737 слов | 5 минут

Что делать если взломали сайт

Обнаружили что сайт ведёт себя странно, хостинг прислал уведомление или знакомые говорят что сайт показывает чужую рекламу? Скорее всего сайт взломан. Разберём как действовать пошагово — без паники и лишних ошибок.

Как понять что сайт взломали

Признаки взлома бывают очевидными и скрытыми. Вот на что обратить внимание:

Очевидные признаки:

• Главная страница заменена на чужую (дефейс)
• Поисковик показывает предупреждение «Сайт опасен» или «Сайт взломан»
• Хостинг заблокировал аккаунт и прислал уведомление о вредоносном коде
• Браузер блокирует переход на сайт

Скрытые признаки:

• Посетителей перенаправляет на другие сайты — особенно с мобильных устройств или из поиска
• В поисковой выдаче появились страницы которые вы не создавали (спам-страницы на вашем домене)
• Резко упал трафик без видимых причин
• В файловой системе появились незнакомые файлы с подозрительными именами
• В базе данных появились новые администраторы которых вы не добавляли
• Сайт стал работать медленнее — вредоносный код использует ресурсы сервера

Хакеры стараются оставаться незаметными как можно дольше. Если вы заметили взлом — возможно он произошёл несколько недель или месяцев назад.

Пошаговый план действий

Шаг 1. Не паникуйте и не делайте лишних движений

Первый порыв — немедленно всё удалить и переустановить. Не торопитесь. Поспешные действия могут:

• Уничтожить улики нужные для анализа
• Удалить важные данные
• Не устранить первопричину — и сайт взломают снова

Шаг 2. Оцените масштаб

Прежде чем что-то делать, ответьте на вопросы:

• Сайт доступен или уже заблокирован хостингом?
• Это дефейс (замена страниц) или скрытое заражение?
• Есть ли резервные копии и когда последняя?
• Когда предположительно произошёл взлом?

Шаг 3. Переведите сайт в режим обслуживания

Если сайт ещё работает — закройте его для посетителей. Заражённый сайт атакует ваших же пользователей и портит репутацию домена в поисковиках.

Самый простой способ — добавить в .htaccess:

RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^ВАШ_IP$
RewriteRule ^(.*)$ /maintenance.html [R=302,L]

Шаг 4. Смените все пароли

Сделайте это немедленно — до начала очистки:

• Пароль к панели управления хостингом
• Пароль к FTP и SFTP
• Пароль к базе данных
• Пароль к админке сайта
• Пароль к email на домене

Используйте длинные случайные пароли (минимум 20 символов). Сохраните их в менеджере паролей.

Шаг 5. Сделайте резервную копию текущего состояния

Это кажется нелогичным — зачем бэкап заражённого сайта? Но он нужен для:

• Анализа что именно изменили хакеры
• Восстановления данных (заказы, комментарии, записи) которые появились после последнего чистого бэкапа

Шаг 6. Найдите точку входа

Это важнейший шаг. Если не понять как взломали — взломают снова.

Проверьте:

• Логи сервера — access.log и error.log покажут подозрительные запросы
• Даты изменения файлов — найдите файлы изменённые в период взлома
• Незнакомые файлы — особенно .php в папках для загрузок (uploads, files, images)
• Базу данных — новые администраторы, изменённые ссылки, скрипты в контенте

Команда для поиска изменённых файлов за последние 7 дней:

find /путь/к/сайту -mtime -7 -type f -name "*.php"

Шаг 7. Очистите сайт

Есть два подхода в зависимости от ситуации:

Восстановление из чистого бэкапа — если есть резервная копия до взлома:

1. Восстановите файлы из бэкапа
2. Восстановите базу данных из бэкапа
3. Перенесите только пользовательские данные (новые заказы, записи) из заражённой версии

Ручная очистка — если бэкапа нет или нужно сохранить данные:

1. Удалите все незнакомые файлы
2. Замените файлы ядра CMS на оригинальные из официального дистрибутива
3. Проверьте и очистите базу данных от вредоносных вставок
4. Проверьте все файлы тем и плагинов

Шаг 8. Закройте уязвимость

Найдите и устраните причину взлома:

• Обновите CMS, плагины и темы — большинство взломов через устаревшие версии
• Удалите неиспользуемые плагины и темы — даже неактивные могут быть уязвимы
• Проверьте права на файлы — папки 755, файлы 644, конфиг-файлы 600
• Закройте лишние точки входа — xmlrpc.php, ненужные API-эндпоинты

Шаг 9. Настройте защиту

После очистки — укрепите сайт чтобы не повторилось:

• Установите Web Application Firewall (WAF)
• Настройте двухфакторную аутентификацию для администраторов
• Включите мониторинг целостности файлов
• Настройте автоматические резервные копии (ежедневно, хранить 30 дней)
• Закройте доступ к админке по IP если возможно

Шаг 10. Уведомите поисковики

Если сайт попал в чёрный список:

1. Яндекс Вебмастер → «Безопасность и нарушения» → запросить перепроверку
2. Google Search Console → «Проблемы безопасности» → «Запросить проверку»

После успешной перепроверки предупреждения снимаются в течение 1–3 дней.

Как взламывают сайты — основные методы

Понимание методов взлома помогает правильно настроить защиту:

• Уязвимости в устаревших плагинах и темах — самая распространённая причина. Хакеры мониторят базы CVE и атакуют сайты на которых не обновили уязвимый компонент
• Брутфорс паролей — автоматический перебор паролей к админке или FTP
• SQL-инъекции — через формы поиска, комментариев или других элементов с вводом данных
• Загрузка вредоносных файлов — через формы загрузки файлов без проверки типа
• Компрометация хостинга — «соседское заражение» на общем хостинге
• Фишинг и кража учётных данных — через заражённый компьютер разработчика

Что делать если взлом повторяется

Если после очистки сайт взламывают снова — значит:

1. Не устранена первопричина (уязвимость осталась)
2. Остались бэкдоры которые не нашли при очистке
3. Скомпрометированы учётные данные (пароли утекли)

В этом случае рекомендуется полная переустановка CMS с нуля с переносом только проверенных данных.

Если не хотите разбираться самостоятельно — обратитесь к нам. Проведём глубокий анализ, найдём все бэкдоры, очистим сайт и закроем уязвимости.