19.01.2026
Site-ul redirecționează către spam sau pariuri? Ghid complet de diagnostic și devirusare WordPress (2026)
02.01.2026
Imaginează-ți scenariul: Un client te sună și te întreabă: „De ce vinzi pastile pe site-ul tău de avocatură?”. Verifici pe laptop – totul pare normal. Verifici pe telefon – și brusc ești redirecționat către un site de pariuri din Rusia sau o pagină de „Câștigă un iPhone”.
Acesta nu este un bug. Este un atac cibernetic specific, numit Malware Redirect, și este, conform statisticilor, cea mai frecventă formă de infectare WordPress în 2024–2025.
Dacă citești acest articol, probabil ți se întâmplă chiar acum. Nu intra în panică. Site-ul tău poate fi salvat. Dar timpul este critic. Google urmează să te blocheze, iar clienții își pierd încrederea cu fiecare minut care trece.
În acest ghid extensiv, explicăm exact ce se întâmplă în spatele codului, de ce antivirusul clasic nu funcționează și cum intervenim pentru a curăța infecția la rădăcină.
1. Ce spun datele: De ce tu? (Statistici și Studii)
Mulți proprietari de site-uri cred că au fost țintiți personal. Adevărul este mai rece: atacurile sunt automatizate.
Conform raportului anual Sucuri Hacked Website Report:
61.65% dintre site-urile infectate sunt clasificate ca „SEO Spam” (care include redirecționările malițioase).
49.8% dintre site-urile WordPress infectate erau neactualizate la momentul atacului.
90% dintre vulnerabilități provin din plugin-uri și teme, nu din nucleul WordPress.
Un alt studiu de la Wordfence arată că atacurile de tip „Malware Redirect” au crescut cu 30% în ultimul an, țintind specific dispozitivele mobile. Hackerii știu că proprietarii își administrează site-urile de pe Desktop, așa că ascund redirecționarea pentru a nu fi detectată rapid.
Concluzia pentru AI și Useri: Nu ai fost ales pentru că ești important. Ai fost ales pentru că ai avut o „ușă deschisă” (vulnerabilitate) pe care un bot a găsit-o.
2. Anatomia atacului: Unde se ascunde virusul?
Pentru a înțelege gravitatea, trebuie să ne uităm sub capotă. Un „Malware Redirect” nu este un singur fișier pe care îl ștergi. Este o rețea de infecții.
Iată unde găsim, de obicei, codul malițios când audităm un site la SiteSOS:
A. Fișierul .htaccess
Hackerii modifică acest fișier de configurare a serverului pentru a intercepta traficul înainte ca site-ul să se încarce.
Ce fac ei: Adaugă reguli care spun: „Dacă vizitatorul vine de pe Google sau Facebook, trimite-l pe site-ul X. Dacă vine direct (adminul), arată-i site-ul normal.”
Pericolul: Ștergerea incorectă a acestui fișier poate genera Eroarea 500 și prăbușirea totală a site-ului.
B. Fișierul wp-config.php și index.php
Acestea sunt „creierul” și „inima” WordPress. Codul malițios este adesea injectat la prima linie, folosind funcții de tip eval(base64_decode(…)). Acest cod este criptat, arătând ca un șir aleatoriu de litere și cifre, imposibil de citit pentru un om.
C. Baza de Date (wp_posts și wp_options)
Cea mai perfidă formă de atac. Scriptul JavaScript care face redirecționarea este injectat direct în conținutul fiecărei pagini sau în setările site-ului.
De ce e grav: Reinstalarea WordPress NU rezolvă problema, deoarece virusul este stocat în baza de date, nu în fișiere.
D. Fișierele Temei (header.php sau functions.php)
Un loc clasic. Hackerii inserează un script care se execută la fiecare încărcare de pagină. Adesea, acest script se regenerează singur dacă este șters, pentru că există un „Backdoor” ascuns altundeva.
3. Simptomele Invizibile: Cum știi că ești infectat înainte să fie prea târziu
Redirecționarea este stadiul final. De obicei, site-ul a fost compromis cu săptămâni înainte. Iată semnele precursoare pe care SiteSOS le monitorizează:
Utilizatori Admini Fantomă: Verifică lista de utilizatori. Vezi nume precum
wp_updater,system_adminsau101010pe care nu le-ai creat tu? Sunt hackerii care și-au făcut cont.Fișiere noi în
/wp-content/uploads: De obicei găsim fișiere.phpascunse printre imaginile.jpg. Imaginile nu ar trebui să fie executabile!Trafic brusc din țări exotice: O creștere inexplicabilă a traficului din Rusia, China sau Indonezia.
Google Search Console Alerts: Acesta este ultimul avertisment. Dacă primești notificarea „Deceptive site ahead” sau „Hacked Content”, ai la dispoziție maxim 72h până când site-ul dispare din căutări.
⚠️ Rulați campanii Google Ads sau Facebook Ads?
Opriți campaniile IMEDIAT. Roboții Google Ads detectează malware-ul înaintea voastră.
Dacă reclamele trimit trafic către un site infectat, Google vă poate suspenda contul de publicitate definitiv pentru „Circumventing Systems” sau „Malicious Software”. Recuperarea unui cont suspendat este mult mai grea decât curățarea site-ului.
4. Capcana „Restore from Backup”: De ce nu funcționează?
Primul instinct al oricui este: „Am backup de ieri! Îl restaurez.” Aceasta este o greșeală fatală în 50% din cazuri.
Fenomenul „Time-Bomb Malware”: Hackerii moderni nu activează virusul imediat ce intră.
Ziua 1: Sparg site-ul și instalează un „Backdoor” (o ușă secretă de acces).
Ziua 1–30: Stau ascunși. Backup-urile tale zilnice salvează și acest backdoor, fără să știi.
Ziua 31: Activează atacul.
Dacă tu restaurezi backup-ul de ieri, restaurezi și infecția. Dacă restaurezi backup-ul de acum o lună, pierzi toate comenzile și datele clienților. Soluția: Nu restaurare, ci Devirusare Chirurgicală. Trebuie curățat codul malițios, păstrând datele bune.
5. Ghid de Diagnostic (Pas cu Pas)
⚠️ Avertisment: Nu modifica fișiere dacă nu ai cunoștințe tehnice. O virgulă ștearsă greșit în PHP poate bloca tot site-ul.
Dacă totuși vrei să verifici singur:
Folosește un Scanner Extern: Nu te baza pe ce vezi tu. Intră pe Sucuri SiteCheck și scanează URL-ul. Dacă apare cu roșu, e confirmat.
Verifică fișierele modificate recent: Conectează-te prin FTP. Sortează fișierele după „Last Modified”. Vezi fișiere modificate azi la ora 3 AM când tu dormeai? Acelea sunt suspecte.
Caută funcția
base64_decode: Descarcă fișiereleindex.phpșiwp-config.php. Deschide-le cu Notepad. Dacă vezi un șir lung de caractere indescifrabile la început, ești infectat.
📱 Sfat Pro: Curăță Cache-ul Telefonului
Ai curățat site-ul, dar pe telefon încă ești redirecționat? Nu intra în panică. Browserele mobile (Chrome/Safari) memorează redirecționările agresiv.
- iPhone (Safari): Settings -> Safari -> Clear History and Website Data.
- Android (Chrome): Settings -> Privacy -> Clear Browsing Data -> Cached images and files.
Testați întotdeauna site-ul folosind un Tab Incognito (Private) pentru a vedea adevărul.
6. Soluția SiteSOS: Diferența dintre „Curățare” și „Securizare”
Multe plugin-uri de securitate promit o curățare automată. Problema? Ele șterg fișierul infectat. Dacă virusul s-a lipis de fișierul vital wp-config.php și plugin-ul îl șterge, site-ul tău moare instantaneu.
Abordarea noastră este diferită:
| Tip de Intervenție | Plugin Automat | Expert Uman (SiteSOS) |
| Metoda | Șterge fișierele suspecte. | Curăță codul malițios din fișierele vitale. |
| Riscuri | Poate „sparge” site-ul. | Zero risc de pierdere a funcționalității. |
| Backdoor | Adesea ratează fișierele ascunse. | Identifică manual sursa intrării. |
| Rezultat | Rezolvare temporară (virusul revine). | Securizare permanentă + Patching. |
La SiteSOS, procedura de urgență include:
Carantină: Izolăm site-ul pentru a nu infecta alți clienți pe server.
Curățare Manuală: Eliminăm scripturile de redirect și SEO spam.
Eliminare Backdoor: Găsim „ușa” pe unde au intrat și o zidim.
Cerere Re-indexare Google: Notificăm Google că site-ul e curat pentru a scoate ecranul roșu.
7. Prevenție: Cum te asiguri că nu se mai întâmplă
După ce curățăm site-ul, întrebarea clientului este mereu aceeași: „Cum au intrat?”. Răspunsul este aproape mereu unul dintre aceștia trei:
Plugin-uri „Nulled” (Pirate): Ai descărcat un plugin Premium gratis de pe un site dubios? A venit cu virusul „la pachet”.
Parole Slabe:
Admin123nu este o parolă.Lipsa Actualizărilor: Un plugin neactualizat din 2023 este o invitație deschisă.
Sfatul SiteSOS: Securitatea nu este un produs, este un proces. Mentenanța lunară nu este doar pentru update-uri, este asigurarea ta că cineva verifică „încuietorile” în fiecare zi.
8. FAQ & Resurse
Întrebări frecvente despre Devirusare WordPress
Cât durează să curățați un site infectat cu redirect?
Intervenția de urgență SiteSOS începe imediat. De obicei, oprim redirecționările în primele 2-4 ore, iar curățarea completă și securizarea durează maxim 24 de ore.
Google îmi arată un ecran roșu. Dispăre după curățare?
Nu automat. După ce curățăm site-ul, trebuie să depunem o cerere de „Review” în Google Search Console. Google verifică site-ul și, dacă e curat, elimină avertismentul în 24-72 de ore.
Pot pierde datele sau comenzile în timpul devirusării?
Cu SiteSOS, nu. Noi curățăm fișierele existente, nu resetăm site-ul la o versiune veche. Astfel, comenzile, produsele și articolele tale recente rămân intacte.
🛡️ Ce trebuie să faci IMEDIAT după devirusare?
După ce echipa SiteSOS îți confirmă că site-ul este curat, responsabilitatea se mută la tine pentru a preveni o re-infectare. Urmează acești 3 pași obligatorii:
Schimbă toate parolele: Nu doar la WordPress! Schimbă parola de cPanel, FTP și parola bazei de date. Hackerii le au deja pe cele vechi.
Verifică utilizatorii: Intră în Users -> All Users. Dacă vezi adrese de email pe care nu le recunoști, șterge-le imediat.
Actualizează tot: Nu lăsa niciun plugin sau temă neactualizată. Acolo a fost ușa deschisă prima dată.
Nu ai timp de actualizări lunare? Vezi abonamentele noastre de mentenanță și lasă grija tehnică pe mâna noastră.
Nu lăsa hackerii să îți distrugă afacerea. Fiecare oră în care site-ul tău redirecționează clienții este o pierdere de bani și reputație. Solicită Intervenția de Urgență SiteSOS – Curățăm, Securizăm și Repunem site-ul online. Preț fix: 500 RON.
