Zavirovaný Wordpress (virus, malware) - web se přesměrovává
Kamarád provozuje webové stránky na wordpressu a obrátil se na mě, že má problém - web se mu přesměrovává na jiné weby (škodlivý kód, virus, malware). Bylo tedy třeba zjistit, kde je jádro pudla.
Prvotní analýza:
Wordpress byl automaticky updatovaný včetně pluginů a bez viditelných pochybných pluginů. Šablona byla vytvořena pomocí Elementoru. K přesměrování nedochází vždy, ale pouze někdy, a to zejména při prvotním navštívění webu v rámci dne. Nedařilo se mi jednoduše nasimulovat opětovný "škodlivý redirect", ani pomocí anonymního okna či jiného prohlížeče. Takže to trošku ztížilo analýzu.
Co jsem zkusil prvotně
Na netu se nachází spousta článků co dělat, když je wordpress zavirovaný, ale všechny byly tak akorát k prdu - všichni píšou cca to samé.
Velice nedůveřivě jsem zkusil doporučované wordpress pluginy, které jsou jakoby "antiviry", jmenujme namátkou:
- Wordpress antivirus
- Anti-Malware Security and Brute-Force Firewall
- Sucuri Security - Auditing, Malware Scanner and Hardening
- Wordfence Security
- Quttera Web Malware Scanner
Je potřeba konstatovat, že jejich použití bylo úplně k ničemu - nic nenašly.
Finální postup
Nakonec jsem použil starý postup:
- Kompletní záloha souborů a databáze
- Kontrola a update wordpressu a pluginů
- Obecná kontrola souborů na FTP - prvotně ty v rootu - orientace zejména na ty s posledními změnami
- Následně kontrola adresáře Plugins
Kde byl problém
Nejsem rozhodně specialista na Wordpress a rovněž ho moc nemusím, ale problém zmizel poté, co jsem smazal v Plugins tyto dva pluginy:
- insert-headers-and-footers
- eps-301-redirects
Nevím k čemu jsou, ale problém se tím vyřešil. Myslím, že zajímavé na tomto bylo to, že v administraci wordpressu plugin "insert-headers-and-footers" vidět nebyl, takže patrně tam byl nějak podstrčen. No nechtěl bych na podobném systému provozovat nějaký důležitý web ....
