Неизвестные PHP-файлы, странные папки, закодированный код или файлы с недавней датой изменения могут быть признаком заражения. Самый безопасный подход — сначала изучить, потом чистить; случайное удаление файлов может стереть следы и усложнить восстановление.

Признаки подозрительных файлов

  • Файлы со случайными именами вроде wp-vcd.php, class-*.php в необычных папках или длинные бессмысленные имена.
  • PHP-файлы внутри uploads/cache, где обычно ожидаются картинки или сгенерированные файлы.
  • Код с eval, base64_decode, gzinflate или цепочками remote include.
  • Много файлов изменено в одно и то же необычное время.
  • Новые администраторы или неизвестные cron-задачи появились примерно в то же время.

Как действовать безопасно

  1. Сделайте backup текущего зараженного состояния для анализа.
  2. Сравните файлы с чистой версией CMS, если это возможно.
  3. Проверьте недавно измененные файлы и .htaccess.
  4. Отключайте подозрительные плагины/темы, а не удаляйте весь сайт сразу.
  5. После очистки смените пароли и обновите CMS.
find public_html -type f -mtime -7 -print
find public_html -type f -name '*.php' -mtime -14 -print

Действия с приоритетом безопасности

  • Обновите ядро WordPress, темы и плагины.
  • После инцидента смените пароли wp-admin, FTP, базы и панели хостинга.
  • Проверьте неизвестных администраторов и подозрительные файлы.
  • Чистый бэкап делайте только после удаления заражения.

Чеклист инцидента безопасности

  • Не удаляйте подозрительные файлы до сохранения копии для анализа.
  • После чистки смените пароли панели, FTP/SFTP, администраторов CMS и пользователей базы.
  • Проверьте неизвестных администраторов, измененные файлы и неожиданные редиректы.
  • Обновите ядро CMS, темы и плагины.
  • Восстанавливайте сайт только из чистого бэкапа, а не из копии, где уже было заражение.
Проблемы HTTPS и безопасности проще решать по точным симптомам

Пришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.

Что проверить в панели хостинга

Панель хостинга помогает управлять сайтами, доменами, базами данных, почтой, PHP и файлами. Перед изменениями важно убедиться, что выбран правильный домен или аккаунт, особенно если в панели размещено несколько сайтов.

  • проверьте путь к корневой папке сайта;
  • убедитесь, что выбрана нужная версия PHP;
  • проверьте лимиты диска, inode и базы данных;
  • при работе с файлами сохраняйте резервную копию;
  • после изменения настроек очищайте кэш сайта и браузера.

Если инструкция не совпадает с вашей панелью, уточните, используется DirectAdmin, cPanel, ISPmanager или другая система управления.

Что подготовить перед обращением

Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «Подозрительные файлы на хостинге: как проверить их безопасно», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.