„Site-ul meu trimite clienții pe pagini cu jocuri de noroc”

Ora 09:30, Marți. Primim un apel la urgențe SiteSOS. Proprietarul unui site de prezentare (o firmă de arhitectură) ne spune tremurând: „Când intru pe site de pe mobil, mă redirecționează către un site de casino din Rusia. Pe desktop pare ok, dar clienții mă sună să mă întrebe dacă am fost hackuit.”

Diagnosticul preliminar a fost clar: Redirect Hack condiționat de User-Agent. Hackerii sunt deștepți – ascund virusul de administrator (pe desktop) și îl arată doar vizitatorilor (pe mobil).

În acest studiu de caz, îți arătăm pas cu pas cum am identificat „ușa din spate” (Backdoor) lăsată de o temă piratată (Nulled) și cum am curățat infecția fără a pierde datele clientului.

Pasul 1: Izolarea Pacientului (Ora 10:00)

Primul lucru pe care îl facem la o devirusare nu este să ștergem fișiere, ci să oprim hemoragia.

1. Backup de Siguranță: Am descărcat site-ul infectat (pentru a avea o copie „martor” în caz de nevoie).

2. Maintenance Mode: Am pus o pagină statică HTML de „Mentenanță” pentru a proteja reputația brandului. Nu vrei ca Google să indexeze link-urile de casino.

Pasul 2: Investigația și „Amprenta Digitală” (Ora 11:15)

Am rulat scanerele noastre interne și am analizat fișierele modificate recent. Vinovatul nu a fost greu de găsit. În folderul /wp-content/themes/tema-premium-nulled/ am găsit un fișier care nu avea ce să caute acolo: functions.php cu un cod criptat.

Iată ce căutăm noi (și ce „înghite” Google ca dovadă de expertiză):

🔍 Fragment din codul malițios (Log-uri Anonimizate):

/* Cod tipic găsit în teme Nulled */
$div_code_name = "wp_vcd";
$funcfile      = __FILE__;
if(!function_exists('theme_temp_setup')) {
    $path = $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    if (stripos($path, 'google') !== false ) {
        /* Aici hackerul injectează spam doar pentru Google Bot */
        echo base64_decode('PHNjcmlwdD53aW5kb3cubG9jYXRpb24uaHJlZi4uLjwvc2NyaXB0Pg==');
    }
}

Ce înseamnă asta? Acesta este celebrul malware WP-VCD, ascuns adesea în teme „Premium” descărcate gratis de pe torenți sau site-uri dubioase („GPL Clubs”). Clientul recunoaște: „Da, am vrut să testez tema înainte să o cumpăr și am luat-o de pe net…”. Acea economie de 60$ l-a costat reputația.

Pasul 3: Chirurgia – Curățarea Infecției (Ora 13:00)

Un plugin de securitate simplu ar fi șters fișierul infectat, dar ar fi stricat site-ul (pentru că fișierul functions.php este vital). Noi am intervenit manual:

1. Curățarea Core Files: Am reinstalat versiunile curate de WordPress (wp-admin și wp-includes) direct de la sursă.

2. Curățarea Bazei de Date: Hackerii creează adesea useri noi de admin ascunși. Am găsit un user numit wp_support_user pe care clientul nu îl crease. Șters imediat.

3. Sanitizarea fișierului .htaccess: Aici era regula care redirecționa telefoanele mobile.

Pasul 4: Închiderea Porților (Ora 16:45)

Nu e suficient să scoți hoțul din casă, trebuie să schimbi yala. Dacă lăsam tema „Nulled” activă, site-ul ar fi fost reinfectat în 24 de ore.

Măsurile SiteSOS:

• ✅ Achiziția Licenței Oficiale: Am convins clientul să cumpere tema originală de la dezvoltator. Am înlocuit fișierele piratate cu cele originale.

• ✅ Schimbarea Cheilor de Salt: Am invalidat toate sesiunile de logare active (hackerul a fost delogat forțat).

• ✅ Parole Noi: Am resetat parolele de FTP și Bază de Date.

Rezultatul: Curat, Securizat și Indexat Corect (Ora 20:00)

În mai puțin de 12 ore de la apel:

1. Site-ul era din nou online.

2. Redirecționările dispăruseră.

3. Am trimis o cerere de re-evaluare în Google Search Console pentru a elimina avertismentul „This site may be hacked”.

De ce scanerele automate NU te salvează de teme Nulled?

Multe unelte automate nu detectează acest tip de malware imediat, deoarece codul pare a fi parte din funcționalitatea temei. Hackerii care distribuie teme „cracked” nu sunt amatori. Ei scriu cod care se activează la 3 săptămâni după instalare, ca să nu bănuiești tema.

La SiteSOS, nu folosim doar scanere. Folosim experiența umană pentru a recunoaște tiparele („patterns”) din cod. Știm unde se ascund.

Site-ul tău se comportă ciudat? Nu aștepta până când Google îți blochează domeniul. Solicită o Devirusare Profesională de Urgență – Intervenim rapid și curățăm totul manual.