Google Ads letiltotta a weboldalamat rosszindulatú szoftver miatt

Ha a Google Ads letiltotta a weboldaladat rosszindulatú szoftver miatt, az általában azt jelenti, hogy a hirdetés céloldalán, annak egyik aloldalán, vagy a weboldal által betöltött külső erőforrások között gyanús kódot találtak. Ez nem mindig látványos fertőzés. Lehet, hogy a weboldal neked teljesen normálisnak tűnik, az admin felület működik, a főoldal betölt, és még a biztonsági plugin sem jelez hibát. Ettől a probléma még valós lehet.

A hirdetés leállása üzletileg fájdalmas: nem jönnek érdeklődők, romlik a kampány teljesítménye, és a fiókban megjelenő hibaüzenet gyakran nem ad elég technikai részletet. Ilyenkor nem az a jó első lépés, hogy újra és újra felülvizsgálatot kérsz. Előbb bizonyítani kell, hogy a weboldal tiszta, és meg kell találni, mi váltotta ki a tiltást.

Tünetek

A Google Ads rosszindulatú szoftver miatti letiltása többféleképpen jelentkezhet:

• a hirdetés elutasított állapotba kerül,
• a hirdetés céloldalánál rosszindulatú vagy nemkívánatos szoftver szerepel indokként,
• a Google Search Console biztonsági problémát jelez,
• a böngésző néha figyelmeztetést mutat,
• mobilról más oldal nyílik meg, mint asztali gépről,
• csak Google találatból vagy hirdetésből érkező látogatókat irányít át az oldal,
• a WordPress admin működik, de a publikus oldal bizonyos látogatóknak furcsán viselkedik,
• a tárhelyen ismeretlen PHP fájlok jelennek meg,
• a forráskódban idegen JavaScript vagy obfuszkált kód látható.

Fontos, hogy a fertőzés nem mindig minden látogatónak aktív. Sok támadó kifejezetten úgy állítja be a kódot, hogy csak bizonyos országokból, eszközökről, referrerből vagy user-agentből fusson le. Ezért történhet meg, hogy a fejlesztő, az ügynökség vagy a tulajdonos nem lát semmit, miközben a Google crawler vagy a hirdetésellenőrzés igen.

Hogyan működik ez a támadás?

WordPress oldalaknál gyakori, hogy a támadó nem a teljes weboldalt cseréli le, hanem apró kódrészletet helyez el. Ez lehet plugin fájlban, sablonban, wp-config.php környékén, feltöltött PHP fájlban, adatbázisban vagy akár egy cache fájlban is.

A cél többféle lehet:

• látogatók átirányítása spam, kripto, gyógyszer vagy csaló oldalakra,
• SEO spam oldalak létrehozása,
• további kártékony kód letöltése,
• admin hozzáférés megtartása,
• hirdetési forgalom eltérítése,
• a weboldal reputációjának kihasználása.

Google Ads esetén különösen veszélyesek azok a fertőzések, amelyek csak hirdetésből érkező látogatóknak aktiválódnak. A támadó ellenőrizheti a HTTP_REFERER értékét, a user-agentet, vagy JavaScriptből dönthet arról, hogy átirányítson-e. Ilyenkor a sima kézi tesztelés kevés.

Kapcsolódó probléma, amikor a WordPress átirányít más weboldalakra. Ez gyakran ugyanannak az incidensnek egy látványosabb tünete.

Indikátorok, amelyek fertőzésre utalhatnak

Az IOC, vagyis indicator of compromise olyan nyom, amely alapján fertőzésre lehet gyanakodni. WordPress esetén például:

wp-content/uploads/2026/06/class-wp-cache.php
wp-content/uploads/.cache/index.php
wp-includes/js/jquery/jquery.min.php
wp-content/mu-plugins/loader.php

Gyanús PHP minták:

eval(base64_decode(...));
assert($_POST[...]);
preg_replace('/.*/e', ...);
gzinflate(base64_decode(...));
str_rot13(...);

Gyanús JavaScript minták:

<script src="https://furcsa-domain.example/cdn.js"></script>
<script>window.location='https://spam-domain.example'</script>

Adatbázisban is lehet fertőzés. Érdemes átnézni:

• wp_options táblában siteurl, home, ismeretlen autoload opciók,
• widgetek és egyedi HTML blokkok,
• bejegyzések végére beszúrt script,
• Elementor / Divi / page builder mezők,
• admin felhasználók listája,
• ismeretlen pluginbeállítások.

Ha a Wordfence szerint tiszta az oldal, mégis fertőzött, akkor gyakran pont ilyen rejtettebb helyen van a probléma.

Hogyan vizsgáld ki?

Elsőként ne kérj azonnal új Google Ads felülvizsgálatot. Ha a weboldal még fertőzött, a felülvizsgálat újra elutasítást hozhat, és csak időt veszítesz.

Javasolt vizsgálati lépések:

1. Nézd meg a Google Ads hibaüzenet pontos szövegét.
2. Ellenőrizd a Google Search Console biztonsági jelentését.
3. Teszteld az oldalt inkognitóban, mobilról, más hálózatról.
4. Nézd meg a HTML forráskódot, nem csak a böngészőben renderelt oldalt.
5. Vizsgáld át a frissen módosított PHP fájlokat.
6. Nézd meg, vannak-e PHP fájlok az uploads könyvtárban.
7. Ellenőrizd az admin felhasználókat.
8. Nézd meg a szerver access logokat gyanús POST kérések után.
9. Vizsgáld át a cache-t és a mu-plugin könyvtárat.
10. Ellenőrizd a külső JavaScript betöltéseket.

Hasznos külső ellenőrző pont a Google Safe Browsing Transparency Report:

https://transparencyreport.google.com/safe-browsing/search

Ez nem helyettesíti a fájl- és adatbázisvizsgálatot, de segíthet megérteni, hogy a Google jelenleg problémásnak látja-e az adott domaint.

Hogyan lehet eltávolítani?

A tisztításnál a legfontosabb szabály: ne csak a látható tünetet töröld. Ha például találsz egy átirányító scriptet a sablonban, de közben megmarad a támadó által létrehozott admin user vagy backdoor, az oldal vissza fog fertőződni.

Gyakorlati lépések:

• készíts teljes fájl- és adatbázismentést a jelenlegi állapotról,
• azonosítsd az összes módosított és idegen fájlt,
• cseréld tiszta forrásból a WordPress core fájlokat,
• frissítsd vagy cseréld a sérülékeny plugineket,
• töröld az ismeretlen admin felhasználókat,
• ellenőrizd a wp-config.php fájlt,
• nézd át az uploads, mu-plugins, plugins, themes könyvtárakat,
• keresd meg az adatbázisba szúrt JavaScriptet,
• tisztítsd a cache-t,
• cserélj jelszót minden admin, FTP/SFTP, tárhely és adatbázis hozzáférésnél.

Ha nincs napló, nehéz megmondani, hogyan jutott be a támadó. Ilyenkor nagyobb az újrafertőződés kockázata. A WebShield fejlett naplózása pont ebben segít: nem csak a fertőzést keressük, hanem a belépési pontot is.

Hogyan előzd meg?

A megelőzés nem egyetlen plugin telepítése. Szükség van rétegekre:

• rendszeres WordPress, plugin és sablon frissítés,
• erős jelszó-szabályzat,
• kétfaktoros belépés adminoknak,
• felesleges admin felhasználók törlése,
• fájlmódosítások figyelése,
• HTTP kérések naplózása,
• gyakori, visszaállítható mentés,
• sérülékeny vagy nulled pluginok kerülése,
• admin belépések monitorozása.

A WordPress hivatalos hardening útmutatója jó kiindulópont:

https://wordpress.org/documentation/article/hardening-wordpress/

Mikor hívj szakértőt?

Érdemes szakértőt hívni, ha:

• aktív Google Ads kampány áll,
• a weboldal bevételt termel,
• több sikertelen felülvizsgálat volt,
• nem találod a fertőzést,
• tisztítás után visszatér a probléma,
• nem tudod, melyik plugin vagy hozzáférés volt a belépési pont,
• nincs friss, megbízható mentés,
• webshopról vagy leadgyűjtő oldalról van szó.

Ilyenkor nem csak technikai kérdésről van szó, hanem üzleti kárról is. A cél az, hogy az oldal ténylegesen tiszta legyen, a kampány újraindulhasson, és ne egy hét múlva kezdődjön elölről az egész.

Összefoglalás

Ha a Google Ads rosszindulatú szoftver miatt letiltotta a weboldalt, előbb a fertőzést kell bizonyíthatóan kivizsgálni és eltávolítani. Ne csak a látható scriptet töröld, hanem keresd meg a belépési pontot, a backdoorokat, az admin hozzáféréseket és az adatbázisba rejtett kódot is. Ha a hirdetés üzletileg fontos, érdemes gyorsan incidenskezelési szemlélettel dolgozni, mert minden kiesett nap bevételkiesést jelenthet.

• Google Ads
• WordPress
• malware
• incidenskezelés