После инцидента безопасности сменить только пароль CMS недостаточно. Злоумышленники могли использовать FTP, доступы к базе, почтовый ящик или старый аккаунт разработчика.
Смените эти доступы
- Пароль личного кабинета или панели хостинга.
- Пароли администраторов CMS.
- FTP/SFTP и SSH passwords или keys.
- Пароль пользователя базы, если wp-config.php или config-файлы могли быть доступны.
- Почтовые ящики, через которые восстанавливается админка.
- API tokens, ключи платежных модулей и пароли внешних сервисов.
Чистка доступов
- Удалите неизвестных пользователей CMS.
- Удалите старые FTP-аккаунты и неиспользуемые SSH keys.
- Создавайте отдельные аккаунты для людей вместо одного общего логина.
- Включите two-factor authentication, где это доступно.
- Храните пароли в password manager.
Чеклист инцидента безопасности
- Не удаляйте подозрительные файлы до сохранения копии для анализа.
- После чистки смените пароли панели, FTP/SFTP, администраторов CMS и пользователей базы.
- Проверьте неизвестных администраторов, измененные файлы и неожиданные редиректы.
- Обновите ядро CMS, темы и плагины.
- Восстанавливайте сайт только из чистого бэкапа, а не из копии, где уже было заражение.
Пришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.
Как снизить риск ошибок и взлома
Безопасность сайта зависит не только от хостинга, но и от паролей, обновлений CMS, прав файлов, доступа разработчиков и резервных копий. Чем меньше лишних доступов и старых файлов, тем ниже риск проблемы.
- используйте сложные уникальные пароли;
- удаляйте временные FTP и админ-доступы после работ;
- обновляйте CMS, плагины и темы;
- не храните архивы с паролями в публичной папке;
- проверяйте права файлов и папок.
Если есть подозрение на взлом, не очищайте все сразу: сначала сохраните логи и список измененных файлов, чтобы понять источник заражения.
Что подготовить перед обращением
Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «Какие пароли менять после инцидента безопасности сайта», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.
