[Wordpress] Pagina's worden doorgelinkt naar malware.

Goedenavond,

Mijn eerste topic, mocht ik niet het goede subforum hebben uit gekozen, excuus alvast.

1e vraag:

Een tijd geleden had ik een infectie op mijn Wordpress website. Op elke link waar op werd geklikt werd je doorgestuurd naar een andere site.

In de database zag ik dat er een script werd uitgevoerd zodra er op een link geklikt kon worden, door het verwijderen van deze script werkte de website weer naar behoren, maar sinds kort valt mij op dat als ik een pagina update/aanpas en ik controleer daarna de pagina buiten Wordpress om dan wordt die desbetreffende pagina weer doorgelinkt naar zo'n malware site.

Maar als ik nu in de database zoek naar iets met script erin kom ik geen malafide links oid tegen, iemand bekend met dit probleem en weet eventueel wat ik hier aan kan doen?

Alvast bedankt

RobbyTown schreef op maandag 1 november 2021 @ 22:14:
Lijkt wel dat je pc is geïnfecteerd en van normale linkjes andere (malware) linkjes maakt.

Aangezien ze niet in je db voorkomen om het uit te sluiten. Heb je de mogelijkheid om op een ander device de website te bezoeken en de linkjes te checken?

Ik controleer het incognito op pc en op mijn mobiel, waarbij het op beide te zien is.

RobbyTown schreef op maandag 1 november 2021 @ 23:15:
Mooi dan is dat uitgesloten.

Hier wat gevonden dan is het buiten de DB nog mogelijk
https://secure.wphackedhe...edirect-hack-cleanup/amp/

Kun je is .htaccess, footer.php en header.php is nakijken daar zouden nog wat resten kunnen zitten.

Op die site staat inderdaad hetgeen waar ik last van heb. Er staat ook een PHP file uitgelicht met een decode script erin die bestanden heb ik nu op mijn site ook gevonden.

Verwijderd schreef op dinsdag 2 november 2021 @ 00:24:
Het makkelijkste qua uitsluiten is om je plugin map tijdelijk te hernoemen naar plugins 1.

Check vervolgens of het probleem opgelost is en herstel originele naam.

Indien opgelost plugins individueel aanzetten tot de boosdoener gevonden is.

Een scan met Wordfence of Cerberus kan ook eventuele resten van de malware verwijderen.

Edit:
Dit soort ellende staat meestal in htdocs.
Check vooral ook indexbestanden van directories als wp-admin, of juist de uploads bijvoorbeeld.

Dom dat ik daar zelf niet aangedaxht heb, Wordfence staat namelijk al geactiveerd met ook uitvoerende scans, raar dat ik daar geen notificatie van heb gekregen.

Anyway, zie hier boven, Wordfence heeft de PHP files gevonden waar die code in voor kwam, zijn nu verwijderd en na wat testen lijkt het tot nu toe goed te gaan.

Eens kijken hoe lang het duurt voordat het mij weer gaat opvallen. Thnx voor het meedenken tot nu toe!