of the Wp-vcd malware attack on your website

The wp-vcd malware may not make itself immediately apparent to the logged in admin, but your visitors are potentially getting an eyeful of illegal drugs, grey market products, or potentially profane content in the form of ads. You don’t need us to tell you:that’s bad news.

Here are some of the repercussions of the wp-vcd.php malware attack we’ve seen on websites:

  • Loss of trust from visitors, and therefore loss of revenue
  • Google blacklist
  • Security issues in Google Search Console
  • SEO rankings falling because of Google’s blacklist
  • Site suspended by web host
  • Legal issues from disgruntled users

Và nhiều cái khác. Long story short, all malware is bad and has terrible consequences for everyone except the hacker. Since you are not running your website for hackers, take hacks seriously and remove them as soon as possible.

Conclusion

The best way to scan, clean, and protect your website from hackers and their egregious malware is to install a security plugin. The wp-vcd.php malware needs a strong security solution to get rid of it, after all, and frankly manual cleaning never does the job.

Also, please don’t install nulled software. Apart from literally stealing from the developers, it is just poor short-term savings, which work out to be very expensive in the long run.

We hope you found this article helpful and now have a better understanding of the wp-vcd malware. Please drop us a line if you have any questions. We’d love to hear from you!

FAQs

What is wp-includes/wp-vcd.php?

wp-includes/wp-vcd.php is a malware file created by the wp-vcd malware, and hidden in the core WordPress folder /wp-includes. This malware file enables the malware to replicate itself in different parts of the WordPress website, so even after it is cleaned, it often reappears.

The wp-vcd hack creates spam links on your website, creates fake admin users, and shows malvertising pop-ups to divert your visitors to spam sites. If you see this file in your /wp-includes folder, your WordPress website has been hacked, and you need to clean it immediately.

What is WP-VCD.php?

wp-vcd.php is a very common malware that affects WordPress websites. Websites are usually infected because of the installation of nulled themes or plugins. The wp-vcd.php virus starts off in the nulled software and then spreads to the rest of the website, and also to other websites on shared hosting.

The wp-vcd malware infection creates spam links on the infected website, fake admin users, or shows spam ad pop-ups to website visitors. It does this to drive traffic to spam websites or increase their ad revenue.

How to remove WP-VCD wordpress malware?

The most effective way to remove wp-vcd.php malware infection is to clean your WordPress website with a security plugin. You can also remove the malware manually, but it is a difficult and time-consuming process with very low rates of success.