Dziwne znaczki w Google i przekierowania – jak usunąć wirusa ze strony?

Dziwne znaczki w wynikach Google i niechciane przekierowania niemal zawsze oznaczają zhakowaną stronę – ktoś wstrzyknął złośliwy kod, który generuje spamowe podstrony i kieruje ruch na obce serwisy. Aby skutecznie pozbyć się infekcji, trzeba jednocześnie zadbać o bezpieczeństwo dostępu, oczyścić pliki i bazę danych oraz zgłosić stronę do ponownego sprawdzenia w Google Search Console.

Dziwne znaczki w Google i przekierowania – co to za problem?

Jeżeli obserwujesz poniższe objawy, najpewniej masz do czynienia z infekcją strony:

• w wynikach Google przy Twojej domenie pojawiają się tytuły lub opisy z chińskimi/japońskimi znakami, dziwnymi ciągami znaków albo treściami, których nigdy nie publikowałeś,
• kliknięcie w wynik Google prowadzi nie na Twoją stronę, tylko na losowe serwisy (np. pornografia, pseudo‑apteki, fałszywe sklepy),
• przeglądarka ostrzega przed stroną jako niebezpieczną (malware, phishing).

To typowe skutki ataku:

• spamowe podstrony generowane na Twojej domenie (często w obcym języku),
• złośliwe przekierowania w plikach strony (np. .htaccess, index.php) lub w bazie danych,
• czasem cloaking – użytkownik z Google widzi inną treść niż Ty po zalogowaniu.

Dlaczego to groźne:

• niszczy wiarygodność i reputację marki,
• może skończyć się oznaczeniem strony jako niebezpiecznej w Google i w narzędziach bezpieczeństwa,
• bywa elementem kampanii phishingowej lub dystrybucji malware.

Czy to na pewno wirus na stronie, a nie problem na Twoim komputerze?

Zanim zaczniesz czyścić serwer, sprawdź, czy problem nie dotyczy Twojej przeglądarki lub komputera:

1. Sprawdź z innego urządzenia i sieci – wejdź na stronę z innego komputera/telefonu oraz innej sieci (np. LTE); sprawdź Google zapytaniem site:twojadomena.pl; jeżeli objawy występują wszędzie, problem jest po stronie serwera/strony;
2. Wyklucz malware w przeglądarce – usuń niepotrzebne/niesprawdzane rozszerzenia, zresetuj ustawienia do domyślnych, zaktualizuj system i przeglądarkę, przeskanuj komputer antywirusem;
3. Sprawdź telefon (Android) – jeśli przekierowania widać tylko na telefonie, włącz Play Protect i przeskanuj urządzenie, ewentualnie użyj antymalware.

Jeżeli po tych krokach problem nadal występuje na wszystkich urządzeniach, to niemal na pewno infekcja strony.

Natychmiastowe kroki bezpieczeństwa dla właściciela strony

Zanim „operujesz” na plikach, zabezpiecz środowisko:

1. Ogranicz dostęp do strony – włącz tryb serwisowy w CMS; jeżeli strona wysyła spam (np. masowe maile), poproś hosting o czasowe zablokowanie wysyłki i/lub witryny;
2. Zrób pełną kopię aktualnego stanu – skopiuj pliki oraz bazę danych; kopia „z wirusem” ułatwi późniejszą analizę wektora ataku;
3. Natychmiast zmień wszystkie hasła – CMS, FTP/SFTP, panel hostingu, baza danych, skrzynki e‑mail, panel domeny; użyj silnych, unikalnych haseł i włącz 2FA;
4. Zadbaj o bezpieczeństwo komputera – przeskanuj antywirusem/antymalware; jeśli działał keylogger, sama zmiana haseł nie wystarczy.

Gdzie szukać infekcji? Objawy po stronie serwera i CMS

Po wstępnym zabezpieczeniu ustal, co dokładnie zostało zainfekowane.

Sprawdzenie plików na serwerze

1. Daty modyfikacji plików – zaloguj się na FTP/panel plików i posortuj po „Dacie modyfikacji”; pliki zmienione w dniach bez prac administracyjnych są podejrzane;
2. Najczęściej infekowane pliki – sprawdź szczególnie:

Lista miejsc wymagających szczególnej uwagi:

• index.php (główny plik wejściowy),
• pliki szablonu, np. header.php, footer.php, functions.php,
• plik .htaccess (często używany do przekierowań),
• pliki we wtyczkach i motywach.

1. Jak wygląda złośliwy kod? – często to niezrozumiały „zaszyfrowany” ciąg, np. z eval, base64_decode, zwykle wstawiony na początku lub końcu pliku;
2. Porównanie z oryginalnymi plikami CMS – pobierz tę samą wersję CMS, której używasz, a następnie porównaj pliki „podejrzany vs oryginalny”.

Na co patrzeć podczas porównania:

• początek i koniec pliku – tam najczęściej dopinany jest obcy kod,
• liczbę linii i niespodziewane różnice w strukturze,
• dodatkowe fragmenty nieobecne w „czystym” pliku.

Skanowanie strony

Wtyczki zabezpieczające (WordPress itp.): użyj wtyczek typu security/firewall do skanowania plików i bazy oraz wskazania zainfekowanych elementów.

Skanery online: zewnętrzne skanery (np. Sucuri Scanner) potrafią wykryć poziom zagrożenia, zainfekowane adresy i obecność malware.

Baza danych

Przy spamowych stronach i „chińskich znakach” w Google bardzo często zainfekowana jest baza danych:

• pojawiają się dziesiątki/setki nowych wpisów i podstron w obcym języku,
• dodawani są nowi użytkownicy‑administratorzy,
• w tabelach ustawień (np. wp_options) lądują skrypty lub przekierowania.

W praktyce przejrzyj listę wpisów/stron/produktów i usuń spam, sprawdź kont użytkowników z uprawnieniami administratora i zostaw tylko zaufane konta.

Typowe objawy w Google – „chińskie znaki” i przekierowania

W wynikach wyszukiwania możesz zobaczyć:

• zastanawiające tytuły stron – ciągi chińskich/japońskich znaków lub losowe kody Unicode,
• opisy (snippety) z treściami, których nie ma w normalnych podstronach, ale istnieją w zainfekowanych zasobach,
• wiele nowych, nieznanych adresów URL (np. /cheap-viagra-cn/, /product-xxx-jp/).

Jak to zwykle przebiega:

• atakujący tworzy setki spamowych stron na Twojej domenie,
• Google indeksuje te podstrony, stąd „dziwne znaczki” i obce języki w wynikach,
• zainfekowany kod ustawia przekierowania z tych adresów (czasem z całej domeny) na zewnętrzny serwis.

Usuwanie wirusa krok po kroku – schemat uniwersalny

Poniższa procedura pasuje do większości stron (WordPress, inne CMS-y, projekty custom).

Krok 1 – kopia, hasła, odcięcie ruchu

Zacznij od zabezpieczenia podstaw:

• zrób pełną kopię serwera i bazy danych (stan aktualny, nawet jeśli zainfekowany),
• zmień wszystkie hasła (CMS, FTP, hosting, baza, e‑mail, domena),
• ogranicz dostęp (tryb serwisowy, ewentualnie blokada po stronie hostingu).

Krok 2 – aktualizacja CMS i wtyczek

Zaktualizuj CMS i wszystkie wtyczki/motywy do najnowszych wspieranych wersji oraz usuń nieużywane lub nieaktualizowane dodatki. Aktualizacja nie usuwa wirusa, ale zamyka znane luki i ułatwia diagnostykę.

Krok 3 – czyszczenie plików

Masz dwie główne strategie:

Przywrócenie z czystej kopii sprzed infekcji

Jeżeli posiadasz backup sprzed ataku, przywróć pliki i bazę, a następnie od razu zaktualizuj CMS, wtyczki i motywy oraz ponownie zmień hasła.

To zwykle najszybsza i najbezpieczniejsza metoda.

Ręczne usuwanie złośliwego kodu

1. Zidentyfikuj zainfekowane pliki – skorzystaj ze skanerów/wtyczek bezpieczeństwa i przejrzyj ostatnio modyfikowane pliki na FTP;
2. Porównaj z oryginałami – pobierz czystą wersję CMS i porównaj „podejrzane” pliki z oryginałami, zwłaszcza początek/koniec i liczbę linii;
3. Usuń złośliwy fragment – ostrożnie wytnij nieznany kod (zawsze trzymaj kopię przed edycją) i sprawdź działanie strony;
4. W razie wątpliwości podmień całe katalogi – w WordPressie bezpiecznie podmień wp-admin i wp-includes świeżą kopią z oficjalnego pakietu.

Krok 4 – czyszczenie .htaccess i przekierowań

.htaccess bywa używany do przekierowań całego ruchu (lub np. tylko z Google/mobilnego). Usuń obce reguły i przywróć wersję domyślną.

Wykonaj kolejno:

• zrób kopię .htaccess,
• usuń nietypowe reguły (np. RewriteRule wskazujące obce domeny),
• przywróć domyślny plik dla Twojego CMS (z czystej instalacji lub dokumentacji).

Krok 5 – czyszczenie bazy danych

1. Usuń spamowe treści – w panelu CMS skasuj wpisy/strony/produkty ewidentnie spamowe (np. w obcych językach);
2. Usuń podejrzanych użytkowników – szczególnie konta z rolą administrator, których nie zakładałeś;
3. Skontroluj ustawienia – przejrzyj tabele z opcjami (np. wp_options) pod kątem skryptów/iframe’ów/przekierowań.

Krok 6 – skan po czyszczeniu

Po ręcznym czyszczeniu ponownie uruchom skan wtyczką bezpieczeństwa oraz skaner online i upewnij się, że żaden plik nie jest już oznaczony jako zainfekowany.

Przykład – WordPress z wirusem i „chińskimi znakami” w Google

WordPress bywa najczęstszym celem, dlatego typowy scenariusz wygląda tak:

1. Blokada strony na czas naprawy – włącz „maintenance mode”, aby użytkownicy widzieli komunikat o pracach;
2. Hasła i kopia – zmień wszystkie hasła (WordPress, FTP, hosting, baza, e‑mail) i wykonaj kopię plików oraz bazy;
3. Aktualizacja WordPressa i wtyczek – zaktualizuj WordPress, wtyczki i motywy; usuń dodatki nieużywane lub z nieoficjalnych źródeł;
4. Podmiana katalogów systemowych – pobierz z oficjalnego pakietu właściwą wersję i podmień wp-admin oraz wp-includes (nie ruszaj wp-content);
5. Analiza plików motywów i wtyczek – sprawdź functions.php, header.php, footer.php i inne pod kątem obcych wstawek na początku/końcu; przejrzyj pliki wskazane przez skaner;
6. Skan i czyszczenie bazy – przeskanuj pliki i bazę wtyczką security, usuń spamowe wpisy/strony oraz nieznanych administratorów;
7. Sprawdzenie wyników Google – użyj site:twojadomena.pl; pamiętaj, że część spamowych adresów może pozostać w indeksie przez pewien czas.

Co po usunięciu infekcji? Naprawa reputacji w Google

Google Search Console – bezpieczeństwo i ręczne działania

1. Zweryfikuj stronę w Google Search Console – dodaj domenę i sprawdź raporty „Problemy z bezpieczeństwem” oraz „Ręczne działania”;
2. Jeśli widnieją ostrzeżenia o malware/spamie – po wyczyszczeniu witryny złóż prośbę o ponowne rozpatrzenie. W zgłoszeniu opisz:

Co zawrzeć w prośbie o ponowne rozpatrzenie:

• na czym polegał problem (np. spamowe strony w obcym języku, przekierowania),
• jakie kroki wykonałeś (backup, czyszczenie plików, aktualizacje, zmiana haseł),
• jakie zabezpieczenia wdrożono (wtyczki security, monitoring).

1. Monitoruj po zgłoszeniu – zdjęcie ostrzeżeń trwa zwykle od kilku godzin do kilku dni; obserwuj GSC i zachowanie strony przez kilka tygodni.

Inne usługi bezpieczeństwa

Jeżeli Twoja domena figuruje jako zainfekowana w zewnętrznych bazach/skanerach, po czyszczeniu zgłoś prośbę o ponowny przegląd lub „fałszywy pozytyw”, dołączając raporty skanowania, zrzuty ekranu i ewentualne potwierdzenia od firmy bezpieczeństwa.

A jeśli to jednak „Google redirect virus” na komputerze użytkownika?

Zdarza się, że „Google przekierowuje na inne strony” z powodu lokalnej infekcji przeglądarki/systemu, która modyfikuje wyniki i kliknięcia – niezależnie od odwiedzanej witryny.

W takim przypadku pomóc może:

• usunięcie podejrzanych rozszerzeń w przeglądarce,
• reset ustawień przeglądarki do domyślnych,
• pełne skanowanie komputera programem antymalware.

Dla właściciela strony kluczowe jest odróżnienie, czy problem dotyczy wszystkich użytkowników (błąd po stronie serwera, widoczny też w Google), czy tylko pojedynczych osób (lokalna infekcja ich urządzeń).

Jak zabezpieczyć stronę, żeby sytuacja się nie powtórzyła?

Po usunięciu wirusa konieczne jest wzmocnienie zabezpieczeń – inaczej atak może wrócić:

1. Aktualizacje na bieżąco – regularnie aktualizuj CMS, wtyczki i motywy; nie używaj porzuconych lub dawno nieaktualizowanych dodatków;
2. Silne hasła i 2FA – stosuj długie, losowe i unikalne hasła dla każdego konta; włącz dwuskładnikowe uwierzytelnianie tam, gdzie to możliwe;
3. Ogranicz liczbę wtyczek i motywów – instaluj dodatki wyłącznie z zaufanych źródeł i usuwaj te nieużywane;
4. Wtyczki bezpieczeństwa / firewall aplikacyjny – zainstaluj wtyczkę typu security/firewall. Dobra wtyczka powinna:

Na co zwrócić uwagę przy wyborze wtyczki security:

• filtrowanie ruchu (blokada typowych ataków),
• monitoring zmian plików,
• skan pod kątem malware.

1. Regularne kopie zapasowe – włącz automatyczne backupy plików i bazy, przechowuj kopie poza serwerem i okresowo testuj odtwarzanie;
2. Bezpieczeństwo serwera i konfiguracji – korzystaj z aktualnych wersji PHP i komponentów; nie ujawniaj plików konfiguracyjnych (np. wp-config.php);
3. Stały monitoring – przez najbliższe tygodnie obserwuj stronę pod kątem powrotu objawów (dziwne znaki, spamowe URL‑e, przekierowania) i cyklicznie skanuj pliki oraz bazę.