האתר שלי מפנה לאתר אחר - redirect hack: אבחון וטיפול

Q: למה האתר מפנה רק כשנכנסים מגוגל ולא ישירות?

זו התנהגות מכוונת של הקוד הזדוני. הוא בודק את שדה ה-`HTTP_REFERER` ומפעיל את ההפניה רק כשהמבקר הגיע ממנוע חיפוש, כדי לתפוס תנועה אורגנית ולהישאר מתחת לרדאר של בעל האתר.

אתה מקליד את כתובת האתר שלך, ותוך שנייה הדפדפן קופץ לאתר אחר לגמרי: הימורים, פרסומות, חנות מזויפת או דף "אזהרת וירוס" מאיים. זה אחד הסימפטומים הקלאסיים של פריצה לוורדפרס, ושמו redirect hack (או malicious redirect). הקוד הזדוני כמעט תמיד עדיין על השרת שלך, גם אם נדמה שהאתר "פשוט נעלם". המאמר הזה מסביר איפה הקוד מתחבא, איך מאבחנים מאיפה ההפניה מגיעה, ואיך מנקים עד הסוף בלי שזה יחזור מחר.

איך מזהים שמדובר ב-redirect hack

ההתנהגות אופיינית ולרוב מתחמקת בכוונה. הסימנים הנפוצים:

האתר נפתח רגיל אצלך, אבל מפנה לאתר זר כשנכנסים מתוצאות גוגל בלבד.
ההפניה קורית רק בכניסה מהנייד, או רק בגלישת אנונימי (incognito).
מבקרים מתלוננים על הפניה, אבל כשאתה בודק מהמחשב שלך הכל תקין (כי הקוד "מזהה" מנהל מחובר ומשתיק את עצמו).
כתובות לא מוכרות מופיעות ב-Google Search Console תחת "עמודים שהתגלו", או אזהרת "This site may be hacked" בתוצאות.

ההתנהגות המתחמקת הזו היא בדיוק הסיבה שבעלי אתרים מתעכבים: נדמה שהבעיה "נעלמה מעצמה", בזמן שהיא פעילה לכל מי שלא מנהל האתר. אם אתה לא בטוח שמדובר בפריצה ולא בתקלה אחרת, התחל משבעת הצעדים המיידיים כשפרצו לאתר.

הצעד הראשון: לבודד לפני שנוגעים

לפני שמתחילים לערוך קבצים, שני דברים קריטיים:

גיבוי של המצב הנוכחי. גם אתר נגוע שווה גיבוי, כי הוא הראיה שתעזור לך לזהות את נקודת הכניסה ולשחזר אם משהו ישתבש. גבה קבצים ומסד נתונים יחד.
החלפת סיסמאות. סיסמת מנהל וורדפרס, משתמשי FTP/SFTP, פאנל האחסון ומסד הנתונים. אם התוקף עדיין מחזיק גישה, כל ניקוי יתאפס תוך שעות.

עכשיו אפשר לחפש את הקוד. ב-redirect hack הוא כמעט תמיד באחד מארבעה מקומות.

איפה מתחבא קוד ההפניה - 4 מוקדים

1. קובץ ה-.htaccess

זה המקום הראשון לבדוק. ההפניה מוזרקת לרוב לראש הקובץ, לפני בלוק הוורדפרס המקורי. חפש כללי RewriteRule או RewriteCond שמפנים לדומיין זר, בדיקות HTTP_USER_AGENT שמטרגטות בוטים של מנועי חיפוש, או HTTP_REFERER שבודק אם המבקר הגיע מגוגל. שים לב גם לקבצי .htaccess נוספים בתוך תיקיות משנה (wp-content, wp-includes) - לוורדפרס נקי יש בדרך כלל רק אחד בשורש.

2. מסד הנתונים - הטבלאות wp_options ו-wp_posts

מוקד שקט ונפוץ במיוחד בגרסאות מודרניות של ההתקפה. שתי נקודות לבדוק:

wp_options: בדוק את השדות siteurl ו-home. אם הם מצביעים על דומיין זר, זו ההפניה. כך גם רשומות autoload חשודות עם קוד JavaScript מקודד.
wp_posts: הזרקת <script> שמבצע window.location או document.write בתוך תוכן הפוסטים, לרוב מוסתרת בקידוד base64 או בשרשור תווים שמקשה על קריאה.

עריכת מסד נתונים היא הצעד שהכי קל לשבור בו את האתר. אם אתה לא בטוח, זה השלב שבו כדאי לעצור ולמסור למומחה.

3. תוספים - אמיתיים ומזויפים

שתי צורות. הראשונה: תוסף לגיטימי אך מיושן עם פרצה ידועה, ששימש כנקודת כניסה. השנייה, ערמומית יותר: תוסף "פיקטיבי" שהתוקף יצר, עם שם תמים כמו wp-cache-plugin או core-update, שכל תפקידו להזריק את ההפניה. תוסף כזה לרוב לא יופיע ברשימת התוספים הרגילה, או יופיע בלי תיאור ובלי גרסה. סרוק את תיקיית wp-content/plugins ישירות דרך FTP והשווה לרשימה שאתה מכיר.

4. קבצי ליבה וקבצי PHP מוזרקים

הזרקות נפוצות ב-wp-config.php, ב-index.php, בקובץ functions.php של תבנית פעילה, ובקבצי PHP אקראיים עם שמות מבלבלים שנשתלים עמוק בתיקיות. הסימן המובהק: שורות שמתחילות ב-eval(, base64_decode(, gzinflate( או str_rot13( - שילוב של פונקציות שמטרתו היחידה להסתיר קוד. קוד וורדפרס לגיטימי כמעט אף פעם לא נראה כך.

ניקוי שלא חוזר מחר

מציאת הקוד היא חצי מהעבודה. הניקוי המלא כולל:

השוואה לגרסה נקייה. הורד את קבצי הליבה של וורדפרס מ-wordpress.org באותה גרסה, והחלף את כל קבצי הליבה (לא את wp-content). כך מנקים את כל ההזרקות בליבה בבת אחת.
בדיקת כל החשבונות. מחק משתמשי מנהל לא מוכרים בוורדפרס ובמסד הנתונים. תוקפים יוצרים דלת אחורית בדמות משתמש admin שני.
חיפוש דלתות אחוריות (backdoors). הקוד הזדוני נשען כמעט תמיד על "shell" נסתר שמאפשר חזרה. בלי לנקות אותו, האתר ייפרץ שוב גם אחרי ניקוי מושלם של ההפניה. זה החלק שהכי דורש ניסיון.
עדכון הכל. ליבה, תבנית וכל התוספים לגרסה אחרונה, כדי לסגור את הפרצה שדרכה נכנסו מלכתחילה.

לפירוט מלא של תהליך ניקוי malware, כולל כלי סריקה והצלבה, ראה ניקוי וירוסים ו-malware מאתר וורדפרס ואיך מנקים קוד זדוני שהוזרק.

אחרי הניקוי: להוריד את האזהרה מגוגל

אם גוגל כבר סימן את האתר, ניקוי לבדו לא יסיר את האזהרה. צריך להגיש בקשה לבדיקה מחדש דרך Google Search Console אחרי שהאתר נקי. התהליך, וכמה זמן הוא לוקח, מפורט במאמר על הסרת אזהרת This site may be hacked.

מתי למסור למומחה

redirect hack הוא מהפריצות שהכי קל "לנקות חלקית" ולחשוב שגמרת, ואז לגלות שבוע אחרי שהיא חזרה. אם אתה לא מאתר את נקודת הכניסה, לא מוצא את הדלת האחורית, או שהאתר חוזר ונדבק, זה הסימן למסור לטיפול מקצועי. ב-OCW אנחנו מבצעים חילוץ מלא: איתור נקודת הכניסה, ניקוי הליבה, מסד הנתונים והתוספים, סגירת הדלתות האחוריות והגשה מחדש לגוגל. עלות הטיפול החד-פעמי נקבעת לפי היקף הנזק, ותק הפריצה ומורכבות האתר; פנו אלינו לקבלת הצעה.

כדי שזה לא יקרה שוב, חבילת אחריות 360 של OCW מחזיקה את האתר לאורך זמן בארבעה פילרים: אבטחה, נגישות, פרטיות ותחזוקה טכנית. זה כולל ניטור, גיבוי אוטומטי ועדכונים שסוגרים את הפרצות לפני שמנצלים אותן. אפשר לבדוק את מצב האתר שלך דרך עמוד יצירת הקשר.

שאלות נפוצות

למה האתר מפנה רק כשנכנסים מגוגל ולא ישירות? זו התנהגות מכוונת של הקוד הזדוני. הוא בודק את שדה ה-HTTP_REFERER ומפעיל את ההפניה רק כשהמבקר הגיע ממנוע חיפוש, כדי לתפוס תנועה אורגנית ולהישאר מתחת לרדאר של בעל האתר.

ניקיתי את ה-.htaccess וההפניה חזרה. למה? כמעט תמיד כי נשארה דלת אחורית (backdoor) פעילה, או משתמש admin זדוני, שמזריק מחדש את הקוד. ניקוי ה-.htaccess בלבד מטפל בסימפטום ולא במקור.

ההפניה משביתה לי את תנועת הגולשים מגוגל - כמה דחוף זה? דחוף מאוד. מעבר לאובדן המבקרים, גוגל עלול לסמן את האתר כמפר אבטחה, מה שפוגע בדירוג ולוקח זמן לתקן גם אחרי ניקוי. ככל שמטפלים מהר יותר, כך הנזק לקידום קטן יותר.

איך יודעים שהאתר באמת נקי? אחרי ניקוי מריצים סריקה חיצונית, בודקים גלישה אנונימית מנייד וממחשב, בודקים את כל החשבונות והמשתמשים, ומוודאים שאין קבצי PHP חשודים שנוצרו לאחרונה. אם יש ספק, סריקה מקצועית נותנת ודאות.