Чек-лист: Что делать, если сайт взломали

Взломанный сайт — самое худшее, что может случиться с владельцем сайта.

В этой статье вы узнаете, как проверить, был ли сайт взломан, и если был, то как его восстановить.

Пошаговая инструкция.

Содержание:

1. Выясните, был ли сайт взломан
2. Сделайте бэкап
3. Просканируйте компьютер
4. Обратитесь к профессионалам
5. Поговорите с техподдержкой хостинга
6. Восстановите сайт из бэкапа

Как восстановить Вордпресс сайт, если есть доступ к админке

1. Смените пароли
2. Просканируйте сайт
3. Замените взломанные файлы оригинальными
4. Проверьте пользователей сайта
5. Замените ключи и соли
6. Замените пароли еще раз
7. Укрепите безопасность сайта
8. Как вернуть недостающий контент

Как восстановить Вордпресс сайт, если нет доступа к админке

1. Сбросьте пароль администратор в phpMyAdmin
2. Найдите взломанные файлы
3. Замените взломанные файлы
4. Просканируйте сайт еще раз
5. Последние действия

Заключение

1. Выясните, был ли сайт действительно взломан

Все, что подключено к интернету, можно взломать, в том числе и Вордпресс. Чтобы не принять необычное поведение сайта за взлом, проверьте, что вы видите один или несколько из этих признаков:

• Предупреждение в браузере — Хром и другие браузеры предупреждают посетителей о фишинге, вредоносном коде, подозрительной перелинковке и других опасных вещах на сайте. Если вы или ваши посетители видят такое предупреждение, это может говорить о взломе сайта.
• Плагин безопасности показывает предупреждение — если у вас установлен какой-нибудь плагин безопасности, он может показывать предупреждение.
• Постоянные ссылки — Зайдите в Настройки — Постоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname%. Если ссылка изменилась на %postname%/%, например,
  %postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/
  значит, ваш сайт взломали.
• Ваш сайт перенаправляет посетителей на другие сайты — хакеры часто используют взломанные сайты для редиректа на свои сайты с часами, сумками, казино и другими товарами или услугами. Если сайт перенаправляет вас на другой сайт, или ваши посетители говорят вам об этом, это определенно взлом сайта.
  Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.
  site:ваш-сайт.ru
Замените ваш-сайт.ru на ваш адрес.
• На сайте появился непонятный контент — если вы видите, что на сайте появилось что-то новое, чего вы не публиковали, скорее всего это добавили хакеры.
• Пользователи сайта — Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.
• Неожиданные пики посещаемости — Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.
• Таблицы в базе данных — Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.
• Сканирование сайта показывает проблемы — Часто заражения хорошо скрыты и их нелегко обнаружить. Проверьте сайт на Sucuri Site Check, Virus Total или 2ip (другие сервисы), чтобы избавиться от сомнений и, возможно, установить место взлома.
• Поисковики пометили ваш сайт как небезопасный — Гугл, Яндекс и другие поисковики могут пометить ваш сайт в результатах выдачи как небезопасный, или вообще удалить сайт из поисковой выдачи. В Инструментах Вебмастера Гугл может появиться предупреждение в Проблемах Безопасности.
• Вы не можете попасть в админку Вордпресс — если вы не можете попасть в консоль Вордпресс, скорее всего, ваш сайт взломали.
• Хостинг отключил ваш сайт — Некоторые хостинги могут отключить или удалить взломанный сайт, если вы им об этом скажете или если они сами это обнаружат. На хороших хостингах все сайты изолированы, чтобы не допустить заражения соседних сайтов. Обычно такой хостинг предупреждает владельца сайта о проблеме.

Если вы видите один или несколько из этих признаков и просканировали сайт в Sucuri Site Check, Virus Total и 2ip, которые что-то нашли, значит, ваш сайт действительно взломан.

Читайте далее подробную инструкцию по лечению Вордпресс сайта.

2. Сделайте бэкап

Может показаться странным делать бэкап взломанного сайта, но это нужно сделать. В нем содержится вся информация сайта, не только взломанные файлы.

Кроме этого, хостинг может удалить ваш сайт. Если хостинг заблокирует или удалит ваш сайт, у вас останется копия.

Сделайте бэкап и пометьте его как взломанный.

• Бэкап Вордпресс. Подробное описание

3. Просканируйте компьютер

В некоторых случаях хакеры попадают на сайт через компьютер пользователя. Если хакер взломал ваш компьютер, он мог пойти дальше и взломать сайт (например, через кейлоггер).

Установите антивирус / файрвол или проверьте компьютер на вирусы и установите все последние обновления ОС. Даже если хакер взломал ваш сайт не через ваш компьютер, сделайте скан, чтобы повторно не заразить сайт после восстановления.

4. Обратитесь к профессионалам

Если вы думаете, что не справитесь самостоятельно, отправьте зараженные файлы профессионалам, например, Virusdie. Они берут небольшую плату за анализ и очистку каждого файла, который сканеры пометили как «Неизлечимый».

Хакеры довольно умные люди, и могут оставить какие-то закладки, чтобы попасть на сайт еще раз после восстановления. Возможно, обращение к профессионалам удалит все закладки и сэкономит время.

Если вы хотите все сделать самостоятельно, читайте дальше.

5. Поговорите с техподдержкой хостинга

Хороший хостинг подготовлен к таким ситуациям и может помочь вылечить сайт. Когда хостинг определяет, что сайт взломан, специалисты техподдержки могут помочь его восстановить.

Хостингу может быть интересно, что случилось с вашим сайтом, потому что это может затронуть другие сайты, которые находятся на том же сервере, и может относиться к общей безопасности хостинга.

Если они не могут помочь, они могут дать направление поиска для восстановления сайта.

6. Восстановите сайт из бэкапа

У вас должен быть настроен бэкап, поэтому попробуйте восстановить сайт из более ранних версий.

Проблема может быть в том, что после последнего бэкапа вы добавляли какую-то информацию на сайт, которая потеряется при восстановлении. Если после восстановления вы теряете слишком много, можно попробовать вылечить сайт вручную.

Как восстановить Вордпресс сайт, если есть доступ к админке

1. Смените пароли

Смените пароли всех администраторов. Еще лучше сменить все пароли, — пароли хостинга, FTP, базы данных и е-мейл.

Пароли администраторов можно изменить в меню Пользователи. Создайте новые пароли и отправьте их по почте администраторам.

Смените пароли как минимум всех администраторов сайта, в одном из следующих шагов вы будете менять пароли еще раз.

2. Просканируйте сайт

В этом шаге вы найдете место взлома. Чтобы уменьшить количество сканируемых файлов, удалите папку с плагинами и неиспользуемые темы в папке с темами. Оставьте только текущую тему и родительскую, если есть. В этих папках хакеры часто оставляют бэкдоры.

• Что можно безопасно удалить с любого взломанного сайта.

Установите один из этих плагинов или по очереди:

• Quttera Web Malware Scanner
• Anti-Malware Security and Brute-Force Firewall
• Ninja Scanner
• Antivirus
• WP Antivirus Site Protection

Если вы не хотите использовать плагины, используйте эти интернет-сканеры.
Проверьте статус сайта на Странице диагностики Гугл. Введите ваш адрес и посмотрите результаты.

3. Замените взломанные файлы оригинальными

Если вы нашли взломанные файлы, удалите их или замените оригинальными.

Вы можете заменить файлы Вордпресс оригинальными файлами. Самый простой способ это сделать — переустановить Вордпресс в админке. Консоль — Обновления.

То же самое вы можете сделать с плагинами и темами. Если вы делали изменения в functions.php, и не пользовались дочерней темой, переустановка темы удалит ваши изменения.

Если вы нашли файлы, которые не добавляли, и которые не относятся к файлам Вордпресс, удалите их.

• Файлы Вордпресс

4. Проверьте пользователей сайта

Зайдите в меню Пользователи и проверьте пользователей сайта. Если вы видите что-то странное, например, пользователя с правами администратора, которого вы не знаете, удалите этого пользователя.

• Как найти скрытого администратора

5. Замените ключи и соли

Это секретные ключи, которые используются для шифрования информации в cookies.

Если хакер получил или подобрал логин и пароль к вашему сайту, он все еще может быть залогинен. Создайте новые ключи в генераторе ключей Вордпресс и замените старые ключи в файле wp-config.php. Это разлогинит всех пользователей, и сделает их кукис недействительными.

• Ключи и соли Вордпресс

6. Замените пароли еще раз

Вы уже меняли пароли в начале статьи, замените их еще раз.

• Пароль администратора
• Логин и пароль к хостингу
• Логин и пароль к FTP
• Пароль к базе данных
• Е-мейл адрес админа

7. Укрепите безопасность сайта

Последний шаг — настройте защиту сайта, чтобы не допустить повторного взлома.

• Минимальная безопасность Вордпресс сайта
• Безопасность Вордпресс. Подробное описание
• Как настроить мощную защиту сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

8. Как вернуть недостающий контент

После восстановления сайта на нем может не хватать какого-то контента, который был на момент взлома, например, статьи, страницы, товары, медиа, настройки темы и так далее.

Если вы пользуетесь встроенным Экспортом в меню Инструменты, то восстановите контент с помощью Импорта.

В настройках многих тем есть функция Экспорта / Импорта настроек.

В базе данных сохраненного после взлома бэкапа можно найти страницы, статьи, товары и другой контент.

Если у вас есть RSS фид, вы можете найти опубликованные статьи в нем.

Как восстановить Вордпресс сайт, если нет доступа к админке

1. Сбросьте пароль администратора в phpMyAdmin

Если вы не можете войти в консоль Вордпресс, то скорее всего хакеры сменили пароль вашего аккаунта администратора. В этом случае вы можете изменить пароль администратора на новый в базе данных.

• Как изменить пароль пользователя в базе данных

Еще один способ — изменить е-мейл администратора, вернуться на страницу авторизации (по умолчанию /wp-login.php) и запросить новый пароль через функцию Забыли пароль? Этот способ работает только если у вас есть доступ к странице авторизации.

• Как изменить е-мейл пользователя в базе данных

Кроме редактирования базы данных, есть еще несколько способов зайти в админку с помощью скриптов, которые нужно добавить в файл functions.php или в папку /mu-plugins/:

• 6 Способов зайти в админку Вордпресс

2. Найдите взломанные файлы

Даже если вы не можете зайти в консоль Вордпресс, процесс восстановления сайта такой же, как в предыдущей части. Вам нужно найти инфицированные файлы и заменить их чистыми версиями.

Чтобы найти поврежденные файлы, используйте эти сервисы:

• Google Transparency Report — проверка сайта в базе Google. Первый шаг, чтобы определить, был ли сайт взломан.
• Unmask Parasites и Sucuri Site Check — два сервиса от Sucuri для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
• Norton Safe Web – сканер сайта от Norton.
• Quttera – сканирует сайт на наличие вредоносного ПО.
• 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
• VirusTotal – хороший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
• Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение пары минут генерирует довольно детальный отчет.
• Malware Removal – Проверяет сайт на наличие скрытых вредоносных программ и вирусов (невидимые спам-ссылки, вредоносные программы, вводимые IFRAME, вредоносные сценарии и перенаправления на сторонние веб-сайты).
• WebSicherheit – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
• Pentest-Tools — еще один хороший сервис для проверки сайта на наличие заражения. В бесплатной версии доступен общий анализ сайта.
• WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.

Все эти сканеры сканируют немного по-разному, поэтому используйте несколько или все, чтобы ничего не пропустить.

Полезную информацию вы можете найти в Консоли Вебмастера Гугл, Яндекс, Бинг и других, где зарегистрирован ваш сайт. Еще один источник информации — логи событий на сервере.

3. Замените взломанные файлы

После того, как вы нашли инфицированные файлы, замените их новыми или удалите. Для этого вам понадобится доступ к файлам по FTP или через хостинг.

В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.

• Вы нашли вредоносный код в файле Вордпресс, темы или плагина — удалите весь файл, и замените на оригинальный с официальной страницы.
• Вы нашли вредоносный код в файле, который вы или кто-то создал вручную — удалите вредоносный код и сохраните файл.
• Если вы нашли файл бэкдора, в котором находится только вредоносный скрипт — удалите весь файл.
• Если ничего не помогло — обратитесь к профессионалам в Virusdie.

4. Просканируйте сайт еще раз

После удаления вредоносных файлов просканируйте сайт еще раз, чтобы убедиться, что сайт полностью вылечен.

Поговорите с техподдержкой хостинга, скажите, что сайт вылечен, возможно, они найдут что-то на своей стороне или на вашем сайте.

5. Последние действия

После лечения сайта пройдите те же шаги, что в предыдущем разделе

• Проверьте пользователей сайта
• Замените ключи и соли
• Замените пароли еще раз
• Укрепите безопасность сайта

Заключение

Это общий план, более подробную информацию читайте здесь:

• Как вылечить от вирусов Вордпресс сайт
• Как удалить бэкдор с Вордпресс сайта
• 2 Примера взлома и лечения сайта
• Как найти следы взлома в логах сервера
• Как удалить сайт из черных списков
• 7 Лучших плагинов безопасности

Если вы все сделали правильно, сайт должен опять заработать. Следите за безопасностью сайта, используйте плагины безопасности.

Надеюсь, статья была полезна. Оставляйте комментарии.