WordPress átirányít más weboldalakra – okok és megoldások

Ha a WordPress átirányít más weboldalakra, az szinte mindig komoly figyelmeztető jel. Lehet egyszerű hibás beállítás, rosszul konfigurált plugin vagy cache-probléma, de a gyakorlatban nagyon gyakran fertőzés áll mögötte. A látogató megnyitná a weboldalt, de helyette gyógyszeres, kaszinós, kriptós, felnőtt tartalmú vagy csaló oldalra kerül. Néha csak mobilon történik meg, néha csak Google találatból, néha csak naponta egyszer.

Az átirányításos WordPress fertőzés különösen veszélyes, mert a tulajdonos sokszor nem látja. Bejelentkezve minden rendben van, asztali gépen minden rendben van, de a valódi látogatók egy része már elveszik. Ez bevételkiesést, reputációs kárt, Google Ads tiltást és SEO problémákat is okozhat.

Ebben a cikkben végigvesszük, hogyan működik az átirányításos malware, hol érdemes keresni, milyen technikai nyomok utalnak fertőzésre, és hogyan lehet tartósan megszüntetni.

Tünetek

Az átirányításos fertőzés tipikus tünetei:

• a weboldal másik domainre dob át,
• csak mobilról történik átirányítás,
• csak Google találatból érkezve látszik a probléma,
• csak hirdetésből érkező látogatóknál aktiválódik,
• az első látogatáskor átirányít, másodiknál nem,
• inkognitó ablakban mást mutat, mint bejelentkezve,
• a Google Ads rosszindulatú szoftver miatt tilt,
• a Search Console biztonsági problémát jelez,
• a látogatók panaszkodnak, de a fejlesztő nem tudja reprodukálni,
• ismeretlen JavaScript jelenik meg az oldal forrásában.

Ha a hirdetésed is érintett, olvasd el a Google Ads rosszindulatú szoftver miatti letiltásáról szóló cikket is, mert ott külön kitérünk a felülvizsgálat előtti teendőkre.

Hogyan működik az átirányításos támadás?

A támadó célja általában az, hogy a weboldalad látogatóit másik oldalra terelje. Ez történhet szerveroldalon PHP-ból, kliensoldalon JavaScriptből, adatbázisba szúrt tartalomból, .htaccess szabályból vagy külső script betöltésével.

Gyakori módszerek:

• JavaScript átirányítás a sablonban,
• fertőzött pluginfájl,
• PHP backdoor az uploads könyvtárban,
• adatbázisba szúrt <script> kód,
• módosított .htaccess,
• hamis cache fájl,
• feltételes átirányítás user-agent alapján,
• referrer alapú átirányítás Google vagy Facebook forgalomnál.

Egy egyszerű JavaScript átirányítás így nézhet ki:

<script>
  if (document.referrer.includes('google')) {
    window.location.href = 'https://spam-domain.example';
  }
</script>

Egy PHP alapú változat:

if (strpos($_SERVER['HTTP_USER_AGENT'], 'Mobile') !== false) {
    header('Location: https://spam-domain.example');
    exit;
}

A valós fertőzések ennél általában jobban el vannak rejtve. Gyakori az obfuszkálás, vagyis a kód elrejtése:

eval(gzinflate(base64_decode('...')));

Indikátorok, amelyeket keress

Az átirányításos malware több helyen is megbújhat.

Gyanús fájlok:

wp-content/uploads/2026/06/index.php
wp-content/uploads/.tmp/loader.php
wp-content/mu-plugins/system.php
wp-includes/blocks/navigation/view.php
wp-content/cache/supercache/random.php

Gyanús .htaccess részletek:

RewriteCond %{HTTP_REFERER} google\. [NC]
RewriteRule ^(.*)$ https://spam-domain.example/$1 [R=302,L]

Gyanús JavaScript:

setTimeout(function () {
  location.href = atob('aHR0cHM6Ly9zcGFtLWRvbWFpbi5leGFtcGxl');
}, 1000);

Adatbázisban kereshető minták:

SELECT ID, post_title
FROM wp_posts
WHERE post_content LIKE '%window.location%'
   OR post_content LIKE '%document.location%'
   OR post_content LIKE '%<script%';

Az is gyanús, ha új admin felhasználók jelennek meg, vagy ha a wp_options táblában ismeretlen autoload opciók vannak hosszú, kódolt tartalommal.

Hogyan vizsgáld ki lépésről lépésre?

Az átirányításos fertőzésnél a reprodukálás a legnehezebb. Ezért több nézőpontból kell tesztelni.

1. Nyisd meg az oldalt kijelentkezve.
2. Teszteld inkognitó ablakból.
3. Teszteld mobilról.
4. Teszteld mobilnetről, ne csak céges Wi-Fi-ről.
5. Próbáld Google találatból megnyitni.
6. Nézd meg a böngésző Network paneljét.
7. Figyeld, melyik kérés indítja az átirányítást.
8. Nézd meg, 301, 302 vagy JavaScript redirect történik-e.
9. Ellenőrizd a .htaccess fájlt.
10. Vizsgáld meg a frissen módosított PHP fájlokat.
11. Keresd a külső JavaScript domaineket.
12. Nézd át az adatbázisban a script mintákat.

Ha a biztonsági plugin nem jelez semmit, attól még ne állj meg. Erről külön írtam: Wordfence szerint tiszta az oldal, mégis fertőzött.

Miért fertőződik vissza?

Sok weboldalt úgy tisztítanak, hogy törlik a látható átirányító kódot, majd lezárják az ügyet. Ez rövid távon működhet, de ha a támadó belépési pontja megmarad, a fertőzés visszajön.

Gyakori visszafertőződési okok:

• sérülékeny plugin marad az oldalon,
• nulled sablon vagy plugin aktív,
• kiszivárgott admin jelszó,
• kiszivárgott FTP/SFTP hozzáférés,
• megmaradt backdoor fájl,
• ismeretlen admin felhasználó,
• adatbázisba rejtett loader,
• nem cseréltek jelszót tisztítás után,
• nincs napló, ezért nem derül ki a belépési pont.

A tartós megoldás nem csak a malware törlése, hanem az ok megszüntetése. Ha nem derül ki, hogyan jutott be a támadó, csak reménykedni lehet, hogy nem jön vissza.

Hogyan lehet eltávolítani?

Az eltávolítást érdemes incidenskezelésként kezelni.

Ajánlott folyamat:

• készíts mentést a jelenlegi állapotról,
• azonosítsd az átirányítás típusát,
• keresd meg, fájlból, adatbázisból vagy .htaccess-ből jön-e,
• cseréld tiszta forrásból a WordPress core fájlokat,
• frissíts minden plugint és sablont,
• töröld a nem használt bővítményeket,
• ellenőrizd az uploads könyvtárat PHP fájlokra,
• nézd át a mu-plugins könyvtárat,
• vizsgáld az admin felhasználókat,
• tisztítsd az adatbázisból a beszúrt scriptet,
• töröld a cache-t,
• cserélj minden jelszót,
• ellenőrizd több eszközről és referrerrel.

Ha Google Ads tiltás is történt, csak akkor kérj felülvizsgálatot, ha az oldal már tiszta, a cache ürítve van, és a fertőzés több tesztkörben sem reprodukálható.

Megelőzés

Az átirányításos fertőzések ellen a legjobb védelem a rétegzett kontroll:

• rendszeres frissítés,
• sérülékeny pluginok gyors cseréje,
• erős jelszó-szabályzat,
• kétfaktoros belépés,
• admin felhasználók rendszeres ellenőrzése,
• fájlváltozás monitorozás,
• HTTP kérések naplózása,
• gyakori mentés,
• mentés visszaállításának tesztelése,
• külső script betöltések kontrollja.

Ha sok ügyféloldalt kezelsz, különösen fontos a központi naplózás. Egyetlen fertőzés is több kampányt, ügyfélkapcsolatot és reputációt érinthet.

Mikor hívj szakértőt?

Hívj szakértőt, ha:

• a redirect nem reprodukálható megbízhatóan,
• Google Ads vagy Search Console tiltást kaptál,
• webshopról van szó,
• visszatérő fertőzésről van szó,
• több weboldalt kezelsz,
• nem tudod, fájlban vagy adatbázisban van-e a kód,
• nincs hozzáférésed minden fájlhoz,
• nem akarsz kockáztatni éles kampány mellett.

WebShield esetén a cél nem csak az, hogy eltűnjön az átirányítás, hanem hogy kiderüljön, mi volt a kiindulási pont. A naplózás és a célzott vizsgálat segít csökkenteni az újrafertőződés esélyét.

Összefoglalás

Ha a WordPress átirányít más weboldalakra, azt komolyan kell venni. A fertőzés lehet fájlban, adatbázisban, .htaccess szabályban, cache-ben vagy külső JavaScriptben. A valódi megoldás nem csak a redirect törlése, hanem a belépési pont megtalálása, a backdoorok eltávolítása, a jelszavak cseréje és a megelőző kontrollok bevezetése. Ha üzletileg fontos oldalról van szó, ne várj vele napokig.

• WordPress
• átirányítás
• malware
• SEO spam