Взлом редко выглядит как в кино. Чаще это тихо: сайт вроде работает, но браузер вдруг ругается на «вредоносный код», в выдаче под вашим адресом всплывают чужие ссылки на казино, а хостинг присылает письмо «обнаружена подозрительная активность». Паниковать не надо, действовать по порядку — надо.…
Взлом редко выглядит как в кино. Чаще это тихо: сайт вроде работает, но браузер вдруг ругается на «вредоносный код», в выдаче под вашим адресом всплывают чужие ссылки на казино, а хостинг присылает письмо «обнаружена подозрительная активность». Паниковать не надо, действовать по порядку — надо. Причём быстро: чем дольше заражение сидит, тем глубже расползается.
Тревожные признаки:
Хватит и одного пункта, чтобы отнестись серьёзно.
Первый порыв — снести заражённые файлы и забыть. Но если не понять, как влезли, дыра останется, и через пару дней всё вернётся. Поэтому сначала — копия текущего состояния (да, даже заражённого): она пригодится, чтобы разобраться, что и откуда.
Все, до которых дотянетесь: админку сайта, панель хостинга, FTP, базу данных, почту, к которой всё это привязано. Часто взлом начинается именно с утёкшего пароля. Заодно проверьте, нет ли в админке лишних пользователей, — если есть, удаляйте.
Пока чистите — лучше повесить заглушку «идут технические работы». Так заражение не расползётся дальше по посетителям, а поисковик не влепит сайту метку «опасный» (снимать её потом долго и муторно).
Самая кропотливая часть. Заражённый код прячут по-разному: дописывают в существующие файлы, подкидывают новые, зашивают в базу. Чистят это несколькими путями:
На практике надёжнее всего чистый бэкап плюс проверка, что зловред не оставил «закладку» вернуться.
Ключевой шаг, который часто пропускают. Взлом — это следствие, а причина обычно в одном из: устаревшая CMS или плагин с известной уязвимостью, слабый пароль, дырявый плагин из непонятного источника. Пока причину не убрали, чистить бесполезно — вернутся. Так что: обновить всё до актуального, снести сомнительные плагины, включить нормальную защиту.
Скучно, но работает: вовремя обновлять CMS и плагины, держать сложные пароли, регулярно делать бэкапы (чистая копия — ваш главный козырь при взломе) и присматривать за сайтом, чтобы поймать заражение в первый день, а не через месяц.
Чистка сайта — работа нервная и небыстрая, а сделать надо аккуратно, иначе вернётся. Если ваш сайт заражён, не тяните: напишите боту в Telegram, что происходит. Вычистим, закроем дыру, из-за которой влезли, и настроим так, чтобы второго раза не было.