Wyobraź sobie: Pewnego ranka sprawdzasz analitykę swojej witryny WordPress i coś wydaje się nie tak. Twój ruch spadł, a Ty odkrywasz, że Twoja witryna jest pełna spamerskich linków sprzedających wszystko, od podrabianych torebek znanych marek po wątpliwe farmaceutyki.
Widzieliśmy to na własne oczy na stronach klientów. W rzeczywistości pomogliśmy klientowi, którego strona internetowa w ciągu jednej nocy zamieniła się w spamerski bałagan.
Ich cała reputacja biznesowa była zagrożona, ale udało nam się ją oczyścić, zabezpieczyć i przywrócić do normy — i pokażemy Ci dokładnie, jak zrobić to samo.
W tym przewodniku omówimy wszystko, od znajdowania i usuwania wstrzyknięć spamerskich linków po ochronę Twojej witryny na przyszłość.
Szybka odpowiedź: Jak usunąć wstrzyknięcia spamerskich linków w WordPress?
Użyj wtyczki bezpieczeństwa, takiej jak Sucuri lub Wordfence, aby przeskanować swoją witrynę i znaleźć złośliwy kod. Następnie wyczyść swoją bazę danych za pomocą Search & Replace Everything, zastąp zainfekowane pliki motywu i wtyczek świeżymi kopiami i zresetuj wszystkie swoje hasła.
Dlaczego powinieneś przejmować się wstrzyknięciami spamerskich linków?
Wstrzyknięcia spamerskich linków pozwalają hakerom przejąć SEO i reputację Twojej witryny, często bez Twojej wiedzy.
- Wyszukiwarki mogą oznaczyć lub ukarać Twoją witrynę, powodując utratę ruchu organicznego i potencjalnych przychodów.
- Ukryte spamerskie linki niszczą zaufanie odwiedzających i mogą spowodować, że Twoja witryna zostanie tymczasowo umieszczona na czarnej liście Google.
Krok 1. Znajdowanie linków spamerskich
Przeprowadzimy Cię przez proces, który stosujemy do wykrywania ukrytych złośliwych treści.
Istnieje kilka różnych sposobów, aby to zrobić, i możesz chcieć wypróbować wszystkie te podejścia, aby niczego nie przeoczyć.
Opcja 1: Znajdowanie spamerskich linków za pomocą Google Search Console
Google Search Console to Twoja pierwsza linia obrony w wykrywaniu linków spamowych. Jest to darmowe narzędzie od Google, które pozwala właścicielom witryn zobaczyć, jak ich strona internetowa radzi sobie w wynikach wyszukiwania.
Zapewnia mnóstwo wglądów i posiada doskonałe narzędzia diagnostyczne, które pomagają wykryć kondycję Twojej witryny w Google Search. Jeśli jeszcze jej nie skonfigurowałeś, po prostu zapoznaj się z naszym kompletnym samouczkiem Google Search Console.
Po skonfigurowaniu oto dokładnie, co musisz zrobić.
Najpierw zaloguj się do Google Search Console i wybierz swoją witrynę. Następnie przejdź do zakładki „Bezpieczeństwo i ręczne działania” w lewym pasku bocznym.
Tutaj musisz szukać wszelkich ostrzeżeń o „nienaturalnych linkach” lub „treściach spamerskich”.
Pamiętaj, że jeśli zobaczysz komunikat „Nie wykryto problemów”, niekoniecznie oznacza to, że Twoja witryna jest czysta. Nadal możesz mieć spamujące linki, których Google jeszcze nie oznaczyło.
Następnie musisz sprawdzić raport „Linki”, aby zidentyfikować wszelkie podejrzane wzorce.
Będziesz chciał szukać podejrzanych domen lub tekstu linków pojawiających się w tych raportach. Przez podejrzane rozumiemy wszystko, co pochodzi z domeny, której nie rozpoznajesz i której nie możesz zweryfikować jako wiarygodnej.
Opcja 2. Znajdowanie spamerskich linków poprzez ręczne sprawdzanie witryny
Hakerzy są kreatywni w ukrywaniu swoich śladów. Niedawno znaleźliśmy spamerskie linki ukryte na stronie klienta za pomocą niewidocznego tekstu, który pojawiał się dopiero po zaznaczeniu całej strony.
Typowe miejsca ukrycia obejmują stopki, zawartość legalnych treści (szczególnie starszych postów), obszary widżetów i pliki szablonów.
Czasami można znaleźć spamujące linki, ręcznie sprawdzając kod źródłowy swojej witryny.
Wskazówka Pro: Użyj funkcji „Pokaż źródło” w przeglądarce, aby przejrzeć kod źródłowy w poszukiwaniu ukrytych spamerskich linków.
Zwróć szczególną uwagę na wszelki kod, który wygląda na zakodowany lub nieuporządkowany — to często czerwona flaga.
Innym sposobem lokalizowania tych linków jest przeglądanie wyników wyszukiwania Google dla zindeksowanych stron w Twojej witrynie.
Jeśli Twoja witryna została zainfekowana spamem, możesz zobaczyć linki z dziwnymi opisami meta, strony z farmaceutycznymi słowami kluczowymi lub znaki obcego języka podczas przeglądania wyników.
Problem ze znalezieniem tych spamerskich linków na Twojej stronie polega na tym, że ich usunięcie lub skasowanie nie zawsze działa. Ponadto proces ten może być bardzo czasochłonny.
Lokalizowanie złośliwego kodu, który *powoduje* te spamerskie linki, jest szybsze i skuteczniejsze. Omówimy, jak to zrobić w następnej sekcji.
Opcja 3. Lokalizowanie złośliwego kodu i linków za pomocą skanerów bezpieczeństwa
Wtyczki bezpieczeństwa, takie jak Sucuri lub Wordfence, mogą aktywnie skanować Twoją witrynę i automatycznie wykrywać problemy.
Te narzędzia skanują Twoją witrynę w poszukiwaniu zmodyfikowanych plików rdzenia, podejrzanych wzorców kodu, znanych sygnatur złośliwego oprogramowania i nieautoryzowanych zmian plików.
Traktuj je jak strażnika Twojej witryny, stale patrolującego w poszukiwaniu podejrzanej aktywności. Uruchomienie skanowania może pomóc Ci znaleźć ukryte tylne drzwi, które hakerzy mogli pozostawić w Twojej witrynie.
W zależności od tego, z którego wtyczki bezpieczeństwa WordPress korzystasz, po prostu rozpocznij nowe skanowanie w poszukiwaniu złośliwego kodu.
Na przykład, jeśli używasz Wordfence, musisz przejść do Wordfence » Skanuj i kliknąć przycisk „Rozpocznij nowy skan”.
Te wtyczki są naprawdę dobre w wykrywaniu zmian w plikach i wyszukiwaniu podejrzanego i złośliwego kodu.
Po wykryciu pokażą Ci również sugerowane działania, które możesz podjąć, aby rozwiązać problemy.
Więcej szczegółów na temat tego procesu znajdziesz w naszym przewodniku dla początkujących na temat jak przeskanować swoją witrynę WordPress pod kątem potencjalnie złośliwego kodu.
Powiązany wpis: Najlepsze skanery bezpieczeństwa WordPress do wykrywania złośliwego oprogramowania i ataków
Krok 2. Usuwanie spamu linków z WordPress
Po znalezieniu spamerskich linków lub złośliwego kodu wstrzykującego te linki, następnym krokiem jest ich usunięcie.
Jeśli używasz wtyczki bezpieczeństwa WordPress, może ona automatycznie sugerować działania w celu usunięcia tych linków.
Czasami jednak usunięcie lub skasowanie tych plików nie działa, a Twoja strona nadal może wyświetlać spamerskie linki.
Aby przeprowadzić pełne czyszczenie, będziesz musiał użyć wielu narzędzi i technik, w zależności od tego, jak i gdzie złośliwy kod i linki zostały wstawione.
Przyjrzymy się tym narzędziom i sposobom ich użycia w kolejnych krokach.
Krok 3. Czyszczenie bazy danych za pomocą wyszukiwania i zamiany wszystkiego
Teraz, gdy wiesz, że Twoja witryna zawiera spamujące linki, następnym krokiem jest ich usunięcie.
Mogłeś nie znaleźć każdego pojedynczego wystąpienia tych irytujących spamu linków. Ale jeśli wiesz, jak wyglądają, łatwiej jest je masowo usunąć.
Tutaj przyda się wtyczka Search & Replace Everything.
Jest to potężna wtyczka do wyszukiwania w bazie danych WordPress, która może przeszukać całą bazę danych WordPress w poszukiwaniu pasującego tekstu.
Po prostu zainstaluj i aktywuj Search & Replace Everything, a następnie przejdź do strony Narzędzia » WP Search & Replace.
Musisz wprowadzić podejrzany link lub tekst, który znalazłeś wcześniej, w polu „Szukaj”.
Następnie wybierz, które tabele bazy danych należy przeszukać.
Teraz po prostu kliknij przycisk „Podgląd wyszukiwania i zamiany”, aby uruchomić wyszukiwanie.
Wtyczka wyszuka wprowadzony termin w Twojej bazie danych WordPress i pokaże podgląd wyników.
Wtyczka pokaże Ci, gdzie te linki się pojawiają. Mogą znajdować się w postach lub stronach, komentarzach lub innych obszarach Twojej witryny.
Możesz również wyczyścić podejrzane linki za pomocą Search & Replace Everything. Zlokalizuj dokładny tekst użyty do wstawienia linku i zastąp go pustym ciągiem.
Więcej szczegółów znajdziesz w naszym poradniku na temat wykonywania wyszukiwania i zamiany w WordPressie.
Krok 4. Czyszczenie spamerskich linków w plikach motywu i wtyczek WordPress
Jeśli nie możesz zlokalizować spamerskich linków w swojej bazie danych WordPress, istnieje duże prawdopodobieństwo, że linki zostały dodane do plików motywu lub wtyczki WordPress.
Obecnie większość nowoczesnych motywów i wtyczek WordPress zawiera kilka plików, a ręczne sprawdzanie każdego z nich byłoby trudne.
Jeśli używasz tylko kilku wtyczek, najprostszym rozwiązaniem będzie ich usunięcie. Możesz to zrobić, przechodząc do Wtyczki » Zainstalowane wtyczki. W menu rozwijanym „Akcje zbiorcze” wybierz „Usuń”, a następnie „Zastosuj”.
Ostrzeżenie: Jeśli którekolwiek z zainstalowanych wtyczek odpowiadają za kluczowe funkcje lub elementy projektowe Twojej witryny (takie jak system zamówień lub niestandardowy stopka), nie zalecamy tego podejścia.
Może to dodatkowo zakłócić działanie Twojej witryny i spowodować utratę ważnych danych. W takim przypadku zawsze zalecamy zatrudnienie ekspertów ds. bezpieczeństwa WordPressa, którzy zajmą się Twoim problemem ze spamem.
Następnie możesz pobrać świeże kopie tych wtyczek i zainstalować je na swojej stronie internetowej. Szczegółowe informacje znajdziesz w naszym poradniku na temat prawidłowego odinstalowywania wtyczki WordPress.
Następnie będziesz musiał zrobić to samo dla swojego motywu WordPress. Pamiętaj jednak, że usuwając bieżący motyw WordPress, możesz utracić jego ustawienia i musieć skonfigurować go ponownie tak, jak był.
Najpierw musisz zainstalować domyślny motyw WordPress. Zobacz nasz poradnik na temat instalowania motywu WordPress, aby uzyskać instrukcje.
Domyślne motywy WordPressa to oficjalne motywy WordPressa. Zazwyczaj mają nazwy oparte na roku ich wydania, takie jak Twenty Twenty-Five, Twenty Twenty-Four i tak dalej.
Ważna uwaga: Jeśli masz już zainstalowany domyślny motyw, nie możesz go użyć, ponieważ może on również zostać naruszony. Musisz zainstalować nowy, czysty domyślny motyw.
Po zainstalowaniu nowego, czystego domyślnego motywu, musisz go aktywować.
Po aktywacji domyślnego motywu WordPress pozwoli Ci usunąć wszelkie nieaktywne motywy.
Możesz kliknąć swój poprzedni motyw i usunąć go ze swojej witryny.
Po usunięciu motywu będziesz musiał pobrać jego nową kopię ze źródła, a następnie ją zainstalować.
Zastąpienie plików motywu i wtyczek świeżymi kopiami zapewnia, że pracujesz z czystym kodem i eliminuje wszelkie zmodyfikowane pliki, które mogą zawierać złośliwe oprogramowanie.
Krok 5. Wyczyść krytyczne pliki
Twoja instalacja WordPressa zawiera kilka krytycznych plików, które hakerzy uwielbiają atakować. Plik .htaccess jest szczególnie podatny na ataki przekierowań.
Na szczęście WordPress potrafi sam odtworzyć plik .htaccess. Możesz więc po prostu połączyć się ze swoją stroną za pomocą klienta FTP i usunąć plik .htaccess, który znajduje się w głównym folderze Twojej strony.
Jeśli chcesz sprawdzić, czy Twój plik .htaccess został poprawnie odtworzony, zapoznaj się z naszym przewodnikiem jak naprawić plik .htaccess w WordPress.
Plik wp-config.php to kolejny krytyczny plik WordPress, który często jest celem hakerów.
Możesz pobrać kopię swojego istniejącego pliku wp-config.php jako kopię zapasową na swój komputer za pomocą FTP.
Następnie musisz przejść do WordPress.org i pobrać nową, czystą kopię WordPress na swój komputer.
Rozpakuj plik, a w środku znajdziesz plik wp-config-sample.php.
Następnie będziesz musiał przesłać plik wp-config-sample.php na swoją stronę internetową za pomocą FTP.
Po przesłaniu pliku możesz go zmienić nazwę na wp-config.php.
Jednak plik wp-config nie zadziała, ponieważ nie zawiera ważnych informacji potrzebnych do połączenia z bazą danych WordPress. Obejmuje to Twoje:
- Nazwa bazy danych
- Nazwa użytkownika i hasło do bazy danych
- Host bazy danych
- Prefiks tabeli bazy danych
Możesz skopiować te informacje ze starego pliku wp-config, który wcześniej pobrałeś jako kopię zapasową. Po dodaniu informacji musisz zapisać i przesłać swoje zmiany.
Więcej szczegółów znajdziesz w naszym poradniku wyjaśniającym jak edytować plik wp-config.php w WordPress.
Krok 6. Zabezpieczanie strony po czyszczeniu
Teraz, gdy Twoja strona jest czysta, upewnijmy się, że tak pozostanie. Bezpieczeństwo to nie jednorazowa czynność – to ciągły proces wymagający uwagi i konserwacji.
Zmień wszystkie swoje hasła
Twoim pierwszym zadaniem związanym z bezpieczeństwem jest zmiana każdego hasła powiązanego z Twoją witryną.
Obejmują one konta administratora WordPress, dane uwierzytelniające FTP, hasła do bazy danych, logowanie do panelu kontrolnego hostingu oraz wszelkie konta e-mail powiązane z Twoją witryną.
Wskazówka: Użyj menedżera haseł do generowania i przechowywania silnych, unikalnych haseł. Polecamy 1Password ze względu na jego funkcje bezpieczeństwa i łatwość użycia.
Konfiguracja zapory sieciowej i wtyczki bezpieczeństwa
Korzystanie z zapory sieciowej i dobrej wtyczki bezpieczeństwa jest jak posiadanie profesjonalnego zespołu ochrony dla Twojej witryny.
Zalecamy korzystanie z tych narzędzi:
- Zapora aplikacji internetowej (Cloudflare jest naszym ulubionym.)
- Monitorowanie integralności plików (Lubimy zarówno Sucuri, jak i Wordfence.)
Powiązany wpis: Porównanie najlepszych wtyczek zapory sieciowej dla WordPress
Skonfiguruj automatyczne kopie zapasowe
Gdy Twoja witryna będzie czysta, następnym krokiem jest upewnienie się, że nigdy więcej nie stracisz swojej ciężkiej pracy. Regularne kopie zapasowe mogą uchronić Cię przed poważnymi problemami, jeśli Twoja witryna zostanie zhakowana, ulegnie awarii lub dojdzie do przypadkowej utraty danych.
Zalecamy użycie Duplicator do skonfigurowania automatycznych kopii zapasowych dla Twojej witryny WordPress. Jest to potężna i łatwa w użyciu wtyczka, która pozwala tworzyć pełne kopie zapasowe i bezpiecznie je przechowywać.
Dlaczego polecamy Duplicator
Używamy Duplicator na wielu naszych własnych stronach internetowych i uważamy, że jest to najbardziej niezawodne rozwiązanie do tworzenia kopii zapasowych WordPress na rynku. Z Duplicator możesz:
- Automatyzacja zaplanowanych kopii zapasowych — Ustaw i zapomnij. Duplicator automatycznie tworzy kopie zapasowe Twojej witryny w regularnych odstępach czasu.
- Przechowywanie kopii zapasowych w chmurze — Zapisuj kopie zapasowe na Google Drive, Dropbox, Amazon S3 i innych.
- Przywracanie jednym kliknięciem — Szybko odzyskaj swoją witrynę jednym kliknięciem, jeśli coś pójdzie nie tak.
Aby dowiedzieć się więcej, zapoznaj się z naszą szczegółową recenzją Duplicator. Lub, jeśli szukasz alternatyw, możesz zapoznać się z naszym wyborem najlepszych wtyczek do tworzenia kopii zapasowych WordPress.
Odzyskaj kontrolę nad bezpieczeństwem swojej strony internetowej
Radzenie sobie z wstrzyknięciami spamerskich linków może wydawać się trudne, ale pamiętaj — nie jesteś sam. Niezależnie od tego, czy zdecydujesz się samodzielnie rozwiązać problem, czy zatrudnić ekspertów, ważne jest, aby szybko i dokładnie zająć się problemem.
Zapobieganie jest zawsze lepsze niż kontrola szkód. Konfigurując odpowiednie środki bezpieczeństwa i zachowując czujność, możesz znacznie zmniejszyć ryzyko przyszłych ataków.
Pomyśl o tym jako o inwestycji w przyszłość swojej witryny — takiej, która zwróci Ci się w postaci spokoju ducha i ochrony dochodów.
Najczęściej zadawane pytania
Skąd mam wiedzieć, czy moja strona WordPress została zainfekowana spamującymi linkami?
Sprawdź Google Search Console pod kątem ostrzeżeń o bezpieczeństwie, wyszukaj swoją stronę w Google za pomocą polecenia site:twojadomena.com, aby wykryć podejrzane strony, i uruchom skanowanie za pomocą wtyczki bezpieczeństwa, takiej jak Wordfence lub Sucuri, aby wykryć złośliwy kod.
Czy infekcje spamującymi linkami mogą zaszkodzić moim rankingom w Google?
Tak. Google może oznaczyć Twoją stronę jako zainfekowaną, a nawet tymczasowo usunąć ją z wyników wyszukiwania. Może to spowodować znaczący spadek ruchu organicznego i przychodów, dopóki problem nie zostanie rozwiązany.
Czy bezpieczne jest samodzielne czyszczenie zhakowanej strony WordPress?
Jeśli czujesz się komfortowo pracując z FTP, bazą danych i wtyczkami bezpieczeństwa, możesz postępować zgodnie z instrukcją krok po kroku, aby samodzielnie ją wyczyścić. Jednak jeśli nie jesteś pewien, zatrudnienie eksperta ds. bezpieczeństwa WordPress jest najbezpieczniejszą opcją.
Jak hakerzy wstrzykują spamujące linki do WordPressa?
Hakerzy zazwyczaj wykorzystują nieaktualne wtyczki, słabe hasła lub znane luki w zabezpieczeniach, aby uzyskać dostęp. Następnie wstrzykują złośliwy kod do Twojej bazy danych, plików motywu, plików wtyczek lub plików rdzeniowych, takich jak .htaccess i wp-config.php.
Jak mogę zapobiec przyszłym infekcjom spamującymi linkami?
Aktualizuj WordPressa, motywy i wtyczki, używaj silnych, unikalnych haseł, zainstaluj zaporę sieciową aplikacji internetowych, taką jak Cloudflare, przeprowadzaj regularne skanowania bezpieczeństwa i ustaw automatyczne kopie zapasowe, aby móc szybko przywrócić swoją stronę w razie potrzeby.
Dodatkowe zasoby dotyczące bezpieczeństwa WordPress
Utrzymanie bezpieczeństwa Twojej witryny WordPress jest kluczowe dla rozwoju Twojej firmy. Tutaj zebraliśmy kilka przydatnych zasobów, które możesz wykorzystać do poprawy bezpieczeństwa swojej witryny:
- Przewodnik dla początkujących: Jak naprawić zhakowaną stronę WordPress
- Jak przeprowadzić audyt bezpieczeństwa WordPress (kompletna lista kontrolna)
- Jak zablokowałem 18 000 ataków spamowych na moje formularze WordPress
- Kompletny przewodnik po bezpieczeństwie WordPress — krok po kroku
- Jak zapobiegać atakom SQL injection na WordPress
- Jak zatrzymać przekierowywanie WordPress do stron spamerskich
- Jak chronić swoją witrynę WordPress przed atakami typu brute force
- Kluczowe wskazówki dotyczące ochrony obszaru administracyjnego WordPress
- Jak zresetować hasła wszystkich użytkowników w WordPress
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Masz pytanie lub sugestię? Zostaw komentarz, aby rozpocząć dyskusję.