Сайт редиректит на казино: как найти и убрать
Если ваш сайт перекидывает посетителей на казино, это почти всегда взлом самого сайта, а не проблема вашего компьютера. Причём код чаще всего лежит не в файлах, а в базе данных, поэтому антивирус хостинга честно отвечает, что всё чисто. Ниже: как за минуту отличить одно от другого, где именно искать, как убрать и почему редирект возвращается, если закрыть только симптом.
Это взлом сайта или вирус в вашем браузере
Сначала разделим два разных случая, потому что чинить их надо в разных местах. Их постоянно путают, и из-за этого люди неделями чистят свой компьютер, пока сайт продолжает уводить клиентов.
- Взлом сайта. Редирект видят другие люди, с других устройств и сетей. Часто срабатывает только с мобильных или только при переходе из поиска.
- Вирус или расширение в браузере. Посторонние страницы открываются на разных сайтах, а не только на вашем, и только у вас.
Быстрая проверка за 30 секунд: откройте сайт с телефона по мобильному интернету, а не по домашнему Wi-Fi, и попросите знакомого из другого города. Если перекидывает и у них, дело в сайте.
Проверьте сайт прямо сейчас
Инструмент откроет ваш сайт снаружи так, как его видят разные посетители: с компьютера, с телефона и глазами поискового робота. Если редирект показывают только мобильным или только боту, вы это увидите. Доступ к сайту не нужен.
Почему редирект видят не все
Взломщики специально прячут редирект от владельца, чтобы он работал как можно дольше. Типичные условия, при которых он включается:
- Только с мобильных: код смотрит на User-Agent, потому что владелец обычно проверяет сайт с компьютера.
- Только при переходе из поиска: код смотрит на Referer, а при вводе адреса напрямую сайт открывается нормально.
- Один раз в сутки на посетителя: ставится cookie, и при повторном заходе редиректа уже нет.
- Не показывают поисковому роботу или, наоборот, показывают только ему. Это называется клоакинг.
Поэтому фраза «у меня всё открывается нормально» ничего не доказывает. Проверять надо так, как заходит ваш клиент.
Где именно лежит код
Конкретные места, которые надо проверить. Порядок примерно по частоте:
- .htaccess в корне и в подпапках: правила RewriteCond по User-Agent или Referer.
- index.php и файлы активного шаблона или темы: инъекция обычно в первых строках.
- База данных. В WordPress смотрите таблицы
wp_optionsиwp_posts. В Joomla это#__template_styles, параметры стиля шаблона: поля Custom JavaScript, Custom CSS и Before </head>. - JS-файлы темы: дописанный код в самом конце файла, чтобы не бросался в глаза.
- Задания cron: восстанавливают вредоносный код после того, как вы его удалили.
Если код лежит в базе, а не в файлах, антивирус хостинга покажет «всё чисто». Это самая частая причина, по которой владелец думает, что с сайтом всё в порядке.
Как убрать редирект по шагам
- Сделайте копию текущего состояния, даже заражённого. Пригодится, если что-то пойдёт не так.
- Проверьте .htaccess в корне и во всех подпапках.
- Проверьте index.php и файлы активного шаблона.
- Проверьте базу: template_styles в Joomla или wp_options в WordPress.
- Смените все пароли: админка, FTP и SSH, база данных, панель хостинга.
- Удалите администраторов, которых вы не создавали.
- Обновите CMS и все расширения.
- Проверьте задания cron.
Почему после чистки редирект возвращается
Потому что убрали симптом, а не вход. Заражение возвращается, если:
- остался веб-шелл в файле, который не проверили;
- остался лишний администратор;
- задание cron восстанавливает код по расписанию;
- не закрыта сама уязвимость, и вас ломают заново тем же способом.
Убрать редирект и закрыть дыру это две разные работы. Первая занимает минуты, вторая требует аудита: что ещё успели залить и через что зашли.
Если сайт на Joomla
Joomla 3 не получает обновлений безопасности с 17 августа 2023 года. Летом 2026 по таким сайтам прокатилась волна массовых взломов через уязвимость шаблонного фреймворка Helix3: вредоносный JavaScript записывается в параметры стиля шаблона прямо в базе, а файлы при этом остаются чистыми. В этой же волне активно используют уязвимости JCE и SP Page Builder.
Если у вас Joomla 3, чистка это половина дела. Без перехода на поддерживаемую версию (5 или 6) вас сломают снова, потому что патчей для этой ветки просто не выпускают.
Если сайт на WordPress
Смотрите таблицы wp_options и wp_posts, файлы активной темы и папку uploads: в ней не должно быть исполняемых .php-файлов. Отдельно проверьте плагины, особенно давно не обновлявшиеся или заброшенные автором, через них заходят чаще всего.
Когда звать специалиста
Есть смысл не тратить время самому, если:
- вы уже чистили, и редирект вернулся;
- код в базе, а не в файлах, и антивирус хостинга молчит;
- хостинг заблокировал аккаунт за вредоносное ПО;
- в выдаче появились чужие страницы или метка «Этот сайт может быть взломан»;
- рабочего бэкапа нет.
Чищу сайты на любой CMS и закрываю точку входа, а не только симптом. Диагностика 0 zł, чистка от 700 zł. Работаю с владельцами сайтов из Польши и Украины, а также с русскоязычными в ЕС. С юридическими лицами, зарегистрированными в России, не работаю: это ограничение санкций ЕС.
Подробнее и заявкаЧастые вопросы
Почему хостинг говорит, что всё чисто, а редирект есть?
Потому что антивирус хостинга проверяет файлы, а вредоносный код часто лежит в базе данных: в параметрах шаблона Joomla (таблица #__template_styles) или в опциях WordPress (wp_options). Файлы при этом действительно чистые, сканер честно это и показывает. Именно поэтому владелец считает, что всё в порядке, пока посетители уходят на казино.
Почему редирект срабатывает только на телефоне?
Так его прячут от владельца. Код смотрит на User-Agent и перекидывает только мобильных, потому что владелец обычно проверяет сайт с компьютера. Тот же приём используют с Referer: редирект включается только при переходе из поиска, а если вбить адрес напрямую, сайт открывается нормально.
Можно ли просто восстановить из бэкапа?
Иногда да, но только если бэкап заведомо чистый и вы знаете дату заражения. Проблема в том, что заражение часто происходит за недели до того, как его заметили, и бэкап уже содержит бэкдор. И главное: откат не закрывает дыру, через которую зашли, поэтому сайт ломают снова тем же способом.
Вернётся ли редирект после чистки?
Вернётся, если убрать только видимый код. Типичные причины возврата: остался веб-шелл в файле, который не проверили, остался лишний администратор, задание cron восстанавливает код по расписанию, или не закрыта сама уязвимость. Убрать редирект и закрыть вход это две разные работы.
Как понять, что дело не в моём компьютере?
Откройте сайт с телефона по мобильному интернету, а не по домашнему Wi-Fi, и попросите знакомого из другого города. Если перекидывает и у них, проблема в сайте. Если же посторонние страницы открываются у вас на разных сайтах, а не только на своём, дело в браузере или расширении.
Сколько времени занимает чистка?
Само удаление редиректа обычно занимает минуты. Основное время уходит на другое: найти точку входа, проверить, что ещё успели залить, и закрыть уязвимость. Без этого работа бессмысленна, потому что заражение вернётся.