»  Безопасность  »  Чек-лист: Что делать, если сайт взломали

Чек-лист: Что делать, если сайт взломали

Последнее обновление:

Что делать после взлома сайтаВзломанный сайт — самое худшее, что может случиться с владельцем сайта.

В этой статье вы узнаете, как проверить, был ли сайт взломан, и если был, то как его восстановить.

Содержание:

  1. Выясните, был ли сайт действительно взломан
  2. Сделайте бэкап
  3. Просканируйте компьютер
  4. Обратитесь к профессионалам
  5. Поговорите с техподдержкой хостинга
  6. Восстановите сайт из бэкапа

Как восстановить Вордпресс сайт, если у вас есть доступ к админке

  1. Смените пароли
  2. Просканируйте сайт
  3. Замените взломанные файлы оригинальными
  4. Проверьте пользователей сайта
  5. Замените ключи и соли
  6. Замените пароли еще раз
  7. Укрепите безопасность сайта
  8. Как вернуть недостающий контент

Как восстановить Вордпресс сайт, если у вас нет доступа к админке

  1. Сбросьте пароль администратора в phpMyAdmin
  2. Найдите взломанные файлы
  3. Замените взломанные файлы
  4. Просканируйте сайт еще раз
  5. Последние действия

Заключение

1. Выясните, был ли сайт действительно взломан

Все, что подключено к интернету, можно взломать, в том числе и Вордпресс. Чтобы не принять необычное поведение сайта за взлом, проверьте, что вы видите один или несколько из этих признаков:

  • Плагин безопасности показывает предупреждение — если у вас установлен какой-нибудь плагин безопасности, он может предупредить о взломе.
  • Вы не можете попасть в админку Вордпресс — если вы не можете попасть в консоль Вордпресс, скорее всего, ваш сайт взломали.
  • Вордпресс сайт перенаправляет на другие сайты — хакеры часто используют взломанные сайты для редиректа на свои сайты с часами, сумками, другими товарами или услугами. Если сайт перенаправляет вас на другой сайт, или ваши посетители говорят вам об этом, это определенно взлом сайта.
  • На сайте появились непонятные ссылки — если вы видите, что на сайте появилось что-то новое, чего вы не публиковали, это может говорить о взломе сайта.
  • Неожиданные пики посещаемости — Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.
  • Сканирование сайта показывает проблемы — Часто заражения хорошо скрыты и их нелегко обнаружить. Проверьте сайт на Sucuri Site Check, Virus Total или 2ip чтобы избавиться от сомнений и, возможно, установить место взлома.
  • Поисковики пометили ваш сайт как небезопасный — Гугл, Яндекс и другие поисковики могут пометить ваш сайт в результатах выдачи как небезопасный, или вообще удалить сайт из поисковой выдачи. В Инструментах Вебмастера Гугл может появиться предупреждение в Проблемах Безопасности.
  • Предупреждение в браузере — Хром и другие браузеры предупреждают посетителей о фишинге, вредоносном коде, подозрительной перелинковке и других опасных вещах на сайте. Если вы или ваши посетители видят такое предупреждение, это может говорить о взломе сайта.
  • Хостинг отключил ваш сайт — Некоторые хостинги могут отключить или удалить взломанный сайт, если вы им об этом скажете или если они сами это обнаружат. На хороших хостингах все сайты изолированы, чтобы не допустить заражения соседних сайтов. Обычно такой хостинг предупреждает владельца сайта о проблеме.

Если вы видите один или несколько из этих признаков и просканировали сайт в Sucuri Site Check, Virus Total и 2ip, которые что-то нашли, значит, ваш сайт действительно взломан.

Читайте далее подробную инструкцию по лечению Вордпресс сайта.

2. Сделайте бэкап

Может показаться странным делать бэкап взломанного сайта, но это нужно сделать. В нем содержится вся информация сайта, не только взломанные файлы.

Еще одна причина в том, что хостинг может удалить ваш сайт. Если хостинг заблокирует или удалит ваш сайт, у вас останется копия.

Сделайте бэкап и пометьте его как взломанный.

3. Просканируйте компьютер

В некоторых случаях хакеры попадают на сайт через компьютер пользователя. Если хакер взломал ваш компьютер, он мог пойти дальше и взломать сайт (например, через кейлоггер).

Установите антивирус / файрвол или проверьте компьютер на вирусы и установите все последние обновления ОС. Даже если хакер взломал ваш сайт не через ваш компьютер, сделайте скан, чтобы повторно не заразить сайт после восстановления.

4. Обратитесь к профессионалам

Если вы думаете, что не справитесь самостоятельно, вы можете отправить зараженные файлы профессионалам, например, Virusdie. Они берут небольшую плату за анализ и очистку одного файла, который сканеры помечают как «Неизлечимый».

Хакеры довольно умные люди, и могут оставить какие-то закладки, чтобы попасть на сайт еще раз после восстановления. Возможно, обращение к профессионалам удалит все закладки и сэкономит время.

Если вы хотите все сделать самостоятельно, читайте дальше.

5. Поговорите с техподдержкой хостинга

Хороший хостинг подготовлен к таким ситуациям и может помочь вылечить сайт. Когда хостинг определяет, что сайт взломан, специалисты техподдержки могут помочь его восстановить.

Хостингу может быть интересно, что случилось с вашим сайтом, потому что это может затронуть другие сайты, которые находятся на этом сервере, и может относиться к общей безопасности хостинга.

Если они не могут помочь, они могут дать полезную информацию для восстановления сайта.

6. Восстановите сайт из бэкапа

У вас должен быть настроен бэкап, поэтому попробуйте восстановить сайт из более ранних версий.

Проблема может быть в том, что после последнего бэкапа вы добавляли какую-то информацию на сайт, которая потеряется при восстановлении. Если после восстановления вы теряете слишком много, можно попробовать вылечить сайт вручную.

Как восстановить Вордпресс сайт, если у вас есть доступ к админке

1. Смените пароли

Смените пароли всех администраторов. Еще лучше сменить все пароли, — пароли хостинга, FTP, базы данных и е-мейл.

Пароли администраторов можно изменить в меню Пользователи. Создайте новые пароли и отправьте их по почте администраторам.

Смените пароли как минимум всех администраторов сайта, в одном из следующих шагов вы будете менять пароли еще раз.

2. Просканируйте сайт

В этом шаге вы найдете место взлома. Чтобы уменьшить количество сканируемых файлов, удалите папку с плагинами и неиспользуемые темы в папке с темами. Оставьте только текущую тему и родительскую, если есть. В этих папках хакеры часто оставляют бэкдоры.

Установите один из этих плагинов или по очереди:

Если вы не хотите использовать плагины, используйте эти интернет-сканеры.
Проверьте статус сайта на Странице диагностики Гугл. Введите ваш адрес и посмотрите результаты.

3. Замените взломанные файлы оригинальными

Если вы нашли взломанные файлы, удалите их или замените оригинальными.

Вы можете заменить файлы Вордпресс оригинальными файлами. Самый простой способ это сделать — переустановить Вордпресс в админке. КонсольОбновления.

Переустановите Вордпресс в админке Вордпресс

То же самое вы можете сделать с плагинами и темами. Если вы делали изменения в functions.php, и не пользовались дочерней темой, переустановка темы удалит ваши изменения.

Если вы нашли файлы, которые не добавляли, и которые не относятся к файлам Вордпресс, удалите их.

4. Проверьте пользователей сайта

Зайдите в меню Пользователи и проверьте пользователей сайта. Если вы видите что-то странное, например, пользователя с правами администратора, которого вы не знаете, удалите этого пользователя.

5. Замените ключи и соли

Это секретные ключи, которые используются для шифрования информации в cookies.

Если хакер получил или подобрал логин и пароль к вашему сайту, он все еще может быть залогинен. Создайте новые ключи в генераторе ключей Вордпресс и замените старые ключи в файле wp-config.php. Это разлогинит всех пользователей, и сделает их кукис недействительными.

6. Замените пароли еще раз

Вы уже меняли пароли в начале статьи, замените их еще раз.

  • Пароль администратора
  • Логин и пароль к хостингу
  • Логин и пароль к FTP
  • Пароль к базе данных
  • Е-мейл адрес админа

7. Укрепите безопасность сайта

Последний шаг — укрепите безопасность сайта, чтобы не допустить повторного взлома.

8. Как вернуть недостающий контент

После восстановления сайта на нем может не хватать какого-то контента, который был на момент взлома, например, статьи, страницы, товары, медиа, настройки темы и так далее.

Если вы пользуетесь встроенным Экспортом в меню Инструменты, то восстановите контент с помощью Импорта.

В настройках многих тем есть функция Экспорта / Импорта настроек.

В базе данных сохраненного после взлома бэкапа можно найти страницы, статьи, товары и другой контент.

Если у вас есть RSS фид, вы можете найти опубликованные статьи в нем.

Как восстановить Вордпресс сайт, если у вас нет доступа к админке

1. Сбросьте пароль администратора в phpMyAdmin

Если вы не можете войти в консоль Вордпресс, это может быть потому, что хакеры сменили пароль вашего администраторского аккаунта. В этом случае вы можете изменить пароль администратора на новый в базе данных.

Еще один способ — изменить е-мейл пользователя (администратора), вернуться на страницу авторизации (по умолчанию /wp-login.php) и запросить новый пароль через функцию Забыли пароль? Этот способ работает только если у вас есть доступ к странице авторизации.

2. Найдите взломанные файлы

Даже если вы не можете зайти в консоль Вордпресс, процесс восстановления сайта такой же, как в предыдущей части. Вам нужно найти инфицированные файлы и заменить их чистыми версиями.

Чтобы найти поврежденные файлы, используйте эти сервисы:

  • Unmask Parasites — довольно простой сервис для проверки сайта. Первый шаг, чтобы определить, был ли сайт взломан.
  • Sucuri Site Check — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
  • Norton Safe Web – сканер сайта от Norton.
  • Quttera – сканирует сайт на наличие вредоносного ПО.
  • 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
  • Malware Removal – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
  • Scan My Server – сканирует сайт на вредоносный софт, SQL внедрения, XSS и так далее. Для использования требуется бесплатная регистрация. Довольно детальные отчеты приходят на е-мейл раз в неделю.

Все эти сканеры сканируют немного по-разному, поэтому используйте несколько или все, чтобы ничего не пропустить.

Полезную информацию вы можете найти в Консоли Вебмастера Гугл, Яндекс, Бинг и других, где зарегистрирован ваш сайт. Еще один источник информации — логи событий на сервере.

3. Замените взломанные файлы

После того, как вы нашли инфицированные файлы, замените их чистыми или удалите. Для этого вам понадобится доступ к файлам по FTP или через хостинг.

В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.

  • Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
  • Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
  • Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
  • Если ничего не помогло — обратитесь к профессионалам в Virusdie.

4. Просканируйте сайт еще раз

После удаления вредоносных файлов просканируйте сайт еще раз, чтобы убедиться, что сайт полностью вылечен.

Поговорите с техподдержкой хостинга, скажите, что сайт вылечен, возможно, они найдут что-то на своей стороне или на вашем сайте.

5. Последние действия

После лечения сайта пройдите те же шаги, что в предыдущем разделе

  • Проверьте пользователей сайта
  • Замените ключи и соли
  • Замените пароли еще раз
  • Укрепите безопасность сайта

Читайте:

Заключение

Это общий план, более подробную информацию читайте здесь:

Если вы все сделали правильно, сайт должен опять заработать. Следите за безопасностью сайта, используйте плагины безопасности.

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!