Неожиданные редиректы, странные всплывающие окна, неизвестные файлы, spam-страницы в поиске или измененный .htaccess могут говорить о взломе сайта. Главная задача — не только удалить видимые файлы, но и понять, как они появились.
Первые действия
- Не удаляйте все вслепую. Сначала сделайте копию текущего состояния для анализа.
- Смените пароли от панели хостинга, FTP/SFTP, администраторов CMS и пользователей базы, если это нужно.
- Проверьте недавно измененные файлы, особенно public_html, uploads, plugins, themes и cache.
- Посмотрите .htaccess на неизвестные редиректы или внедренные правила.
- Обновите ядро CMS, плагины, темы и удалите заброшенные расширения.
На что смотреть
| Симптом | Где может быть причина |
|---|---|
| Редирект на другой сайт | .htaccess, index.php, header темы, файлы плагина, внедренный JavaScript. |
| Spam-страницы в поиске | Неизвестные PHP-файлы, сгенерированные папки, скомпрометированный плагин CMS. |
| Новый администратор | Таблица пользователей CMS или админка. |
| Файлы появляются снова после удаления | Backdoor-файл или уязвимый плагин все еще активен. |
После очистки проверьте сайт с другого устройства и используйте search console/security-инструменты, если они доступны. Чистый backup делайте после того, как сайт подтвержденно работает.
Чеклист инцидента безопасности
- Не удаляйте подозрительные файлы до сохранения копии для анализа.
- После чистки смените пароли панели, FTP/SFTP, администраторов CMS и пользователей базы.
- Проверьте неизвестных администраторов, измененные файлы и неожиданные редиректы.
- Обновите ядро CMS, темы и плагины.
- Восстанавливайте сайт только из чистого бэкапа, а не из копии, где уже было заражение.
Пришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.
Как снизить риск ошибок и взлома
Безопасность сайта зависит не только от хостинга, но и от паролей, обновлений CMS, прав файлов, доступа разработчиков и резервных копий. Чем меньше лишних доступов и старых файлов, тем ниже риск проблемы.
- используйте сложные уникальные пароли;
- удаляйте временные FTP и админ-доступы после работ;
- обновляйте CMS, плагины и темы;
- не храните архивы с паролями в публичной папке;
- проверяйте права файлов и папок.
Если есть подозрение на взлом, не очищайте все сразу: сначала сохраните логи и список измененных файлов, чтобы понять источник заражения.
Что подготовить перед обращением
Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «Что делать, если сайт заражен или перенаправляет посетителей», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.
