Malware eltávolítása WordPressből

A WordPress egy PHP alapú tartalomkezelő rendszer, és mivel a PHP olvasható kód alapján generálja a kész HTML oldalaidat, egy interpreter segítségével, ez nagy előnyhöz juttatja azokat akik kártékony kódokat akarnak elhelyezni. Egy fertőzött oldal komoly biztonsági kockázat, veszélyezteti az adataidat, a felhasználóid adatait, a rangsorolásod a keresőkben, rossz hírnevet teremthet, sőt, akár a vásárlóidat […]
Kiberbiztonság | WordPress

A WordPress egy PHP alapú tartalomkezelő rendszer, és mivel a PHP olvasható kód alapján generálja a kész HTML oldalaidat, egy interpreter segítségével, ez nagy előnyhöz juttatja azokat akik kártékony kódokat akarnak elhelyezni. Egy fertőzött oldal komoly biztonsági kockázat, veszélyezteti az adataidat, a felhasználóid adatait, a rangsorolásod a keresőkben, rossz hírnevet teremthet, sőt, akár a vásárlóidat is elveszítheted vele. Ebben a cikkben lépésről-lépésre mutatjuk be, hogyan történik a malware eltávolítása WordPressből – kezdőknek és haladóknak egyaránt.

Mi az a malware és miért veszélyes?

A malware (magyarul kártékony program) olyan szoftver vagy kód, amely kifejezetten arra tervezték, hogy kárt okozzon, adatokat lopjon vagy a weboldalad felett átvegye az irányítást. A WordPress oldalak esetében ez jellemzően a következő formákban jelenik meg:

  • Feltört belépés: a támadók hozzáférnek az adminisztrációs felülethez.
  • Fájlok vagy adatbázis megfertőzése: kártékony kód kerül az oldalaidba, például javaScript, PHP vagy iframe beszúrásával.
  • Átirányítás vagy spam kód: a látogatókat egy másik, gyakran csaló oldalra irányítják át.
  • Hátsó kapuk (backdoor): rejtett hozzáférés a jövőbeni támadásokhoz.

A malware nemcsak a működést zavarja, de ronthatja az oldalad rangsorát, blokkolhatja a Google, sőt az ügyfeleid adatai is veszélybe kerülhetnek.

Honnan tudod, hogy malware van a WordPress oldaladon?

A malware jelenlétének jelei lehetnek:

  • Az oldalad hirtelen lelassul.
  • Ismeretlen linkek, reklámok vagy átirányítások jelennek meg.
  • A Google vagy böngészők figyelmeztetnek, hogy az oldal fertőzött.
  • Furcsa fájlok, PHP vagy JavaScript elhelyezések a tárhelyen.
  • Érthetetlen e-maileket küld az oldal.

Tipp: Használhatsz webes szkennert (például Sucuri SiteCheck vagy VirusTotal) első szűrésre.

Hogyan távolítsd el a malware-t egy WordPress oldalról? (Lépésről lépésre)

1. Készíts teljes biztonsági mentést!

Mielőtt bármibe belekezdenél, készíts egy teljes mentést a weboldaladról és az adatbázisról – akármilyen rossz állapotban is van. Ezt megteheted a tárhely (pl. cPanel), egy FTP kliens, vagy WordPress backup bővítmény (például UpdraftPlus vagy All-in-One WP Migration) segítségével.

# Letöltés FTP-n keresztül teljesen
wget -r ftp://felhasznalonev:jelszo@szervered.hu/public_html/

2. Állítsd helyre a lehetséges hozzáférési adataidat

A fertőzés részeként gyakran admin vagy FTP jelszavakat is megszereznek. Javasolt:

  • WordPress admin jelszó cseréje
  • FTP/SFTP jelszó cseréje
  • Tárhely admin (pl. cPanel) jelszó cseréje
  • MySQL (adatbázis) jelszó cseréje

3. Fuss le egy teljes malware szkennelést

Használj egy megbízható WordPress malware szkenner plugint. Legnépszerűbbek:

  • Wordfence Security
  • Sucuri Security
  • iThemes Security

Ezek a bővítmények átvizsgálják az állományokat, témákat, plugineket, feltűnő kódokat keresve. Beállítás után indíts egy teljes szkennelést.

4. Vizsgáld át a fertőzött fájlokat és töröld vagy cseréld őket

A rosszindulatú kód általában az alábbi helyeken rejtőzik:

  • wp-content/plugins/ (rejtett pluginek, átírt fájlok)
  • wp-content/themes/ (témák fertőzése)
  • wp-includes/ vagy wp-admin/ (rendszer-fájlok módosítása)
  • .htaccess (átirányítások vagy rejtett szabályok)

Példa kártékony PHP kódra:

<?php
// Gyanús, elrontott vagy kriptikus nevű változók, BASE64 dekódolással:
eval(base64_decode("c3lzdGVtKCJ3d2giKTs="));
?>

FONTOS: Soha ne töröld az egész WordPress könyvtárat, csak a fertőzött fájlokat vagy cseréld azokat friss, tiszta változatokra.

Friss WordPress fájlok letöltése (parancssorral):

wget https://wordpress.org/latest.zip
unzip latest.zip
# FTP-n keresztül másold fel a friss wp-admin és wp-includes mappákat

5. Frissíts minden plugint, témát és a WordPress core-t

A támadás gyakori oka az elavult plugin vagy sablon. Frissítsd:

  • A WordPress-t (core rendszert)
  • Az összes plugint (és töröld, amit nem használsz)
  • Az összes sablont (témát), amit használsz

6. Ellenőrizd és állítsd vissza a .htaccess és wp-config.php fájlokat

A .htaccess fájlban rejtett redirect vagy kártékony mod_rewrite szabályokat helyezhetnek el. Így néz ki egy alapértelmezett WordPress .htaccess:

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress

A wp-config.php fájlban is elrejthetnek extra kódokat. Egy tipikus fájl csak a következőkhöz szabad, hogy tartalmazzon:

  • Adatbázis kapcsolódási adatok
  • Auth kulcsok
  • WordPress beállítási sorok

Törölj minden oda nem illő extra kódrészletet!

7. Szüntesd meg a hátsó kapukat (backdoor)

A hackerek gyakran rejtett fájlokat helyeznek el, amelyekkel később ismét bejutnak. Keresd ezeket:

  • Gyanús PHP fájlok, ismeretlen elnevezéssel
  • Rejtett (.) fájlok (pl. .config.php)
  • Fájlok, amik az utolsó módosított dátumukban kiugranak

Hasznos parancs Linux alatt:

find . -type f -mtime -5 # Az elmúlt 5 napban módosított fájlok listája

8. Ellenőrizd az adatbázist rejtett kódok után

A támadók a bejegyzések, widgetek, opciók mezőiben is elrejtenek kódokat (iframe, JavaScript). Egyes ismert helyek:

  • wp_options table (option_value mező)
  • wp_posts table (post_content mező)

Keresés például a base64_ vagy iframe szavakra:

SELECT * FROM `wp_options` WHERE `option_value` LIKE '%iframe%';

9. Kérj újbóli átvizsgálást a Google-tól

Ha az oldaladat tiltotta a Google vagy a Chrome figyelmeztet, miután kitisztítottad, menj a [Google Search Console](https://search.google.com/search-console) felületre, és végezd el a webhely újbóli ellenőrzését (“Security Issues” vagy “Biztonsági problémák” menüpont).

  1. Jelentkezz be a Search Console-ba.
  2. Válaszd ki a fertőzött domain nevet.
  3. Nyisd meg a „Biztonsági problémák” menüpontot.
  4. Írd le, hogy megtetted a szükséges lépéseket (például: „Eltávolítottam a kártékony kódot, frissítettem a WordPress rendszert, plugineket/temákat, minden jelszót cseréltem”).
  5. Küldd be az újraellenőrzési kérelmet.

Átlagosan 1-3 munkanap alatt ellenőrzik az oldalt, és eltávolítják a figyelmeztetést, ha már nincs kártékony tartalom.

A WordPress biztonság hosszú távú növelése

A jövőbeni fertőzések megelőzése érdekében az alábbiakat érdemes megtenned:

Használj biztonsági bővítményeket

  • Telepíts Wordfence, Sucuri Security vagy iThemes Security plugint.
  • Állítsd be a kéttényezős hitelesítést (2FA) az admin fiókokhoz.
  • Tiltasd, hogy a „file edit” funkció elérhető legyen az adminból:
// wp-config.php-ba ezt szúrd be:
define('DISALLOW_FILE_EDIT', true);

Korlátozd a jogosultságokat és a hozzáféréseket

  • Csak szükséges admin fiókok maradjanak.
  • Ne adj a felhasználóknak szükségtelen jogosultságokat.
  • Töröld a régi, inaktív felhasználókat.

Regularitás és automatizált mentések

  • Ütemezz rendszeres, automatikus mentéseket (backup).
  • Mentés legyen a webtárhelyen kívül (pl. Dropbox, Google Drive).

Folyamatos frissítések

  • Mindig legyen friss a WordPress, minden plugin és sablon.
  • Ha már nem tartott bővítményt használsz, keresd meg a támogatott alternatívát.

Gyakorlati példák – Malware eltávolítás esettanulmány

1. Példa – Gyanús átirányítás a főoldalon

Jelenség: Látogatók más oldalra kerülnek automatikusan, ismeretlen reklámoldalra.

Megoldás lépések:

  • .htaccess fájlban találtunk egy ismeretlen „RewriteCond” sort
  • Törlés után megszűnt az átirányítás
  • Utóvizsgálat során a header.php-ben is volt beszúrt <script>window.location... sor, azt is töröltük

2. Példa – Rejtett backdoor a plugin mappában

Jelenség: Automatikusan feltöltődnek új HTML és PHP fájlok a „wp-content/plugins” könyvtárba.

Megoldás lépések:

  • A “uploads” és “plugins” mappában futtattuk a következő parancsot:
find . -name "*.php" -exec grep -i 'eval' {} \; -print
  • Azonosítottuk a kártékony sorokat, eltávolítottuk a rejtett fájlokat.
  • Töröltük a nem frissített bővítményt, visszaállítottuk mentésből.

Gyakran Ismételt Kérdések (FAQ)

Hogyan tudom megelőzni, hogy újra malware kerüljön a WordPress oldalamra?

Válasz: Rendszeresen frissítsd a WordPress magot, plugineket, sablonokat; használj biztonsági bővítményeket és kérj automatizált mentést. Korlátozd a hozzáféréseket, alkalmazz erős jelszavakat.

Mennyire megbízhatók a malware eltávolító bővítmények?

Válasz: A Wordfence, Sucuri és iThemes Security az egyik legjobb választás olyan esetekre, amikor gyorsan kell szkennelni az oldalt, de a manuális ellenőrzés továbbra is ajánlott.

Ha a tárhely szolgáltatóm függesztette fel az oldalamat malware miatt, mit tehetek?

Válasz: Érdemes azonnal kapcsolatba lépni az ügyfélszolgálattal. Végezd el a fenti tisztítási lépéseket, majd jelezd, hogy az oldal fertőtlenítése megtörtént (ezt gyakran igazolnod kell).

Elég, ha csak törlöm a fertőzött plugint?

Válasz: Nem elég! A hackerek gyakran hátsó kapukat hagynak máshol is, ezért mindig vizsgáld át a teljes fájlrendszert, adatbázist.

Kizárólag prémium bővítményeket és témákat használok, így biztonságban vagyok?

Válasz: A prémium (fizetős) bővítmények biztonságosabbak, de akkor is frissíteni kell őket, és csak hivatalos forrásból letölteni!

Összegzés – Malware eltávolítása WordPressből

A malware eltávolítása WordPressből elsőre ijesztőnek tűnhet, de lépésről lépésre haladva és a megfelelő eszközökkel könnyen elvégezhető. Fontos, hogy minden fertőzés után ne csak tisztíts, hanem fokozd a rendszer védelmét, hogy a jövőben már jóval kevésbé legyél támadható.

Ne feledd:

  • Biztonsági mentés → hozzáférési adatok cseréje → teljes szkenner és manuális átvizsgálás → tiszta WordPress és pluginek → utóellenőrzés Google Search Console-ban!

Ezek Is Érdekes Cikkek…