Неожиданные редиректы, странные всплывающие окна, неизвестные файлы, spam-страницы в поиске или измененный .htaccess могут говорить о взломе сайта. Главная задача — не только удалить видимые файлы, но и понять, как они появились.

Первые действия

  1. Не удаляйте все вслепую. Сначала сделайте копию текущего состояния для анализа.
  2. Смените пароли от панели хостинга, FTP/SFTP, администраторов CMS и пользователей базы, если это нужно.
  3. Проверьте недавно измененные файлы, особенно public_html, uploads, plugins, themes и cache.
  4. Посмотрите .htaccess на неизвестные редиректы или внедренные правила.
  5. Обновите ядро CMS, плагины, темы и удалите заброшенные расширения.

На что смотреть

СимптомГде может быть причина
Редирект на другой сайт.htaccess, index.php, header темы, файлы плагина, внедренный JavaScript.
Spam-страницы в поискеНеизвестные PHP-файлы, сгенерированные папки, скомпрометированный плагин CMS.
Новый администраторТаблица пользователей CMS или админка.
Файлы появляются снова после удаленияBackdoor-файл или уязвимый плагин все еще активен.

После очистки проверьте сайт с другого устройства и используйте search console/security-инструменты, если они доступны. Чистый backup делайте после того, как сайт подтвержденно работает.

Чеклист инцидента безопасности

  • Не удаляйте подозрительные файлы до сохранения копии для анализа.
  • После чистки смените пароли панели, FTP/SFTP, администраторов CMS и пользователей базы.
  • Проверьте неизвестных администраторов, измененные файлы и неожиданные редиректы.
  • Обновите ядро CMS, темы и плагины.
  • Восстанавливайте сайт только из чистого бэкапа, а не из копии, где уже было заражение.
Проблемы HTTPS и безопасности проще решать по точным симптомам

Пришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.

Как снизить риск ошибок и взлома

Безопасность сайта зависит не только от хостинга, но и от паролей, обновлений CMS, прав файлов, доступа разработчиков и резервных копий. Чем меньше лишних доступов и старых файлов, тем ниже риск проблемы.

  • используйте сложные уникальные пароли;
  • удаляйте временные FTP и админ-доступы после работ;
  • обновляйте CMS, плагины и темы;
  • не храните архивы с паролями в публичной папке;
  • проверяйте права файлов и папок.

Если есть подозрение на взлом, не очищайте все сразу: сначала сохраните логи и список измененных файлов, чтобы понять источник заражения.

Что подготовить перед обращением

Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «Что делать, если сайт заражен или перенаправляет посетителей», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.