Majoritatea proprietarilor de site-uri WordPress află că au malware în cel mai prost moment posibil: când Google afișează un avertisment roșu înainte de site-ul lor, când hosting-ul suspendă contul sau când un client îi sună să întrebe de ce e redirecționat spre un site cu conținut dubios.
Până în acel moment, malware-ul poate fi activ pe site de săptămâni sau luni de zile — colectând date, trimitând spam, infectând vizitatori sau consumând resurse de server — complet nedetectat. Articolul ăsta explică cum recunoști semnele, ce instrumente există pentru detectare și de ce detectarea timpurie face diferența între o curățare rapidă și un dezastru.
De ce malware-ul pe WordPress rămâne nedetectat atât de mult
Malware-ul modern nu e conceput să fie vizibil. Scopul atacatorului nu e să strice site-ul — e să îl folosească cât mai mult timp posibil fără să fie observat. Un site spart și inutilizabil nu mai e util nimănui; un site infectat dar funcțional poate fi exploatat luni întregi.
De aceea, codul malițios e de obicei ascuns în fișiere legitime, ofuscat (scris într-un format greu de citit de om), și conceput să se activeze doar în anumite condiții — de exemplu, doar când vizitatorul vine din Google, nu direct. Proprietarul site-ului care accesează direct nu vede nimic anormal. Vizitatorul care ajunge din căutări e redirecționat spre alt site.
La asta se adaugă faptul că majoritatea proprietarilor de site-uri nu au instrumente de monitorizare și nu știu ce să caute. Dacă site-ul „merge”, presupunerea implicită e că e bine.
Semnele că site-ul tău ar putea fi infectat
Redirecționări neașteptate
Vizitatorii care ajung pe site din Google sunt trimiși spre alte site-uri — de obicei farmacii online dubioase, site-uri de gambling sau pagini cu conținut adult. Tu, care accesezi direct sau ești deja logat, nu vezi nimic anormal. Semnalul vine de obicei când cineva te contactează să te întrebe de ce site-ul tău îl trimite în altă parte.
Conținut nou apărut pe care nu l-ai creat tu
Pagini noi cu text în japoneză, chineză sau cu linkuri spre farmacii online — acesta e unul dintre cele mai cunoscute tipuri de atac, numit „Japanese keyword hack” sau „pharma hack”. Atacatorul creează sute de pagini optimizate SEO pe site-ul tău pentru a promova produse ilegale, folosind autoritatea domeniului tău. Paginile sunt de obicei ascunse față de utilizatorul logat în wp-admin dar vizibile în Google.
Avertismente din Google sau din browser
Google Safe Browsing marchează site-urile infectate și afișează un ecran roșu de avertizare vizitatorilor înainte să ajungă pe site. Dacă ai primit un email de la Google Search Console despre „conținut dăunător” sau dacă cineva îți spune că Chrome afișează un avertisment la accesarea site-ului tău, infecția e deja suficient de avansată încât Google a detectat-o.
Contul de hosting suspendat
Mulți furnizori de hosting scanează automat serverele și suspendă conturile care trimit spam sau găzduiesc malware. Dacă site-ul tău afișează brusc o pagină de suspendare, verificarea pentru malware e primul pas, nu ultimul.
Site mai lent decât de obicei, fără alt motiv
Unele tipuri de malware folosesc resursele serverului pentru a trimite email spam în masă sau pentru a efectua atacuri asupra altor site-uri. Rezultatul poate fi un site semnificativ mai lent, consum ridicat de CPU sau memorie raportat de hosting, sau limite de trimitere email depășite fără că tu să fi trimis nimic.
Fișiere modificate recent pe care nu le-ai atins
Dacă ai acces la server și verifici data ultimei modificări a fișierelor de bază WordPress (wp-includes, wp-admin) sau a fișierului functions.php din temă, și găsești fișiere modificate recent fără să fi făcut tu vreo schimbare, e un semnal de alarmă clar.
Instrumente pentru detectarea malware-ului
Wordfence Security
Unul dintre cele mai folosite plugin-uri de securitate pentru WordPress, disponibil gratuit cu funcționalități de bază. Include un scaner care compară fișierele site-ului tău cu versiunile originale din depozitul WordPress și semnalează orice diferențe, fișiere adăugate sau cod suspect. Versiunea gratuită e utilă; versiunea premium adaugă detectare în timp real și o bază de date de semnături actualizată mai frecvent.
Sucuri SiteCheck
Un scaner online gratuit disponibil la sitecheck.sucuri.net care analizează codul sursă al site-ului tău din exterior, fără să necesite instalare. Detectează malware cunoscut, verifică dacă domeniul e pe liste negre și identifică software-ul outdated. Limitarea e că vede doar ce e vizibil în codul sursă HTML — malware-ul ascuns adânc în fișierele PHP de pe server poate scăpa unui scan extern.
MalCare
Un serviciu specializat în detectarea și curățarea malware-ului WordPress, cu un motor de detecție care analizează comportamentul codului, nu doar semnăturile cunoscute. Detectează tipuri de malware noi sau ofuscate pe care scanerele bazate pe semnături le pot rata. Include și opțiuni de curățare automată.
Verificarea manuală a fișierelor
Pentru cei cu acces la server, verificarea manuală a fișierelor modificate recent e una dintre metodele cele mai fiabile. Comanda care listează fișierele PHP modificate în ultimele 7 zile te poate ajuta să identifici rapid unde a intervenit un atacator. Combinată cu o comparație față de o instalare WordPress curată, această metodă poate găsi cod malițios pe care scanerele automate îl ratează.
Ce faci dacă găsești malware
Primul lucru: nu intra în panică și nu șterge fișiere la întâmplare. Ștergerea greșită poate face site-ul nefuncțional fără să elimine infecția, sau poate distruge dovezi utile pentru înțelegerea vectorului de atac.
Pașii corecți în ordine: pune site-ul în modul de mentenanță sau ia-l offline temporar dacă e posibil, fă un backup al stării actuale (inclusiv cu malware — pentru referință), identifică și elimină codul malițios din fișiere și baza de date, schimbă toate parolele (WordPress, hosting, FTP, baza de date), actualizează tot ce e de actualizat, și verifică dacă vectorul de intrare (plugin vulnerabil, temă compromisă, parolă slabă) a fost închis.
Dacă domeniul a ajuns pe liste negre Google, după curățare trebuie să soliciți o re-evaluare prin Google Search Console. Procesul durează de obicei câteva zile.
Prevenția e mai ieftină decât curățarea
Curățarea unui site infectat serios — mai ales dacă malware-ul a fost activ mult timp, a trimis spam și a ajuns pe liste negre — poate dura ore și necesită cunoștințe tehnice specifice. Costul în timp, bani și reputație depășește cu mult costul măsurilor preventive: actualizări regulate, parole puternice, backup-uri zilnice și un plugin de securitate activ cu scanare periodică.
Detectarea timpurie e cheia. Un site monitorizat în care malware-ul e detectat în ore sau zile de la infectare e o problemă minoră. Același malware descoperit după 3 luni, după ce Google a penalizat domeniul și clienții au văzut avertismente, e o problemă majoră.
Toate pachetele noastre de administrare WordPress includ scanări de securitate periodice, monitorizare și intervenție rapidă în caz de infecție — ca să nu afli că ai malware abia când îți sună clienții. De la 49 €/lună.
Crezi că site-ul tău ar putea fi infectat sau vrei să știi sigur că nu e? Cere auditul gratuit — verificăm și îți raportăm exact ce găsim, fără obligații.