แก้ไข WordPress Redirect Hack – ไซต์ WordPress เปลี่ยนเส้นทางไปยังไซต์อื่น [2022]

เว็บไซต์ WordPress ของคุณเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่เป็นอันตรายที่ไม่รู้จักหรือไม่? ถ้าใช่ แสดงว่าเว็บไซต์ของคุณอาจถูกแฮ็ก แฮ็คเปลี่ยนเส้นทาง WordPress ที่มีชื่อเสียงเป็นหนึ่งในแฮ็ก WP ที่แฮ็กเกอร์ใช้ประโยชน์มากที่สุด มีเหตุผลเบื้องหลังการถูกเอารัดเอาเปรียบอย่างมาก ดูเพิ่มเติมได้ที่ด้านล่าง

รูปแบบและอาการของ WordPress Redirect Hack

'WordPress ถูกแฮ็กเปลี่ยนเส้นทาง' ไปยังโดเมนที่น่าสงสัยไม่ใช่การแฮ็กใหม่ ในช่วงหลายปีที่ผ่านมาแฮกเกอร์ได้พัฒนาไวรัสนี้เพื่อให้คุณตรวจจับได้ยากยิ่งขึ้น ต่อไปนี้คือบางส่วนของ รูปแบบต่างๆ ของแฮ็คการเปลี่ยนเส้นทางของ WordPress:

อาการของ WordPress ที่ถูกแฮ็กเปลี่ยนเส้นทาง:

1. การเปลี่ยนเส้นทางที่ชัดเจนไปยังสแปมหรือเว็บไซต์ที่เป็นอันตราย
2. ผลการค้นหาของ Google สำหรับเว็บไซต์ของคุณเต็มไปด้วยสแปม
3. ข้อความ Push ที่ไม่ระบุตัวตนบนเว็บไซต์ของคุณ
4. โค้ดจาวาสคริปต์ที่เป็นอันตรายในไฟล์ index.php
5. รหัสที่ไม่ได้ระบุภายใน .htaccess
6. ไซต์ WordPress เปลี่ยนเส้นทางไปยังหน้าจอการยืนยันของมนุษย์
7. ไฟล์ที่ไม่สามารถระบุได้บนเซิร์ฟเวอร์ที่มีชื่อที่ไม่มีความหมาย
8. ลิงก์ bit.ly ที่น่าสงสัย:นี่เป็นเคล็ดลับใหม่ที่แฮกเกอร์ใช้ แฮกเกอร์กำลังฉีด bit.ly โค้ดบนเว็บไซต์ซึ่งเป็นเวอร์ชันย่อของ URL ที่เป็นอันตรายจริงซึ่งทำให้เกิดการเปลี่ยนเส้นทาง โดยปกติแล้ว เครื่องสแกนความปลอดภัยจะไม่ติดธงทำเครื่องหมาย

ขณะนี้ เราเห็นกรณีที่ไซต์ WordPress ถูกเปลี่ยนเส้นทางไปยังลิงก์ต่างๆ เช่น travelinskydream[.]ga, track.lowerskyactive และหน้าฟิชชิ่งของ Outlook

WordPress Spam Redirect:เว็บไซต์ WordPress ของคุณติดไวรัสอย่างไร

พูดตามตรง อาจมีหลายสิบวิธีที่แฮ็กเกอร์สามารถแฮ็คนี้ได้ บางส่วนมีการระบุไว้ด้านล่าง:

แฮ็กเปลี่ยนเส้นทางล่าสุด – ไซต์ WordPress เปลี่ยนเส้นทางไปที่ไดเจสต์คอลเลกชั่น [.] com

โดยการใช้ประโยชน์จากช่องโหว่ของปลั๊กอิน (XSS)

ช่องโหว่เช่น Stored Cross-site Scripting (XSS) ในปลั๊กอิน WordPress ทำให้แฮกเกอร์สามารถเพิ่มโค้ด JavaScript ที่เป็นอันตรายลงในเว็บไซต์ของคุณได้ เมื่อแฮกเกอร์รู้ว่าปลั๊กอินมีความเสี่ยงต่อ XSS พวกเขาพบเว็บไซต์ทั้งหมดที่ใช้ปลั๊กอินนั้นและพยายามแฮ็ค ปลั๊กอินเช่น WordPress Live Chat Support และ Elementor Pro เป็นเป้าหมายของการแฮ็กการเปลี่ยนเส้นทางดังกล่าว

โดยการใส่รหัสใน .htaccess หรือ wp-config.php ไฟล์

เมื่อสแกนเว็บไซต์เพื่อหามัลแวร์ มักจะไม่ใช่ .htaccess และ wp-config.php ไฟล์ถูกละเว้นโดยปลั๊กอินความปลอดภัยฟรี สำหรับไซต์ WordPress ที่เปลี่ยนเส้นทางไปยังเว็บไซต์ Pharma เราพบว่ามีการเพิ่มโค้ดที่ไม่ถูกต้องลงใน .htaccess ไฟล์ที่ปลอมแปลงเป็นรหัสปกติ แฮกเกอร์วางรหัสในลักษณะที่คุณไม่สามารถหารหัสนี้ที่ซ่อนอยู่ในไฟล์ได้ เว้นแต่คุณจะเลื่อนไปทางขวามาก ทำให้ระบุและลบการแฮ็กการเปลี่ยนเส้นทางได้ยากขึ้น นอกเหนือจากสองไฟล์นี้ คุณควรตรวจสอบไฟล์หลักของ WordPress ทั้งหมดด้วย เช่น functions.php , header.php , footer.php , wp-load.php , wp-settings.php เป็นต้น

เมื่อสแกนเว็บไซต์ของลูกค้าเพื่อหามัลแวร์ เราพบรหัสต่อไปนี้ซ่อนอยู่ใน .htaccess ไฟล์. มันเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์ไปยังเว็บไซต์ยาที่เป็นสแปมและอันตราย

โดยการแทรก JavaScript ในส่วนหัวของไซต์

ปลั๊กอินและธีมบางตัวช่วยให้คุณเพิ่มโค้ดใน <head> หรือก่อน </body> แท็ก สิ่งนี้มีประโยชน์ในการเพิ่มโค้ด JS สำหรับ Google Analytics, Facebook, Google Search Console เป็นต้น เราพบว่าฟีเจอร์ดังกล่าวถูกใช้ในทางที่ผิดโดยแฮกเกอร์สำหรับการเปลี่ยนเส้นทางไซต์ WordPress

ในความพยายามที่จะทำให้การค้นหาทำได้ยาก URL ของเว็บไซต์ที่เป็นอันตรายมักจะถูกแปลงจากรูปแบบสตริงเป็นรหัสอักขระที่เกี่ยวข้อง รหัสที่แปลงแล้วมีลักษณะดังนี้:

โดยการเพิ่มตนเองเป็นผู้ดูแลผีใน wp-admin

เนื่องจากช่องโหว่ในการยกระดับสิทธิ์ในปลั๊กอิน บางครั้งแฮกเกอร์อาจสร้างผู้ใช้ที่เป็นโกสต์หรือผู้ดูแลระบบปลอมในไซต์ของคุณได้ เมื่อแฮ็กเกอร์กลายเป็นผู้ดูแลระบบ พวกเขาก็จะสามารถเข้าถึงเว็บไซต์ของคุณได้อย่างเต็มที่ และเพิ่มแบ็คดอร์และรหัสเปลี่ยนเส้นทางในเว็บไซต์ของคุณ

การติดไวรัสเปลี่ยนเส้นทางของ WordPress อยู่ที่ไหน

ไฟล์หลักของ WordPress และธีม

ผู้โจมตีสามารถแพร่ระบาดเว็บไซต์ได้โดยการใส่โค้ดลงในไฟล์หลักใดๆ บน WordPress ตรวจสอบไฟล์เหล่านี้เพื่อหารหัสที่เป็นอันตราย:

• index.php
• wp-config.php
• wp-settings.php
• wp-load.php
• .htaccess
• ไฟล์ธีม (wp-content/themes/{themeName}/ )
  1. footer.php
  2. header.php
  3. functions.php

ไฟล์ JavaScript ทั้งหมด

มัลแวร์เปลี่ยนเส้นทางบางรูปแบบติด JavaScript ทั้งหมด (.js) ไฟล์ต่างๆ บนเว็บไซต์ ซึ่งรวมถึงไฟล์ JS ใน wp-include , ปลั๊กอิน, โฟลเดอร์ธีม ฯลฯ โดยปกติแล้วโค้ดที่สร้างความสับสนแบบเดียวกันจะถูกเพิ่มที่ด้านบนสุดของไฟล์ JS แต่ละไฟล์

ฐานข้อมูล WordPress

wp_posts และ wp_options ตารางเป็นตารางที่ตรงเป้าหมายที่สุดในฐานข้อมูล WordPress ลิงก์ไซต์สแปมและโค้ด JS มักพบในบทความหรือหน้าเว็บแต่ละหน้าของคุณ

ปลอม favicon.ico ไฟล์

มัลแวร์บางตัวสร้างการหลอกลวง favicon.ico หรือสุ่ม .ico ไฟล์บนเซิร์ฟเวอร์ของคุณซึ่งมีโค้ด PHP ที่เป็นอันตรายอยู่ภายใน เป็นที่ทราบกันดีว่าโค้ด PHP ที่เป็นอันตรายนี้ดำเนินการที่เป็นอันตรายบนเว็บไซต์ เช่น การฉีด URL การสร้างบัญชีผู้ดูแลระบบ การติดตั้งสปายแวร์/โทรจัน การสร้างหน้าฟิชชิ่ง ฯลฯ

คู่มือที่เกี่ยวข้อง – การลบ WordPress Hack

มันทำให้เซิร์ฟเวอร์ของคุณสกปรกด้วยไฟล์สแปม ไฟล์เหล่านี้มีโค้ดที่เป็นอันตรายอยู่ภายใน แทนที่จะเป็นรหัสภาพไอคอนของแท้ โค้ดบางส่วนที่ใช้ในการโหลดไฟล์ดังกล่าวสามารถดูได้ที่ด้านล่าง:

@include "\x2f/sg\x62/fa\x76ico\x6e_54\x656ed\x2eico";

WordPress Redirect Hack – การสแกน WordPress สำหรับมัลแวร์เปลี่ยนเส้นทาง:

ในการเริ่มต้นกระบวนการสแกนมัลแวร์ ก่อนอื่นคุณต้องระบุประเภทของแฮ็คการเปลี่ยนเส้นทางที่ไซต์ของคุณเผชิญอยู่ เมื่อคุณดำเนินการตามขั้นตอนข้างต้นแล้ว เราจะต้องหาโค้ดที่เป็นอันตรายและลบออกจากไซต์ของคุณ

คุณสามารถเลือกใช้โซลูชันการสแกนมัลแวร์อัตโนมัติหรือดำเนินการด้วยตนเอง ต่อไปนี้คือขั้นตอนบางส่วนที่คุณสามารถดำเนินการเพื่อลบการเปลี่ยนเส้นทางที่เป็นอันตรายออกจากไซต์และป้องกันการแฮ็กการเปลี่ยนเส้นทาง:

1. ใช้เครื่องสแกนมัลแวร์ WordPress

สำหรับผู้ใช้ WordPress ที่ไม่ค่อยเชี่ยวชาญด้านเทคนิค โซลูชันการลบมัลแวร์ เช่น Astra จะเป็นวิธีที่เร็วและง่ายที่สุดในการค้นหา ลบ และแก้ไขปัญหาการเปลี่ยนเส้นทางของ WordPress โดยไม่ทำให้ไซต์ของคุณเสียหาย

หากคุณต้องการสแกนไซต์ด้วยตนเองและค้นหาวิธีแก้ปัญหาตามประเภทของแฮ็กการเปลี่ยนเส้นทางที่คุณกำลังเผชิญอยู่ ให้ทำตามขั้นตอนแต่ละขั้นตอนที่ให้ไว้ล่วงหน้า

2. ตรวจสอบด้วยเครื่องมือสแกนความปลอดภัยออนไลน์

ในการตรวจสอบเบื้องต้น คุณสามารถสแกนไซต์ของคุณโดยใช้เครื่องมือต่างๆ เช่น Security Scanner ฟรีของ Astra และ Google Safe Browsing หากไซต์ของคุณมีลิงก์ไปยัง URL ที่อยู่ในบัญชีดำ คุณจะได้รับการแจ้งเตือนจากเครื่องมือเหล่านี้ คุณยังจะได้รับรายการสั้นๆ (ไม่ครบถ้วนสมบูรณ์) ของข้อมูลโค้ดที่เป็นอันตรายบางส่วนที่พบในเว็บไซต์ของคุณ สำหรับการสแกนโดยละเอียด คุณจะต้องสแกนไฟล์เว็บไซต์ทั้งหมดด้วยตนเองหรือสแกนมัลแวร์ให้เสร็จ

3. ตรวจสอบความสมบูรณ์ของไฟล์หลักของ WordPress

หากต้องการดูว่ามีการแทรกโค้ดที่เป็นอันตรายลงในไฟล์หลักของ WordPress หรือไม่ คุณสามารถเรียกใช้การตรวจสอบความสมบูรณ์ของไฟล์โดยใช้ WP-CLI หากต้องการเรียกใช้การตรวจสอบดังกล่าว ให้ทำตามขั้นตอนเหล่านี้:

1. เข้าสู่ระบบเซิร์ฟเวอร์ของคุณผ่าน SSH
2. ติดตั้ง WP-CLI
3. เปลี่ยนไดเร็กทอรีเป็นตำแหน่งที่คุณติดตั้ง WordPress ไว้
   cd /var/www/html/
4. ตรวจสอบ WordPress ปัจจุบันของคุณด้วยคำสั่งต่อไปนี้
   wp core version
5. ตอนนี้เรียกใช้คำสั่ง เราจะเรียกใช้คำสั่งเพื่อดูรายการไฟล์ที่ checksum ไม่ตรงกับรุ่น WordPress ดั้งเดิม
   wp core verify-checksums
6. ดูที่ผลลัพธ์จากคำสั่งด้านบน คำเตือนบางอย่างก็โอเค อย่างไรก็ตาม หากไฟล์หลักไม่ตรงกับเช็คซัม คุณอาจต้องเปลี่ยนไฟล์หลักหรือกู้คืนข้อมูลสำรอง

หากต้องการดูความแตกต่างระหว่างไฟล์ CMS ดั้งเดิมกับไฟล์จริงด้วยสายตา คุณสามารถเรียกใช้การสแกนความสมบูรณ์ของไฟล์หลักด้วย Astra

4. ลบแบ็คดอร์ที่ซ่อนอยู่และรหัสเปลี่ยนเส้นทาง

แฮ็กเกอร์มักจะเปิดช่องทางให้กลับเข้าสู่ไซต์ของคุณ แบ็คดอร์มักจะอยู่ในไฟล์ที่มีชื่อเหมือนกับไฟล์ที่ถูกต้อง

คุณสามารถค้นหาไฟล์ของเว็บไซต์ของคุณด้วยตนเองสำหรับฟังก์ชัน PHP ที่เป็นอันตรายทั่วไป เช่น eval , base64_decode , gzinflate , preg_replace , str_rot13 , eval ฯลฯ โปรดทราบว่าปลั๊กอิน WordPress ใช้ฟังก์ชันเหล่านี้ด้วยเหตุผลที่ถูกต้อง ดังนั้นโปรดสำรองข้อมูลหรือขอความช่วยเหลือเพื่อไม่ให้เว็บไซต์เสียหายโดยไม่ได้ตั้งใจ

5. ดูว่ามีการเพิ่มผู้ดูแลระบบใหม่หรือไม่

เข้าสู่ระบบในพื้นที่ผู้ดูแลระบบ WordPress ของคุณและตรวจสอบว่ามีการเพิ่มผู้ใช้ ghost / ผู้ดูแลระบบที่ไม่รู้จักหรือไม่ แฮ็กเกอร์มักจะเพิ่มตัวเองเป็นผู้ดูแลระบบเพื่อให้สามารถเข้าถึงไซต์ของคุณและแพร่ระบาดอีกครั้งได้ แม้ว่าคุณจะลบแฮ็คเปลี่ยนเส้นทางแล้ว

หากคุณพบผู้ใช้ดังกล่าว ให้ลบบัญชีอย่างรวดเร็วและเปลี่ยนรหัสผ่านสำหรับบัญชีผู้ดูแลระบบอื่นๆ ทั้งหมด

ขณะที่คุณกำลังดำเนินการอยู่ ตรวจสอบให้แน่ใจด้วย (ขึ้นอยู่กับความต้องการของเว็บไซต์ของคุณ) ว่าตัวเลือกการเป็นสมาชิกที่เรียกว่า “ทุกคนสามารถลงทะเบียน” ถูกปิดใช้งานและตัวเลือก “บทบาทเริ่มต้นของผู้ใช้ใหม่” ถูกตั้งค่าเป็นผู้สมัครรับข้อมูล

6. สแกนไฟล์ปลั๊กอินและธีม

ตรวจหาปลั๊กอินปลอมและช่องโหว่

คลิกที่ 'ปลั๊กอิน' ในแผงด้านซ้ายเพื่อดูปลั๊กอินทั้งหมดที่ติดตั้งบนไซต์ของคุณ หากคุณเห็นปลั๊กอินที่ไม่รู้จัก ให้ลบออก

สำหรับปลั๊กอินที่มีการอัปเดต ให้ตรวจสอบบันทึกการเปลี่ยนแปลงปลั๊กอินของ WordPress หากพบปัญหาด้านความปลอดภัยล่าสุด นอกจากนี้ ให้สแกนไฟล์ปลั๊กอินสำหรับแบ็คดอร์และโค้ดเปลี่ยนเส้นทางตามที่กล่าวไว้ในขั้นตอน #4 ด้านบน

ใช้เครื่องมือออนไลน์ (เช่น ตัวตรวจสอบความแตกต่าง) เพื่อเปรียบเทียบไฟล์ปลั๊กอินของคุณกับไฟล์ดั้งเดิม คุณสามารถทำได้โดยดาวน์โหลดปลั๊กอินเดียวกันจากที่เก็บปลั๊กอิน WordPress และจับคู่ปลั๊กอินที่ติดตั้งของคุณกับปลั๊กอินเหล่านี้

อย่างไรก็ตาม สิ่งนี้ก็มีข้อจำกัดเช่นกัน เนื่องจากคุณจะใช้ปลั๊กอินหลายตัว จึงเป็นไปไม่ได้เสมอที่จะเปรียบเทียบแต่ละไฟล์ นอกจากนี้ หากการแฮ็กการเปลี่ยนเส้นทางเกิดจาก Zero day มีโอกาสที่การอัปเดตปลั๊กอินจะไม่พร้อมใช้งาน

7. ค้นหาฐานข้อมูลสำหรับลิงก์ที่เป็นอันตราย

คุณสามารถค้นหาฐานข้อมูล WordPress ของคุณด้วยตนเองสำหรับฟังก์ชัน PHP ที่เป็นอันตรายทั่วไป เช่นเดียวกับที่เราทำเพื่อค้นหาแบ็คดอร์ เข้าสู่ระบบเครื่องมือจัดการฐานข้อมูล เช่น phpMyAdmin หรือ Adminer เลือกฐานข้อมูลที่ไซต์ของคุณใช้และค้นหาคำต่างๆ เช่น <script> , eval , base64_decode , gzinflate , preg_replace , str_replace , ฯลฯ

โปรดใช้ความระมัดระวังอย่างยิ่งก่อนที่จะทำการเปลี่ยนแปลงใดๆ เนื่องจากการเปลี่ยนแปลงเล็กน้อย เช่น พื้นที่ก็อาจทำให้ไซต์ไม่สามารถโหลดหรือทำงานได้อย่างถูกต้อง

WordPress Hacked Redirect:วิธีทำความสะอาดเว็บไซต์ของคุณ

เมื่อคุณสแกนไซต์และระบุโค้ดที่เป็นอันตรายแล้ว เราต้องลบออก

1. เริ่มต้นด้วยการสำรองไฟล์เว็บไซต์และฐานข้อมูลของคุณ (แม้ว่าไฟล์เหล่านั้นอาจติดไวรัส)
2. เข้าสู่ระบบเซิร์ฟเวอร์ของคุณ เพื่อให้คุณสามารถดูและกักกันไฟล์ที่เป็นอันตรายได้ คุณสามารถใช้ตัวจัดการไฟล์ที่มีให้ใน cPanel หรือวิธีการแบบเดิม เช่น (s)FTP หรือ SSH
3. แก้ไขไฟล์ที่ถูกตั้งค่าสถานะในขั้นตอนก่อนหน้านี้ ระบุบิตมัลแวร์ในไฟล์และลบรหัส หากไฟล์ทั้งหมดเป็นอันตราย คุณสามารถลบทั้งไฟล์ได้
4. หากคุณพบไฟล์หลายไฟล์ที่มีโค้ดที่เป็นอันตรายเหมือนกัน คุณสามารถใช้ find &sed คำสั่ง Linux ผ่าน SSH โปรดใช้ความระมัดระวังในขณะที่ใช้การเปลี่ยนแปลงเหล่านี้ไม่สามารถย้อนกลับได้
   
   ตัวอย่าง:
   find /path/to/your/folder -name “.js” -exec sed -i “s//ReplaceWithMalwareCode*//n&/g” ‘{}’ ;
5. เมื่อล้างไฟล์และฐานข้อมูลทั้งหมดแล้ว อย่าลืมล้างแคชของเว็บไซต์
6. ตรวจสอบว่าไซต์ของคุณไม่มีการเปลี่ยนเส้นทางอีกต่อไปโดยไปที่เว็บไซต์ของคุณในโหมดเรียกดูแบบส่วนตัว/ไม่ระบุตัวตน

ต้องการป้องกันการแฮ็กการเปลี่ยนเส้นทางหรือไม่

ด้วยโซลูชันการปกป้องเว็บไซต์ที่ได้รับรางวัลของ Astra ซึ่งรวมถึงไฟร์วอลล์เว็บไซต์และเครื่องสแกนมัลแวร์ เว็บไซต์ของคุณจะได้รับการสแกนอย่างละเอียดและได้รับการปกป้องอย่างดี ไม่ใช่แค่การแฮ็กการเปลี่ยนเส้นทางของ WordPress แต่ยังรวมถึงแบ็คดอร์ ไวรัส โทรจัน ฯลฯ

เนื่องจากมัลแวร์เปลี่ยนเส้นทางเป็นที่แพร่หลายมาก เราจึงได้สร้างวิดีโอทีละขั้นตอนโดยละเอียดเกี่ยวกับการแก้ไขการแฮ็กการเปลี่ยนเส้นทาง แม้ว่าแฮ็กเกอร์จะคอยอัปเดตวิธีการอยู่เสมอเพื่อหลีกเลี่ยงไม่ให้บริษัทด้านความปลอดภัยเข้ามาเกี่ยวข้อง แต่หลักการพื้นฐานก็เหมือนกัน

ดูคำแนะนำโดยละเอียดเกี่ยวกับวิธีแก้ไขป๊อปอัปที่ไม่ต้องการในเว็บไซต์ WordPress ของคุณ

การเปลี่ยนเส้นทางที่เป็นอันตรายของ WordPress:สรุป

แฮกเกอร์พัฒนาวิธีการของตนอยู่เสมอ ใช้ประโยชน์จากช่องโหว่ที่โลกไม่รู้จัก และรวมเอาช่องโหว่ต่างๆ เพื่อสร้างการแฮ็ก แม้ว่าการลบการแฮ็กนั้นเป็นส่วนหนึ่ง การทำให้มั่นใจว่าไม่มีใครถูกแฮ็กนั้นจำเป็นต้องมีบางสิ่งที่ถาวรกว่านั้น เช่น ชุดความปลอดภัยของ Astra 🙂