Trang web của bạn có được chuyển hướng đến trang web khác không?
Hoặc tệ hơn…
Bảng điều khiển WordPress của bạn có đang chuyển hướng đến một trang web khác không? Có thể nếu bạn đã cài đặt Quttera, bạn sẽ thấy điều này:
Tên mối đe dọa: Heur.AlienFile.gen
Tất nhiên, điều đó không hữu ích từ xa. Đừng lo lắng; chúng tôi sẽ giải thích mọi thứ.
Bạn đã bị nhiễm phần mềm độc hại chuyển hướng tấn công WordPress. Cũng có thể bạn đã thử làm sạch trang web của mình và nó dường như không hoạt động.
Đây là những gì không và sẽ không hoạt động:
- Hủy kích hoạt hoặc xóa plugin hoặc chủ đề đã gây ra nhiễm trùng
- Sử dụng bản sao lưu để khôi phục trang web của bạn về phiên bản trước đó
- Cập nhật WordPress hoặc các chủ đề và plugin của bạn
TL; DR: Phần mềm độc hại chuyển hướng bị tấn công rất khó xác định và loại bỏ thủ công. Tin tốt là bạn có thể dọn dẹp trang web của mình trong vòng chưa đầy 60 giây bằng cách sử dụng công cụ xóa phần mềm độc hại.
Điều gì đang xảy ra với trang web của bạn
Phần mềm độc hại chuyển hướng bị tấn công trong WordPress:
- Đánh cắp lưu lượng truy cập và hủy hoại danh tiếng của bạn
- Có thể đưa trang web của bạn vào danh sách đen của Google
- Có thể khiến máy chủ web tạm ngưng tài khoản của bạn mà không có cảnh báo trước
Đó thậm chí không phải là phần tồi tệ nhất.
Có hàng trăm biến thể của phần mềm độc hại chuyển hướng bị tấn công trong WordPress. Tin tặc càng tinh vi, càng khó tìm ra phần mềm độc hại này và loại bỏ nó.
Ngoài ra, vì đây là một vụ hack dễ thấy…
… Bạn nghĩ rằng rằng phần tệ nhất là trang web của bạn chuyển hướng đến một trang web khác.
Nhưng trên thực tế, phần nguy hiểm nhất là phần mềm độc hại chuyển hướng tấn công WordPress cũng tạo tài khoản người dùng WordPress với đặc quyền quản trị viên.
Điều này có nghĩa là tin tặc có thể lây nhiễm lại trang web của bạn nhiều lần nếu bạn có thể làm sạch nó.
Bây giờ, hãy tưởng tượng việc sử dụng một dịch vụ dọn dẹp như Wordfence sẽ tính phí bạn cho mỗi lần dọn dẹp ngay cả khi đó là một lần hack lặp lại. Phần mềm độc hại chuyển hướng bị tấn công về cơ bản sẽ làm bạn khô máu .
Wordfence cũng đưa ra quá nhiều cờ cho việc chuyển hướng bị tấn công của WordPress:
* Unknown file in WordPress core: wp-admin/css/colors/blue/php.ini
* Unknown file in WordPress core: wp-admin/css/colors/coffee/php.ini
* Unknown file in WordPress core: wp-admin/css/colors/ectoplasm/php.ini
* Unknown file in WordPress core: wp-admin/css/colors/light/php.ini
* Unknown file in WordPress core: wp-admin/css/colors/midnight/php.ini
* Unknown file in WordPress core: wp-admin/css/colors/ocean/php.ini
* Unknown file in WordPress core: wp-admin/css/colors/php.ini
* Unknown file in WordPress core: wp-admin/css/colors/sunrise/php.ini
* Unknown file in WordPress core: wp-admin/css/php.ini
* Unknown file in WordPress core: wp-admin/images/php.ini
* Unknown file in WordPress core: wp-admin/includes/php.ini
* Unknown file in WordPress core: wp-admin/js/php.ini
* Unknown file in WordPress core: wp-admin/maint/php.ini
* Unknown file in WordPress core: wp-admin/network/php.ini
* Unknown file in WordPress core: wp-admin/php.ini
...
Đây là cách Wordfence cho bạn biết rằng bạn có phần mềm độc hại chuyển hướng bị tấn công WordPress.
Một lần nữa, chính xác thì bạn thậm chí phải làm gì với thông tin đó?
Bạn cần dọn dẹp vĩnh viễn phần mềm độc hại chuyển hướng bị tấn công WordPress ngay bây giờ.
Chờ đợi càng lâu, bạn càng phải hứng chịu nhiều phần mềm độc hại.
May mắn thay, bạn CÓ THỂ làm sạch trang web của mình và chúng tôi sẽ hướng dẫn bạn cách thực hiện.
Làm thế nào để bạn biết chắc chắn rằng bạn có phần mềm độc hại chuyển hướng bị tấn công bởi WordPress?
Có quá nhiều cách mà bạn có thể bị nhiễm phần mềm độc hại chuyển hướng bị tấn công WordPress.
Vì vậy, làm thế nào để bạn biết chắc chắn liệu mình có bị nhiễm loại vi-rút cụ thể đó hay không?
Làm thử nghiệm quỳ tím.
Nếu câu trả lời của bạn cho bất kỳ câu nào sau đây là “Có” thì bạn có phần mềm độc hại chuyển hướng:
- Bạn luôn có chuyển hướng hiển thị đến một trang web khác cho tất cả các trang
- Kết quả Tìm kiếm của Google gắn cờ nội dung spam cho trang web của bạn
- Bạn có thông báo đẩy không xác định trên trang web của mình
- Có mã javascript độc hại trong tệp index.php
- Tệp .htaccess có mã không xác định trong đó
- Có các tệp rác có tên đáng ngờ trên máy chủ của bạn
Điều này nghe có vẻ hoàn toàn điên rồ, nhưng lần kiểm tra đầu tiên thực sự là ít phổ biến nhất.
Như chúng tôi đã đề cập trước đây, vấn đề chuyển hướng bị tấn công trong WordPress có quá nhiều biến thể để xác định (sẽ nói thêm về vấn đề này sau). Ngay cả khi bạn có toàn quyền truy cập vào trang web, bạn có thể không bao giờ tìm thấy một đoạn mã độc hại thực sự .
Cách làm sạch trang web của bạn khỏi bị tấn công chuyển hướng WordPress
Có 3 cách để bạn có thể làm sạch trang web của mình sau khi bạn nhận được bản hack chuyển hướng WordPress.
- Phương pháp # 1:Quét phần mềm độc hại và làm sạch trang web của bạn
- Phương pháp # 2:Sử dụng Máy quét Bảo mật Trực tuyến (KHÔNG ĐƯỢC KHUYẾN CÁO)
- Phương pháp # 3:Làm sạch trang web theo cách thủ công (Hoàn toàn không thể đối với phần mềm độc hại chuyển hướng bị tấn công)
Chúng ta hãy xem xét từng thứ một.
Phương pháp # 1:Sử dụng Trình quét phần mềm độc hại và Trình cắm Dọn dẹp Phần mềm độc hại
Hãy tin tưởng chúng tôi khi chúng tôi nói điều đó :ngay cả khi bạn phải chi tiền cho một plugin, đó chính xác là những gì bạn muốn làm nếu bạn bị nhiễm Phần mềm độc hại chuyển hướng trang web của bạn đến Spam.
Tốt hơn bạn nên cầu nguyện với mọi Thượng đế, mọi tôn giáo phải cung cấp một plugin có thể dọn dẹp trang web của bạn.
Nếu vì bất kỳ lý do gì mà bạn không thể tìm được trình quét và trình dọn dẹp phần mềm độc hại giải quyết được vấn đề này, thì tốt hơn hết là bạn nên xóa trang web của mình và tạo một trang web mới.
Nó thậm chí không quan trọng việc trang web của bạn quan trọng như thế nào đối với doanh nghiệp của bạn.
Đó là điều bực bội khi làm sạch trang web của bạn theo cách thủ công.
Chúng tôi khuyên bạn nên sử dụng trình quét và trình dọn dẹp phần mềm độc hại mạnh mẽ như MalCare .
Mặc dù điều này có thể hơi thiên vị, nhưng chúng tôi hết lòng khuyên bạn nên sử dụng MalCare để quét và làm sạch trang web của bạn để tìm phần mềm độc hại chuyển hướng bị tấn công WordPress.
Tại sao?
This is the quickest and easiest way to find, remove and fix the WordPress redirection issue without breaking your website .
You can get unlimited FREE server-level scans to make sure that your website is really infected.
Then, you can simply upgrade to the premium version to clean your website in less than 60 seconds with one click!
Afterwards, you can use MalCare’s WordPress security hardening methods to make sure that your website doesn’t get hacked again.
Here’s the step-by-step process you’ll need to follow:
STEP 1: Sign up for MalCare
STEP 2: Run the MalCare scanner:
STEP 3: Hit the ‘Clean’ Button to automatically clean your site.
STEP 4: Finally, head over to ‘Apply Hardening’ and secure your website against future threats
That’s all you need to do.
WordPress Redirect Hack is only one of many malwares that MalCare is equipped to automatically detect and clean.
Now, if you’re not going to use a premium scanner and cleaner like MalCare, then you probably have a security plugin installed such as:
- Sucuri
- Wordfence
- Quterra
- Astra Web Security
- WebARX Security
While none of these security plugins can actually offer one-click auto-cleanups backed by a learning algorithm, you will get security personnel cleaning your website manually.
Full Disclosure! With any of these plugins:
- Do not expect a quick cleanup. Manual cleanups take time.
- Cleanups are charged additionally for repeat hacks. You won’t get unlimited cleanups like MalCare customers.
- You may not be able to remove the malware completely. Most of these plugins will overlook the backdoors left by the hacker.
But using any of these plugins is a better option than using a web scanner or doing a full manual sweep of your WordPress site.
If you’re completely against a paid solution because you’ve been burnt by one in the past, keep reading. We’ll give you two more options to try although we don’t recommend either.
Method #2:Use an Online Security Scanner
As a preliminary check, you can use Sucuri SiteCheck or Google Safe Browsing.
These are both online security scanners that run a very weak check of your website’s HTML files. Online scanners can only check the parts of your website that are visible to a browser. Then the scanner runs those code snippets against their database of known malware signatures.
Instead, scan your website using MalCare. We offer a much deeper scan in our 7-day FREE trial.
Online security scanners can’t check your server or WordPress core files for malware.
To be very clear, they are not completely useless.
Web-based security scanners can spot links that may have been blacklisted by search engines. You may or may not be able to find snippets of common malware in some rare instances. But if you want to pinpoint and clean your website, you need a server-level malware scanner.
The way in which these scanners work is very simple:
- Head over to the scanner
- Drop the link to your website for the scanner to check
- Wait for the scanner to come up with some results
Again, using a superficial scanner is not going to help your situation .
You might get a few pointers on a couple of bad links to clean, but the hacker will still have access to your WordPress website. In a couple of days, you will be reinfected with the WordPress hacked redirect malware.
Method #3:Scan and Clean Your Site Manually
We’ll be real upfront here.
Trying to clean your website manually with WP redirect hack is a bona-fide way to wreck it completely.
We’re not joking here.
Seasoned database administrators with 10+ years of experience are terrified of having to clean up a WordPress database manually. Complete WordPress pros will tell you to never play around with the WordPress core files and the .htaccess file.
Unfortunately, the WordPress redirect malware usually affects:
- Core WordPress Files
- index.php
- wp-config.php
- wp-settings.php
- wp-load.php
- .htaccess
- Theme Files
- footer.php
- header.php
- functions.php
- Javascript Files (This could be ALL javascript on your website or specific files)
- WordPress Database
- wp_posts
- wp_options
- Fake Favicon.ico That Cause (These files contain malicious PHP code):
- URL injections
- Creation of administrator accounts
- Installation of spyware/trojans
- Creation of phishing pages
That’s a LOT of ground to cover.
So, if you’re the adventurous type and you’re dead set on scanning and cleaning your website manually, take a full website backup .
Do it.
Do it right now.
You can use BlogVault to take backups with one-click restores just in case something goes wrong. It’s one of the best backup plugins you’ll find.
Honestly, it doesn’t matter right now if you want to use another backup plugin as long as you take a backup right now.
Next, you want to follow these steps exactly as we go along.
Part 1:Check WordPress Core Files
Your WordPress Core files are going to be the primary target for many variants of the WordPress hacked redirect malware.
Step 1:Check the WordPress version on your site
This nifty article by Kinsta will show you how to check the WordPress version. Even if you can’t access your WordPress admin dashboard, you can still find your WordPress version.
Step 2:Download your WordPress files using cPanel
You can download your files from cPanel directly. Head over to cPanel and use the Backup Wizard to download the files.
This article by Clook will show you how.
Step 3:Download a pristine copy of the version of WordPress on your site
Download the original WordPress files here.
Step 4:Run a Diffchecker
This last step is not going to make you happy. You’ll have to upload both versions of each file manually to https://www.diffchecker.com/ and run the diffcheck.
Yeah, it’s going to take a while and it’s a pain to do. To be honest, if you’re not 100% sure about what you are seeing, it’s a very bad idea to delete the differences. It could end up wrecking your site.
Part 2:Check for Backdoors
Backdoors are exactly what they sound like – entry points for hackers to access your website without you knowing about it.
Search your website for malicious PHP functions such as:
- eval
- base64_decode
- gzinflate
- preg_replace
- str_rot13
NOTE: These functions are NOT evil by default. Many PHP plugins use them for legitimate reasons. So, again, if you’re not sure what you are looking at, do not delete stuff from the code. Just in case you deleted something and it broke your site, use that backup to restore your site.
The WP hacked redirect malware can actually leave multiple backdoors. Finding them all manually is a real pain. Again, we recommend installing MalCare straight away.
Part 3:Remove Any Unknown Admin Accounts
Of course, this is assuming that you can actually access your WordPress dashboard, but if you can:
- Head over to Users
- Scan for any suspicious admins and delete them
- Reset the passwords for all admin accounts
- Go to Settings>> General
- Disable Membership Option for ‘Anyone can register’
- Set Default Membership Role to ‘Subscriber’
For good measure, you should also change your WordPress Salts and Security Keys.
WordPress Site hacked redirect issues actually survive in your WordPress site even after a cleanup because of these fake admin accounts.
Part 4:Scan Plugin Files
You can check the plugins in the same way you checked WordPress core files. Head over to WordPress.org and download the original plugins. Then run the diffchecker again for all plugin files to discover the WordPress hacked redirect malware.
Yes, this is annoying. But more importantly, this is a really limited option. There may not even be a plugin update that covers the vulnerability.
Không thú vị.
Part 5:Scan and Clean Your Database
This is probably the worst part of cleaning up the WordPress hacked redirect malware from your site.
But it’s almost over.
Scanning the database is pretty similar to scanning for backdoors.
Search for keywords such as: