Ghiduri
Site WordPress virusat: ghidul complet de curățare, pas cu pas, fără să strici tot
Site-ul tău WordPress face redirecturi ciudate, scoate pagini de spam sau a primit avertisment de la Google? Înainte să ștergi tot în panică, vezi cum confirmi infecția și cum cureți site-ul pas cu pas, în ordinea care chiar funcționează.
Intri pe propriul site și ești redirecționat brusc către o pagină de pariuri. Sau cauți firma pe Google și vezi sub rezultat eticheta „Acest site poate fi spart". Sau găzduirea îți trimite un email sec: serverul tău trimite spam, contul a fost limitat. Oricare ar fi semnalul, concluzia e aceeași: WordPress-ul tău e infectat și prima tentație e să ștergi tot și să o iei de la capăt.
Nu face asta. Curățarea în panică e exact felul în care oamenii pierd singurul backup curat sau lasă în urmă un backdoor care reinfectează site-ul în câteva zile. Vei vedea mai jos cum confirmi infecția, cum cureți site-ul în ordinea care chiar funcționează și cum scoți avertismentul din Google, fără să strici ce a mai rămas bun.
Cum confirmi că site-ul chiar e infectat
Nu orice ciudățenie înseamnă virus, dar câteva semne sunt clare. Avertismentul „Acest site poate fi spart" afișat de Google în rezultatele căutării, redirecturile automate către alte site-uri (mai ales pentru vizitatorii care vin de pe telefon sau din căutări) și paginile de spam apărute brusc pe domeniul tău sunt indicii greu de confundat. La fel sunt fișierele noi pe care nu le-ai pus tu, utilizatorii administratori pe care nu i-ai creat sau notificarea de la găzduire că serverul trimite spam.
Cea mai sigură verificare o ai în Google Search Console, la secțiunea „Probleme de securitate". Acolo Google îți spune negru pe alb dacă a detectat conținut spart și, deseori, îți dă exemple concrete de pagini afectate, o listă pe care o vei folosi mai târziu drept checklist. Pentru lista completă de simptome, vezi ghidul despre semnele că site-ul tău a fost spart.
Înainte să atingi ceva, notează-ți tot ce vezi și la ce oră: ce simptome ai, ce ai instalat sau modificat recent, ce ți-a semnalat găzduirea. Documentarea incidentului e recomandată chiar de WordPress.org ca prim pas, fie că rezolvi singur, fie că aduci un specialist.
Nu șterge tot. Lucrează în ordine
Reacția instinctivă este să ștergi fișiere la întâmplare sau să suprascrii imediat un backup. Ambele pot face mai mult rău. Ștergerea oarbă îți distruge proba care arată pe unde a intrat atacatorul, iar suprascrierea grăbită poate acoperi tocmai singurul backup curat care îți mai rămăsese. Dacă nu înțelegi pe unde a intrat, închizi o ușă fără să știi care era, iar peste câteva zile ești infectat din nou prin aceeași breșă.
Copia-probă nu e backupul curat. Ține-le separat
Curățarea, pas cu pas
Ordinea contează mai mult decât viteza. Parcurge pașii în succesiunea de mai jos: fiecare îl pregătește pe următorul, iar sărirea peste unul e fix motivul pentru care multe site-uri „curățate" se reinfectează a doua zi.
Salvează o probă și izolează site-ul
Fă copia-probă, pune site-ul în mentenanță ca să nu mai servească redirecturi vizitatorilor, anunță găzduirea și scanează și calculatorul tău: de multe ori datele de acces sunt furate de pe stația proprietarului, nu de pe server.
Schimbă toate parolele
Nu doar la WordPress: cont de găzduire sau cPanel, FTP/SFTP, utilizatorul bazei de date și toți administratorii. Parole lungi și unice, dintr-un manager de parole. Forțează și deconectarea sesiunilor active.
Scanează
Rulează un plugin de securitate (Wordfence, Sucuri sau MalCare) plus o scanare din exterior, de tip SiteCheck. Niciun instrument nu prinde tot singur, dar combinate cresc mult șansele.
Restaurează din backup curat sau curăță manual
Dacă ai un backup dinainte de infecție, restaurarea din el e cea mai sigură cale. Dacă nu, ștergi fișierele injectate și conturile create de atacator, folosind paginile din Search Console drept listă de verificat.
Reinstalează din surse oficiale
Nucleul WordPress, temele și pluginurile doar de pe wordpress.org sau de la dezvoltatorul legitim. Înlocuiește fișierele prin FTP, fiindcă instalatoarele suprascriu fișiere existente, dar hack-urile aduc fișiere noi.
Caută codul malițios
Funcții suspecte de tip eval și base64_decode, fișiere .php apărute în wp-content/uploads, modificări în wp-config.php și .htaccess, injectări în index.php, header.php, footer.php și functions.php. Atacatorii lasă același cod în mai multe locuri.
Regenerează cheile SALT și actualizează tot
Suprascrie cheile secrete din wp-config.php cu altele noi din generatorul oficial: asta invalidează sesiunile rămase. Apoi adu la zi nucleul, temele și pluginurile, fiindcă versiunile vechi sunt ținta boților.
Scoate administratorii necunoscuți
Verifică lista de utilizatori și șterge orice cont de administrator pe care nu l-ai creat tu. Conturile admin străine sunt una dintre căile clasice de revenire.
Schimbă parolele încă o dată
Acum, cu site-ul curat, schimbă din nou parolele importante. Orice parolă pusă pe un site încă infectat trebuie considerată deja compromisă.
Renunță definitiv la pluginurile și temele piratate
Pluginurile și temele „nulled" (piratate) sunt una dintre cele mai frecvente cauze de infectare. Variantele nulled conțin aproape mereu cod ascuns și backdoor-uri, familia WP-VCD fiind cazul clasic. Odată rulat, acel cod deschide o ușă pentru atacator care rămâne deschisă chiar și după ce ștergi pluginul, iar malware-ul e de obicei împrăștiat în mai multe locuri, deci e foarte greu de curățat de încredere. În plus, nu primesc actualizări de securitate, așa că rămân vulnerabile. Regula e simplă: nu le folosi niciodată și instalează doar din surse oficiale.
Cum scoți avertismentul „Acest site poate fi spart" din Google
Dacă Google a marcat site-ul, eticheta nu dispare singură după curățare: trebuie să ceri o reexaminare, și doar după ce ești sigur că tot site-ul e curat. Intri în Search Console, la secțiunea „Probleme de securitate", și apeși pe cererea de examinare. Google se așteaptă să explici concret problema, pașii pe care i-ai făcut ca s-o repari și rezultatul: ce ai curățat, ce ai reinstalat, ce ai actualizat și securizat.
Examinarea durează de regulă de la câteva zile la câteva săptămâni. Nu trimite cereri repetate: o cerere depusă înainte ca problema să fie cu adevărat rezolvată doar prelungește timpul de răspuns. Pentru tot lanțul de recuperare a pozițiilor în Google, vezi ghidul despre recuperarea unui site spart și penalizat în Google.
Când și cui raportezi
Poți raporta incidentul la DNSC, Directoratul Național de Securitate Cibernetică, la numărul 1911, apelabil din orice rețea la tarif normal (nu este un număr gratuit). Operatorii îți dau îndrumare tehnică imediată. Dacă prin site s-au scurs date personale, nume, emailuri, parole sau date de card ale clienților ori angajaților, intervine o obligație legală: notificarea ANSPDCP în maximum 72 de ore de la momentul în care afli de breșă, conform articolului 33 din GDPR. Dacă nu reușești în 72 de ore, notificarea trebuie însoțită de o explicație motivată.
Preventie: cum eviți runda a doua
Un site infectat o dată e foarte des infectat și a doua oară, fiindcă atacatorii revin pe aceeași ușă. Prevenția nu e un lux, ci partea care îți economisește cei mai mulți bani și nervi. Cele de mai jos sunt măsurile care contează cel mai mult.
Un WAF în fața site-ului
Un filtru de securitate oprește traficul rău intenționat înainte să ajungă la WordPress, inclusiv tentativele de a reinjecta cod.
Autentificare în doi pași
Activează 2FA pe toate conturile importante: admin WordPress, găzduire, email. O parolă furată nu mai e suficientă.
Actualizări la zi și limitarea login-ului
Ține nucleul, temele și pluginurile actualizate, ideal automat pentru patch-urile de securitate, și limitează încercările de autentificare ca să oprești atacurile de forțare a parolei.
Backup offsite, testat
Păstrează copii în afara serverului, din care poți restaura rapid. Un backup pe care nu l-ai testat niciodată nu e cu adevărat un backup.
Mai puține componente, mai puține uși
Șterge orice plugin sau temă nu folosești și renunță definitiv la variantele nulled. Fiecare componentă în plus este o ușă în plus.
Pentru lista completă de măsuri, în ordinea impactului, vezi ghidul despre cum protejezi un site WordPress de atacuri.
Vrei să nu mai treci prin asta
Întrebări frecvente
De unde știu dacă site-ul meu WordPress e virusat?
Semnele clare sunt avertismentul „Acest site poate fi spart" în Google, redirecturi automate către alte site-uri, pagini de spam apărute brusc, fișiere noi pe care nu le-ai pus tu și utilizatori admin pe care nu i-ai creat. Cea mai sigură verificare este raportul „Probleme de securitate" din Google Search Console, unde Google îți spune dacă a detectat conținut spart și îți dă exemple de pagini afectate. Poți rula și un scanner ca Wordfence, Sucuri sau MalCare. Dacă găzduirea te-a anunțat că serverul trimite spam, e încă un indiciu serios.
Pot să curăț singur un WordPress infectat sau trebuie un specialist?
Dacă ai un backup curat de dinainte de infecție, restaurarea din el este simplă și o poți face singur, urmată de actualizări și schimbarea tuturor parolelor. Curățarea manuală, în schimb, cere să recunoști cod malițios, să verifici wp-config.php și .htaccess și să fii sigur că nu ai lăsat niciun backdoor, ceea ce e ușor de greșit. O curățare pe jumătate duce aproape sigur la reinfectare. Dacă nu te simți sigur pe partea tehnică, merită să ceri ajutorul cuiva, mai ales dacă s-au scurs date ale clienților.
Pluginurile sau temele nulled (piratate) sunt periculoase?
Da, și sunt una dintre cele mai frecvente cauze de infectare. Variantele nulled conțin aproape mereu cod ascuns și backdoor-uri, familia WP-VCD fiind cazul clasic, iar acel cod deschide o ușă pentru atacator care rămâne deschisă chiar și după ce ștergi pluginul. În plus, nu primesc actualizări de securitate, deci rămân vulnerabile. Sunt foarte greu de curățat de încredere, fiindcă malware-ul e adesea împrăștiat în mai multe locuri. Recomandarea fermă este să nu le folosești niciodată și să instalezi doar din surse oficiale.
Cum scot avertismentul „Acest site poate fi spart" din Google?
Întâi cureți complet site-ul, fiindcă eticheta nu dispare cât timp Google mai detectează conținut infectat. Apoi intri în Google Search Console, la secțiunea „Probleme de securitate", și ceri o examinare. În cerere descrii concret ce problemă a fost, ce pași ai făcut ca s-o repari și care e rezultatul. Examinarea durează de regulă de la câteva zile la câteva săptămâni, iar trimiterea de cereri repetate înainte de rezolvare doar prelungește timpul de răspuns.
Citește și
GhiduriSite spart și penalizat în Google: cum îl recuperezi
Un site spart ajunge des și penalizat în Google. Vezi cum confirmi compromiterea în Search Console și cum recuperezi pozițiile, în ordinea corectă.
GhiduriCum protejezi un site WordPress de atacuri (ghid 2026)
De ce WordPress e atacat constant și lista de măsuri care chiar contează, de la pagina de login până la protecția în rețea.
GhiduriSite-ul tău trimite spam? Cum scoți IP-ul de pe blacklist
Emailurile tale ajung brusc în spam sau sunt respinse, deși nu ai schimbat nimic. De multe ori cauza e că serverul tău trimite spam fără știrea ta, iar IP-ul a ajuns pe un blacklist. Vezi cum confirmi, cum cureți cauza și cum delistezi în ordinea corectă.