Malware WordPress: Cum detectați și eliminați infecțiile de pe site

Malware WordPress este una dintre cele mai frecvente probleme cu care se confruntă proprietarii de site-uri, iar detectarea rapidă și eliminarea corectă sunt esențiale pentru limitarea daunelor. Un site infectat poate redirecționa vizitatorii, trimite spam sau expune date sensibile fără ca proprietarul să știe.

Google blacklistează anual milioane de site-uri infectate, eliminarea din lista neagră durând uneori săptămâni întregi chiar după curățarea completă.

Malware WordPress: Cum detectați și eliminați infecțiile de pe site

Infecțiile WordPress provin în principal din pluginuri și teme anulate (nulled), parole slabe, versiuni WordPress neactualizate și permisiuni greșite pe fișiere. Odată infectat, malware-ul se poate ascunde în fișiere de bază WordPress, teme, pluginuri sau chiar în baza de date.

Simptomele unei infecții includ redirectări neașteptate, pagini noi create automat, conținut spam în articole, mesaje de eroare de securitate de la Google și notificări de la furnizorul de hosting.

Scanarea site-ului cu Wordfence Security

Wordfence este cel mai popular plugin de securitate WordPress, incluzând un scanner puternic care compară fișierele site-ului cu repository-ul oficial WordPress pentru a detecta modificări.

Instalați Wordfence din panoul WordPress și rulați o scanare completă din Wordfence > Scan > Start New Scan. Scanarea analizează fișierele PHP, JavaScript și fișierele de configurare pentru cod malițios cunoscut.

// Verificare integritate fisiere WordPress din terminal
wp core verify-checksums
wp plugin verify-checksums --all

Scanarea cu WPScan din linia de comandă

WPScan este un instrument specializat pentru detectarea vulnerabilităților WordPress, disponibil gratuit pentru utilizare non-comercială. Oferă informații despre pluginuri vulnerabile, teme cu probleme și utilizatori expuși.

wpscan --url https://site-ul-dumneavoastra.ro --enumerate vp,vt,u

Parametrul enumerate vp verifică pluginurile vulnerabile, vt verifică temele și u enumerează utilizatorii. Rulați WPScan periodic, nu doar când suspectați o infecție.

Identificarea fișierelor modificate recent

Fișierele modificate recent în perioade suspecte sunt un indicator clar de infecție. Căutați fișierele modificate în ultimele 7 zile excluzând cache și log-uri.

find /var/www/html -name "*.php" -mtime -7 -not -path "*/cache/*" | head -50

Examinați conținutul fișierelor suspecte pentru cod ofuscat, base64 encoded sau funcții PHP periculoase. Acestea sunt semnale clare de malware.

grep -r "base64_decode\|eval\|str_rot13\|gzinflate" /var/www/html --include="*.php" -l

Eliminarea manuală a malware-ului din fișiere PHP

Dacă scannerul identifică fișiere infectate, le puteți curăța manual sau le puteți înlocui cu versiunile originale. Pentru fișierele de bază WordPress, reinstalarea este cea mai sigură opțiune.

wp core download --force
wp plugin install NUME_PLUGIN --force
wp theme install NUME_TEMA --force

Nu ștergeți fișierele infectate fără să le analizați mai întâi. Malware-ul poate fi injectat în fișiere legitime care conțin și cod valid, ștergerea completă putând strica funcționalitatea site-ului.

Curățarea bazei de date WordPress

Malware-ul se poate ascunde și în baza de date, în special în câmpurile de opțiuni, conținutul articolelor sau widget-uri. Căutați injecții JavaScript și link-uri spam.

SELECT * FROM wp_options WHERE option_value LIKE '%base64%';
SELECT * FROM wp_posts WHERE post_content LIKE '%

Folosiți și WP-CLI pentru a căuta în toate tabelele simultan. Exportați baza de date înainte de orice modificare pentru a putea reveni dacă ceva nu merge bine.

Restaurarea dintr-un backup curat

Dacă infecția este extinsă și curățarea manuală este prea complexă, restaurarea dintr-un backup anterior infecției este cea mai rapidă soluție. Verificați data exactă a infecției din log-urile serverului.

grep -i "malware\|eval\|base64" /var/log/apache2/access.log | tail -100

Restaurați backup-ul și aplicați imediat toate actualizările disponibile înainte de a face site-ul public din nou.

Schimbarea credențialelor după o infecție

După curățare, schimbați toate parolele: WordPress admin, baza de date, FTP, cPanel și orice alt serviciu asociat. Malware-ul poate fi instalat un keylogger sau poate fi exfiltrat credențialele existente.

wp user update 1 --user_pass="PAROLA_NOUA_COMPLEXA"
wp config set DB_PASSWORD "PAROLA_NOUA_BD"

Prevenirea reinfectării WordPress

După curățare, implementați măsuri preventive: actualizați WordPress, toate pluginurile și temele, eliminați pluginurile inactive, configurați un plugin de securitate cu firewall activ și schimbați adresa URL de login.

• Actualizați imediat WordPress core, pluginuri și teme la versiunile cele mai recente
• Eliminați temele și pluginurile inactive sau nefolosite din instalare
• Configurați permisiuni corecte: 644 pentru fișiere, 755 pentru directoare
• Activați autentificarea în doi pași pentru toate conturile de administrator
• Monitorizați integritatea fișierelor cu un plugin de securitate activ

Securizarea unui site WordPress infectat necesită atenție la detalii și consecvență în aplicarea măsurilor preventive. Odată curățat corect și protejat adecvat, riscul de reinfectare scade dramatic. Descoperiți serviciile de securitate WordPress oferite de echipa goai.ro.